一种基于图模型的网络攻击溯源方法-黄克振,连一峰,冯登国,张海霞,吴迪,马向亮.pdf
免费下载
软件学报 ISSN 1000-9825, CODEN RUXUEW E-mail: jos@iscas.ac.cn
Journal of Software, 2022,33(2):683 [doi: 10.13328/j.cnki.jos.006314] http://www.jos.org.cn
©中国科学院软件研究所版权所有. Tel: +86-10-62562563
一种基于图模型的网络攻击溯源方法
黄克振
1,2
,
连一峰
1
,
冯登国
1
,
张海霞
1
,
吴
迪
3
,
马向亮
4
1
(中国科学院 软件研究所 可信计算与信息保障实验室, 北京 100190)
2
(中国科学院大学, 北京 100049)
3
(中国网络安全审查技术与认证中心, 北京 100020)
4
(清华大学 集成电路学院, 北京 100084)
通信作者: 黄克振, E-mail: kezhen@iscas.ac.cn
摘 要: 随着信息技术的飞速发展, 网络攻击事件频发, 造成了日益严重的经济损失或社会影响. 为了减少损失
或预防未来潜在的攻击, 需要对网络攻击事件进行溯源以实现对攻击者的挖掘追责. 当前的溯源过程主要依赖于
人工完成, 效率低下. 面对日益增加的海量溯源数据和日趋全面的溯源建模分析维度, 亟需半自动化或自动化的
网络攻击者挖掘方法. 提出一种基于图模型的网络攻击溯源方法, 建立网络攻击事件溯源本体模型, 融合网络攻
击事件中提取的线索数据和威胁情报数据, 形成网络攻击事件溯源关系图; 引入图嵌入算法自动学习嵌有关联线
索特征的网络攻击事件特征向量, 进而利用历史网络攻击事件特征向量训练 SVM(support vector machine)分类器,
并基于 SVM 分类器完成网络攻击者的挖掘溯源; 最后, 通过实验验证了该方法的可行性和有效性.
关键词: 网络攻击事件; 网络攻击者; 溯源; 网络攻击事件溯源; 关系图; 图嵌入
中图法分类号: TP309
中文引用格式: 黄克振, 连一峰, 冯登国, 张海霞, 吴迪, 马向亮. 一种基于图模型的网络攻击溯源方法. 软件学报, 2022,
33(2): 683–698. http ://www.jos.org.cn/1000-9825/6314.h tm
英文引用格式: Huang KZ, Lian YF, Feng DG, Zhang HX, Wu D, Ma XL. Method of Cyber Attack Attribution Based on Graph
Model. Ruan Jian Xue Bao/Journal of Software, 2022, 33(2): 683698 (in Chinese). http://www.jos.org.cn/1000-9825/6314.htm
Method of Cyber Attack Attributio n Based on Gr aph Model
HUANG Ke-Zhen
1,2
, LIAN Yi-Feng
1
, FENG Deng-Guo
1
, ZHANG Hai-Xia
1
, WU Di
3
, MA Xiang-Liang
4
1
(Trusted Computing and Information Assur ance Laboratory, Insti tute of So ftware, Chinese Academy o f Sci ences, Beijing 100190 , China)
2
(University of Chinese Academy of S ciences, Beijing 10 0049, Chin a)
3
(China Cybersecurity Review Technology and Certification Center, Beijing 100020, China)
4
(School of Integrated Circuits , Tsing hua University, Beijing 100084, China)
Abstra ct : With the rapid development of technologies such as computers and smart devices, cyber attack incidents happen frequently,
which cause increasingly serious economic losses or reputation losses. In order to reduce losses and prevent future potenti al attacks, it is
necessary to trace the source of cyber attack incidents to achieve accountability for the attackers. The attribution of cyber attackers is
mainly a manual process by forensic analyst. Faced with increasing analysis data and analysis dimensions, semi-automated or automated
cyber attackers mining analysis methods are urgently needed. This study proposes a graph model-based attacker mining analysis method
for cyber attack incidents. This method first establishes an ontology model for cyber attack incident attribution, and then fuses clue data
extracted from cyber attack incidents with various threat intelligence data to construct a cyber attack incidents attribution relationship
graph. The graph embedding algorithm automatically learns the representation vector of cyber attack incidents, which embedded clue
characteristics of cyber attack incidents, from the attribution relationship graph of cyber attack incidents. And then a classifier is trained
with th e hist ori cal cyber atta ck in cide nts r epres ent ation vect or, which c lass ifi es th e cyber att ack in cid ent to one c yber atta cker. Finally, the
基金项目: 国家重点研发计划(2020YFB1806504, 2018YFC0824801)
收稿时间: 2020-06-23; 修改时间: 2020-09-27, 2020-11-24; 采用时间: 2021-01-10; jos 在线出版时间: 2021-08-03
684
软件学报 2022 年第 33 卷第 2 期
feasibility and effectiveness of the method are verified by experiments .
