内网横向移动攻击的检测方法及系统[发明专利]

(12)发明专利申请

(10)申请公布号 CN 112511559 A(43)申请公布日 2021.03.16

(21)申请号 202011502958.2(22)申请日 2020.12.17

(71)申请人 中国农业银行股份有限公司

地址 100005 北京市东城区建国门内大街

69号(72)发明人 王世阳　白文龙　刘汝隽　赵迪　

高滢　(74)专利代理机构 北京集佳知识产权代理有限

公司 11227

代理人 钱娜(51)Int.Cl.

H04L 29/06(2006.01)G06F 16/245(2019.01)

权利要求书2页 说明书12页 附图4页

()发明名称

内网横向移动攻击的检测方法及系统(57)摘要

本申请提供的一种内网横向移动攻击的检测方法及系统，提取内网设备中的所有流量特征；将所有流量特征与预先建立的横向移动流量特征库进行匹配；将横向移动流量特征库中匹配成功的内网攻击向量三元组所对应的攻击目的和攻击工具，确定为本次内网横向移动攻击中所使用的攻击目的和攻击工具。在本发明实施例提供的方案中，利用预先建立的横向移动流量特征库与内网设备中的所有流量特征进行匹配，在匹配成功时，可确定本次内网横向移动攻击中所使用的攻击目的和攻击工具，从而实现对内网横向移动攻击进行检测的目的。CN 112511559 ACN 112511559 A

权　利　要　求　书

1/2页

1.一种内网横向移动攻击的检测方法，其特征在于，所述方法包括：提取内网设备中的所有流量特征；

所述预先建立的横将所有所述流量特征与预先建立的横向移动流量特征库进行匹配，

向移动流量特征库中包括多个内网攻击向量三元组，每个所述内网攻击向量三元组包括攻击目的、攻击工具和流量特征向量列表，所述流量特征向量列表包括多个流量特征向量；

将所述横向移动流量特征库中匹配成功的内网攻击向量三元组所对应的攻击目的和攻击工具，确定为本次内网横向移动攻击中所使用的攻击目的和攻击工具。

2.根据权利要求1所述的方法，其特征在于，预先建立横向移动流量特征库的过程，包括：

提取内网横向移动的每种攻击工具进行内网横向移动攻击时产生的攻击流量特征；

并建立与所述攻击流量特征相对应的流量特征向量；分析所述攻击流量特征，

依据所述建立得到的流量特征向量，构建相应的流量特征向量列表；将所述流量特征向量列表、与所述流量特征向量列表所对应的攻击工具，以及与所述攻击工具对应的攻击目的共同组成内网攻击向量三元组，并作为横向移动流量特征库。

3.根据权利要求1所述的方法，其特征在于，将所有所述流量特征与预先建立的横向移动流量特征库进行匹配的过程，包括：

依据所有所述流量特征，构建与所有所述流量特征相对应的流量特征向量列表；将所述横向移动流量特征库中的每个攻击向量三元组中的流量特征向量列表，与所述流量特征向量列表逐一进行匹配；

将用于匹配的攻击向量三元组中的流量特征向量列表中的每个流量特征向量的每一维度值，与所述流量特征向量列表中每个流量特征向量的同一维度且不为空的维度值进行比较；

若比较结果均相同，确定匹配成功；若比较结果不相同，确定匹配失败。

4.根据权利要求1至3中任一项所述的方法，其特征在于，还包括：

获取与所述横向移动流量特征库匹配成功的流量特征相对应的源IP和目的IP；根据所述源IP、所述目的IP，以及所述横向移动流量特征库中匹配成功的内网攻击向量三元组所对应的攻击目的和攻击工具，建立横向移动四维向量。

5.根据权利要求4所述的方法，其特征在于，还包括：根据所述横向移动四维向量，建立本次内网横向移动攻击的有向图。6.一种内网横向移动攻击的检测系统，其特征在于，所述系统包括：提取单元，用于提取内网设备中的所有流量特征；匹配单元，用于将所有所述流量特征与预先建立的横向移动流量特征库进行匹配，所述预先建立的横向移动流量特征库中包括多个内网攻击向量三元组，每个所述内网攻击向量三元组包括攻击目的、攻击工具和流量特征向量列表，所述流量特征向量列表包括多个流量特征向量；

