一種基于元行為的apt攻擊樣本增強(qiáng)及檢測(cè)方法
技術(shù)領(lǐng)域
1.本發(fā)明屬于信息安全技術(shù)領(lǐng)域，具體涉及一種基于元行為的apt攻擊樣本增強(qiáng)及檢測(cè)方法。


背景技術(shù)：

2.目前，網(wǎng)絡(luò)安全形勢(shì)已進(jìn)入嶄新的時(shí)代，面向各種新的戰(zhàn)場(chǎng)和市場(chǎng)，需要新的架構(gòu)、新的方法來支撐應(yīng)對(duì)越來越多艱巨的任務(wù)，而大力發(fā)展信息系統(tǒng)安全檢測(cè)和驗(yàn)證技術(shù)，特別是發(fā)展針對(duì)高級(jí)網(wǎng)絡(luò)攻擊的智能檢測(cè)分析技術(shù)，實(shí)現(xiàn)信息系統(tǒng)的安全可控，以尋求在網(wǎng)絡(luò)空間對(duì)抗中的領(lǐng)先地位已迫在眉睫。
3.apt(advanced persistent threat)攻擊，即高級(jí)持續(xù)性威脅攻擊，通常是指對(duì)政府、核心基礎(chǔ)設(shè)施(如能源、運(yùn)輸、通訊)和重要行業(yè)(如軍工、金融、醫(yī)療)所發(fā)動(dòng)的攻擊。apt攻擊與傳統(tǒng)的攻擊模式相比，具有持續(xù)時(shí)間久、攻擊鏈長(zhǎng)、隱蔽性高、手段多樣、危害性強(qiáng)等特征，可利用社會(huì)工程學(xué)、0-day漏洞、受感染的存儲(chǔ)介質(zhì)等多種方式進(jìn)行攻擊。此外，根據(jù)trustwave數(shù)據(jù)顯示，apt攻擊從初步入侵到造成影響的平均潛伏時(shí)間為83天。
4.由于apt攻擊的攻擊對(duì)象多為企業(yè)、政府等對(duì)象，因此其涉及的攻擊數(shù)據(jù)往往包含大量的敏感信息，因?yàn)榇嗽谘芯康倪^程中很難拿到真實(shí)的攻擊數(shù)據(jù)進(jìn)行分析。與此同時(shí)，對(duì)于基于深度學(xué)習(xí)的apt進(jìn)行檢測(cè)方式而言，缺少足夠的訓(xùn)練數(shù)據(jù)，往往會(huì)令訓(xùn)練的模型缺乏準(zhǔn)確性。因此亟需一種能夠生成合理的apt模擬攻擊樣本并對(duì)攻擊進(jìn)行有效檢測(cè)的方法。


技術(shù)實(shí)現(xiàn)要素：

5.本發(fā)明的目的在于提供一種基于元行為的apt攻擊樣本增強(qiáng)及檢測(cè)方法，實(shí)現(xiàn)針對(duì)apt攻擊樣本缺失問題而提供樣本增強(qiáng)及apt攻擊檢測(cè)的方法。
6.為實(shí)現(xiàn)上述目的，本發(fā)明所采取的技術(shù)方案為：
7.一種基于元行為的apt攻擊樣本增強(qiáng)及檢測(cè)方法，所述基于元行為的apt攻擊樣本增強(qiáng)及檢測(cè)方法，包括：
8.步驟1、部署日志數(shù)據(jù)采集器；
9.步驟2、以att&ck框架中各個(gè)階段的技術(shù)為分析基礎(chǔ)，利用日志數(shù)據(jù)采集器采集apt攻擊下的系統(tǒng)級(jí)日志數(shù)據(jù)，以進(jìn)程為單位分析系統(tǒng)級(jí)日志數(shù)據(jù)中的動(dòng)態(tài)行為特征，并根據(jù)動(dòng)態(tài)行為特征定義元行為；
10.步驟3、根據(jù)元行為構(gòu)建自動(dòng)化腳本，運(yùn)行自動(dòng)化腳本并采集運(yùn)行時(shí)產(chǎn)生的系統(tǒng)級(jí)日志數(shù)據(jù)，將采集的系統(tǒng)級(jí)日志數(shù)據(jù)作為正常樣本集；
11.步驟4、將所述正常樣本集作為訓(xùn)練集，利用訓(xùn)練集對(duì)孿生網(wǎng)絡(luò)進(jìn)行訓(xùn)練直至達(dá)到預(yù)設(shè)的訓(xùn)練結(jié)束條件；