Key words: cyber attack incident; cyber attacker; attribution; cyber atta ck incident attribution ; relation graph; graph embedding
APT (advanced persistent threat)攻击多由具有国家背景的攻击组织发起, 通过向目标计算机系统投放特
种木马, 以窃取国家机密信息、重要企业的商业信息、破坏基础设施等. 据不完全统计, 2019 年上半年与 2018
年上半年相比, 国内外公布的 APT 攻击事件数量增长近 5 成
[1]
, 导致越来越多的经济损失或名誉损失
[2]
. 为了
减少网络攻击带来的损失和阻止未来潜在的攻击行为, 需要进行网络攻击溯源, 以追究攻击者或攻击组织的
罪责
[3]
.
Wheeler 等人
[4]
将网络攻击溯源定义为“确定攻击者(或攻击者使用设备)的身份或位置的过程”. 根据溯源
深度和粒度, 网络攻击溯源可分为攻击主机溯源、控制主机溯源、攻击者溯源、攻击组织溯源这 4 个级别
[5]
. 为
了实现网络攻击溯源, 研究人员已从追踪回溯技术
[6]
、蜜罐技术
[7]
、数字取证技术
[8]
、网络取证技术
[9]
、恶意
代码分析技术
[10]
、基于情报的溯源技术
[11]
等多方面开展了诸多研究. Allan 等人
[12]
针对已有研究工作的性能、
可靠性、扩展性、关联性、攻击身份识别、攻击意图挖掘等指标进行综合评价, 得出基于情报的溯源技术和
恶意代码分析技术的效果要明显优于网络取证技术、数字取证技术、蜜罐技术和追踪回溯技术. 为了实现已
知攻击者或攻击组织的溯源, 典型的方法是通过融合威胁情报和网络攻击事件线索数据, 具体分为多源异构
数据融合和攻击者挖掘两部分.
在多源异构数据融合方面, 基于本体的数据融合是一种典型的方法. 当前网络安全领域的本体多以
支持网络安全威胁情报共享为主. Saad 等人
[13]
提出了一套适合网络取证调查的本体模型. Qamar 等
人
[14]
提出了一套支持威胁情报分析和共享的本体模型, 该模型可以从攻击者画像的角度支持网络攻
击溯源分析. 但是, 上述模型对网络威胁情报信息、攻击者与攻击目标间存在的地缘政治关系等信息
的融合力度不够. 针对现有方法的局限性, 本文基于本体融合的方法, 提出一套较全面的网络攻击事
件溯源本体;
在攻击者挖掘方面, 由于网络中的僵尸主机、匿名代理服务器、洋葱路由、注册隐私制度等隐藏了攻
击者的真实身份, 增加了网络攻击事件溯源难度
[15]
, 需要进一步增加溯源的分析维度
[3]
(如攻击者与
攻击目标间的国家关系、攻击目标的行业特征等等); 同时, IoT (Interne t of Things)、智能设备等技术
的发展也为攻击者提供了更多的攻击对象和利用跳板, 增加了网络攻击事件溯源过程中需要挖掘分
析的数据
[3]
. 分析维度和数据量的增加, 进一步加大了网络攻击者挖掘分析的工作量, 亟需自动化辅
助的分析方法
[16]
, 以提高分析效率. 但是, 已有的研究工作存在分析特征或推理规则依赖专家经
验
[3,17]
的问题. 针对该局限性, 本文提出通过挖掘网络攻击事件与攻击者使用的攻击工具、攻击方法、
攻击模式、基础设施等特征间存在的隐含关系进行攻击溯源的思路.
综上所述, 本文提出一种基于图模型的网络攻击溯源方法.
首先构建网络攻击事件溯源本体模型, 融合事件中挖掘的线索数据与各种威胁情报数据形成溯源关
系图;
然后引入图嵌入算法, 从溯源关系图中学习网络攻击事件的关联特征向量;
利用历史网络攻击事件的关联特征向量训练 SVM 分类器, 进而使用 SVM 分类器完成网络攻击者的
挖掘分析.
本文的主要贡献有:
(1) 建立了面向网络攻击事件的溯源本体模型, 为线索数据和威胁情报数据的融合提供了基础框架;
(2) 引入图嵌入算法, 建立用于描述网络攻击事件隐含关系的关联特征向量, 克服分析特征和推理规则
依赖专家经验的局限性;
(3) 利用机器学习算法自主学习生成攻击事件特征向量的分类判定模型, 实现自动化辅助的攻击溯源.
of 16
免费下载
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文档的来源(墨天轮),文档链接,文档作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
下载排行榜
评论