确定单元，用于将所述横向移动流量特征库中匹配成功的内网攻击向量三元组所对应的攻击目的和攻击工具，确定为本次内网横向移动攻击中所使用的攻击目的和攻击工具。

7.根据权利要求6所述的系统，其特征在于，还包括：构建单元，所述构建单元包括：

2

CN 112511559 A

权　利　要　求　书

2/2页

提取模块，用于提取内网横向移动的每种攻击工具进行内网横向移动攻击时产生的攻击流量特征；

分析模块，用于分析所述攻击流量特征，并建立与所述攻击流量特征相对应的流量特征向量；

第一构建模块，用于依据所述建立得到的流量特征向量，构建相应的流量特征向量列表；

处理模块，用于将所述流量特征向量列表、与所述流量特征向量列表所对应的攻击工具，以及与所述攻击工具对应的攻击目的共同组成内网攻击向量三元组，并作为横向移动流量特征库。

8.根据权利要求6所述的系统，其特征在于，所述匹配单元，包括：第二构建模块，用于依据所有所述流量特征，构建与所有所述流量特征相对应的流量特征向量列表；

匹配模块，用于将所述横向移动流量特征库中的每个攻击向量三元组中的流量特征向量列表，与所述流量特征向量列表逐一进行匹配；将用于匹配的攻击向量三元组中的流量特征向量列表中的每个流量特征向量的每一维度值，与所述流量特征向量列表中每个流量特征向量的同一维度且不为空的维度值进行比较；若比较结果均相同，确定匹配成功；若比较结果不相同，确定匹配失败。

9.根据权利要求6至8中任一项所述的系统，其特征在于，还包括：获取单元，用于获取与所述横向移动流量特征库匹配成功的流量特征相对应的源IP和目的IP；

第一建立单元，用于根据所述源IP、所述目的IP，以及所述横向移动流量特征库中匹配成功的内网攻击向量三元组所对应的攻击目的和攻击工具，建立横向移动四维向量。

10.根据权利要求9所述的系统，其特征在于，还包括：第二建立单元，用于根据所述横向移动四维向量，建立本次内网横向移动攻击的有向图。

3

CN 112511559 A

说　明　书

内网横向移动攻击的检测方法及系统

1/12页

技术领域

[0001]本发明涉及计算机技术领域，具体地说，涉及一种内网横向移动攻击的检测方法及系统。

背景技术

[0002]横向移动攻击是复杂的内网攻击中被广泛使用的一项技术，攻击者会利用该技术，以被攻陷的主机作为跳板，访问内网中其他主机，从而扩大被攻陷的资产范围(包括跳板机器中的文档和存储的凭证等)。通过横向移动攻击，攻击者可以最终获得域控权限，进而控制全部设备，从而达到窃取重要资料、驻留内网系统等目的，给企业等组织的信息安全造成严重威胁。因此，横向移动攻击检测技术对于企业网络安全防御体系建设而言至关重要。

[0003]然而，传统的入侵检测方法用于对外部网络攻击入侵进行检测，而不能对内网横向移动攻击进行检测。对此，本领域技术人员亟需提出一种对内网横向移动攻击进行检测的方案。

发明内容

[0004]有鉴于此，以实现本发明实施例提供一种内网横向移动攻击的检测方法及系统，对内网横向移动攻击进行检测的目的。[0005]为实现上述目的，本发明实施例提供如下技术方案：

[0006]本发明实施例第一方面公开了一种内网横向移动攻击的检测方法，所述方法包括：

[0007]提取内网设备中的所有流量特征；

[0008]将所有所述流量特征与预先建立的横向移动流量特征库进行匹配，所述预先建立的横向移动流量特征库中包括多个内网攻击向量三元组，每个所述内网攻击向量三元组包括攻击目的、攻击工具和流量特征向量列表，所述流量特征向量列表包括多个流量特征向量；

[0009]将所述横向移动流量特征库中匹配成功的内网攻击向量三元组所对应的攻击目的和攻击工具，确定为本次内网横向移动攻击中所使用的攻击目的和攻击工具。[0010]可选的，预先建立横向移动流量特征库的过程，包括：

[0011]提取内网横向移动的每种攻击工具进行内网横向移动攻击时产生的攻击流量特征；

[0012]分析所述攻击流量特征，并建立与所述攻击流量特征相对应的流量特征向量；[0013]依据所述建立得到的流量特征向量，构建相应的流量特征向量列表；[0014]将所述流量特征向量列表、与所述流量特征向量列表所对应的攻击工具，以及与所述攻击工具对应的攻击目的共同组成内网攻击向量三元组，并作为横向移动流量特征库。

4

CN 112511559 A[0015]

说　明　书

2/12页

可选的，将所有所述流量特征与预先建立的横向移动流量特征库进行匹配的过

程，包括：

[0016]依据所有所述流量特征，构建与所有所述流量特征相对应的流量特征向量列表；[0017]将所述横向移动流量特征库中的每个攻击向量三元组中的流量特征向量列表，与所述流量特征向量列表逐一进行匹配；