12.步驟5、取訓(xùn)練至收斂的孿生網(wǎng)絡(luò)對(duì)待分析的系統(tǒng)級(jí)日志數(shù)據(jù)進(jìn)行apt攻擊檢測(cè)，包括：
13.步驟5.1、將實(shí)時(shí)采集的系統(tǒng)日志數(shù)據(jù)輸入孿生網(wǎng)絡(luò)，得到該系統(tǒng)日志數(shù)據(jù)所包含
的元行為；
14.步驟5.2、將該系統(tǒng)日志數(shù)據(jù)中識(shí)別得到的元行為進(jìn)行組合，若組合結(jié)果符合att&ck框架中的攻擊鏈，則檢測(cè)結(jié)果為本次采集的系統(tǒng)日志數(shù)據(jù)中包含apt攻擊；否則本次采集的系統(tǒng)日志數(shù)據(jù)中不包含apt攻擊。
15.以下還提供了若干可選方式，但并不作為對(duì)上述總體方案的額外限定，僅僅是進(jìn)一步的增補(bǔ)或優(yōu)選，在沒有技術(shù)或邏輯矛盾的前提下，各可選方式可單獨(dú)針對(duì)上述總體方案進(jìn)行組合，還可以是多個(gè)可選方式之間進(jìn)行組合。
16.作為優(yōu)選，所述元行為包括：下載執(zhí)行、遠(yuǎn)程shell、鍵盤記錄、獲取密碼、遠(yuǎn)程攝像頭、訪問網(wǎng)址、計(jì)算機(jī)控制、系統(tǒng)信息、錄音、服務(wù)管理器、腳本執(zhí)行、cd-rom控制、枚舉窗口、剪貼板管理、桌面任務(wù)欄管理、ddos、網(wǎng)絡(luò)連接表、軟件管理、顯示器控制、語音轉(zhuǎn)換、自啟動(dòng)管理、usb管理、搜索文件、文件傳送。
17.作為優(yōu)選，所述孿生網(wǎng)絡(luò)的子網(wǎng)絡(luò)為lstm模型，所述lstm模型的層數(shù)為2層且每層神經(jīng)元個(gè)數(shù)為32個(gè)，所述lstm模型最后的輸出結(jié)構(gòu)為拉伸層。
18.作為優(yōu)選，利用訓(xùn)練集對(duì)孿生網(wǎng)絡(luò)進(jìn)行訓(xùn)練直至達(dá)到預(yù)設(shè)的訓(xùn)練結(jié)束條件，包括：
19.步驟4.1、將屬于同一元行為的三個(gè)數(shù)據(jù)片段和一個(gè)屬于不同元行為的數(shù)據(jù)片段組成一個(gè)訓(xùn)練組，并劃分訓(xùn)練組為兩個(gè)數(shù)據(jù)對(duì)，將兩個(gè)數(shù)據(jù)片段屬于同一元行為的數(shù)據(jù)對(duì)設(shè)置為正樣本，兩個(gè)數(shù)據(jù)片段屬于不同元行為的數(shù)據(jù)對(duì)設(shè)置為負(fù)樣本；
20.步驟4.2、取訓(xùn)練組，將兩個(gè)數(shù)據(jù)對(duì)分別輸入孿生網(wǎng)絡(luò)的兩個(gè)子網(wǎng)絡(luò)，計(jì)算兩個(gè)子網(wǎng)絡(luò)輸出的拉伸向量之間的距離，將計(jì)算得到的距離先后輸入一個(gè)激活函數(shù)為relu的全連接層，以及一個(gè)激活函數(shù)為sigmoid的輸出層，最終得到置信值；
21.步驟4.3、對(duì)比置信值和認(rèn)證閾值，若置信值大于或等于認(rèn)證閾值，則表示模型認(rèn)證結(jié)果為包含該元行為；否則模型認(rèn)證結(jié)果為不包含該行為；
22.步驟4.4、根據(jù)模型認(rèn)證結(jié)果和設(shè)置為正樣本或負(fù)樣本的數(shù)據(jù)對(duì)調(diào)整孿生網(wǎng)絡(luò)的模型參數(shù)，重復(fù)取訓(xùn)練組進(jìn)行訓(xùn)練直至達(dá)到預(yù)設(shè)的訓(xùn)練結(jié)束條件。
23.作為優(yōu)選，所述計(jì)算兩個(gè)子網(wǎng)絡(luò)輸出的拉伸向量之間的距離，包括：
[0024][0025]
式中，d為計(jì)算得到的距離，為其中一個(gè)子網(wǎng)絡(luò)輸出的拉伸向量f1中的第j個(gè)元素，為另一個(gè)子網(wǎng)絡(luò)輸出的拉伸向量f2中的第j個(gè)元素，j＝1,2,3,
