利用进程行为模式和置信关联度的APT溯源方法

本发明涉及利用进程行为模式和置信关联度的apt溯源方法，属于计算机与信息科学。

背景技术：

1、高级持续性威胁(advanced persistent threat，apt)作为一种隐蔽且长期存在的网络攻击形式，对企业和组织的信息安全构成了严重威胁。apt攻击者不断适应防御措施并演进攻击技术，利用先进的技术手段和复杂的攻击策略增强apt的隐蔽性，使apt溯源成为一项极具挑战性的任务。

2、apt溯源技术通常将审计日志文件构建为包含实体和实体间依赖关系的有向依赖图以还原攻击场景图，其中依赖图中的一个节点代表一个系统实体，系统实体可以分为主体和客体，主体一般为进程实体，客体为文件实体或网络连接实体；依赖图中的一条边对应一个系统事件，包含四个属性，即主体节点、客体节点、时间戳和依赖关系，其中依赖关系是指主体和客体之间的关系，如进程创建、文件读取、文件写入等操作。根据处理依赖图的技术特点，可以将近几年的apt溯源方法分为基于数据约简的方法、基于标签传播的方法以及基于异常事件排序的方法。

3、1.基于数据约简的方法

4、数据约简是指从数据源头减少冗余的依赖关系，提取关键信息，从而减小数据的规模和复杂度。基于数据约简的方法通过对依赖图中节点和边的属性进行语义解析和分析，识别并去除依赖图中冗余的边，降低依赖图的复杂性，以便于从依赖图中筛选攻击事件，实现apt溯源。但是这类方法在分析依赖图时，仅关联分析与告警事件存在依赖关系的实体，容易造成攻击场景图中攻击事件缺失和良性事件误报的问题，提高apt溯源的缺失率和误报率。同时，在攻击持续时间长的情况下，实体间依赖关系数量呈指数级增长，这类方法仅修剪依赖图中直接相连的实体间的依赖关系，未考虑进程实体间存在语义行为一致的情况，限制了依赖图的约简程度。

5、2.基于标签传播的方法

6、基于标签传播的方法通过确定标签类型和制定标签传播规则，在依赖图中传播标签信息，将攻击事件与相关实体进行关联，从而实现apt攻击的溯源。首先为依赖图中的所有节点设置初始标签；然后根据制定的传播规则，将节点的标签信息逐步传播给该节点的邻居节点；在经过多轮标签传播到标签类型不变后，根据标签类型关联依赖图中的攻击事件，还原攻击场景图。但是这类方法受到传播规则制定不完善的限制，当对标签传播规则缺乏完备的限制时，可能导致单个标签信息能传播到整个依赖图造成误报，在实际领域中应用范围受限。

7、3.基于异常事件排序的方法

8、基于异常事件排序的方法旨在将apt攻击溯源问题量化为计算依赖图中事件异常分数的问题，还原攻击场景图。首先给依赖图中的每条边分配分数，然后提取告警事件的所有依赖路径并生成路径异常分数，最后融合异常分数最高的前几条依赖路径构建攻击场景图。但是这类方法未能充分捕获事件内部以及事件之间的隐式联系，关联攻击事件时告警事件信息在其部分相邻实体间无差别地上下扩散，影响攻击事件的定位，造成还原攻击场景图时存在攻击事件缺失和良性事件误报的问题，导致缺失率和误报率提高。

9、综上所述，针对现有方法约简率低、因事件关联导致告警信息扩散至良性事件从而影响攻击事件精确定位的问题，本发明提出利用进程行为模式和置信关联度的apt溯源方法。

技术实现思路

1、本发明针对现有apt溯源方法均未考虑约简具有相同语义行为的实体及实体间冗余的依赖关系，未充分捕获事件内部以及事件之间的隐式联系，导致约简率低、良性事件误报和攻击事件缺失的问题，提出了利用进程行为模式和置信关联度的apt溯源方法。

2、本发明的设计原理为：首先将审计日志文件构建为有向依赖图和进程图。其次使用分级随机游走算法，为每个进程节点生成行走路线，学习所有行走路线的行为表示，使用软聚类fcm算法将依赖图分解为多个有向依赖子图；然后结合有向依赖子图和进程图使用连通分量算法生成进程连通子图，提取进程连通子图中所有进程的行为模式，合并相同行为模式的进程约简有向依赖子图；最后，根据置信关联度计算有向依赖子图中所有事件的异常分数，根据异常分数筛选攻击事件，还原攻击场景图。

