一种检测内网横向移动攻击的方法[发明专利]

(12)发明专利申请

(10)申请公布号 CN 110519276 A(43)申请公布日 2019.11.29

(21)申请号 201910807836.5(22)申请日 2019.08.29

(71)申请人 中国科学院信息工程研究所

地址 100093 北京市海淀区闵庄路甲号(72)发明人 陈明毅　王天　姚叶鹏　刘俊荣　

姜波　苏莉娅　卢志刚　(74)专利代理机构 北京君尚知识产权代理有限

公司 11200

代理人 陈艳(51)Int.Cl.

H04L 29/06(2006.01)G06K 9/62(2006.01)

权利要求书2页 说明书4页 附图3页

()发明名称

一种检测内网横向移动攻击的方法(57)摘要

本发明提出一种检测内网横向移动攻击的方法，通过收集内网设备的流量及日志数据；提取上述数据中的所有节点，连接进行过网络通信的两个节点，构建主机间通信图；将每两个连接的节点之间的流量数据提取合并，以及将节点上的数据提取合并，分别作为特征值赋值给主机间通信图的边和点；利用网络表示学习方法，将带有特征的主机间通信图进行降维，利用自编码器提取出低维特征向量；利用半监督分类学习算法对低维特征向量进行分类，区分出疑似遭受过攻击的主机。

CN 110519276 ACN 110519276 A

权　利　要　求　书

1/2页

1.一种检测内网横向移动攻击的方法，其特征在于，包括以下步骤：收集内网设备的流量及日志数据；提取上述数据中的所有节点，连接进行过网络通信的两个节点，构建主机间通信图；将每两个连接的节点之间的流量数据提取合并，以及将节点上的数据提取合并，分别作为特征值赋值给主机间通信图的边和点；

利用网络表示学习方法，将带有特征的主机间通信图进行降维，利用自编码器提取出低维特征向量；

利用半监督分类学习算法对低维特征向量进行分类，区分出疑似遭受过攻击的主机。2.如权利要求1所述的方法，其特征在于，在构建主机间通信图时，需引入预先标记好的攻击/非攻击流量数据。

3.如权利要求1所述的方法，其特征在于，将带有特征的主机间通信图进行降维的方法包括以下步骤：

1)计算主机间通信图的结构特征，将该结构特征添加至特征向量中；2)利用特征处理算子处理邻接元素特征向量的每一个特征，将处理得到的新的特征添加至当前元素的特征向量中；邻接元素包括邻接节点和邻接边，邻接节点是指一节点的有向入边的起点节点和有向出边的终点节点，邻接边是指一有向边的起点的有向边和终点的有向边；

3)对处理后的新的特征向量进行特征选择，采用社区发现算法将特征向量中相似的特征聚合在一起，取每一个社区中最重要的特征组成新的特征向量；

4)利用噪声自编码器对上述组成的新的特征向量进行降维，混入高斯随机噪声，利用编码器编码，将高维的特征向量压缩为低维的特征向量。

4.如权利要求3所述的方法，其特征在于，重复步骤1)-3)，以获得更准确的新的特征向量。

5.如权利要求3所述的方法，其特征在于，主机间通信图的结构特征包括节点和有向边的出度、入度、度及PageRank。

6.如权利要求3所述的方法，其特征在于，特征处理算子包括求和函数、求积函数、差分函数。

7.如权利要求1所述的方法，其特征在于，低维特征向量维度小于10。8.如权利要求1所述的方法，其特征在于，半监督分类学习算法在使用前，已预先通过标定的部分风险主机或主机间流量训练好。

9.如权利要求1所述的方法，其特征在于，半监督分类学习算法包括Self-Learning算法。

10.一种检测内网横向移动攻击的系统，其特征在于，包括：内网数据收集模块，用于收集内网设备的流量及日志数据；主机间通信图构建模块，用于提取收集的数据中的所有节点，连接进行过网络通信的两个节点，构建主机间通信图；并将每两个连接的节点之间的流量数据提取合并，以及将节点上的数据提取合并，分别作为特征值赋值给主机间通信图的边和点；

网络表示学习降维模块，用于利用网络表示学习方法，将带有特征的主机间通信图进行降维，利用自编码器提取出低维特征向量；

2

CN 110519276 A

权　利　要　求　书

2/2页

半监督分类模块，用于利用半监督分类学习算法对低维特征向量进行分类，区分出疑似遭受过攻击的主机。

3

CN 110519276 A

说　明　书

一种检测内网横向移动攻击的方法

1/4页

技术领域

[0001]本发明涉及计算机网络安全领域，用于对抗高级持续性威胁中的横向移动攻击阶段，更具体地，是一种针对内网横向移动攻击的检测方法。背景技术

[0002]横向移动攻击是指攻击者针对一个特定的内部网络，以被感染的外围设备为起点，通过收集信息、权限提升等方式，访问网络中的其他主机并窃取敏感信息(如：凭证、涉密资料等)的恶意渗透行为。通过横向移动攻击，攻击者可以最终获得域控权限，进而控制全部设备，从而达到窃取重要资料、驻留内网系统等目的，严重威胁到企业等组织的信息安全。