…
,j，j是的拉伸向量的長(zhǎng)度。
[0026]
作為優(yōu)選，所述將實(shí)時(shí)采集的系統(tǒng)日志數(shù)據(jù)輸入孿生網(wǎng)絡(luò)，得到該系統(tǒng)日志數(shù)據(jù)所包含的元行為，包括：
[0027]
將實(shí)時(shí)采集的系統(tǒng)日志數(shù)據(jù)放入孿生網(wǎng)絡(luò)作為其中一個(gè)輸入，并設(shè)置孿生網(wǎng)絡(luò)另一個(gè)輸入為各個(gè)單獨(dú)包含一個(gè)元行為的數(shù)據(jù)集，將實(shí)時(shí)采集的系統(tǒng)日志數(shù)據(jù)與不同元行為對(duì)應(yīng)的數(shù)據(jù)集進(jìn)行一一比較，若孿生網(wǎng)絡(luò)針對(duì)當(dāng)前數(shù)據(jù)集輸出的對(duì)比置信值大于或等于認(rèn)證閾值，則表示模型認(rèn)證結(jié)果為實(shí)時(shí)采集的系統(tǒng)日志數(shù)據(jù)包含該數(shù)據(jù)集對(duì)應(yīng)的元行為。
[0028]
作為優(yōu)選，所述將該系統(tǒng)日志數(shù)據(jù)中識(shí)別得到的元行為進(jìn)行組合，包括：
[0029]
將該系統(tǒng)日志數(shù)據(jù)中識(shí)別得到的元行為進(jìn)行排列組合，并將每次排列組合得到的
結(jié)果與att&ck框架中的攻擊鏈進(jìn)行比對(duì)。
[0030]
本發(fā)明提供的基于元行為的apt攻擊樣本增強(qiáng)及檢測(cè)方法，與現(xiàn)有技術(shù)相比具有以下有益效果：
[0031]
(1)由于缺乏優(yōu)秀的apt攻擊樣本，現(xiàn)有的智能apt攻擊檢測(cè)方法往往缺乏足夠的樣本進(jìn)行模型訓(xùn)練，無法獲得優(yōu)秀的訓(xùn)練結(jié)果。而本發(fā)明方法能夠基于元行為對(duì)apt攻擊樣本進(jìn)行增強(qiáng)，解決了優(yōu)秀樣本缺失的問題。
[0032]
(2)本發(fā)明方法中所描述的元行為的定義的方式是從語義角度出發(fā)，不僅參考了att&ck框架的特點(diǎn)，還對(duì)采集到的模擬apt攻擊時(shí)所生產(chǎn)的系統(tǒng)日志進(jìn)行了分析參考。因此該方法能更有效的從日志語義的角度實(shí)現(xiàn)對(duì)apt攻擊的高效檢測(cè)。
附圖說明
[0033]
圖1為本發(fā)明的基于元行為的apt攻擊樣本增強(qiáng)及檢測(cè)方法的流程圖。
具體實(shí)施方式
[0034]
下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。
[0035]
除非另有定義，本文所使用的所有的技術(shù)和科學(xué)術(shù)語與屬于本發(fā)明的技術(shù)領(lǐng)域的技術(shù)人員通常理解的含義相同。本文中在本發(fā)明的說明書中所使用的術(shù)語只是為了描述具體的實(shí)施例的目的，不是在于限制本發(fā)明。
[0036]
如圖1所示，本實(shí)施例的基于元行為的apt攻擊樣本增強(qiáng)及檢測(cè)方法，包括以下步驟：
[0037]
步驟1、部署采集工具，獲取應(yīng)用數(shù)據(jù)集：在模擬主機(jī)上搭建audit、event tracing for windows等日志采集工具(其中l(wèi)inux平臺(tái)使用spade，基于audit開發(fā)，采集日志數(shù)據(jù)；windows平臺(tái)使用event tracing for windows進(jìn)行采集)，并用主機(jī)模擬日常辦公活動(dòng)，從而收集數(shù)據(jù)集樣本。
[0038]