3、本发明的技术方案是通过如下步骤实现的：

4、步骤1，将审计日志文件构建为包含实体和实体间依赖关系的有向依赖图以及进程图。

5、步骤2，使用软聚类fcm方法将依赖图分解为若干个有向依赖子图。

6、步骤3，根据有向依赖子图和进程图生成进程连通子图，提取进程连通子图中每个进程的行为模式，合并相同行为模式的进程以约简有向依赖子图。

7、步骤4，根据置信关联度衡量事件与告警事件的相关程度，计算有向依赖子图中所有事件的异常分数，剔除分数低于阈值的事件，还原攻击场景图。

8、有益效果

9、相比于现有基于数据约简方法未考虑实体与实体间存在语义行为一致的情况，导致依赖图约简程度低的问题，本发明使用软聚类fcm方法将依赖图分解为多个有向依赖子图，然后提取有向依赖子图中所有进程的行为模式，最后合并相同行为模式的进程以约简依赖图，有效缩减依赖图的规模，便于攻击事件的筛选。

10、相比于基于标签传播的方法需要进行多轮的标签传播迭代直到节点标签类型不变，本发明遍历进程连通子图中的所有进程节点以提取进程行为模式，不需要进行多轮迭代操作，减小了计算开销和时间开销，提高了apt溯源的效率。

11、相比于基于异常事件排序的方法未能充分捕获事件内部以及事件之间的隐式联系，本发明采用置信关联度衡量事件与告警事件的相关程度，深度挖掘依赖图中事件的隐藏信息，降低攻击场景图中攻击事件的缺失率和良性事件的误报率。

技术特征：

1.利用进程行为模式和置信关联度的apt溯源方法，其特征在于所述方法包括如下步骤：

2.根据权利要求1所述的利用进程行为模式和置信关联度的apt溯源方法，其特征在于：步骤2中使用包含6种随机游走策略的分级随机游走算法生成行走路线，使用word2vec的skip-gram模型学习每个进程节点行走路线的行为表示，最后使用软聚类fcm方法，将同一聚类下隶属度高的进程节点组成一个有向依赖子图。

3.根据权利要求1所述的利用进程行为模式和置信关联度的apt溯源方法，其特征在于：步骤3中提出进程的行为模式和合并相同行为模式的进程以约简有向依赖子图，其中进程行为模式定义为以该进程为主体的一系列系统事件的集合。

4.根据权利要求1所述的利用进程行为模式和置信关联度的apt溯源方法，其特征在于：步骤4中提出三种置信度因子：主体-关系置信度因子、客体-关系置信度因子以及事件置信度因子，通过置信度因子计算事件与告警事件的置信度分数；使用dijkstra最短路径算法计算事件与告警事件的距离并映射至0.5～1区间，然后计算事件与告警事件的共同邻居并映射至0.5～1区间，将两者相乘得到关联度分数；最后综合置信度和关联度衡量事件与告警事件的相关程度，计算事件异常分数，还原攻击场景图。

技术总结
本发明涉及利用进程行为模式和置信关联度的APT溯源方法，属于计算机与信息科学技术领域。本发明首先将审计日志文件构建为有向依赖子图和进程图,合并行为模式相同的进程以提高依赖子图约简率；然后计算事件置信度分数和关联度分数，分析事件内部可靠程度，衡量事件与告警事件之间的相关程度，排除良性事件并突出关联度高的攻击事件；最后计算事件异常分数，判断告警子图并还原攻击场景图。本发明针对现有方法约简率低、因事件关联导致告警信息扩散至良性事件从而影响攻击事件精确定位的问题，提出利用进程行为模式和置信关联度的APT溯源方法，缩小依赖图规模，深度挖掘事件隐藏信息，有效降低攻击事件缺失率和良性事件误报率，还原攻击场景图。

技术研发人员：罗森林,赵怡清,潘丽敏,关迎丹,夏志豪,赵智洋
受保护的技术使用者：北京理工大学
技术研发日：
技术公布日：2024/2/1