[0018]将用于匹配的攻击向量三元组中的流量特征向量列表中的每个流量特征向量的每一维度值，与所述流量特征向量列表中每个流量特征向量的同一维度且不为空的维度值进行比较；

[0019]若比较结果均相同，确定匹配成功；[0020]若比较结果不相同，确定匹配失败。[0021]可选的，还包括：

[0022]获取与所述横向移动流量特征库匹配成功的流量特征相对应的源IP和目的IP；[0023]根据所述源IP、所述目的IP，以及所述横向移动流量特征库中匹配成功的内网攻击向量三元组所对应的攻击目的和攻击工具，建立横向移动四维向量。[0024]可选的，还包括：

[0025]根据所述横向移动四维向量，建立本次内网横向移动攻击的有向图。[0026]本发明实施例第二方面公开了一种内网横向移动攻击的检测系统，所述系统包括：

[0027]提取单元，用于提取内网设备中的所有流量特征；[0028]匹配单元，用于将所有所述流量特征与预先建立的横向移动流量特征库进行匹配，所述预先建立的横向移动流量特征库中包括多个内网攻击向量三元组，每个所述内网攻击向量三元组包括攻击目的、攻击工具和流量特征向量列表，所述流量特征向量列表包括多个流量特征向量；[0029]确定单元，用于将所述横向移动流量特征库中匹配成功的内网攻击向量三元组所对应的攻击目的和攻击工具，确定为本次内网横向移动攻击中所使用的攻击目的和攻击工具。

[0030]可选的，构建单元，所述构建单元包括：还包括：[0031]提取模块，用于提取内网横向移动的每种攻击工具进行内网横向移动攻击时产生的攻击流量特征；[0032]分析模块，用于分析所述攻击流量特征，并建立与所述攻击流量特征相对应的流量特征向量；

[0033]第一构建模块，用于依据所述建立得到的流量特征向量，构建相应的流量特征向量列表；

[0034]处理模块，用于将所述流量特征向量列表、与所述流量特征向量列表所对应的攻击工具，以及与所述攻击工具对应的攻击目的共同组成内网攻击向量三元组，并作为横向移动流量特征库。[0035]可选的，所述匹配单元，包括：[0036]第二构建模块，用于依据所有所述流量特征，构建与所有所述流量特征相对应的流量特征向量列表；

5

CN 112511559 A[0037]

说　明　书

3/12页

匹配模块，用于将所述横向移动流量特征库中的每个攻击向量三元组中的流量特

征向量列表，与所述流量特征向量列表逐一进行匹配；将用于匹配的攻击向量三元组中的流量特征向量列表中的每个流量特征向量的每一维度值，与所述流量特征向量列表中每个流量特征向量的同一维度且不为空的维度值进行比较；若比较结果均相同，确定匹配成功；若比较结果不相同，确定匹配失败。[0038]可选的，还包括：[0039]获取单元，用于获取与所述横向移动流量特征库匹配成功的流量特征相对应的源IP和目的IP；

[0040]第一建立单元，用于根据所述源IP、所述目的IP，以及所述横向移动流量特征库中匹配成功的内网攻击向量三元组所对应的攻击目的和攻击工具，建立横向移动四维向量。[0041]可选的，还包括：[0042]第二建立单元，用于根据所述横向移动四维向量，建立本次内网横向移动攻击的有向图。

[0043]基于上述本发明实施例提供的内网横向移动攻击的检测方法及系统，提取内网设备中的所有流量特征；将所有流量特征与预先建立的横向移动流量特征库进行匹配，所述预先建立的横向移动流量特征库中包括多个内网攻击向量三元组，每个所述内网攻击向量三元组包括攻击目的、攻击工具和流量特征向量列表，所述流量特征向量列表包括多个流量特征向量；将横向移动流量特征库中匹配成功的内网攻击向量三元组所对应的攻击目的和攻击工具，确定为本次内网横向移动攻击中所使用的攻击目的和攻击工具。在本发明实施例提供的方案中，利用预先建立的横向移动流量特征库与内网设备中的所有流量特征进行匹配，在匹配成功时，可确定本次内网横向移动攻击中所使用的攻击目的和攻击工具，从而实现对内网横向移动攻击进行检测的目的。

附图说明

[0044]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

[0045]图1为本发明实施例提供的一种内网横向移动攻击的检测方法的流程示意图；[0046]图2为本发明实施例提供的另一种内网横向移动攻击的检测方法的流程示意图；[0047]图3为本发明实施例提供的一种内网横向移动攻击的网络环境拓扑图；[0048]图4为本发明实施例提供的一种内网横向移动攻击的有向图；

[0049]图5为本发明实施例提供的一种内网横向移动攻击的检测系统的结构框图。具体实施方式

[0050]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

6

CN 112511559 A[0051]