步驟2、以att&ck框架中各個(gè)階段的技術(shù)為分析基礎(chǔ)，采集apt攻擊下的系統(tǒng)級(jí)日志數(shù)據(jù)，以進(jìn)程為單位分析系統(tǒng)級(jí)日志數(shù)據(jù)中的動(dòng)態(tài)行為特征，并根據(jù)動(dòng)態(tài)行為特征定義元行為。
[0039]
本實(shí)施例對(duì)att&ck框架中各個(gè)階段的技術(shù)進(jìn)行分析，在部署日志數(shù)據(jù)采集工具的模擬主機(jī)上復(fù)現(xiàn)攻擊，并采集系統(tǒng)日志數(shù)據(jù)。在系統(tǒng)日志數(shù)據(jù)中，以進(jìn)程為單位進(jìn)行分析提取并定義元行為。
[0040]
以att&ck框架里的初始階段中的偵察和資源準(zhǔn)備階段為例，多用網(wǎng)絡(luò)嗅探的手段進(jìn)行。網(wǎng)絡(luò)嗅探用的多是網(wǎng)絡(luò)掃描的方式，例如nmap掃描目標(biāo)主機(jī)端口，nmap掃描主機(jī)的原理是通過發(fā)送icmp echo/timestamp/netmask報(bào)文、tcpsyn/ack包、sctp init/cookie-echo包等的方式來進(jìn)行主機(jī)探測(cè)。攻擊者在掃描了解被攻擊主機(jī)的信息后，就可以進(jìn)行下一步攻擊階段。在知道了被攻擊者主機(jī)開放的端口后，可以針對(duì)對(duì)應(yīng)端口進(jìn)行攻擊。比如攻擊者如果知道被攻擊者主機(jī)上運(yùn)行了一個(gè)web服務(wù)，而通過掃描也發(fā)現(xiàn)了目標(biāo)網(wǎng)段中有一
個(gè)主機(jī)開啟了80端口，即可認(rèn)為掃描到的主機(jī)即為被攻擊者的主機(jī)ip。接著攻擊者即可用dirbuster等工具對(duì)目標(biāo)網(wǎng)站進(jìn)行掃描，從而知道該網(wǎng)站的所有子目錄結(jié)構(gòu)，以此來尋找該網(wǎng)站的信息與可能存在的攻擊點(diǎn)。而在此過程中所使用的dirbuster工具掃描的原理也是通過爬蟲根據(jù)字典(字典中包含常見的網(wǎng)址后綴信息)進(jìn)行訪問測(cè)試。
[0041]
在模擬主機(jī)上模擬上述提到的所有網(wǎng)絡(luò)嗅探使用的技術(shù)，對(duì)采集到的系統(tǒng)日志數(shù)據(jù)進(jìn)行分析，以進(jìn)程為單位，從關(guān)鍵進(jìn)程出發(fā)，分析其操作行為，以定義其動(dòng)態(tài)行為特征為何種元行為。例如上述所對(duì)應(yīng)的進(jìn)程行為都可以被定義為網(wǎng)絡(luò)連接表這一元行為。其在日志數(shù)據(jù)中的表現(xiàn)為一個(gè)進(jìn)程與net建立了連接，與網(wǎng)絡(luò)進(jìn)行了多次的數(shù)據(jù)交互。
[0042]
而到了att&ck框架中的執(zhí)行階段，此時(shí)攻擊者已經(jīng)收集了足夠多目標(biāo)網(wǎng)站的信息，可以選擇利用目標(biāo)網(wǎng)站存在的漏洞進(jìn)行攻擊。比如攻擊者利用了sql注入的方式進(jìn)入目標(biāo)網(wǎng)站的管理員后臺(tái)。隨后又利用網(wǎng)站存在的文件上傳漏洞，借助管理員權(quán)限向網(wǎng)站上傳一個(gè)webshell木馬文件。當(dāng)網(wǎng)站開始運(yùn)行的時(shí)候，攻擊者便可以利用蟻劍等工具去連接該文件，開啟一個(gè)虛擬的webshell，從而獲得web權(quán)限。隨即攻擊者便可以以web權(quán)限訪問目標(biāo)網(wǎng)站所在的服務(wù)器上的文件，進(jìn)行進(jìn)一步的信息收集。上述過程中，攻擊者上傳webshell的操作對(duì)應(yīng)的進(jìn)程操作可以被定義為文件傳送這一元行為。
[0043]
