基于核心攻击资源的网络攻击团伙融合方法与流程

1.本发明涉及一种网络安全技术领域，特别是涉及一种基于核心攻击资源的网络攻击团伙融合方法。


背景技术：

2.当前，通过常规数据挖掘方法发现的网络攻击团伙通常会包含一种或多种攻击行为。例如针对僵尸网络团伙进行检测或挖掘时，通常会基于已有的通信数据利用k-means、社区发现等常规的数据挖掘的聚类方法来找到具有僵尸网络行为的团伙。例如李晓桢等人总结了僵尸网络的三要素(恶意、可控、主机群)和c&c的三种机制(集中式、p2p、随机)。首先检测网络流量中的通信过程和恶意行为，采用一种改进的k-均值聚类算法—x-均值算法对检测结果进行聚类得出僵尸主机。同样地，对于一个webshell团伙，也是会基于攻击者使用的攻击工具或者攻击动作等来找到攻击者之间的关联关系，从而通过聚类方法来挖掘webshell团伙。
3.而在真实的网络世界中，网络攻击行为常常以规模且分布式的呈现，这种呈现是因为攻击者通常是以团伙的方式来进行网络攻击。网络团伙攻击通常会基于一定的攻击手法，利用团伙所拥有的大规模攻击资源对攻击目标发起攻击，其中往往带有一定获取情报以及利益等目标，具有极高的威胁。当前绝大多数基于上述数据挖掘方法挖掘到的网络攻击团伙通常会包含一种或多种攻击行为。但这些攻击行为是否为该团伙的全部攻击行为，或通过其他方法发现的具有不同攻击行为的网络攻击团伙与该团伙是否存在某种关系，均无法直接得到证实。
4.有鉴于上述现有的技术存在的缺陷，本发明人经过不断的研究、设计，并经反复试作及改进后，终于创设出确具实用价值的本发明。