说　明　书

4/12页

在本申请中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，

从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

[0052]本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。[0053]根据背景技术可知，传统的入侵检测方法用于对外部网络攻击入侵进行检测，而不能对内网横向移动攻击进行检测。[00]为此，本发明实施例提供一种内网横向移动攻击的检测方法及系统，以实现对内网横向移动攻击进行检测的目的。

[0055]在本发明实施例中具体涉及到以下术语：[0056]横向移动技术：是指复杂的内网攻击中被广泛使用的一项技术。攻击者利用该技术进行横向移动攻击时，以被攻陷的系统为跳板，访问其他内网主机，扩大资产范围(包括跳板系统中的文档和存储的凭证，以及通过跳板系统连接的数据库、域控制器或者其他重要资产)。

[0057]攻击特征：是指攻击者在完成从突破边界到拿到目标主机的权限的过程中，会对被攻击的主机产生一系列的操作，例如远程访问、网页木马写入、凭据传递等。在攻击的主机的操作过程中，被攻击的主机会产生对应的信息：主机日志、主机流量等，这些信息即为攻击特征。通过这些攻击特征可以检测攻击者。[0058]攻击链：攻击者在执行网络入侵的过程中，为了越过企业的纵深防御体系，会采用各种手段去突破各台主机的防御。在进入核心系统之前，攻击者会通过在已经攻占的区域中继续获取其他主机的权限(即横向移动)，从而不断地扩大攻击面。以有向链表的形式表示攻击者在内网中横向移动过程的完整记录，即可获得攻击者的攻击链。[0059]本发明实施例提供一种内网横向移动攻击的检测方法及系统，具体实现过程通过以下实施例进行介绍说明。[0060]请参见图1，示出了本发明实施例提供的一种内网横向移动攻击的检测方法的流程示意图。该方法包括以下步骤：[0061]S101：提取内网设备中的所有流量特征。[0062]在具体实现步骤S101的过程中，可以通过部署在内网环境中的流量检测工具，对内网设备进行流量检测，并对检测到的所有流量进行流量特征的提取，得到所有流量特征。[0063]S102：将所有流量特征与预先建立的横向移动流量特征库进行匹配。[00]在步骤S102中，预先建立的横向移动流量特征库中包括多个内网攻击向量三元组，每个内网攻击向量三元组包括攻击目的、攻击工具和流量特征向量列表，流量特征向量列表包括多个流量特征向量。

[0065]在具体实现步骤S102的过程中，可以基于执行步骤S101得到的所有流量特征，构建与该所有流量特征相应的流量特征向量列表，并将该流量特征向量列表与横向移动流量

7

CN 112511559 A

说　明　书

5/12页

特征库中的流量特征向量列表进行匹配。[0066]S103：将横向移动流量特征库中匹配成功的内网攻击向量三元组所对应的攻击目的和攻击工具，确定为本次内网横向移动攻击中所使用的攻击目的和攻击工具。[0067]在具体实现步骤S103的过程中，基于步骤S102的执行结果为匹配成功时，将横向移动流量特征库中匹配成功的内网攻击向量三元组所对应的攻击目的，确定为本次内网横向移动攻击中所使用的攻击目的，将横向移动流量特征库中匹配成功的内网攻击向量三元组所对应的攻击工具，确定为本次内网横向移动攻击中所使用的攻击工具。[0068]基于上述本发明实施例提供的内网横向移动攻击的检测方法，利用预先建立的横向移动流量特征库与内网设备中的所有流量特征进行匹配，在匹配成功时，可确定本次内网横向移动攻击中所使用的攻击目的和攻击工具，从而实现对内网横向移动攻击进行检测的目的。

[0069]基于上述本发明实施例提供的内网横向移动攻击的检测方法，在步骤S102中涉及的横向移动流量特征库为预先建立，具体的，预先建立横向移动流量特征库的过程包括以下步骤：

[0070]S11：提取内网横向移动的每种攻击工具进行内网横向移动攻击时产生的攻击流量特征。

[0071]在具体实现步骤S11的过程中，利用流量检测工具，检测内网横向移动的每种攻击工具在进行内网横向移动攻击时产生的攻击流量，并对检测到的攻击流量进行流量特征的提取，得到每种攻击工具进行内网横向移动攻击时产生的攻击流量特征。[0072]S12：分析攻击流量特征，并建立与攻击流量特征相对应的流量特征向量。

