本發(fā)明涉及數(shù)據(jù)處理，具體涉及一種結(jié)合多源日志數(shù)據(jù)自動標注方法。

背景技術(shù)：

1、隨著高級持續(xù)性威脅(apt)攻擊在網(wǎng)絡安全領域日益突出，對有效的檢測、阻斷和追蹤技術(shù)的需求也日益迫切。apt攻擊通常由資金充足、組織嚴密的團體發(fā)起，以其長期性和隱蔽性著稱。攻擊者常常在受害者網(wǎng)絡中潛伏數(shù)月之久，利用中間宿主進行攻擊升級或敏感數(shù)據(jù)的竊取。因此，日志分析技術(shù)在apt攻擊的檢測和溯源中發(fā)揮著至關重要的作用。當前,現(xiàn)有的自動化日志標記方法通常無法滿足存在以下局限性:

2、1)基于時間窗口的方法：這些方法將特定時間框架內(nèi)的所有日志標記為與攻擊相關，但由于apt的隱蔽性質(zhì)，這種粒度太粗糙，導致準確性差。

3、2)基于行為配置文件的方法：通過模擬正常和惡意行為，這些方法生成標記的網(wǎng)絡流量。然而，它們不適合真實流量，并且不能標記審計和應用程序日志。

4、3)基于檢測工具的方法：使用嗅探器和蜜罐等工具來識別和標記攻擊行為。然而，它們的效果嚴重依賴于檢測工具的性能，可能無法準確捕獲所有與攻擊相關的日志

5、4)基于規(guī)則匹配的方法：傳統(tǒng)方法使用基于規(guī)則的關鍵字匹配，也有通過結(jié)合事件上下文進行改進。盡管有所改進，但仍需要大量手動工作來為apt攻擊的每個痕跡創(chuàng)建規(guī)則，這導致對領域?qū)I(yè)知識的嚴重依賴，并使得保證規(guī)則的準確性和完整性變得困難。

6、因此,鑒于現(xiàn)有技術(shù)的局限性,本發(fā)明提出了一種新的自動化日志標記方法，旨在解決上述挑戰(zhàn)。

技術(shù)實現(xiàn)思路

1、針對現(xiàn)有技術(shù)的不足，本發(fā)明提供了一種結(jié)合多源日志數(shù)據(jù)自動標注方法。

2、本發(fā)明的技術(shù)方案如下：

3、一種結(jié)合多源日志數(shù)據(jù)自動標注方法，包括如下步驟：

4、步驟1)應用和工具預處理步驟,包括:在目標應用程序中使用相關信息生成對應的應用程序日志和在使用分隔符記錄器，自動產(chǎn)生分隔符；同時對攻擊者的攻擊計劃和攻擊工具進行修改，使得攻擊標志能夠注入攻擊過程當中，使得攻擊留下攻擊痕跡；在采集環(huán)境中，添加攻擊標志掃描器；

5、步驟2)攻擊執(zhí)行的步驟,包括:使用預先處理好的攻擊工具和設計好的被攻擊的應用程序，執(zhí)行攻擊，同時生成攻擊日志；

6、步驟3)數(shù)據(jù)標記步驟,包括:首先是起源圖構(gòu)建：使用審計日志構(gòu)建起源圖，確保邊與審計日志、流量日志和應用程序日志相關聯(lián)；接著，對不同類型日志的攻擊注入點進行定位；最后，執(zhí)行單元劃分，將線程中的所有系統(tǒng)調(diào)用劃分為不同的處理程序，記錄處理程序id，構(gòu)建處理程序派生關系的樹狀結(jié)構(gòu)，隨后采用動靜態(tài)分析，結(jié)合抽象語法樹(ast)和代碼動態(tài)行為，精確定位處理程序的活動。

7、步驟4)惡意子圖標記步驟,包括:根據(jù)步驟(3)中的分析，將所有涉及攻擊行為的日志，組成起源圖結(jié)構(gòu)，按照逆拓撲順序進行處理，標記為惡意子圖。

8、進一步的所述步驟1)中，應用和工具預處理的詳細步驟如下：

9、(1-1)修改應用程序：禁用緩沖機制并生成對齊日志；同時集成分隔符記錄器；

10、(1-2)修改攻擊工具和計劃：在攻擊工具中嵌入標志生成模塊，用于在攻擊操作點(攻擊者采用攻擊工具進行攻擊步驟的行為點)注入可識別的攻擊標志。同時，該標志也將用于攻擊日志的生成。

11、(1-3)修改攻擊環(huán)境：將攻擊標志掃描器實現(xiàn)為一個內(nèi)核模塊，即在代碼中添加一個檢測攻擊標志的模塊。

12、進一步的所述步驟2)中，攻擊執(zhí)行的詳細步驟如下：

13、(2-1)發(fā)起攻擊：根據(jù)步驟(1)當中的修改后的攻擊工具和應用程序，攻擊者發(fā)起攻擊；

14、(2-2)日志收集：收集以下日志：未標記日志；對齊信息日志；分隔符日志：攻擊標志；攻擊日志；

15、進一步的所述步驟3)中，數(shù)據(jù)標記詳細步驟如下：

16、(3-1)起源圖構(gòu)建：根據(jù)審計日志，構(gòu)建一個圖結(jié)構(gòu)，其中節(jié)點表示系統(tǒng)實體(如進程、文件等)，邊表示實體間的交互。