技术实现要素：

5.本发明的主要目的在于，克服现有的技术存在的缺陷，而提供一种新的基于核心攻击资源的网络攻击团伙融合方法，所要解决的是基于常规数据挖掘方法团伙发现不够全面的技术问题，使其通过团伙间的融合可以有效的挖掘出团伙所拥有的更多攻击资源和攻击行为，非常适于实用。
6.本发明的另一目的在于，提供一种新的基于核心攻击资源的网络攻击团伙融合方法，所要解决的技术问题是使其发掘出团伙更多的攻击资源和攻击行为，提高团伙发现的完整性和准确性，从而更加适于实用。
7.本发明的构思是：不同类型的网络攻击团伙之间可能因为拥有相同的攻击资源而具有一定的关联性，基于这种关联性可以使得团伙之间进行融合。通过团伙间的融合可以有效的解决常规数据挖掘方法团伙发现不够全面的问题，并挖掘出团伙所拥有的更多攻击资源和攻击行为。例如，一个僵尸网络(botnet)团伙和一个利用webshell操控网站的网站攻击团伙，分别拥有木马控制行为和利用webshell的网站攻击行为。两个团伙可能会因为
拥有同样的攻击资源而具有一定的关联性。基于两团伙的这种关联性对团伙进行融合，若融合成功，则可以证明两个具有不同攻击行为的团伙本质上是一个团伙，从而发掘出团伙更多的攻击资源和攻击行为，提高团伙发现的完整性和准确性。
8.本发明的目的及解决其技术问题是采用以下技术方案来实现的。依据本发明提出的一种基于核心攻击资源的网络攻击团伙融合方法，其具体步骤如下：
9.步骤1：获取所有团伙的核心攻击资源的相关数据，并将其作为参与关联的实体：
10.步骤2:对不同类型的网络攻击团伙进行编号，并对每类网络攻击团伙的核心攻击资源进行分组关联；
11.步骤3：分析步骤2中的多种关联分组，判断团伙之间是否关联成功；
12.步骤4：团伙关联成功后，统计关联实体对应的团伙资源的集合，评估基础团伙间的关联程度；
13.步骤5：基于步骤3和步骤4的计算结果，利用相似度算法计算团伙两两间的相似度；
14.步骤6：通过加权融合得到最终相似度，并基于设定阈值筛选出团伙对进行融合，得到融合结果。
15.进一步，所述的核心攻击资源是基于安全知识，预先定义不同类别团伙能进行关联的核心资源。
16.进一步，所述的统计其关联实体对应的团伙资源的集合是针对每一组关联分组中关联实体对应的团伙资源集合，是从对应的团伙的数据中得到的所有该关联实体组成的集合。
17.进一步，步骤5中所述的相似度算法使用jaccard相似度原理对两团伙间的相似度进行计算，具体计算公式如下:
[0018][0019]
其中：a为团伙1的关联实体集合，
[0020]
b为团伙2的关联实体集合。
[0021]
进一步，所述的阀值是基于实际的团伙数据和安全知识来确定阈值。
[0022]
进一步，还包括：当前两类网络攻击团伙的融合工作完成后，其融合结果将作为一类新的团伙，继续与其他尚未进行融合的类别进行融合操作，直至所有类别的团伙融合完毕。本发明与现有技术相比具有明显的优点和有益效果。借由上述技术方案,其至少具有下列优点：
[0023]
本发明提出的基于核心攻击资源的网络攻击团伙融合方法，能够对不同攻击行为及看似相对独立的团伙，基于核心攻击资源的关联性进行融合，可以有效的解决常规数据挖掘方法团伙发现不够全面的问题，并挖掘出团伙所拥有的更多攻击资源和攻击行为，以降低团伙攻击资源的发现成本，提高网络攻击团伙发现的完整性和准确性。上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂，以下特举较佳实施例，并配合附图,详细说明如下。
附图说明
[0024]
图1是本发明流程框架示意图。
[0025]
图2a是本发明实施例两类团伙核心攻击资源之间基于不同分组的关联分组1图。
[0026]
图2b是本发明实施例两类团伙核心攻击资源之间基于不同分组的关联分组2图。
[0027]
图2c是本发明实施例两类团伙核心攻击资源之间基于不同分组的关联分组3图。
[0028]
图2d是本发明实施例两类团伙核心攻击资源之间基于不同分组的关联分组4图。
[0029]
图3a是本发明实施例两团伙融合前为两个独立团伙示意图。
[0030]
图3b是本发明实施例两团伙融合后为一个完整团伙示意图。
[0031]
图4是本发明多类团伙融合过程图。
具体实施方式
[0032]
为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例，对依据本发明提出的基于核心攻击资源的网络攻击团伙融合方法，其具体实施方式、方法、步骤、特征及其功效，详细说明如后。
[0033]
本发明提出的基于核心攻击资源的网络攻击团伙融合方法的较佳实施例，具体步骤如下：
[0034]
步骤1：获取所有团伙的核心攻击资源的相关数据，并将其作为参与关联的实体；通常情况下，一个网络攻击团伙涉及多个网络实体，这些实体包括团伙掌握的网络攻击资源及其指定的网络攻击目标。其中，由网络攻击团伙直接控制的实体为该团伙的核心攻击资源。
[0035]
核心攻击资源是指网络攻击团伙直接拥有或控制的攻击资源，区别与其他的攻击资源，现实中的人类团伙成员对核心攻击资源有直接操作的权力，而非通过某些手段实施远程控制。核心攻击资源是基于安全知识，预先定义不同类别团伙能进行关联的核心资源。
[0036]
例如，一个僵尸网络团伙中，c&c为其现实中的人类团伙成员直接操作的网络设备，故c&c为核心攻击资源；而“肉鸡”(被感染的主机)为其通过bot程序远程控制的网络设备，所以“肉鸡”不属于核心攻击资源，因此，一个僵尸网络团伙的核心攻击资源包含由网络攻击团伙直接掌控的控制端c&c(例如对应的ip值)，以及对“肉鸡”发起网络攻击的跳板主机(bot攻击者，例如对应的ip值)和提供“肉鸡”下载bot程序的放马服务器(例如对应的ip值)等。
[0037]
一个webshell团伙的核心资源主要包含使用webshell操控网站的网络主机(webshell使用者)和利用安全漏洞将webshell植入受害主机的网络设备(webshell植入者，例如对应的ip值)。
[0038]
步骤2：对不同类型的网络攻击团伙进行编号，如记为a、b、
……
*类，并对每类网络攻击团伙的核心攻击资源进行分组关联；
[0039]
