[发明专利]一种基于霍克斯多元过程建模的物联网攻击模式识别方法

说明书

一种基于霍克斯多元过程建模的物联网攻击模式识别方法，属于物联网攻击模式识别技术领域，用以解决现有的物联网攻击模式识别方法不能准确有效地识别僵尸网络中同一个受控僵尸主机行为模式不一致的问题。本发明的技术要点包括：首先通过一组蜜罐来捕获足够多的真实攻击者活动，然后提出一种改进的DBScan算法来精简海量数据规模；然后提出一种基于控制周期检测的僵尸网络聚类算法来推断僵尸网络控制不同僵尸主机的时间片段，并根据加权的潜在影响以细粒度的方式将攻击者活动聚集到僵尸网络中。本发明以控制期的粒度对僵尸网络进行进一步识别，解决了由于不同僵尸网络占有时间段不同而导致的同一个受控主机行为模式不一致的问题。

技术领域

本发明涉及物联网攻击模式识别技术领域，具体涉及一种基于霍克斯多元过程建模的物联网攻击模式识别方法。

背景技术

世界范围的网络攻击行动越发频繁，因为创建大型物联网僵尸网络并造成严重破坏并不需要花费大量精力。未来人们会继续看到使用基于物联网设备漏洞发动的网络攻击的增多，这是因为利用物联网设备攻击者能够以最少的时间和资源创建更大的僵尸网络。这些僵尸网络发动的网络攻击往往产生庞大而复杂的网络事件日志，由于日志数量大、日志种类多，网络安全研究员在很多情况下无法有效溯源这些攻击或者快速响应。

一个物联网僵尸网络的生存周期包括形成、CC(Command and Control)、攻击、后攻击四个阶段。形成阶段由攻击者入侵有漏洞的主机，并在其上执行恶意程序，使之成为僵尸主机；一旦某个网络设备成为僵尸主机之后，僵尸网络控制者会通过主控端与之构建CC信道，通过各种方式与之通信；之后僵尸主机根据主控端发出的指令执行攻击行为；后攻击阶段是指主控端利用被控制的僵尸主机进行进一步的破坏操作，如入侵内网、窃取信息、发动DDoS攻击等。

传统的检测僵尸网络的方法一般在僵尸网络攻击和通信阶段进行检测。例如，基于签名的方法依赖于僵尸网络的先验信息，无法应对快速变化的僵尸网络特征且无法检测未知的新攻击样本的攻击；基于特征的方法的有效性对特征质量高度敏感，永远无法证明所选特征是否足以进行训练，导致该类方法不够稳定，无法将特定僵尸网络与正常主机区分开来。特别是针对IoT(物联网)设备组建的僵尸网络流量混迹于海量的互联网流量中，使得传统僵尸网络识别方法难以直接应用来识别IoT僵尸网络。利用蜜罐技术可以简化IoT僵尸网络的检测难度，通过使用伪装成物联网设备的蜜罐来吸引IoT僵尸网络的攻击，就可以捕获到IoT僵尸网络的行为，从而识别他们。为了从蜜罐捕获的大量攻击数据中识别僵尸网络，需要使用可靠且精简的特征以在保证检测效果的同时减小计算负载。文献[1]中通过利用攻击事件的时序特征来识别僵尸网络，首先基于直观的观察建立了基于攻击时间的概率模型：同一僵尸网络中的主机有发起时间接近的攻击的趋势。但是，上述研究没有考虑到：僵尸网络对不同的受感染主机有不同的控制期，即易受攻击的物联网设备往往不会只被一个攻击团伙用于网络攻击，而是在不同的时间段被不同的攻击团伙控制，被用于发动不同的网络攻击。因此，同一僵尸网络中的某些主机实际上仅具有部分时间相似性，如果忽略这个事实，对僵尸网络主机在整个观察时间窗口内的时间序列进行建模，会影响其攻击模型分析结果的准确性。

发明内容

鉴于以上问题，本发明提出一种基于霍克斯多元过程建模的物联网攻击模式识别方法，用以解决现有的物联网攻击模式识别方法不能准确有效地识别僵尸网络中同一个受控僵尸主机行为模式不一致的问题。

一种基于霍克斯多元过程建模的物联网攻击模式识别方法，包括下述步骤：

步骤一、利用蜜罐检测系统采集数据，获取多个僵尸主机的攻击日志数据集；

步骤二、对所述攻击日志数据集进行预处理，获取包含多个僵尸主机攻击时间序列的精简数据集；

步骤三、搭建时序特征模型并将精简数据集输入时序特征模型运行，获得不同僵尸网络对各个僵尸主机的控制期识别结果；所述控制期是指同一个僵尸主机被不同僵尸网络控制的时间段。