[0073]基于执行步骤S11得到的每种攻击工具进行内网横向移动攻击时产生的攻击流量特征，对每种攻击工具产生的攻击流量特征进行分析，并建立与每种攻击工具产生的攻击流量特征相对应的流量特征向量。可选的，流量特征向量若为六维向量，该流量特征向量可包括协议、通信域名特征、通信IP特征、端口特征、内容特征和发送次数。具体以S表示流量特征向量，每条流量特征向量的格式为：[0074]S＝<协议，通信IP特征，端口特征，内容特征，发送次数>。通信域名特征，[0075]以内网转发工具ngrok为例，若内网转发工具ngrok通信流量中包含两条流量特征：

[0076]第一条流量特征为：ngrok在进行流量转发的时候，使用IPv6与外部网络进行通信。

[0077]第二条流量特征为：ngrok在进行流量转发的时候，通信地址中包含字符串’ngrok’。[0078]则所建立的对应第一条流量特征的流量特征向量S1具体可表示为：[0079]S1＝。[0080]所建立的对应第二条流量特征的流量特征向量S2具体可表示为：[0081]S2＝。[0082]S13：依据建立得到的流量特征向量，构建相应的流量特征向量列表。

[0083]基于执行步骤S12得到的与每种攻击工具产生的攻击流量特征相对应的流量特征向量，构建与每种攻击工具相应的流量特征向量列表。该流量特征向量列表为流量特征向

8

CN 112511559 A

说　明　书

6/12页

量的集合。[0084]S14：将流量特征向量列表、与流量特征向量列表所对应的攻击工具，以及与攻击工具对应的攻击目的共同组成内网攻击向量三元组，并作为横向移动流量特征库。[0085]基于执行步骤S13得到的与每种攻击工具相应的流量特征向量列表，将该流量特征向量列表、与该流量特征向量列表相对应的攻击工具，以及与该攻击工具相对应的攻击目的共同组成内网攻击向量三元组，并将组成的所有内网攻击向量三元组作为横向移动流量特征库。

[0086]具体以P表示内网攻击向量三元组，其格式为：[0087]P＝<攻击目的，攻击工具，流量特征向量列表>。[0088]同样以内网转发工具ngrok为例，则所建立的内网攻击向量三元组P具体可表示为：

[00]P＝<‘流量转发’，‘ngrok’，[S1，S2，S3...Sn]>。[0090]具体以M表示横向移动流量特征库，其是内网攻击向量三元组的集合，其格式为：[0091]M＝{P0，P1，P2，...，Pn}。[0092]其中，n的取值为大于1的正整数。[0093]在本发明实施例中，针对内网横向移动的每种攻击工具，提取其在进行内网横向移动攻击时产生的攻击流量特征，并进行分析，并构建相应的流量特征向量、流量特征向量列表和内网攻击向量三元组，从而建立横向移动流量特征库，后续利用该横向移动流量特征库进行流量特征匹配，根据匹配结果可确定内网横向移动攻击的情况，实现了对内网横向移动攻击进行检测的目的。

[0094]基于上述本发明实施例提供的内网横向移动攻击的检测方法，具体执行步骤S102将所有流量特征与预先建立的横向移动流量特征库进行匹配的过程包括以下步骤：[0095]S21：依据所有流量特征，构建与所有流量特征相对应的流量特征向量列表。[0096]在具体实现步骤S21的过程中，依据所有流量特征，构建与所有流量特征相对应的流量特征向量，并依据得到的流量特征向量，构建与流量特征向量相对应的流量特征向量列表。

[0097]S22：将横向移动流量特征库中的每个攻击向量三元组中的流量特征向量列表，与流量特征向量列表逐一进行匹配。

[0098]在具体实现步骤S22的过程中，将横向移动流量特征库中的每个攻击向量三元组中的流量特征向量列表，与基于执行步骤S21得到的流量特征向量列表逐一进行匹配。具体的，将横向移动流量特征库中用于匹配的每个攻击向量三元组中的流量特征向量列表中的每个流量特征向量，与基于执行步骤S21得到的流量特征向量列表中的每个流量特征向量逐一进行匹配。

[0099]如果横向移动流量特征库中用于匹配的某个攻击向量三元组中流量特征向量列表的每个流量特征向量，与基于执行步骤S21得到的流量特征向量列表的每个流量特征向量的比较结果均相同，则确定匹配成功，否则，确定匹配失败。[0100]为便于理解上述比较流量特征向量的过程，下面举例说明。[0101]比如，流量特征向量列表L1和流量特征向量列表L2进行比较：[0102]其中，流量特征向量列表L1表示的是横向移动流量特征库中用于匹配的某个攻击

9

CN 112511559 A

说　明　书

7/12页

向量三元组中的流量特征向量列表，L1＝[S1，S2，S3]，流量特征向量列表L2表示的是基于执行步骤S21得到的流量特征向量列表，L2＝[S4，S5，S6]。

[0103]当流量特征向量S1和流量特征向量S4比较结果相同，且流量特征向量S2和流量特征向量S5比较结果相同，且流量特征向量S3和流量特征向量S6比较结果相同时，则确定匹配成功。

