一种基于因果图的网络攻击行为检测方法

1.本发明涉及网络安全领域入侵检测技术，特别涉及一种基于因果图的网络攻击行为检测方法。


背景技术：

2.随着互联网、云计算、物联网等技术的发展，越来越多的设备、信息实现了联网，给网络安全、数据安全等带来了极大的挑战。如何利用深度学习和图方法对入侵检测，是对网络安全的研究及应用的重要方向。
3.在现有技术中，倾向于针对特定的攻击行为设定检测规则实现对已知攻击行为的检测，或者直接利用深度学习方法对网络流进行良性和恶性二分类。基于特定规则的方法只能检测特定的攻击行为，简单地利用深度学习方法进行二分类忽略了网络拓扑连接和攻击过程的上下文特征。上述问题导致很难检测到完整的攻击过程，特别是某些单一来看就是正常网络行为的攻击过程。


技术实现要素：

4.为了克服上述现有技术存在的缺陷，本发明提出了一种基于因果图的网络攻击行为检测方法，利用因果图对整个网络的交互过程进行建模，从因果图中提取种子节点相关的网络交互序列，并利用深度学习方法实现对攻击序列的识别，对网络攻击行为的检测，尤其有利于检测有一定隐蔽性的攻击行为。
5.为实现上述目的，本发明提供如下技术方案：
6.一种基于因果图的网络攻击行为检测方法，具体包括以下步骤：
7.1)抓取的网络流数据包，对抓取到的网络流数据包进行预处理，以缩减数据包规模；
8.2)对预处理后的数据包序列构建表征网络流的因果关系图；
9.3)以某个或某些节点为种子节点，把种子节点在某时段内的边按时间戳排序，构成一个该节点相关的网络交互序列；
10.4)按步骤3)方法对不同种子节点构建网络交互序列，如果交互序列中都是网络攻击过程的数据包则被标记为攻击序列，否则被标记为非攻击序列，生成若干攻击序列的正负样本，并训练基于lstm的攻击序列识别模型；
11.5)实际检测中，按步骤1)至步骤3)方法，以某个或某些检测到的属于攻击过程的数据包的源ip和目的ip为种子节点，构建网络交互序列，使用步骤4)训练的攻击序列识别模型进行识别，识别出未被检测到的攻击过程数据包，实现网络攻击行为检测。
12.所述步骤1)中预处理具体为：对抓取到的网络流数据包进行合并源ip、目的ip一致、报文类型一致、时间连续的数据包序列，以缩减数据包规模。
13.所述步骤2)具体为：对预处理后的数据包序列，提取所有的源ip和目的ip，构成图节点；将包括每个数据包的时间戳、连接类型、网络流统计特征，构成该数据包源ip节点和
目的ip节点之间的一条边；该情况下两个节点之前会存在多条边，表示两个ip间的不同网络交互。
14.所述步骤3)中，按时间戳筛选某个时段内种子节点的边，并按时间戳排序，获得该时段内种子节点涉及的按时间排序的网络交互过程，表征种子节点某时段内的网络行为，图中每个节点的边表征某时段以该节点ip为源ip或目的ip的网络流交互；
15.所述步骤4)中，选取不同的种子节点和时间段，可以构建若干网络交互序列；如果序列中只包含攻击过程则为攻击序列，否则为非攻击序列；生成大规模攻击序列的正负样本后，构建并训练基于lstm的神经网络模型。
16.所述步骤5)中的检测为攻击序列和非攻击序列的二分类检测；检测到的攻击序列中的数据包即为攻击过程的数据包，表征攻击行为。
17.与现有技术相比，本发明的有益效果是：
18.本发明不是将每个网络流数据包特征化后孤立地进行入侵检测判断，而是以ip地址(代表网络主机)涉及的系列网络交互来进行综合分析，可以以被不完全检测的、孤立的攻击行为数据包为线索，梳理出未被检测的、容易和正常网络行为混淆的攻击行为数据包，实现攻击行为的完整检测。
19.本发明以因果图对网络流进行建模，构建表征攻击行为过程的网络交互序列，并可以以某些以检测到的攻击为线索，挖掘出未被检测以及伪装成正常网络行为的攻击行为；本发明充分利用了不同ip节点间的关系以及时间区间内的完整网络行为，更加有利于检测有一定隐蔽性的攻击行为。
附图说明
20.为了更清楚地说明本公开一个或多个实施例或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开一个或多个实施例中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本公开的其它特征、目的和优点将会变得更明显：