通過對(duì)受攻擊下采集的系統(tǒng)日志數(shù)據(jù)的分析，本實(shí)施例得到定義的元行為包括：下載執(zhí)行、遠(yuǎn)程shell、鍵盤記錄、獲取密碼、遠(yuǎn)程攝像頭、訪問網(wǎng)址、計(jì)算機(jī)控制、系統(tǒng)信息、錄音、服務(wù)管理器、腳本執(zhí)行、cd-rom控制、枚舉窗口、剪貼板管理、桌面任務(wù)欄管理、ddos、網(wǎng)絡(luò)連接表、軟件管理、顯示器控制、語音轉(zhuǎn)換、自啟動(dòng)管理、usb管理、搜索文件、文件傳送。
[0044]
本實(shí)施例對(duì)多個(gè)apt攻擊樣本以及att&ck框架進(jìn)行分析，提取apt常用攻擊中包含的數(shù)十個(gè)動(dòng)態(tài)行為特征，如表1所示，雖然這些動(dòng)態(tài)的元行為單獨(dú)來看并不能認(rèn)為是攻擊，但它們卻是構(gòu)成一次apt攻擊的重要組成部分。換句話說，一次apt攻擊由多個(gè)元行為組合而成。因此，本實(shí)施例提及的動(dòng)態(tài)行為特征定義為在apt攻擊過程中存在的元行為。
[0045]
表1根據(jù)動(dòng)態(tài)行為特征定義的元行為
[0046]
元行為描述(即對(duì)應(yīng)的動(dòng)態(tài)行為特征)下載執(zhí)行下載文件并自動(dòng)執(zhí)行遠(yuǎn)程shell打開并遠(yuǎn)程執(zhí)行命令鍵盤記錄記錄受害者鍵盤輸入獲取密碼獲取特定應(yīng)用的密碼(例如瀏覽器等)遠(yuǎn)程攝像頭遠(yuǎn)程打開并控制受害者攝像頭訪問網(wǎng)址強(qiáng)制受害者打開對(duì)應(yīng)網(wǎng)站計(jì)算機(jī)控制遠(yuǎn)程打開或關(guān)閉受害者電腦系統(tǒng)信息收集系統(tǒng)信息(例如，計(jì)算機(jī)名稱、語言)錄音獲取受害者電腦的音頻輸入和輸出服務(wù)管理器查詢、暫停、創(chuàng)建和恢復(fù)系統(tǒng)服務(wù)腳本執(zhí)行在受害者電腦上編輯和執(zhí)行腳本程序cd-rom控制對(duì)cd-rom執(zhí)行彈出、讀取、執(zhí)行等操作枚舉窗口收集受害者電腦上所有應(yīng)用窗口信息剪貼板管理收集或者設(shè)置剪貼板的文本內(nèi)容
桌面任務(wù)欄管理在受害者電腦上顯示或隱藏任務(wù)欄ddos對(duì)指定目標(biāo)發(fā)起分布式拒絕服務(wù)攻擊網(wǎng)絡(luò)連接表收集受害者電腦上所有網(wǎng)絡(luò)連接數(shù)據(jù)軟件管理安裝、枚舉、卸載受害者電腦上的軟件顯示器控制控制受害者顯示器語音轉(zhuǎn)換將一段話轉(zhuǎn)換成語音并在受害者電腦上播放自啟動(dòng)管理添加或刪除自啟動(dòng)程序usb管理啟動(dòng)或關(guān)閉鍵盤和鼠標(biāo)的連接搜索文件在受害者電腦上搜索對(duì)應(yīng)名稱的文件文件傳送從目標(biāo)電腦上傳或下載文件
[0047]
需要說明的是，上述為本實(shí)施例提供的常見的元行為，在其他實(shí)施例中，還可以根據(jù)系統(tǒng)日志數(shù)據(jù)定義更多或更細(xì)節(jié)的元行為。本實(shí)施例主要提出從系統(tǒng)日志數(shù)據(jù)中提煉元行為的思路。
[0048]
步驟3、根據(jù)元行為構(gòu)建自動(dòng)化腳本，運(yùn)行自動(dòng)化腳本并采集運(yùn)行時(shí)產(chǎn)生的系統(tǒng)級(jí)日志數(shù)據(jù)，將采集的系統(tǒng)級(jí)日志數(shù)據(jù)作為正常樣本集
[0049]
根據(jù)元行為的特征設(shè)計(jì)自動(dòng)化腳本，在采集的數(shù)據(jù)集的過程中運(yùn)行這些自動(dòng)化腳本，將這些元行為運(yùn)行時(shí)對(duì)應(yīng)的系統(tǒng)日志數(shù)據(jù)加入到采集的數(shù)據(jù)集中。根據(jù)元行為設(shè)計(jì)自動(dòng)化腳本，根據(jù)上述各元行為運(yùn)行原理，利用shell或python編寫自運(yùn)行相同行為的自動(dòng)化腳本，例如直接用shell腳本編寫多端ssh連接腳本等等。
