[发明专利]基于层次重启随机游走算法的网络攻击工具关系发现方法

权利要求书

1.一种基于层次重启随机游走算法的网络攻击工具关系发现方法，其特征在于，具体过程为：

S1、构建网络攻击工具关系矩阵：从多源数据中抽取关于攻击样本、攻击模式和IOC的数据，并构建攻击样本关系矩阵、攻击模式关系矩阵和IOC关系矩阵；攻击样本是指有一定规模的、能对网络造成威胁的恶意代码样本；攻击模式是指抽象的执行恶意代码的攻击动作，即执行恶意代码的攻击过程；IOC是指在攻击过程中所产生的有指示性的值；

S2、计算层次推理概率：将得到的攻击样本关系矩阵、攻击模式关系矩阵和IOC关系矩阵作为初始概率分布矩阵，利用重启随机游走算法分别对三个矩阵进行游走，得到攻击样本关系矩阵、攻击模式关系矩阵、IOC关系矩阵三个层次的相关性得分矩阵；

S3、计算网络攻击工具关系推理概率：对得到的三个层次的相关性得分矩阵进行线性拟合，得到目标网络攻击工具对的关系推理概率Sr_attack；

S4、判断网络攻击工具对的关系：设置阈值为σ，根据阈值σ评判网络攻击工具对的推理关系结果，当Sr_attack＞σ时，则认为对应的攻击工具对之间具有推理关系。

2.根据权利要求1所述的方法，其特征在于，步骤S1的具体过程为：

S11、构建攻击样本关系矩阵R_Sample：从多源数据中抽取关于攻击样本的数据，构建攻击样本和攻击样本之间的关系矩阵R_Sample，R_Sample中的各元素代表各个攻击样本对的相关度，任意攻击样本对的相关度由攻击样本灰度图相似度计算得出；

S12、构建攻击模式关系矩阵R_TTP：从多源数据中抽取关于攻击模式的数据，构建攻击模式和攻击模式之间的关系矩阵R_TTP，R_TTP中的各元素代表各个攻击模式对的相关度，任意攻击模式对的相关度由攻击模式图匹配计算得出；

S13、构建IOC关系矩阵R_IOC：从网络攻击工具分析报告、APT分析报告、相关论坛等多源数据中抽取关于IOC的数据，构建IOC和IOC之间的关系矩阵R_IOC；R_IOC中的各个元素代表各个IOC对的相关度，任意IOC对的相关度由编辑距离计算得出；

S14、基于攻击样本关系矩阵R_Sample、攻击模式关系矩阵R_TTP和IOC关系矩阵R_IOC生成关系矩阵三元组：{R_Sample，R_TTP，R_IOC}。

3.根据权利要求2所述的方法，其特征在于，步骤S11中，根据攻击样本灰度图相似度计算任意攻击样本对的相关度的具体过程为：

从多源数据中抽取恶意代码样本；利用B2M算法将恶意代码样本转换为攻击样本灰度图；任意选取两张攻击样本灰度图，并将两张攻击样本灰度图大小调整为同样大小，生成两张灰度直方图；将每张灰度直方图每4个灰度级划分成一个区，共64个区，对每个区的4个值进行求和运算，得到64个值，以此作为该灰度直方图的向量，计算两张灰度直方图对应的两个向量的余弦相似度，生成攻击样本灰度图相似度，将该攻击样本灰度图相似度作为对应两个攻击样本之间的相关度；由此计算所有攻击样本中各个攻击样本对之间的相关度，得到攻击样本关系矩阵R_Sample并表示为：

其中，矩阵元素a_ij表示攻击样本灰度图a_i与攻击样本灰度图a_j之间的相关度的值。

4.根据权利要求3所述的方法，其特征在于，所述利用B2M算法将恶意代码样本转换为攻击样本灰度图的计算步骤为：通过二进制流的方式读取恶意代码样本，生成二进制数据流；以8位二进制为一个单位，将8为二进制转化为无符号整型，形成指定宽度的数值向量，即宽度向量；将二进制数据流按照宽度向量构建数组；将数组的数值0x00～0xFF与图像的像素值0-255一一对应，实现数组的数值与图像的像素值的相互转换，生成攻击样本灰度图。