21.图1为本发明的工作流程图。
22.图2为某攻击过程示例。
具体实施方式
23.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
24.在本发明实施例的描述中，除非另有说明，“多个”的含义是两个或两个以上。
25.实施例1
26.图2示例了一个只涉及一个被攻击主机的多阶段攻击过程，主机206.207.50.60对某云环境下对外提供服务的云主机206.207.50.29进行攻击。首先，主机206.207.50.60通
过对云主机206.207.50.29进行应用扫描，发现了存在漏洞的某web应用；然后，执行sql注入，获取到了云主机的权限；接着，通过暴力破解的形式对云主机的目录及部分账号进行破解；最后，从云主机进行数据渗出。
27.步骤1)对上述攻击过程进行网络抓包，可以获取到主机206.207.50.60和云主机206.207.50.29之间一系列的网络交互。根据攻击步骤，可以分析出每一阶段的攻击都会产生若干或更多的同类型数据包。例如，应用扫描时会利用已有的攻击软件实现对云主机上所部署应用的探测，这里需要反复发送数据包来进行分析。利用本发明中的数据预处理方法，可以有效降低数据包的规模，便于后续进行分析。
28.为了便于理解，图2所示攻击过程只是展示了一个涉及一台被攻击云主机的多阶段攻击过程。攻击方为了隐藏攻击行为，往往不会在同一个时刻密集完成上述攻击过程，而是把上述攻击过程分散到若干天甚至更长时间内执行。因此，抓取到的数据包的时间跨度是比较大的，不同阶段攻击行为的时间间隔也可能是比较大的。如果简单地采用已有的基于深度学习的检测算法，把局部时间内的数据包输入给神经网络进行分析，并不能有效抓取到该攻击过程的上下文信息。
29.步骤2)构建因果图，从种子节点出发梳理相关的边(网络交互)序列，可以有效地抓取某些节点在长时域上的网络交互行为过程，有利于结合多阶段攻击过程上下文来实现对攻击行为的检测。
30.某些攻击行为孤立来看就是正常操作。例如，对ssh登录账号进行暴力破解，孤立来看就是对登录密码进行了多次尝试操作。但是，从长时域来看，过多的尝试测试代表了异常，而且还可以综合攻击方的其它操作使得登录尝试显得更加异常。
31.步骤3)把不同的网络包纳入到网络交互序列中，在更长的时域上对数据包进行分析，可以有效挖掘出隐蔽的攻击行为。再例如，数据渗出操作孤立来看就是一台主机和另一台主机间的数据传输。但是，如果从上下文来看，其中一台主机如果参与了某个阶段的攻击，那该主机的后续系列操作则具备很大的攻击嫌疑。把该主机涉及的网络交互综合起来看，并结合多阶段攻击的一般步骤，可以分析出该数据渗出操作的异常之处，进而分析得到该主机的多阶段攻击过程。
32.对本实例，这里成为问题的点在于，在以往的入侵检测中，孤立的检测手段无法检测出伪装成正常网络交互的攻击行为。例如，图2所示攻击过程的数据渗出，孤立来看就是简单的数据传输，但是结合攻击主机的前置攻击行为，应用本发明的方法，可以有效检测出该攻击行为。
33.步骤4)使用因果图来构建更大时间跨度的攻击行为上下文，有利于对隐藏攻击的检测。
34.本实例只是展示了一个简单的攻击过程。复杂的攻击过程还会涉及多台被攻击主机以及被攻击主机之间的横向移动过程。横向移动过程从网络流上孤立分析，就是某网络环境下不同主机之间的网络交互，该攻击过程更具迷惑性和隐蔽性。
35.步骤5)结合上下文分析，某外网主机a攻击了某网络环境下的主机b，并借助主机b实施对主机c的横向移动；结合主机a和主机b之间的网络流以及对应的主机b和主机c之间的网络流，从时间顺序上进行分析，再结合对主机a到主机b的攻击行为的检测，可以有效分析出主机b和主机c之间的网络交互也是间接控制的异常攻击行为。
36.此外，本发明方法也不一定局限在对网络流的建模分析，也可以进一步对审计日志进行因果图建模，分析主机层面的攻击过程，形成对网络层面攻击过程分析的有效补充，也可为网络层面的攻击检测提供辅助信息支撑。
37.对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
38.此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。