一种网络级攻击行径审计方法、装置和可读存储介质

本发明属于网络安全基础设施领域，具体涉及一种网络级攻击行径审计方法、装置和可读存储介质。

背景技术：

1、近年来，网络攻击不断增加，给政府、关键基础设施和企业带来了巨大损失。特别是，高级持续威胁(apt)组织通过利用多种漏洞，采取多种att&ck战术，对目标组织进行秘密攻击。例如，wannacry是最为广泛传播的apt攻击之一，感染了150多个国家的组织和基础设施，造成了高达40亿美元的损失，隐匿的apt攻击的检测已成为学术界和工业界的研究热点。

2、基于溯源图的检测被认为是apt检测领域中一种有前途的分支，该方法收集细粒度的操作信息以便于系统内核审计。收集的信息包括进程之间的调用、文件的读写以及网络连接，最终形成一个有向无环图。因此，溯源图增强了对系统内攻击者操作复杂且动态流程的可见性和可追溯性。然而，面临以下三个问题：1)apt攻击的组织性和复杂性使得通过主机级别的溯源图审计难以还原完整的攻击路径，存在网络级别可追溯性的挑战；2)利用对抗性攻防的分布式攻击技术，如内存级木马和隐藏隧道，难以被检测，主机级别溯源图检测得到的入口事件通常不是真正的apt攻击链中的入口事件，导致反向追溯性的困难；3)大量的溯源图信息可能导致在揭示攻击链时存在滞后，现有的溯源图审计方案难以及时前向追溯后续的渗透事件，存在前向传播滞后的问题。

技术实现思路

1、针对现有技术中存在的问题，本发明提供了一种网络级攻击行径审计方法、装置和可读存储介质，其目的在于解决难以还原完整的攻击路径、反向追溯性困难以及前向传播滞后的问题。

2、为了解决上述技术问题，本发明通过以下技术方案予以实现：

3、根据本发明的第一方面，提供一种网络级攻击行径审计方法，包括：

4、获取被攻击设备的告警事件；

5、根据所述告警事件对所述被攻击设备的溯源图实体进行告警事件的相关性分析；

6、利用高斯混合模型对相关性分析结果进行聚类分析，得到关于告警事件的聚类模型；

7、将所述被攻击设备的溯源图实体输入所述聚类模型，得到关于告警事件的关联集合；

8、将所述关联集合输入套接字实体权重评分模型，得到关于告警事件的攻击入口；

9、利用告警前向追踪算法对所述告警事件进行前向追踪，得到关于告警事件的攻击出口；

10、将所述攻击入口与所述攻击出口进行对齐，重构得到网络级攻击行径。

11、在第一方面的一种可能的实现方式中，所述根据所述告警事件对所述被攻击设备的溯源图实体进行告警事件的相关性分析，包括：

12、利用时间相关性分析模型，分析所述被攻击设备的溯源图实体与所述告警事件的时间关联程度；

13、利用文件相关性分析模型，分析所述被攻击设备的溯源图实体与所述告警事件的文件关联程度；

14、利用出入度相关性分析模型，分析所述被攻击设备的溯源图实体与所述告警事件的出入度关联程度。

15、在第一方面的一种可能的实现方式中，所述时间相关性分析模型为：

16、

17、

18、

19、式中，ct(e)为溯源图实体中的待测事件与告警事件的时间关联程度；σ(e)为溯源图实体中的待测事件关于告警事件的拓扑修正值；t(epoi)为告警事件的时间戳；t(e)为溯源图实体中的待测事件的时间戳；ε为正常数；outdegree(e)为溯源图实体中的待测事件的出度；σ(e′)为前序已评估溯源图实体中的待测事件的修正值；为前序已评估溯源图实体中的待测事件关于告警事件的k-shell层数差值；和分别为告警事件和前序溯源图实体中的待测事件的k-shell层级；κ为非零常数；e为溯源图实体对应的事件边。

20、在第一方面的一种可能的实现方式中，所述文件相关性分析模型为：

21、

22、

23、

24、式中，cf(e)为溯源图实体中的待测事件与告警事件的文件关联程度；f(epoi)为告警事件的文件大小；f(e)为溯源图实体中的待测事件的文件大小；ε为正常数；σ(e)为溯源图实体中的待测事件关于告警事件的拓扑修正值；outdegree(e)为溯源图实体中的待测事件的出度；σ(e′)为前序已评估溯源图实体中的待测事件的修正值；为前序已评估溯源图实体中的待测事件关于告警事件的k-shell层数差值；和分别为告警事件和前序溯源图实体中的待测事件的k-shell层级；κ为非零常数；e为溯源图实体对应的事件边。

25、在第一方面的一种可能的实现方式中，所述出入度相关性分析模型为：

26、

27、

28、

29、式中，cr(e)为溯源图实体中的待测事件与告警事件的出入度关联程度；为溯源图实体中的待测事件v的出入度比；outdegree(v)为溯源图实体中的待测事件v的出度；indegree(v)为溯源图实体中的待测事件v的入度；σ(e)为溯源图实体中的待测事件关于告警事件的拓扑修正值；outdegree(e)为溯源图实体中的待测事件的出度；σ(e′)为前序已评估溯源图实体中的待测事件的修正值；为前序已评估溯源图实体中的待测事件关于告警事件的k-shell层数差值；和分别为告警事件和前序溯源图实体中的待测事件的k-shell层级；κ为非零常数；e为溯源图实体对应的事件边。

