申请/专利权人：北京计算机技术及应用研究所

申请日：2022-06-29

公开（公告）日：2024-03-15

公开（公告）号：CN115134250B

主分类号：H04L41/12

分类号：H04L41/12;H04L41/142;G06N3/08;G06N3/04;G06N3/006;G06F18/23;H04L9/40

优先权：

专利状态码：有效-授权

法律状态：2024.03.15#授权;2022.10.25#实质审查的生效;2022.09.30#公开

摘要：本发明涉及一种网络攻击溯源取证方法，属于信息安全技术领域。本发明的一种网络攻击溯源取证方法，其创新性体现在：一是采用了高效处理信息碎片的新技术手段，实现了碎片信息重构，解决了线索碎片化，信息片段、割裂、散乱的难题；二是采用了海量数据清理和预处理结合的新技术手段，实现了信息压缩和冗余度减少，解决了网络安全日志信息过载、噪音大，高价值信息容易被淹没的难题；三是采用了聚类分析、粒子群算法等，实现了关联分析，解决了单点式、片段式安全分析的局限。四是采用数据包分析的威胁链路还原技术，实现了威胁数据包逐跳路由信息还原，解决了网络攻击拓扑路径信息缺失的难题。

主权项：1.一种网络攻击溯源取证方法，其特征在于，包括以下步骤：实现碎片信息重构：采用基于深度生成模型的信息重构、基于图模型的数据关联重构、基于预训练模型的数据重构的技术，实现重构数据的高可用度，采用基于图模型关联的碎片信息重构、基于双向循环神经网络的碎片信息重构算法，提升信息重构准确性、信息重构速率；实现海量数据清洗：先分析统计数据，接着对同类数据信息进行压缩，然后对缺失值、异常值、重复值、噪音数据进行清洗，清洗后对数据进行归一化操作，实现威胁信息数据合并、威胁信息数据清洗，实现对上千万条原始数据进行初步的数据分类；通过多源特征提取和去噪降维实现数据预处理：针对网络威胁数据来源多样化、结构不一致的问题，进行威胁信息提取，威胁信息类型转化，实现数据特征提取、去噪降维，其中，去噪是对已经过去重后的事件流中的“噪点”数据进行修饰，对包括标点符号、特殊符号这些噪声进行“消噪”处理，并最大程度还原有意义属性，不能还原的进行剔除；基于特征关联学习的网络攻击检测：通过对网络业务数据进行主成分的分析，采用稀疏编码、自编码器、深度置信网络模型，结合IP关系、时序关系、交互特征进行数据关联，采用适用于业务系统的网络威胁检测算法，集成聚类分析、粒子群算法、马尔科夫模型自学习行为基线模型、基于图计算的恶意行为检测这些人工智能分析引擎，采用多维语义提取、攻击链分析技术，实现高级持续性攻击、定向攻击、数据窃密场景的追踪溯源分析；溯源网络数据包的传输路径：从网络协议地址、网络威胁样本、网络攻击事件、网络流量情报、威胁主体、目标信息资产这些网络威胁数据识别维度，从时间、空间、宏观统计三条主线，采用网络链路数据包提取解析、协议还原、拓扑路径还原技术，通过数据包头记录字段信息分析实现威胁数据包逐跳路由信息还原，逐步分析出主机序列、路由节点序列、服务器序列、跳板节点序列、攻击源头，进而重构威胁信息传输路径；通过多源特征提取和去噪降维实现数据预处理的过程中，针对网络流量数据的预处理是选择协议标识符、源端口、目的端口、源地址、目的地址、ICMP类型、ICMP代码、原始数据长度和原始数据9个特征，通过威胁信息预处理的主成分析降维算法，结合概率论和机器学习知识，对威胁信息数据进行降维；通过多源特征提取和去噪降维实现数据预处理包括：样本关联关系预处理：对样本之间的关联关系进行预处理，包括计算样本之间相似度、样本线索内容关联分析，挖掘样本线索信息之间的关联关系；事件关联关系预处理：对告警事件以及抽取的元数据之间的关联关系进行预处理，归类相同的攻击来源、相同的攻击手段、相同的攻击者或攻击组织；特定数据处理管理：对于特定格式数据或敏感数据，根据其格式或密级程度进行相应处理；基于特征关联学习的网络攻击检测的过程中，针对网络攻击者入侵行为的特征关联学习是捕获TCPIP参数和攻击类型之间的关系，对DDos攻击、Scan攻击、U2R攻击和R2L攻击设置不同的关联规则，并结合马尔科夫模型提取网络攻击的动态特征，通过检测HTTP有效载荷实现对多个网络攻击的特征关联检测；基于特征关联学习的网络攻击检测的过程中，针对和一些恶意网络攻击事件在时间或空间上有关联的僵尸网络通信行为，采用从网络设备中采集的流量提取结构化的P2P特征，结合网络业务系统的日志信息进行关联分析。

全文数据：

权利要求：

百度查询： 北京计算机技术及应用研究所 一种网络攻击溯源取证方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD