口令爆破作为网络安全领域的常见攻击手段,对用户账号体系造成了严重的威胁与风险。通过结合社团算法的社交网络能力,关联分析日志特征,以访问地址源、访问频率、登录特征作为建边依据,引入浮动微调的多图权重机制,构建多图融合模型,实现了对分布式多间隔口令爆破的精准检测。
(一)社团算法与边界点定义
模块度函数最初被用于衡量社区发现算法结果的质量,它能够刻画发现的社区的紧密程度。同时,当结点加入其某个邻居所在的社区中,如果能够提升当前社区结构的模块度的值,则说明这次迭代优化是可接受的。
为构建社团网络,将每一次页面访问或登录记录作为图中的每一个节点,以访问地址源、访问频率、登录特征作为图中边的特征要素,边权重表示两次访问记录的关联程度。
(二)多图融合模型的构建流程
首先,进行初始化构建社区,即将图中的每个节点看成一个独立的社区。在第1阶段,进行社区间节点转移评估,即将每个节点i依次分配到其每个邻居节点所在的社区,并计算分配前后的模块度差值。反复进行第1阶段操作直至所有节点的所属社区不再变化后,进入第2阶段。在第2阶段,进行重构图中所有社区,即将同一社区的节点重构成一个新社区,社区内节点之间的边权重更新为新节点的环权重,社区间的边权重更新为新节点间的边权重。反复迭代第1阶段和第2阶段,直至整个图的模块度不再发生变化,随后进入第3阶段。在第3阶段,构建并调整多社区的权重,即根据不同图中边的特征要素构建多个社团,并反复循环来调整各图的边特征与图权重,直至符合实际攻击链特征。最后,将多图中的边权重叠加得到风险值,当风险值大于阈值时进行告警,并根据各图中边的关联关系逆向溯源出各社团图的行为链。
(三)模型框架设计
多图融合的模型框架如图所示,包括数据处理层、算法建模层、综合决策层和预警处理层。
多图融合的模型框架图
当前,针对口令爆破攻击的检测技术仍旧面临着巨大的挑战,传统的技术手段在持续满足不断变化的威胁环境上效果有限。本文提出的多图融合的口令爆破检测技术为网络安全领域带来了新的思路和方法。通过改进社团算法,并以访问地址源、访问频率、登录特征为建边依据,构建多图融合模型,并引入浮动微调的多图权重机制,提高了口令爆破攻击检测的准确率和召回率。
ID:gjgcsys
电子商务与支付国家工程研究中心