[0003]横向移动攻击被广泛应用于复杂的网络攻击中，同时也是高级持续性威胁(APT)中非常重要的一个阶段。通常，企业的敏感信息不会存储在网络结构的边缘(如：Web服务器、个人主机等)，而是会存储在内部服务器，因而攻击者要窃取或者破坏这些重要资料，必须借助横向移动攻击，以边缘节点为起始点，渗透到内部。攻击者针对不同的网络环境，会使用内置于操作系统中的工具或是引入一些特定的工具，用来进行各类活动。因为攻击者通过横向移动攻击可以侵入多台设备，以至于攻击者非常容易隐藏自身且难以根除。[0004]目前传统的检测技术无法对此类高级攻击进行防御，大部分的解决方案都是部署在网络边界上的入侵检测，例如对于边界异常流量的检测或是对于0day漏洞的启发式检测等等。但是对于已经渗透入内网的攻击没有提出很好的解决方法，因此对于横向移动攻击的检测问题是现在无法有效解决的难题。防御了横向移动，就是防御了核心数据的安全。但如何有效地区分正常的网络访问行为和异常的横向移动攻击是解决该问题的关键之一。同时为了检测横向移动，必须收集来自网络连接和认证日志等度、大数据量的数据。如何综合有效地运用这些数据来设计特征和训练检模型也是需要考虑的问题。

发明内容

[0005]为解决上述问题，本发明提出一种检测内网横向移动攻击的方法，通过收集内网的流量及设备日志数据，构建主机间通信图，利用半监督分类学习算法有效检测横向移动攻击，保护企业组织信息安全。[0006]为达到上述目的，本发明采用如下技术方案：[0007]一种检测内网横向移动攻击的方法，包括以下步骤：[0008]收集内网设备的流量及日志数据；[0009]提取上述数据中的所有节点，连接进行过网络通信的两个节点，构建主机间通信图；

[0010]将每两个连接的节点之间的流量数据提取合并，以及将节点上的数据提取合并，分别作为特征值赋值给主机间通信图的边和点；[0011]利用DeepGL网络表示学习方法，将带有特征的主机间通信图进行降维，利用自编

4

CN 110519276 A

说　明　书

2/4页

码器提取出低维特征向量；[0012]利用半监督分类学习算法对低维特征向量进行分类，区分出疑似遭受过攻击的主机。

[0013]进一步地，在构建主机间通信图时，需引入预先标记好的攻击/非攻击流量数据。[0014]进一步地，将带有特征的主机间通信图进行降维的方法包括以下步骤：[0015]1)计算主机间通信图的结构特征，将该结构特征添加至特征向量中；[0016]2)利用特征处理算子处理邻接元素特征向量的每一个特征，将处理得到的新的特征添加至当前元素的特征向量中；邻接元素包括邻接节点和邻接边，邻接节点是指一节点的有向入边的起点节点和有向出边的终点节点，邻接边是指一有向边的起点的有向边和终点的有向边；

[0017]3)对处理后的新的特征向量进行特征选择，采用社区发现算法将特征向量中相似的特征聚合在一起，取每一个社区中最重要的特征组成新的特征向量；[0018]4)利用噪声自编码器对上述组成的新的特征向量进行降维，混入高斯随机噪声，利用编码器编码，将高维的特征向量压缩为低维的特征向量。[0019]进一步地，重复步骤1)-3)，以获得更准确的新的特征向量。[0020]进一步地，主机间通信图的结构特征包括节点和有向边的出度、入度、度及PageRank。

[0021]进一步地，特征处理算子包括求和函数、求积函数、差分函数。[0022]进一步地，低维特征向量维度小于10。[0023]进一步地，半监督分类学习算法已利用标定的部分风险主机或主机间流量进行过训练。

[0024]进一步地，半监督分类学习算法包括Self-Learning算法。[0025]一种检测内网横向移动攻击的系统，包括：[0026]内网数据收集模块，用于收集内网设备的流量及日志数据；[0027]主机间通信图构建模块，用于提取收集的数据中的所有节点，连接进行过网络通信的两个节点，构建主机间通信图；并将每两个连接的节点之间的流量数据提取合并，以及将节点上的数据提取合并，分别作为特征值赋值给主机间通信图的边和点；[0028]网络表示学习降维模块，用于利用网络表示学习方法，将带有特征的主机间通信图进行降维，利用自编码器提取出低维特征向量；[0029]半监督分类模块，用于利用半监督分类学习算法对低维特征向量进行分类，区分出疑似遭受过攻击的主机。

