用于在计算机网络中识别协同群组攻击的异常检测的制作方法

用于在计算机网络中识别协同群组攻击的异常检测的制作方法
【专利摘要】本发明提供了用于在计算机网络上检测异常以识别协同群组攻击的系统、装置、方法和计算机程序。本发明可确定网络异常图形，包含节点、边线和异常图形中节点的入度。本发明可将带有至少两个入度的节点指定为潜在的目标。本发明可将不带有传入连接的节点指定为潜在地受感染的节点。当潜在地受感染的节点连接到一个或多个相同的潜在的目标节点时，可以将指定的潜在地受感染的节点输出为在网络上潜在地与协同攻击关联。
【专利说明】用于在计算机网络中识别协同群组攻击的异常检测
[0001] 联邦政府的权利声明
[0002] 根据美国政府能源部门和洛斯阿拉莫斯国家安全有限公司之间的关于洛斯阿拉 莫斯国家实验室运营的编号为DE-AC52-06NA25396的合约，美国政府享有本发明的权利。
[0003] 相关申请的交叉引用
[0004] 本申请要求序列号为61/614, 148申请日为2012年3月22日的美国临时申请的 权益。因此，这个较早提交的临时专利的主题内容通过引用全部合并到本文中。

【技术领域】
[0005] 本发明一般涉及网络异常检测，更具体地涉及对计算机网络上指示协同组攻击的 异常进行检测。

【背景技术】
[0006] 检测多个不管是人或者自动系统（例如僵尸网络）的攻击者所引发的攻击，在计 算机安全利益上越显其重要性。例如，一些方式已试图通过使用基于集群计算机的方法一 段时间来检测僵尸网络，其中所述集群计算机在它们的通信和活动往来中共享相似的特 性。这些方法用于监控网络边线上的网络流量，寻找网络中的共享类似连接到外部因特网 协议（"IP"）地址的主机，而不是监控内部的网络流量。对于这些方法所针对检测的攻击 类型，中央实体不需要控制网络中各种被感染的主机。
[0007] 另一种常规的入侵检测系统的目的在于，基于用户指定的规则集通过构建随时间 推移的网络活动图形，以检测计算机网络上的大规模恶意攻击。这些网络事件图形的呈现， 据说能够使分析人员直观地判断是否正在发生可疑的网络活动。然而，留给用户去考虑哪 些活动是异常的，而且没有提供建议来寻找网络中的用作协同攻击发生的估量的重叠活 动。
[0008] 在入侵检测中显著的研究领域为警报关联性，其涉及到多个入侵检测系统产生的 集群警报。基于多个警报在时间上的相似性和接近性，利用统计测试来评估多个警报的相 关性。其目的是为了减少误报并且帮助分析者通过将多个警报归因于单个威胁，使更清晰 地观察攻击的不同阶段并且降低分析者必须要从头到尾要进行筛选的警报数量。然而，这 种方法并没有特别用于寻找连接中的重叠。
[0009] 检测网络平台上更大规模的协同攻击，比如分布式的拒绝服务攻击或者大规模的 隐身扫描，是另一个主要的研究领域。协作式入侵检测系统的目的在于，通过使用上述的警 报相关性以检测这些协同攻击，该警报是由通过一系列网络的入侵检测系统来产生。然而， 目前还没有找到在内部网络中找出协同攻击的方法。因此，在内部网络上识别协同攻击的 方法是非常有益的。