[0104]上述流量特征向量列表的匹配过程可用伪代码表示如下：[0105]输入：某次攻击的流量特征列表L，某个攻击向量P[0106]输出：攻击的特征L是否和P所代表的攻击向量特征吻合

[0107]

需要说明的是，上述伪代码中，L表示的是内网横向移动攻击发生时，所构建的与攻击流量特征对应的流量特征向量列表，P表示的是横向移动流量特征库中攻击向量三元组中的流量特征向量列表。[0109]S23：将用于匹配的攻击向量三元组中的流量特征向量列表中的每个流量特征向量的每一维度值，与流量特征向量列表中每个流量特征向量的同一维度且不为空的维度值进行比较。

[0110]在具体实现步骤S23的过程中，将横向移动流量特征库中用于匹配的攻击向量三元组，将该攻击向量三元组中的流量特征向量列表中的每个流量特征向量的每一维度值，与基于执行步骤S21得到的流量特征向量列表中的每个流量特征向量的同一维度且不为空的维度值进行比较。[0111]也就是说，将横向移动流量特征库中用于匹配的每个流量特征向量的第一个维度值至第六个维度值，分别与基于执行步骤S21得到的流量特征向量列表中的每个流量特征

在比较时，若基于执行步骤S21得到的流量向量的第一个维度值至第六个维度值进行比较，

特征向量列表中的每个流量特征向量中存在某一个维度值为空值时，则该维度值不参与比较。如果每个维度值的比较结果均相同，则确定匹配成功，如果存在至少一个维度值的比较结果不同，则确定匹配失败。

[0112]为便于理解上述比较流量特征向量的维度值的过程，结合执行步骤S22过程中的举例，下面以流量特征向量S1和流量特征向量S4比较为例进一步举例说明。[0113]比如，流量特征向量S1＝<第一协议，第一通信域名特征，第一通信IP特征，第一端口特征，第一内容特征，第一发送次数>[0114]流量特征向量S4＝<第二协议，第二通信域名特征，NULL，NULL，NULL，NULL>[0115]则将流量特征向量S1中第一个维度值即第一协议，与流量特征向量S4中第一个维度值即第二协议进行比较，将流量特征向量S1中第二个维度值即第一通信域名特征，与流量特征向量S4中第二个维度值即第二通信域名特征进行比较。如果第一协议与第二协议比较结果相同，第一通信域名特征与第二通信域名特征比较结果相同，则确定匹配成功。

10

[0108]

CN 112511559 A[0116][0117][0118]

说　明　书

8/12页

上述流量特征向量的匹配过程可用伪代码表示如下：输入：待匹配的六维向量S1和S2输出：布尔值、是否可以完成匹配

[0119]

需要说明的是，上述伪代码中，S1表示的是内网横向移动攻击发生时，所构建的与

攻击流量特征对应的流量特征向量，S2表示的是横向移动流量特征库中攻击向量三元组中的流量特征向量。

[0121]在本发明实施例中，通过构建与内网设备中的所有流量特征对应的流量特征向量列表，并与横向移动流量特征库中的每个攻击向量三元组中的流量特征向量列表进行匹配，并将用于匹配的攻击向量三元组中的流量特征向量列表中的每个流量特征向量的每一维度值，与流量特征向量列表中每个流量特征向量的同一维度且不为空的维度值进行比较，根据比较结果确定是否匹配成功，进而确定内网横向移动攻击的情况，实现了对内网横向移动攻击进行检测的目的。

[0122]基于上述本发明实施例提供的内网横向移动攻击的检测方法，请参见图2，示出了本发明实施例提供的另一种内网横向移动攻击的检测方法的流程示意图。该方法包括以下步骤：

[0123]S201：提取内网设备中的所有流量特征。[0124]S202：将所有流量特征与预先建立的横向移动流量特征库进行匹配。[0125]S203：将横向移动流量特征库中匹配成功的内网攻击向量三元组所对应的攻击目的和攻击工具，确定为本次内网横向移动攻击中所使用的攻击目的和攻击工具。

[0126]具体实现步骤S201至步骤S203的过程可参见步骤S101至步骤S103中对应记载的内容，这里不再进行赘述。[0127]S204：获取与横向移动流量特征库匹配成功的流量特征相对应的源IP和目的IP。[0128]在具体实现步骤S204的过程中，根据执行步骤S202的结果为匹配成功时，基于与横向移动流量特征库匹配成功的流量特征，获取与其相对应的源IP和目的IP。[0129]S205：根据源IP、目的IP，以及横向移动流量特征库中匹配成功的内网攻击向量三元组所对应的攻击目的和攻击工具，建立横向移动四维向量。[0130]在具体实现步骤S205的过程中，基于执行步骤S203得到的攻击目的和攻击工具，以及基于执行步骤S204得到的源IP和目的IP，建立横向移动四维向量。[0131]为便于直观理解横向移动四维向量、攻击目的、攻击工具、源IP和目的IP之间的关系，将横向移动四维向量以C表示，则横向移动四维向量C可为如下形式：[0132]C＝(攻击目的，攻击工具，源IP，目的IP)