[0050]
在主機(jī)模擬日常辦公環(huán)境的同時(shí)，運(yùn)行這部分自動(dòng)化腳本，從而采集大量包含正常用戶辦公日志數(shù)據(jù)的元行為數(shù)據(jù)集，如記錄正常操作的鍵盤記錄、遠(yuǎn)程攝像頭等對(duì)應(yīng)的系統(tǒng)日志的數(shù)據(jù)集，用正常系統(tǒng)活動(dòng)中的元行為數(shù)據(jù)來擴(kuò)增訓(xùn)練所需數(shù)據(jù)集，所采集的數(shù)據(jù)集中不包含攻擊，但是包含元行為。
[0051]
步驟4、將正常樣本集作為訓(xùn)練集，即步驟3中所生成的正常樣本集，其“正?！迸c“攻擊”相對(duì)，指的是不包含攻擊，但是包含元行為的樣本集作為訓(xùn)練集，利用訓(xùn)練集對(duì)孿生網(wǎng)絡(luò)進(jìn)行訓(xùn)練直至達(dá)到預(yù)設(shè)的訓(xùn)練結(jié)束條件。
[0052]
在獲取到相應(yīng)數(shù)據(jù)量的樣本數(shù)據(jù)后，本實(shí)施例采用孿生網(wǎng)絡(luò)作為后續(xù)檢測(cè)網(wǎng)絡(luò)，以準(zhǔn)確匹配系統(tǒng)日志數(shù)據(jù)中所包含的元行為。
[0053]
步驟4.1、構(gòu)建一個(gè)孿生網(wǎng)絡(luò)，利用得到的多個(gè)包含不同元行為的數(shù)據(jù)集對(duì)該網(wǎng)絡(luò)進(jìn)行訓(xùn)練。
[0054]
構(gòu)建孿生網(wǎng)絡(luò)：孿生網(wǎng)絡(luò)是基于兩個(gè)神經(jīng)網(wǎng)絡(luò)耦合的框架。孿生網(wǎng)絡(luò)的輸入是兩個(gè)樣本。它的兩個(gè)子網(wǎng)絡(luò)每個(gè)均接受一個(gè)輸入，然后輸出一個(gè)映射在高層空間的對(duì)應(yīng)表示。這兩個(gè)表示之間的距離，比如說eucldean distance，將會(huì)被計(jì)算來指代兩個(gè)輸入的相似度。孿生網(wǎng)絡(luò)非常善于判斷兩個(gè)輸入的相似程度。一個(gè)訓(xùn)練好的孿生神經(jīng)網(wǎng)絡(luò)將會(huì)最大化不同標(biāo)簽數(shù)據(jù)的表示差距，最小化相同標(biāo)簽數(shù)據(jù)的表示差距。
[0055]
由于本實(shí)施例中的溯源圖包含時(shí)間序列，因此選擇lstm模型作為孿生網(wǎng)絡(luò)的子網(wǎng)絡(luò)能夠最大化的學(xué)習(xí)上下文相關(guān)的時(shí)間序列數(shù)據(jù)(format as time series data作為時(shí)間序列數(shù)據(jù)的格式)。因?yàn)榫W(wǎng)絡(luò)結(jié)構(gòu)在相同的任務(wù)中具有通用性，因此本實(shí)施例的lstm模型設(shè)置層數(shù)仍為2層且每層神經(jīng)元為32個(gè)，并且孿生網(wǎng)絡(luò)的兩個(gè)子網(wǎng)絡(luò)共享權(quán)重。此時(shí)，為了結(jié)
合孿生神經(jīng)網(wǎng)絡(luò)，lstm神經(jīng)網(wǎng)絡(luò)的輸出層進(jìn)行了微調(diào)。原始的輸出層(softmax)被修改為拉伸層(flattened layer)，為了輸出一個(gè)經(jīng)過拉伸的向量以便進(jìn)行之后的距離計(jì)算。同時(shí)孿生網(wǎng)絡(luò)的作用是使得模型學(xué)習(xí)分辨兩個(gè)輸入的數(shù)據(jù)片段是否屬于同一個(gè)元行為，以此來判斷被檢測(cè)數(shù)據(jù)集包含哪些元行為。
[0056]
步驟4.2、訓(xùn)練孿生網(wǎng)絡(luò)：利用步驟3得到的數(shù)據(jù)對(duì)孿生網(wǎng)絡(luò)進(jìn)行訓(xùn)練，得到最優(yōu)的孿生網(wǎng)絡(luò)。