【发明内容】

[0010] 本发明的某些实施例可以提供方案以解决当前的网络异常检测系统仍然没有完 全识别、理解或解决的问题和需求。例如，本发明的一些实施例在内部计算机网络中检测异 常以识别协同群组攻击。
[0011] 在一个实施例中，一种计算机执行的方法包括，通过计算系统确定网络的异常图 形，包括异常图形中的节点、边线和节点的入度。该计算机执行的方法还包括，通过计算系 统将带有至少两个入度的节点指定为潜在的目标，通过计算系统将不带有传入连接的节点 指定为潜在地受感染的节点。该计算机执行的方法还包括，当该潜在地受感染的节点连接 到一个或多个相同的潜在的目标节点时，通过计算系统将指定的潜在地受感染的节点输出 为在网络上潜在地与协同攻击关联。
[0012] 在另一个实施例中，一种装置包括至少一个处理器和含有指令的存储器。当至少 一个处理器执行该指令时，该指令被配置为在多个时间周期上监控网络，从而在至少一个 时间周期上确定出一组攻击者中表示潜在活动的异常行为。该指令还被配置为，在至少一 个时间周期上确定出异常行为的时候，提供在网络中发生群组攻击的标示。
[0013] 又在另一个实施例中，一种系统，包括储存计算机程序指令的存储器，该计算机程 序指令配置为检测网络中的异常并且配置为执行储存的计算机程序指令的多个处理核心。 该多个处理核心配置为在一时间周期内产生网络的异常图形。该处理核心还配置为，在该 时间周期内确定是否存在不带有入度的多个节点和普通的节点连接。该处理核心进一步配 置为，当系统确定了在异常图形的一个或多个子图中存在不带有入度的多个节点并且存在 普通的节点连接的时候，产生网络上的潜在攻击的标示。

【专利附图】

【附图说明】
[0014] 为了正确理解本发明，需要参考附图。这些附图仅描述了本发明的一些实施例而 不作为对发明范围的限制。关于附图：
[0015] 图1A为根据本发明实施例显示潜在异常行为的一组节点的子图St ;
[0016] 图1B为根据本发明实施例的异常子图&，该子图已缩小为显示群组活动的节点；
[0017] 图2为根据本发明的实施例用于在网络上检测异常行为以识别协同的群组攻击 的方法流程图；
[0018] 图3为根据本发明的实施例用于在网络上检测异常行为以识别协同的群组攻击 的方法流程图；
[0019] 图4为根据本发明的实施例用于在网络上检测异常行为以识别协同的群组攻击 的方法流程图；
[0020] 图5为根据本发明的实施例用于在网络上检测群组攻击的计算系统的框图。

