面向大型企業的機器攻擊檢測技術研究

摘要：隨著互聯網技術發展和企事業單位數字化轉型進程的深入，網絡成為信息交流、業務運作乃至國家基礎設施不可或缺的一部分。網絡流量異常往往預示著潛在的網絡威脅，實施流量監控和檢測是發現異常行為和抵御攻擊風險的重要手段。但是，常規流量檢測技術在應對新興的、高度智能化的機器攻擊時存在局限性，必須尋求更智能、靈活和高效的技術方案。本文提出一種面向大型企業的機器攻擊檢測技術，通過流量探針技術破解數據采集難題，并進一步提取流量的固定屬性和行為屬性進行機器學習，建立同源攻擊指紋庫以識別同源攻擊設備，再利用自動化模型分析出機器攻擊流量，以期為大型企業制定針對機器攻擊的防御策略提供依據與指導。

關鍵詞：機器攻擊；流量分析；攻擊設備指紋；機器學習

引言

網絡技術快速發展，網絡環境日益復雜，攻擊手段也層出不窮。機器人網絡攻擊，通常被稱為“Bot攻擊”，是一種利用惡意軟件感染和控制大量計算設備，并將受控設備組織成“僵尸網絡”，進而發起協同攻擊的技術手段[1-2]。由于利用自動化工具和算法，這種攻擊能發動定制化的攻擊，快速適應防御策略，并且因規模之大、速度之快、變種之多，讓傳統防御手段難以招架[3-4]。

1. 流量探針

針對大型集團企業面對的如何采集流量和日志，以及有效檢測機器攻擊的技術難題，通過在網絡的特定位置部署硬件或軟件的流量探針，在不影響網絡性能的前提下，實時捕獲網絡數據包并解析，提取出元數據信息，包括源與目的IP地址、端口號、協議類型、應用層內容等，為后續的流量分析奠定數據基礎[5]。這一過程通常伴隨對加密流量的解密處理，確保即使是HTTPS等加密通信也能被有效監控。

2. 基于流量和日志分析的機器攻擊檢測技術內容

在機器攻擊活動中，經常是多起攻擊或大量攻擊請求源自同一個或同一組控制源頭的統一指揮和控制。例如，分布式拒絕服務攻擊（DDoS），攻擊者通過控制大量被感染的計算機（僵尸機）同時向目標服務器發送大量請求，造成服務器資源耗盡，無法響應正常用戶的請求；自動化漏洞掃描和利用，黑客可能利用自動化工具對互聯網上的大量目標進行掃描，尋找已知漏洞，并嘗試利用這些漏洞進行入侵[6]；垃圾郵件和網絡釣魚活動，大規模的垃圾郵件發送或網絡釣魚企圖，雖然通過不同的渠道和賬戶實施，但策劃和指令發布往往來源于同一源頭；社交媒體機器人活動，在社交媒體平臺上，大量機器人賬號可能由同一控制者操作，用于傳播虛假信息、輿論引導或進行其他形式的社交工程攻擊。

對于這類攻擊的檢測，需要先通過追蹤和分析，確定攻擊流量是否為同一攻擊源或組織發起，再經過智能檢測對攻擊源數據進一步檢測，判斷是否為機器攻擊[7]。

2.1 同源設備指紋提取

同源設備指紋提取，是指識別出由同一人或同一組織者控制的攻擊源設備的行為特征，并根據特征建立設備指紋庫。攻擊源包括但不限于PC設備（Windows、Linux、Mac終端設備）、移動設備（安卓、蘋果手機或平板）、云端VPS等。根據設備指紋信息，建立本地同源威脅設備指紋庫[8]。本方案的設備指紋識別不采用挑戰應答、注入JS代碼等侵入方式檢測，而是在對流量、日志數據進行分析的基礎上實現。基本原理如圖1所示。

（1）攻擊日志經過流處理，按照時間窗口進行歸并聚合，確定攻擊的攻擊階段。由于攻擊行為的確定通常源于規則匹配結果，在檢測過程中可能存在多個規則表征同一攻擊行為的情況，如果直接基于匹配到的特征進行計算，會產生大量噪聲，并且導致各階段的行為特征混雜，無法正確表征攻擊者的具體行為模式。因此，為了將分散的攻擊特征收斂到與攻擊者行為模式更相關的維度，應當對每一次攻擊進行攻擊階段的劃分和識別。

對于上報的攻擊日志，首先根據ATTamp;CK特征庫將攻擊行為劃分到對應的攻擊分類，然后映射到攻擊鏈模型的不同攻擊階段，包括偵查、入侵、命令控制、橫向移動、目的執行五個階段[9]，如圖2所示。

（2）通過機器學習聚類算法對流量和日志建立初步特征庫。對不同的攻擊階段提取相同維度的特征可以得到攻擊的特征矩陣。具體在每個攻擊階段中，分別提取固定屬性和行為屬性作為特征，其中，固定屬性包括固有的地域、運營商、網段等，行為屬性包括攻擊時間間隔、攻擊手法和手段、攻擊組織、流量特征等，然后基于機器學習的聚類算法對流量和日志進行處理，建立攻擊者的指紋特征庫[10]。