已知每类团伙所拥有的核心攻击资源，基于安全知识，预先定义不同类别团伙可以进行关联的核心资源。以一个僵尸网络团伙和一个webshell团伙为例，c&c为僵尸网络团伙所拥有的核心资源之一，webshell使用者是webshell团伙所拥有的核心资源之一，那么基于安全知识，可以将c&c和webshell使用者作为两个团伙的其中一组关联，如果c&c和webshell使用者对应的指纹信息(例如对应的ip值)相同，则说明关联成功，即该c&c既拥有
控制“肉鸡”对网络目标发起攻击的行为，也拥有使用webshell操控目标主机的行为。根据不同类别团伙所拥有的不同核心资源，来定义多组可以进行关联的核心资源分组。
[0040]
分组方案如下表1所示:
[0041]
表1：
[0042][0043][0044]
表1中*为通配符号，表示第n个网络攻击团伙，区别于前面的字母编号。
[0045]
具体地，以一个僵尸网络团伙和一个webshell团伙为例，两个网络攻击团伙的核心攻击资源的关联分组如下表2所示。
[0046]
表2
[0047][0048]
步骤3：分析步骤2中的多种关联分组，判断团伙之间是否关联成功；具体地，以一个僵尸网络团伙和一个webshell团伙为例，两个网络攻击团伙的核心攻击资源的关联分组的关联关系如图2a、图2b、图2c和图2d所示：其中，
[0049]
图中2a中部分对应的关联分组1中的两侧实体有箭头连接，则意味着僵尸网络团伙存在bot攻击者和webshell团伙中的webshell植入者的指纹信息相同。也就是说，僵尸网络团伙中bot攻击者可能还具有对某一网站植入webshell的行为。
[0050]
图中2b中部分对应的关联分组2中的两侧实体有箭头连接，则意味着僵尸网络团伙的bot攻击者和webshell的使用者的指纹信息相同。也就是说,僵尸网络团伙中bot攻击者可能同时具有使用webshell操控受害主机网站的行为。
[0051]
图2c中部分对应的关联分组3中的两侧实体有箭头连接，则意味着僵尸网络团伙的c&c和webshell团伙中webshell植入者的指纹信息相同。也就是说僵尸网络团伙中c&c不仅对“肉鸡”存在攻击行为，且在webshell团伙中有利用漏洞向网站植入webshell的行为。
[0052]
图中2d中部分对应的关联分组4中的两侧实体有箭头连接，则意味着僵尸网络团伙的c&c和webshell团伙中webshell使用者的指纹信息相同。僵尸网络团伙中的c&c也是webshell团伙中的webshell使用者，即该c&c既拥有控制“肉鸡”对网络目标发起攻击的行为，也拥有使用webshell操控目标主机的行为。
[0053]
步骤4：团伙关联成功后，将统计其关联实体对应的团伙资源的集合，用于评估基础团伙间的关联程度；其中关联实体对应的团伙资源的数量即是指团伙间关联实体的集合。其中统计其关联实体对应的团伙资源的集合是针对每一组关联分组中关联实体对应的团伙资源集合，是从对应的团伙的数据中得到的所有该关联实体组成的集合。
[0054]
具体地，在步骤3中关于僵尸网络团伙和webshell团伙例子中，对于关联分组1，关联成功后，则分别统计僵尸网络团伙和webshell团伙中c&c和webshell植入者的集合。
[0055]
针对每一组关联分组中关联实体对应的团伙资源集合是从对应的团伙的数据中
直接得到的所有该关联实体组成的集合(例如c&c的ip列表)。例如僵尸网络团伙和webshell团伙例子中，对于c&c和webshell使用者这一组关联分组，关联成功后，则分别统计僵尸网络团伙和webshell团伙中c&c集合(例如从数据中汇总得到ip列表)和webshell植入者集合(例如从数据中汇总得到ip列表)。
[0056]
步骤5：基于步骤3和步骤4的计算结果，可以利用相似度算法计算出团伙两两间的相似度，本发明使用jaccard相似度原理对两团伙间的相似度进行计算，具体计算公式如下:
[0057][0058]
其中，a为团伙1(例如僵尸网络团伙)的关联实体集合，b为团伙2(例如webshell团伙)的关联实体集合。
[0059]
步骤6通过加权融合得到最终相似度，并基于设定阈值筛选出团伙对进行融合，得到融合结果。
[0060]
基于多种不同的关联分组，可以得到多组不同的相似度，将进行加权融合得到最终的相似度。基于实际的同伙数据设定的阈值，筛选出相似度大于该阈值的团伙对，从中选择相似度最大的团伙对进行融合。其中阀值是基于实际的团伙数据和安全知识来确定阈值。
[0061]
两个独立网络攻击团伙经融合后成为一个完整团伙的前后对比如图3a和图3b所示。
[0062]
步骤7：当前两类网络攻击团伙的融合工作完成后，其融合结果将作为一类新的团伙，继续与其他尚未进行融合的类别进行融合操作，直至所有类别的团伙融合完毕。
[0063]
具体的流程如图4所示，a类别团伙同b类别团伙融合完成后，形成ab类别团伙，ab类别团伙将继续与c类别团伙进行融合，形成abc类别团伙并继续如此往复，直至最后abc～*-1类别团伙与*类别团伙完成融合。
[0064]
一般情况下，团伙之间所关联的核心资源对数越多，则团伙之间的关系越紧密，其拥有共同攻击资源的种类也越多，从而更能说明两个或多个团伙具有同一性。在实际的数据环境与计算过程中，可能存在部分团伙无法关联成功的情况。若无法完成团伙关联，则认为这些团伙之间缺乏明确的关联证据，依然保持其为独立的网络攻击团伙。
[0065]
本发明是对已知拥有不同行为团伙进行融合，以及如何对n类拥有不同行为的团伙进行融合。针对已知拥有不同行为的团伙进行融合的问题提出了基于核心攻击资源的相似程度来进行关联，基于安全知识定义关联分组以及计算基于关联分组的团伙间的相似度。针对n类拥有不同行为的团伙进行融合，本方案采用的是递进式的融合方式，先对两类网络攻击团伙进行融合，两类网络攻击团伙融合工作完成后，其融合结果将作为一类新的团伙，继续与其他尚未进行融合的类别进行融合操作，直至所有类别的团伙融合完毕。通过上述方法有效的解决常规数据挖掘方法团伙发现不全面的问题，能挖掘出团伙所拥有的更多攻击资源和攻击行为，提高了网络攻击团伙发现的完整性和准确性。
[0066]
以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，虽然本发明已以较佳实施例揭露如上，然而并非用以限定本发明,任何熟悉本专业的技术人员，在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰
为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰，均仍属于本发明技术方案的范围内。