【具体实施方式】
[0021] 本发明的一些实施例检测来自多个攻击者，通常是从协同攻击者（即，队伍），的 统计异常。在某些实施例中，可以实时执行检测。这些实施例涉及内部计算机网络上的异 常检测问题，其中的异常表示网络上的攻击。具体地，一些实施例的目的在于，利用基于异 常的检测系统来检测协同攻击，其中入侵者危及网络中的多个主机并且同时使用这些主机 进行有针对性的恶意活动。
[0022] 在队伍方面一些实施例是非常新颖的。尤其在涉及国家行为者的情况下，老练的 对手通常利用同时攻击者的队伍以快速完成任务。然而，当存在多个攻击者的时候，随着异 常行为趋于更为普遍，在统计学上来讲，这将引发更大的信号。因此，一些实施例将同时性 纳入考虑，产生比单独考虑每个异常要更好的检测效果。
[0023] 为了能够在大型网络中进行部署，一些实施例将网络图形中的所有节点和边线初 步视为独立的实体，并且针对表示群组活动的显著的重叠或者相关的行为寻找随时间推移 的潜在异常的边线。这样的群组活动的例子可以是在一些特定时期内全部与节点公共集关 联的受感染节点。可以基于对认知的历史行为的一些背离，使用基线统计概率模型对行为 进行分类，该模型比如是作为优先权基础的美国临时专利申请序列号为61/614, 148(以下 简称"优先权申请"）中讨论的模型。这种独立性假设的有效性依靠认识来自历史数据的每 个节点的周期性行为，这些行为为基线概率模型提供信息。接着，由于那些时期中的节点是 活动的，沿着从该节点发出的边线的连接也被视为有条件的独立。总之，这两个方面的特征 为网络中沿者每条边线的活动级别提供了一种概率模型。
[0024] 此异常边线聚集可能类似于优先权申请中的一些实施例方法的构思，在形成路径 的网络中寻找异常边线，以遍历攻击者的检测为目的。然而，一些实施例的目的在于从多个 受感染的节点连接中检测重叠，而不是从单个受感染的节点开始遍历网络进行寻找。入侵 者倾向于创建新的行为模式，因为他们在网络中的操作性质，并且事实上他们一般不访问 历史数据。
[0025] 在政府和企业防卫网络中，一旦黑客已经穿透外围防御，识别黑客变得尤其重要。 在攻击者队伍穿透核心网络前，迅速识别攻击者队伍，可以为被攻击的机构挽救数百万美 元的资产损失。如果考虑到攻击者持续处于网络中并渗透到核心机器，唯一的解决办法通 常是关闭网络数天，否则数星期。从消除网络功能到引起重要的公共关系破坏，带来明显的 影响。按照上述，本发明的一些实施例监控内部网络以检测黑客队伍。传统的系统不可能 带有或者识别出这种有益特征。
[0026] 在一些实施例中，统计异常检测涉及沿网络中的每条边线（或至少多条边线）的 监控行为，并且寻找与合适的概率模型有关的边远行为。当边线持续表现正常的时候，可以 使用观察到的数据进一步在清晰的更新方案中提炼概率模型。否则，如果边线当前的行为 明显偏离过去的行为，可以将边线标记为异常。在每个时间点上，可以为沿着每个边线的当 前行为从概率模型获取P-值，以量化偏离级别。低P-值可以指示潜在异常的行为。
[0027] -些实施例的新颖性在于，在一些时间窗口上看似异常的边线内搜索表示群组活 动的显著的重叠或相互关联的行为。这样的群组活动的例子可以是全部与一些特定时期内 的节点公共集全部关联的受感染节点。统计独立概率模型在观测基本重叠的异常行为中没 有捕获到背离正常的行为，因此，这可以被视为需要在异常检测系统内进行处理的额外相 关信息。
[0028] 聚集异常边线以检测重叠，类似于优先权申请中讨论的一些实施例方法的构思， 在形成路径的网络中寻找异常边线，以遍历攻击者的检测为目的。然而，在本发明的一些实 施例中，从多个受感染的节点连接中检测重叠，而不是通过网络从单个受感染的节点开始 寻找遍历。下面叙述怎样才能检测重叠活动的简单例子。
[0029] 可以认为网络中的最近行为包含滑动时间窗口中的所有连接事件。可以选择该窗 口的宽度w，以符合分析者的关注。然而，由于本例中讨论的实施例针对检测系统活动，w必 须相对于图形的全部历史要小。
[0030] 在时间t，（Vt，Et)为当前图形，该图形包括所有通信节点V t以及在多数的最近时 间窗口（t-w，t)内活动的所有边线Et。对每个边线（i，j) eEt，获取p-值Pij,t，表示该边 线已背离其正常行为的程度。对于P-值的阀值T e (〇, 1)，从具有低于阀值的正p-值的边 线形成网络的异常图形

【权利要求】
1. 一种计算机执行的方法，包括： 通过计算系统确定网络的异常图形，包括节点、边线和异常图形中节点的入度； 通过计算系统将具有至少两个入度的节点指定为潜在的目标； 通过计算系统将不具有传入连接的节点指定为潜在地受感染的节点；以及 当所述潜在地受感染的节点连接到至少一个相同的潜在的目标节点时，通过计算系统 将指定的潜在地受感染的节点输出为在网络上潜在地与协同攻击相关联。
2. 根据权利要求1所述的计算机执行的方法，其中权利要求1的步骤由计算系统在滑 动时间窗口内周期地执行。
3. 根据权利要求1所述的计算机执行的方法，进一步包括： 通过计算系统从所述异常图形中删除传入的边线，该传入的边线转向具有一个入度的 节点。
4. 根据权利要求1所述的计算机执行的方法，进一步包括： 通过计算系统确定异常图形中每个弱关联的子图。
5. 根据权利要求4所述的计算机执行的方法，进一步包括： 利用给定的子图中非有向边线的数量来计算每个子图的汇总的统计量〇k，所述汇总的 统计量由下式确定：
其中\和b表示给定子图的边线集Ek中的边线。
6. 根据权利要求1所述的计算机执行的方法，其中所述计算系统配置为将异常图形中 的所有节点和边线视为为独立的实体。
7. 根据权利要求1所述的计算机执行的方法，其中对于p-值的阀值T e (〇, 1)，从具 有低于阀值的正P-值的边线中形成网络的异常图形