17、(3-2)日志關聯(lián)過程：該過程主要將流量日志和應用程序日志映射到審計日志上；

18、(3-3)攻擊定位過程：通過在流量和審計日志中注入和識別攻擊標志,結(jié)合規(guī)則匹配策略,定位并標記攻擊相關的錨點。

19、(3-4)單元分區(qū)過程：將應用程序的系統(tǒng)調(diào)用劃分為不同的執(zhí)行單元,并構(gòu)建處理程序派生關系樹,以解決依賴爆炸問題。

20、(3-5)攻擊子圖抽取過程：攻擊子圖提取算法(o(kn)復雜度,k為錨點數(shù)):

21、進一步的所述步驟4)中，惡意子圖標記的詳細步驟如下：

22、(4-1)子圖報警：根據(jù)步驟(3)所抽取的攻擊子圖，將其子圖標記為惡意，并報出圖形輸出。

23、本發(fā)明的有益效果主要表現(xiàn)在：

24、1)準確性高，通過整合審計日志、流量日志和應用程序日志，能夠從不同維度捕捉到網(wǎng)絡攻擊的全貌，提高了對攻擊行為識別的準確性；利用攻擊標記和標簽規(guī)則，結(jié)合內(nèi)核模塊的實時監(jiān)控，能夠有效識別攻擊活動。

25、2)效率高，通過自動化的日志關聯(lián)和錨點定位，減少了人工分析的工作量，大幅提升了溯源過程的效率；過單元分區(qū)和執(zhí)行單元的劃分，本方法有效解決了大規(guī)模數(shù)據(jù)集中的依賴爆炸問題，避免了因復雜依賴關系導致的效率降低。

26、3)可解釋性強，通過明確的日志關聯(lián)步驟，為每個日志條目提供了清晰的來源和去向，使得溯源結(jié)果易于理解和解釋；通過構(gòu)建起源圖和攻擊子圖，使得復雜的網(wǎng)絡攻擊行為變得直觀易懂，便于分析人員快速把握攻擊流程和關鍵節(jié)點。

技術(shù)特征：

1.一種結(jié)合多源日志數(shù)據(jù)自動標注方法，其特征在于，包括如下步驟：

2.根據(jù)權(quán)利要求1所述的一種結(jié)合多源日志數(shù)據(jù)自動標注方法，其特征在于，所述步驟1)過程如下：

3.根據(jù)權(quán)利要求2所述的一種結(jié)合多源日志數(shù)據(jù)自動標注方法，其特征在于，所述步驟2)過程如下：

4.根據(jù)權(quán)利要求1所述的一種結(jié)合多源日志數(shù)據(jù)自動標注方法，其特征在于，所述步驟3)過程如下：

5.根據(jù)權(quán)利要求1所述的一種結(jié)合多源日志數(shù)據(jù)自動標注方法，其特征在于，所述步驟3-2)過程如下：

6.根據(jù)權(quán)利要求1所述的一種結(jié)合多源日志數(shù)據(jù)自動標注方法，其特征在于，所述步驟3-3)過程如下：

7.根據(jù)權(quán)利要求1所述的一種結(jié)合多源日志數(shù)據(jù)自動標注方法，其特征在于，所述步驟3-4)過程如下：

8.根據(jù)權(quán)利要求1所述的一種結(jié)合多源日志數(shù)據(jù)自動標注方法，其特征在于，所述步驟3-5)過程如下：

技術(shù)總結(jié)
本發(fā)明公開了一種結(jié)合多源日志數(shù)據(jù)自動標注方法，包括如下步驟：1)應用和工具預處理：在目標應用程序中使用相關信息生成對應的應用程序日志；同時對攻擊者的攻擊計劃和攻擊工具進行修改；2)攻擊執(zhí)行：使用預處理好的攻擊工具和設計好的被攻擊的應用程序，執(zhí)行攻擊，同時生成攻擊日志；3)數(shù)據(jù)標記：使用審計日志構(gòu)建起源圖；對不同類型日志的攻擊注入點進行定位；將線程中的所有系統(tǒng)調(diào)用劃分為不同的處理程序，記錄處理程序ID，構(gòu)建處理程序派生關系的樹狀結(jié)構(gòu)；4)惡意子圖標記。本發(fā)明通過整合審計日志、流量日志和應用程序日志，能夠從不同維度捕捉到網(wǎng)絡攻擊的全貌，提高了對攻擊行為識別的準確性。

技術(shù)研發(fā)人員：朱添田,馬銘駿,陳鐵明
受保護的技術(shù)使用者：浙江工業(yè)大學臺州研究院
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/9