0 引言

近年來(lái)，高級(jí)持續(xù)性威脅(Advanced Persistent Threats,，APT)等復(fù)雜攻擊對(duì)網(wǎng)絡(luò)空間安全提出更大的挑戰(zhàn),。攻擊者不斷改變攻擊模式，尋找新的入侵點(diǎn),，并使用混淆方法保持不被發(fā)現(xiàn),。然而，當(dāng)前入侵檢測(cè)系統(tǒng)通常將系統(tǒng)調(diào)用和網(wǎng)絡(luò)事件作為依據(jù),，只攜帶日志條目之間的順序關(guān)系,，難以直接提取有效的關(guān)聯(lián)，因此對(duì)于APT的檢測(cè)效果不佳,。近幾年的研究建議利用溯源圖(Provanace Graph)豐富的上下文信息來(lái)實(shí)現(xiàn)入侵檢測(cè),。溯源圖是一個(gè)有向無(wú)環(huán)圖，圖中節(jié)點(diǎn)表示系統(tǒng)中主體(如進(jìn)程,、線程等)和對(duì)象(如文件,、注冊(cè)表、網(wǎng)絡(luò)套接字),，有向圖中的邊表示頂點(diǎn)之間的控制流和數(shù)據(jù)流的關(guān)系,。與原始系統(tǒng)審計(jì)數(shù)據(jù)相比，溯源數(shù)據(jù)具有強(qiáng)大的語(yǔ)義表達(dá)能力和歷史攻擊關(guān)聯(lián)能力,。

目前攻擊者更傾向于使用零日攻擊,，基于特征的方法缺乏檢測(cè)未知威脅的能力?；诋惓５膱D核(Graph Kernel)檢測(cè)方法對(duì)整個(gè)溯源圖進(jìn)行檢測(cè),，然而隱蔽入侵活動(dòng)下生成的溯源圖可能與良性行為活動(dòng)下生成的溯源圖相似，因此,，難以檢測(cè)出相似溯源圖之間的異常,，同時(shí)也無(wú)法識(shí)別和定位異常節(jié)點(diǎn)。

針對(duì)上述問(wèn)題,，本文提出了基于溯源圖節(jié)點(diǎn)級(jí)別的APT實(shí)時(shí)檢測(cè)方法,。該方法將溯源數(shù)據(jù)作為源數(shù)據(jù)輸入，使用K-Means聚類方法和輪廓系數(shù)相結(jié)合的方法對(duì)訓(xùn)練數(shù)據(jù)集中良性節(jié)點(diǎn)進(jìn)行聚類，得到良性節(jié)點(diǎn)簇以及簇質(zhì)心,。最后通過(guò)判斷新節(jié)點(diǎn)是否屬于良性節(jié)點(diǎn)簇來(lái)判別是否存在異常,，可在節(jié)點(diǎn)級(jí)別上進(jìn)行威脅檢測(cè)。

本文詳細(xì)內(nèi)容請(qǐng)下載：http://forexkbc.com/resource/share/2000004990,。

作者信息：

羅漢新,，王金雙，伍文昌

(中國(guó)人民解放軍陸軍工程大學(xué) 指揮控制工程學(xué)院,，江蘇 南京210007)