例如，根據IP庫確定攻擊者的地域和運營商，根據安全日志的攻擊類型確定攻擊者的常用攻擊類型和手段，結合威脅情報確定攻擊組織等。

為避免在執行惡意操作時暴露真實IP，攻擊者通常同時或輪流使用從同一代理供應商購買的一個代理或大量代理IP，因此，攻擊者很可能在同一C段和B段中使用多個代理IP，這也可能導致攻擊IP屬于同一個城市或國家。

基于UA字段以及流量特征識別攻擊設備的類型。UA字段是HTTP協議中的一部分，屬于頭域的組成部分，其中包含攻擊者所使用的瀏覽器類型、操作系統、瀏覽器內核等信息的標識，同一攻擊者也很可能向UA中嵌入相似的惡意代碼或使用偽造的相似UA，在HTTP協議頭域rfl用x-via字段記錄代理服務器使用情況，xFF字段同樣存在于HTTP協議頭域中，用于獲取訪問用戶的真實IP，同一攻擊組織在以上攻擊信息中都具有固定性和相似性，這些字段雖然不能直接指征同源的攻擊行為，但具有較高的旁證價值，都能夠成為對攻擊組織同源性分析的線索。

（3）基于特征庫建立外部設備同源指紋。針對設置的同源特征維度（包括地域、運營商、攻擊類型、攻擊組織、設備類型等）對特征庫進行交集分析，分析出同源庫，然后同源庫字段對其余字段進行聚類即得到外部設備同源指紋。選擇某個攻擊者可快速獲取與該攻擊者相關聯的同源設備情況。

2.2 機器攻擊識別

根據對同源設備的日志或流量信息分析建立識別模型，利用識別模型判斷攻擊是否為機器人攻擊。主要包括以下步驟：流量/日志信息輸入、數據過濾篩選、特征提取、按規則分詞、向量化、基于LSTM算法分析等操作，如圖3所示。

為建立有效的機器流量識別模型，首先采集攻擊流量和正常流量的Web日志樣本數據，并采用異常值檢測算法（如IForest）過濾偶發訪問行為。針對日志的語義結構，篩選有用字段并去除無意義字段，通過預設規則對數據進行標記。例如，訪問資源比例過大、HTTP請求無Cookie值、訪問類型單一或異常UA標頭等，均可標記為機器流量。進一步提取時間特征和日志信息特征，統計訪問頻率、錯誤比例、返回狀態碼等內容，結合word2vec對日志字段分詞并向量化處理，為模型提供高質量特征輸入。

基于處理后的數據樣本，使用長短期記憶神經網絡（LSTM）進行模型訓練，輸出能夠精準識別機器流量的模型。模型部署后，系統對流量進行實時監控，初步篩選后，將日志寫入消息隊列，通過消息隊列將日志輸入模型分析，并標記機器流量。對于識別出的惡意流量，可直接拒絕數據申請或中斷連接，同時，保存日志供安全策略聯動處置，實現高效的網絡安全管理。

結語

本文主要研究了大型企業集團的多層級網絡架構環境下，如何更好地采集流量和日志，并檢測機器攻擊，提出了一種機器攻擊檢測方法。通過流量探針，該方法從不同的網絡節點采集和解析流量及日志數據并匯總，利用機器學習建立同源攻擊特征庫，并基于該特征庫識別出攻擊源，進而利用人工智能算法檢測攻擊源數據是否為機器流量，能夠有效提高復雜網絡環境下的機器攻擊檢測效果。

參考文獻：

[1]劉仲維.基于機器學習的DDoS攻擊網絡流量識別方法[J].無線互聯科技，2024，21（7）：109-112.

[2]李永娜，張銳.基于機器學習的網絡攻擊檢測與防御方法研究[J].信息與電腦（理論版），2024，36（1）：177-179.

[3]許云飛.一種基于機器學習的應用層DDoS攻擊檢測方法[D].南京：南京郵電大學，2023.

[4]藍苓倍，張小萍.基于機器學習的DDoS攻擊檢測[J].安徽電氣工程職業技術學院學報，2021，26（3）：114-119.

[5]方友志，譚坤淋.基于機器學習的DDoS攻擊檢測關鍵技術研究[J].網絡安全技術與應用，2021（6）：6-7.

[6]王春東，鄭澤霖.基于優化的堆疊集成區塊鏈DDoS攻擊檢測方法[J/OL].計算機技術與發展，1-9[2024-12-02].https：//doi.org/10.20165/j.cnki.ISSN1673-629X.2024.0310.

[7]閆禹，于澗.基于K-Means算法的SDN網絡DDoS攻擊檢測研究[J].網絡安全和信息化，2024（11）：37-39.

[8]姜舒穎，黃迎春.基于GCN模型的DDoS攻擊檢測技術研究[J].信息技術與信息化，2024（10）：88-91.

[9]駱軼琪.AI和API快速成長引發網絡安全挑戰[N].21世紀經濟報道，2024-09-26（10）.

[10]劉延華，方文昱，劉西蒙，等.基于聯邦增量學習的SDN環境下DDoS攻擊檢測模型[J/OL].計算機學報，1-15[2024-12-02].http：//kns.cnki.net/kcms/detail/11.1826.TP.20240920.1559.002.html.

作者簡介：王珀，本科，信息系統項目管理師，417265188@qq.com，研究方向：工業互聯網安全、工業控制系統網絡安全。