11

[0120]

CN 112511559 A[0133]

说　明　书

9/12页

S206：根据横向移动四维向量，建立本次内网横向移动攻击的有向图。

[0134]在实际情况中，一次内网横向移动攻击中通常使用有多种攻击工具，每种攻击工具又对应有一种攻击目的、一个源IP和一个目的IP，因此，一次内网横向移动攻击中会产生多个横向移动四维向量，根据多个横向移动四维向量，组成横向移动列表，并根据该横向移动列表建立本次内网横向移动攻击的有向图。

[0135]为便于理解横向移动列表与横向移动四维向量之间的关系，将横向移动列表以W表示、横向移动四维向量以C表示，则横向移动列表W可为如下形式：[0136]W＝{C0,C1…Cn‑1,Cn}

[0137]建立内网横向移动攻击的有向图的过程可用伪代码表示如下：[0138]输入：横向移动向量列表W[0139]输出：字典格式(key：value键值对)的横向移动图Res,key为源IP，value为该源IP移动过的目的IP列表

[0140]

在本发明实施例中，利用预先建立的横向移动流量特征库与内网设备中的所有流

量特征进行匹配，在匹配成功时，可确定本次内网横向移动攻击中所使用的攻击目的和攻击工具，实现了对内网横向移动攻击进行检测的目的；并且，通过获取与横向移动流量特征库匹配成功的流量特征相对应的源IP和目的IP，从而根据攻击目的、攻击工具、源IP和目的IP建立横向移动四维向量，进而建立本次内网横向移动攻击的有向图，实现了对内网横向移动攻击进行溯源的目的。

[0142]基于上述本发明实施例提供的内网横向移动攻击的检测方法，结合图3，下面以一具体例子对建立内网横向移动攻击的有向图的过程进行介绍。[0143]参见图3所示的网络环境拓扑图：

[0144]A主机为部署了phpstudy的Web服务器，且安装了Windows自带的防火墙，并接入互联网，开放80端口，IP地址为：192.168.17.12；[0145]B主机为部署了Windows Server2008的域控服务器，未接入互联网，IP地址为：192.168.17.4；

12

[0141]

CN 112511559 A[0146]

说　明　书

10/12页

C为同一域下的部署了Windows的一台主机，接入互联网，但没有对外开放的敏感

端口，IP地址为：192.168.17.13。[0147]攻击者使用的IP地址为：112.210.12.137，攻击者进行网络入侵的过程如下：[0148]攻击者通过目录扫描，发现了Web服务器即A主机中的phpmyadmin目录，并通过弱口令root/root进行登录；[0149]登录之后，在phpmyadmin目录中使用全局日志写入webshell，并使用蚁剑连接木马，得到administrator权限的正向shell；[0150]使用该正向shell添加新用户，使用ngrok进行流量转发来绕过防火墙，并通过33端口远程登录A主机；[0151]登录A主机之后，通过收集A主机信息确定A主机所在的内网ip，以及是否有域控服务器，并向A主机上传明文密码抓取工具，以抓取A主机的明文密码；[0152]用Metasploit生成木马，并上传到A主机，并在A主机上添加可以让攻击者和域控

并使用ipc管道把木马复制到域控服务器即B主机和C主机；服务器互联的路由，

[0153]使用WMI远程执行木马，获取域控服务器即B主机的反弹shell，并使用meterpreter获取域控服务器的system权限。[01]基于攻击者进行网络入侵的上述过程，进行如下分析并建立内网横向移动攻击的有向图：

[0155]1)通过互联网流量检测设备，发现了中国蚁剑的流量，建立如下横向移动四维向量：

[0156][0157]2)检测到ngrok的流量，建立如下横向移动四维向量：[0158]<流量转发，ngrok，192.168.17.12，某外部IP>[0159]3)检测到ipc的攻击，建立如下横向移动四维向量：[0160][0161][0162]4)检测到WMI远程执行命令的流量，建立如下横向移动四维向量：[0163]<木马执行，WMI，192.168.17.12，192.168.17.4>[01]<木马执行，WMI，192.168.17.12，192.168.17.13>[0165]5)根据上述的横向移动四维向量，最终建立的内网横向移动攻击的有向图可以如图4所示。