[0057]
步驟4.2.1、取步驟3中多個(gè)利用腳本得到的包含單個(gè)或多個(gè)元行為與正常用戶行為的數(shù)據(jù)集作為訓(xùn)練數(shù)據(jù)，將屬于同一元行為的三個(gè)數(shù)據(jù)片段和一個(gè)屬于不同元行為的數(shù)據(jù)片段組成一個(gè)訓(xùn)練組，并劃分訓(xùn)練組為兩個(gè)數(shù)據(jù)對(duì)，將兩個(gè)數(shù)據(jù)片段屬于同一元行為的數(shù)據(jù)對(duì)設(shè)置為正樣本，兩個(gè)數(shù)據(jù)片段屬于不同元行為的數(shù)據(jù)對(duì)設(shè)置為負(fù)樣本。例如4個(gè)數(shù)據(jù)片段被劃分為兩個(gè)數(shù)據(jù)對(duì)p1和p2(即時(shí)間序列數(shù)據(jù)x1，x2)，其中p1的標(biāo)簽為1，p2的標(biāo)簽為0。標(biāo)簽1表示兩個(gè)數(shù)據(jù)片段屬于同一個(gè)元行為，標(biāo)簽0則相反。
[0058]
步驟4.2.2、取訓(xùn)練組，將兩個(gè)數(shù)據(jù)對(duì)分別輸入孿生網(wǎng)絡(luò)的兩個(gè)子網(wǎng)絡(luò)，計(jì)算兩個(gè)子網(wǎng)絡(luò)輸出的拉伸向量之間的距離，計(jì)算公式如下：
[0059][0060]
式中，d為計(jì)算得到的距離，為其中一個(gè)子網(wǎng)絡(luò)輸出的拉伸向量f1中的第j個(gè)元素，為另一個(gè)子網(wǎng)絡(luò)輸出的拉伸向量f2中的第j個(gè)元素，j＝1,2,3,
…
,j，j是的拉伸向量的長(zhǎng)度。
[0061]
將計(jì)算得到的距離d先后輸入一個(gè)激活函數(shù)為relu的全連接層，以及一個(gè)激活函數(shù)為sigmoid的輸出層，最終得到置信值式中表示第i次迭代下輸入孿生網(wǎng)絡(luò)的時(shí)間序列數(shù)據(jù)x1，表示第i次迭代下輸入孿生網(wǎng)絡(luò)的時(shí)間序列數(shù)據(jù)x2，p表示第i次迭代下模型對(duì)輸入時(shí)間序列數(shù)據(jù)x1和x2的相似程度進(jìn)行度量的相似度函數(shù)，c是一個(gè)0到1之間的小數(shù)。
[0062]
步驟4.2.3、對(duì)比置信值和認(rèn)證閾值，若置信值大于或等于認(rèn)證閾值，則表示模型認(rèn)證結(jié)果為包含該元行為；否則模型認(rèn)證結(jié)果為不包含該行為。
[0063]
本實(shí)施例設(shè)置了一個(gè)認(rèn)證閾值t(t在0到1之間，優(yōu)選為0.5)來幫助認(rèn)證。當(dāng)c大于等于t時(shí)，認(rèn)定為包含該元行為；否則，認(rèn)定不包含該元行為。注意，t可以根據(jù)模型訓(xùn)練效果與實(shí)際使用場(chǎng)景進(jìn)行調(diào)整。
[0064]
步驟4.2.4、根據(jù)模型認(rèn)證結(jié)果和設(shè)置為正樣本或負(fù)樣本的數(shù)據(jù)對(duì)調(diào)整孿生網(wǎng)絡(luò)的模型參數(shù)，重復(fù)取訓(xùn)練組進(jìn)行訓(xùn)練直至達(dá)到設(shè)定的訓(xùn)練結(jié)束條件。
[0065]
設(shè)定的訓(xùn)練結(jié)束條件可以是最大的迭代次數(shù)，也可以是模型輸出準(zhǔn)確度。與常規(guī)的模型訓(xùn)練相同，本實(shí)施例也通過預(yù)測(cè)標(biāo)簽(模型認(rèn)證結(jié)果)和實(shí)際標(biāo)簽(正負(fù)樣本)調(diào)整模型參數(shù)，使用的損失函數(shù)時(shí)二分類交叉熵，同時(shí)為了解決樣本不均衡問題，本實(shí)施例選擇了孿生網(wǎng)絡(luò)，可以多次迭代的輸入數(shù)據(jù)對(duì)，且每次迭代輸入數(shù)據(jù)對(duì)的正負(fù)樣本為1：1，從而解決了樣本不均衡問題，最終得到的孿生網(wǎng)絡(luò)作為可遷移模型在后續(xù)的實(shí)時(shí)認(rèn)證階段使用。