30、在第一方面的一种可能的实现方式中，所述利用高斯混合模型对相关性分析结果进行聚类分析，得到关于告警事件的聚类模型，具体为：

31、所述高斯混合模型为：

32、

33、θ＝{μ,∑,τ}

34、式中，xj为溯源图实体中的待测事件与告警事件的关联程度，包括时间关联程度、文件关联程度和出入度关联程度；为xj关于参数集θ符合分布i的概率；μi是第i簇的均值向量；μl是第l簇的均值向量；∑是协方差矩阵；τi是第i簇的混合系数；τl是第l簇的混合系数；k为溯源图实体聚类的个数；

35、利用所述高斯混合模型取溯源图实体中的待测事件的最大概率分布：

36、

37、经过多轮更新gmm_pred(xj,θ)参数，按照如下条件取收敛后最佳参数：

38、

39、当θ在两个连续的迭代步骤t和t+1之间的对数似然的相对增量的绝对值小于等于阈值∈，则停止迭代，得到关于告警事件的聚类模型。

40、在第一方面的一种可能的实现方式中，所述将所述关联集合输入套接字实体权重评分模型，得到关于告警事件的攻击入口，具体为：

41、所述套接字实体权重评分模型为：

42、weight＝||w*tx||

43、

44、

45、式中，weight为实体权重；w*为权重投影阵；mi为类别为i的样本总个数；sb为类间散度矩阵；sw为类内散度矩阵；x为关于告警事件的关联集合，xj为x中的第j个溯源图实体；

46、利用修正公式对套接字实体权重进行修正，得到套接字实体修正权重，所述修正公式为：

47、

48、式中，为套接字实体修正权重；weightsocket为套接字实体权重；σ(e)为溯源图实体中的待测事件关于告警事件的拓扑修正值；

49、对套接字实体修正权重进行排名，选取排名最佳为关于告警事件的攻击入口。

50、在第一方面的一种可能的实现方式中，所述利用告警前向追踪算法对所述告警事件进行前向追踪，得到关于告警事件的攻击出口，具体为：

51、初始化告警影响因子iparent；

52、以所述告警事件为出发点，利用传递公式传递影响因子i，直到后续溯源图实体同时满足第一条件、第二条件和第三条件时，得到关于告警事件的攻击出口，同时判定所述被攻击设备发生横向移动攻击，停止影响因子动态传递，并对关联主机溯源图进行下一回合告警影响因子传递；

53、所述第一条件为：后续溯源图实体的影响因子大于预设影响因子阈值；

54、所述第二条件为：最后一位溯源图实体为套接字实体；

55、所述第三条件为：最后一位溯源图实体与后向溯源所得套接字实体不一致；

56、所述传递公式为：

57、

58、式中，ie为新加入的溯源图实体的影响因子；mi为影响系数；iparent为新加入的溯源图实体的父亲节点；outdegree(vparent)为新加入的溯源图实体的出度。

59、根据本发明的第二方面，提供一种网络级攻击行径审计装置，包括：

60、获取模块，用于获取被攻击设备的告警事件；

61、相关性分析模块，用于根据所述告警事件对所述被攻击设备的溯源图实体进行告警事件的相关性分析；

62、聚类分析模块，用于利用高斯混合模型对相关性分析结果进行聚类分析，得到关于告警事件的聚类模型；

63、聚类模块，用于将所述被攻击设备的溯源图实体输入所述聚类模型，得到关于告警事件的关联集合；

64、权重评分模块，用于将所述关联集合输入套接字实体权重评分模型，得到关于告警事件的攻击入口；

65、前向追踪模块，用于利用告警前向追踪算法对所述告警事件进行前向追踪，得到关于告警事件的攻击出口；

66、重构模块，用于将所述攻击入口与所述攻击出口进行对齐，重构得到网络级攻击行径。

67、根据本发明的第三方面，提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现所述的一种网络级攻击行径审计方法的步骤。

68、与现有技术相比，本发明至少具有以下有益效果：

69、本发明提供的一种网络级攻击行径审计方法，根据告警事件对被攻击设备的溯源图实体进行告警事件的相关性分析，实现被攻击设备的溯源图实体与告警事件的相关性分析。在网络级的组织中，溯源图实体边的数量通常在百万条的数量级，由于数量庞大的溯源图边经过相关性分析后，所得分析结果情况众多，包含高相关实体、不相关实体以及待确认实体，这使得溯源图实体聚类处理的边界难以界定，高斯混合模型具有多分类边界模糊的待处理数据软聚类能力强、不规则分布数据处理灵活性高的特点，利用高斯混合模型可有效解决溯源图实体聚类分析的前述问题，得到关于告警事件的聚类模型。在关于告警事件的关联集合中，取高相关性溯源图实体集合中的网络套接字实体进行套接字实体权重评分，得到关于告警事件的攻击入口。本发明还利用告警前向追踪算法对告警事件进行前向追踪，得到关于告警事件的攻击出口，最后将攻击入口与攻击出口进行对齐，重构得到网络级攻击行径。可见，本发明有效的解决了难以还原完整的攻击路径，反向追溯性困难，以及溯源图审计方案难以及时前向追溯后续的渗透事件导致前向传播滞后的问题。

70、为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。