[0030]本发明的有益效果在于：

[0031]本发明构建主机间通信图后，利用网络表示学习方法降维特征，在半监督方法下，利用少量的已有标定数据检测出遭受过攻击的主机，从而及早发现攻击状况，保护企业组织的信息安全。与现有的内网横向移动防御方法相比，本发明的方法及下传统适用于多数场景，可以根据不同的网络环境，选择不同的数据特征进行操作，有效地检测遭受过的横向移动攻击；检测精度高，误报率低，能够在仅有不到10％的标定数据(人工分析所产生的标签数据)时检测出99％的受感染设备。

5

CN 110519276 A

说　明　书

3/4页

附图说明

[0032]图1是本发明实施例中检测内网横向移动攻击的方法的总流程图。[0033]图2是本发明实施例中主机间通信图构建流程图。[0034]图3是本发明实施例中网络表示学习降维流程图。[0035]图4是本发明实施例中半监督分类流程图。

具体实施方式

[0036]为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的目的、特征和优点能够更加明显易懂，下面结合附图和事例对本发明中技术核心作进一步详细的说明。

[0037]本实施例公开一种可靠而有效的检测内网横向移动攻击的方法，如图1所示，本方法主要由信息收集、主机间通信构建、网络表示学习以及半监督分类四部分组成，主要步骤如下。

[0038]步骤100，企业依据自身能力及需求利用内网数据收集模块进行信息收集，收集的信息例如设备间的登录成功/失败次数、登录的发起方、用户名等等，用于生成主机间通信图。

[0039]步骤200，利用网络表示学习方法对主机间通信图进行表示，再经过降维，生成低维特征向量。

[0040]步骤300，将特征向量代入半监督分类模块进行分类，区分感染主机和未感染主机。

[0041]如图2所示，主机间通信图构建包括以下步骤：[0042]步骤110，利用主机间通信图构建模块接受收集的信息，并引入提前标记好的少量标记数据(攻击/非攻击流量)。[0043]步骤120，从信息中提取出设备实体(利用设备标识标示，例如：IP地址、设备名称等)和实体之间的关系(例如：TCP连接等)，将其作为节点和有向边添加进主机间通信图G＝(V,E)中。

[0044]步骤130，从数据中提取关系特征和实体特征，每一类特征进行合并后，赋值给主机间通信图作为有向边和节点的特征，形成带特征的图G＝(V,E,F)。[0045]步骤140，将带特征的主机间通信图传递给网络表示学习降维模块。[0046]如图3所示，网络表示学习降维包括以下步骤：[0047]步骤210，利用网络表示学习降维模块接受带特征的主机间通信图。[0048]步骤220，计算该主机间通信图的结构特征，包括节点与有向边的出度、入度、度，PageRank等，将这些结构特征添加至特征向量中，即F＝F+F'。[0049]步骤230，引入特征处理算子，用于融合邻接元素特征。邻接元素是指：针对一个节点v，其有向入边的起点节点和有向出边的终点节点即为该节点的邻接节点；针对一个有向边e，其起点的有向边和终点的有向边即为该有向边的邻接边；邻接节点和邻接边统称为邻接元素。针对图中的任一元素(节点或有向边)，利用特征处理算子，处理其邻接元素特征向量的每一个特征，并将处理结果作为新的特征添加至当前元素的特征向量中。特征处理算子是一系列函数，例如求和函数Σ，求积函数∏，差分函数等等。

6

CN 110519276 A[0050]

说　明　书

4/4页

步骤240，对处理后的新的特征向量进行特征选择，采用社区发现算法，将特征向

量中相似的特征聚合在一起，取每一个社区中最重要的特征组成新的特征向量。[0051]步骤250，重复步骤210-240，可以获得更加准确的特征向量，该步骤为可选步骤。[0052]步骤260，对处理后的新的特征向量进行特征降维。利用噪声自编码器对特征向量进行降维，混入高斯随机噪声，利用编码器编码，可以将高维的特征向量压缩为低维的特征向量(通常小于10)。[0053]步骤270，将最终的低维特征向量传递给半监督分类模块。[00]如图4所示，半监督分类包括以下步骤：[0055]步骤310：利用半监督分类模块接受低维的特征向量。[0056]步骤320：利用半监督分类学习算法中的自我学习Self-Learning算法和其他分类算法，对特征向量进行分类。[0057]步骤330：包含攻击标记的数据类即为分类结果，该类中的所有节点都可被认为是遭受过横向移动攻击。[0058]步骤340：输出结果。[0059]最后所应说明的是，以上实施案例仅用以说明本发明的技术方案而非，本领域的普通技术人员应当理解，可对本发明的技术方案进行修改或者等价替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求的保护范围当中。

7

CN 110519276 A

说　明　书　附　图

1/3页

图1

图2

8

CN 110519276 A

说　明　书　附　图

2/3页

图3

9

CN 110519276 A

说　明　书　附　图

3/3页

图4

10