[0066]
步驟5、取訓(xùn)練至收斂的孿生網(wǎng)絡(luò)對(duì)待分析的系統(tǒng)級(jí)日志數(shù)據(jù)進(jìn)行apt攻擊檢測(cè)，
利用訓(xùn)練后的孿生網(wǎng)絡(luò)模型對(duì)待分析的數(shù)據(jù)集進(jìn)行分類、檢測(cè)。
[0067]
步驟5.1、將實(shí)時(shí)采集到系統(tǒng)日志數(shù)據(jù)放入孿生網(wǎng)絡(luò)，與定義好的元行為進(jìn)行匹配，并記錄其包含的元行為。將后續(xù)采集到的數(shù)據(jù)集放入訓(xùn)練完成的孿生網(wǎng)絡(luò)。孿生網(wǎng)絡(luò)的作用是使得模型能夠?qū)W習(xí)分辨兩個(gè)輸入的數(shù)據(jù)片段是否包含同一個(gè)元行為。將需要分析的溯源圖對(duì)應(yīng)的系統(tǒng)日志數(shù)據(jù)數(shù)據(jù)集放入孿生網(wǎng)絡(luò)作為其中一個(gè)輸入，并設(shè)置另一個(gè)輸入為各個(gè)單獨(dú)包含一個(gè)元行為的數(shù)據(jù)集，將實(shí)時(shí)采集的系統(tǒng)日志數(shù)據(jù)與不同元行為對(duì)應(yīng)的數(shù)據(jù)集進(jìn)行一一比較若孿生網(wǎng)絡(luò)針對(duì)當(dāng)前數(shù)據(jù)集輸出的對(duì)比置信值大于或等于認(rèn)證閾值，則表示模型認(rèn)證結(jié)果為包含該元行為。將被檢測(cè)數(shù)據(jù)集與上述24個(gè)元行為一一進(jìn)行認(rèn)證比對(duì)，從而得出輸入的溯源圖中包含哪些元行為并記錄。
[0068]
步驟5.2、將該系統(tǒng)日志數(shù)據(jù)中識(shí)別得到的元行為進(jìn)行組合，若組合結(jié)果符合att&ck框架中的攻擊鏈，則檢測(cè)結(jié)果為本次采集的系統(tǒng)日志數(shù)據(jù)中包含apt攻擊；否則本次采集的系統(tǒng)日志數(shù)據(jù)中不包含apt攻擊。
[0069]
本實(shí)施例將一次采集的系統(tǒng)日志數(shù)據(jù)中包含的經(jīng)孿生網(wǎng)絡(luò)模型匹配確認(rèn)的元行為進(jìn)行整合，即對(duì)包含的元行為進(jìn)行排列組合，并將每一次的組合結(jié)果與att&ck框架中的攻擊鏈進(jìn)行比對(duì)。如果一個(gè)數(shù)據(jù)集中包含的元行為能夠順利結(jié)合成一條符合att&ck框架的較完整的攻擊鏈，則意味著已經(jīng)該數(shù)據(jù)集中包含類似apt攻擊的行為。
[0070]
以上所述實(shí)施例的各技術(shù)特征可以進(jìn)行任意的組合，為使描述簡(jiǎn)潔，未對(duì)上述實(shí)施例中的各技術(shù)特征所有可能的組合都進(jìn)行描述，然而，只要這些技術(shù)特征的組合不存在矛盾，都應(yīng)當(dāng)認(rèn)為是本說明書記載的范圍。
[0071]
以上所述實(shí)施例僅表達(dá)了本發(fā)明的幾種實(shí)施方式，其描述較為具體和詳細(xì)，但并不能因此而理解為對(duì)發(fā)明范圍的限制。應(yīng)當(dāng)指出的是，對(duì)于本領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明構(gòu)思的前提下，還可以做出若干變形和改進(jìn)，這些都屬于本發(fā)明的保護(hù)范圍。因此，本發(fā)明的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。