其4
是St中的边线集，
|St中的节点集，并且Pij, t是对给定边线（i，j) e Et的 P_值。
8. -种装置，包括： 至少一个处理器；以及 储存计算机程序指令的存储器，其中所述指令在由至少一个处理器执行时，被配置为 使得至少一个处理器： 在时间周期上监控网络，从而在至少一个时间周期内从一组攻击者中确定出表示潜在 活动的异常行为；以及 在至少一个时间周期内在确定出异常行为时提供网络中发生群组攻击的标示。
9. 根据权利要求8所述的装置，其中所述异常行为包括重叠或者互相关联的行为，其 中在所述时间周期的至少一个内一组潜在地受感染的节点尝试去连接公共节点。
10. 根据权利要求8所述的装置，其中所述指令被进一步配置为使得至少一个处理器 为网络中的每个边线确定P-值，其中该P-值表示相应的边线已背离其正常行为的程度。
11. 根据权利要求10所述的装置，其中对于P-值的阀值Te (〇，1)，指令被进一 步配置为使得至少一个处理器从具有低于阀值的正P-值的边线中形成网络的异常图形
其中If是St中的边线集，是St中的节点集，并且pu,t是对给定边线（i，j) e Et的 p_值。
12. 根据权利要求11所述的装置，其中所述指令被进一步配置为使得至少一个处理器 执行： 在异常图形中删除传入的边线，该传入的边线转向带有一个入度的节点。
13. 根据权利要求11所述的装置，其中所述指令被进一步配置为使得至少一个处理器 执行： 确定异常图形中每个弱关联的子图。
14. 根据权利要求13所述的装置，其中所述指令被进一步配置为使得至少一个处理器 使用给定子图中非有向边线的数量为每个子图计算汇总的统计量〇 k，所述汇总的统计量由 下式确定：
其中，和b表示给定子图的边线集Ek中的边线。
15. -种系统，包括： 存储器，储存被配置为检测网络中异常的计算机程序指令；以及 多个处理核心，被配置为执行储存的计算机程序指令以及： 生成网络在一时间周期内的异常图形； 确定在该时间周期内是否存在不带有入度的多个节点和公共节点连接；和 当系统确定了在异常图形的一个或多个子图中存在不带有入度的多个节点以及公共 节点连接的时候，生成网络上潜在攻击的标示。
16. 根据权利要求15所述的系统，其中所述标示包括潜在地受感染的不带有入度的节 点和公共节点连接，并且潜在地受感染的节点与带有两个以上入度的潜在目标节点连接。
17. 根据权利要求15所述的系统，其中所述多个处理核心被进一步配置为对网络中的 每个边线确定P-值，其中该P-值表示相应的边线已背离其正常行为的程度。
18. 根据权利要求17所述的系统，其中对于p-值的阀值Te (〇，1)，所述处理器核心 被进一步配置为从具有低于阀值的正P-值的边线中形成网络的异常图形：

其中是st中的边线集，vf是St中的节点集，并且pu,t是对给定边线（i，j) e Et的 P_值。
19. 根据权利要求15所述的系统，其中所述处理核心被进一步配置为： 从异常图形中删除转向具有一个入度的节点的传入边线。
20. 根据权利要求15所述的系统，其中所述处理核心被进一步配置为： 确定异常图形中每个弱关联的子图。
【文档编号】G06F11/00GK104303152SQ201380026043
【公开日】2015年1月21日 申请日期:2013年3月14日 优先权日:2012年3月22日
【发明者】约书亚·C·尼尔, 梅利莎·特科特, 尼古拉斯·A·赫德 申请人:洛斯阿拉莫斯国家安全股份有限公司, 皇家创新公司