[0166]在本发明实施例中，通过确定内网横向移动攻击发生时所对应的攻击目的、攻击工具、源IP和目的IP，并建立横向移动四维向量，进而建立内网横向移动攻击的有向图，从而达到对内网横向移动攻击进行溯源的目的。

[0167]上述本发明实施例公开了内网横向移动攻击的检测方法，相应的，本发明实施例还公开一种内网横向移动攻击的检测系统。请参见图5，示出了本发明实施例提供的一种内网横向移动攻击的检测系统的结构框图。[0168]该系统包括：提取单元501、匹配单元502和确定单元503。[0169]提取单元501，用于提取内网设备中的所有流量特征。[0170]匹配单元502，用于将提取单元提取的所有流量特征与预先建立的横向移动流量

13

CN 112511559 A

说　明　书

11/12页

特征库进行匹配，所述预先建立的横向移动流量特征库中包括多个内网攻击向量三元组，每个所述内网攻击向量三元组包括攻击目的、攻击工具和流量特征向量列表，所述流量特征向量列表包括多个流量特征向量。[0171]确定单元503，用于将横向移动流量特征库中匹配成功的内网攻击向量三元组所对应的攻击目的和攻击工具，确定为本次内网横向移动攻击中所使用的攻击目的和攻击工具。

[0172]可选的，该系统还包括：构建单元；该构建单元包括：[0173]提取模块，用于提取内网横向移动的每种攻击工具进行内网横向移动攻击时产生的攻击流量特征。[0174]分析模块，用于分析攻击流量特征，并建立与攻击流量特征相对应的流量特征向量。

[0175]第一构建模块，用于依据建立得到的流量特征向量，构建相应的流量特征向量列表。

[0176]处理模块，用于将流量特征向量列表、与流量特征向量列表所对应的攻击工具，以及与攻击工具对应的攻击目的共同组成内网攻击向量三元组，并作为横向移动流量特征库。

[0177]可选的，包括：匹配单元，[0178]第二构建模块，用于依据所有流量特征，构建与所有流量特征相对应的流量特征向量列表。

[0179]匹配模块，用于将横向移动流量特征库中的每个攻击向量三元组中的流量特征向量列表，与所述流量特征向量列表逐一进行匹配；将用于匹配的攻击向量三元组中的流量特征向量列表中的每个流量特征向量的每一维度值，与所述流量特征向量列表中每个流量特征向量的同一维度且不为空的维度值进行比较；若比较结果均相同，确定匹配成功；若比较结果不相同，确定匹配失败。[0180]可选的，该系统还包括：获取单元和第一建立单元。[0181]该获取单元，用于获取与横向移动流量特征库匹配成功的流量特征相对应的源IP和目的IP。

[0182]该第一建立单元，用于根据源IP、目的IP，以及横向移动流量特征库中匹配成功的内网攻击向量三元组所对应的攻击目的和攻击工具，建立横向移动四维向量。[0183]可选的，该系统还包括：第二建立单元。[0184]该第二建立单元，用于根据横向移动四维向量，建立本次内网横向移动攻击的有向图。

[0185]上述本发明实施例公开的内网横向移动攻击的检测系统中的各个单元以及各个模块的具体实现原理可参见上述本发明实施例公开的内网横向移动攻击的检测方法中相应的内容，这里不再赘述。

[0186]基于上述本发明实施例提供的内网横向移动攻击的检测系统，提取单元提取内网设备中的所有流量特征；匹配单元将所有流量特征与预先建立的横向移动流量特征库进行匹配，所述预先建立的横向移动流量特征库中包括多个内网攻击向量三元组，每个所述内网攻击向量三元组包括攻击目的、攻击工具和流量特征向量列表，所述流量特征向量列表

14

CN 112511559 A

说　明　书

12/12页

包括多个流量特征向量；确定单元将横向移动流量特征库中匹配成功的内网攻击向量三元组所对应的攻击目的和攻击工具，确定为本次内网横向移动攻击中所使用的攻击目的和攻击工具。在本发明实施例提供的方案中，利用预先建立的横向移动流量特征库与内网设备中的所有流量特征进行匹配，在匹配成功时，可确定本次内网横向移动攻击中所使用的攻击目的和攻击工具，从而实现对内网横向移动攻击进行检测的目的。[0187]本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术

即可以理解并实施。人员在不付出创造性劳动的情况下，

[0188]专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

[01]对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

15

CN 112511559 A

说　明　书　附　图

1/4页

图1

16

CN 112511559 A

说　明　书　附　图

2/4页

图2

17

CN 112511559 A

说　明　书　附　图

3/4页

图3

图4

18

CN 112511559 A

说　明　书　附　图

4/4页

图5

19