[發(fā)明專利]一種基于日志關(guān)聯(lián)分析的攻擊鏈構(gòu)造方法在審

申請?zhí)枺?/td>	202010929922.6	申請日：	2020-09-07
公開（公告）號：	CN112104633A	公開（公告）日：	2020-12-18
發(fā)明（設(shè)計）人：	李騰;廖艾;馬卓;林楊旭;汪雨菲;葉先志;丁宇辰;朱孝羽;沈玉龍;馬建峰	申請（專利權(quán)）人：	西安電子科技大學(xué)
主分類號：	H04L29/06	分類號：	H04L29/06;G06K9/62
代理公司：	西安通大專利代理有限責(zé)任公司 61200	代理人：	房鑫
地址：	710071 陜***	國省代碼：	陜西;61
權(quán)利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關(guān)鍵詞：	一種基于日志關(guān)聯(lián) 分析攻擊構(gòu)造方法
鉆瓜網(wǎng) 技術(shù)展會專利詞庫專利權(quán)人專利榜在售專利公布日期熱門專利

【權(quán)利要求書】：

1.一種基于日志關(guān)聯(lián)分析的攻擊鏈構(gòu)造方法，其特征在于，包括以下步驟：首先，從幾種類型的源中收集不同的系統(tǒng)日志，對數(shù)據(jù)進(jìn)行預(yù)處理使其規(guī)格化；然后，利用LCS將尋找攻擊步驟邏輯規(guī)則的問題轉(zhuǎn)化為從整個條件鏈中尋找最長公共條件序列的問題，構(gòu)造出攻擊鏈后分析事件，得到對應(yīng)條件或事件的日志條目序列；最后，查找條件相同的時間戳來確定系統(tǒng)日志位置，通過分析內(nèi)部事件參數(shù)的關(guān)系來識別具體的攻擊者及其行為，實現(xiàn)攻擊的預(yù)測。

2.根據(jù)權(quán)利要求1所述基于日志關(guān)聯(lián)分析的攻擊鏈構(gòu)造方法，其特征在于：

收集相同類型的攻擊日志，預(yù)處理時定位攻擊的時間戳，并從該點得到不同的系統(tǒng)日志，使用不同維度的數(shù)據(jù)來描述條件；使用Fast Linear SVM來判斷這兩個條件是否屬于同一類別或?qū)儆谕粭l件，如果它們在同一群中，給它們相同的條件標(biāo)簽，反之則給它們不同的條件標(biāo)簽；指定向量每個元組的權(quán)重，把相同攻擊的不同模板數(shù)據(jù)形式化。

3.根據(jù)權(quán)利要求2所述基于日志關(guān)聯(lián)分析的攻擊鏈構(gòu)造方法，其特征在于：所述FastLinear SVM的判斷計算式為：

其中，參數(shù)C_ij表示第i類攻擊的第j個攻擊前采樣序列，a_i＝(C_i1,C_i2,...)表示第i次攻擊，攻擊采樣簇為A＝(a₁,a₂,...)，ω是一個攻擊采樣的比例率，ωC_i1＝C_i2，從不同的采樣中得到相同攻擊的初始條件，從而得到ωC_{i1_1}＝C_{i2_1}；

指定作為向量每個元組的權(quán)重，得到ω時，把相同攻擊的不同模板數(shù)據(jù)形式化。

4.根據(jù)權(quán)利要求1所述基于日志關(guān)聯(lián)分析的攻擊鏈構(gòu)造方法，其特征在于：

構(gòu)造攻擊鏈時首先確定常規(guī)的攻擊步驟，找出兩種前攻擊歷史條件的LCS，將攻擊內(nèi)容構(gòu)造成樹；計算出樹節(jié)點出現(xiàn)的時間，用來表示條件出現(xiàn)的頻率；得到樹結(jié)構(gòu)和頻率，用樹形結(jié)構(gòu)來顯示攻擊條件之間的邏輯關(guān)系，用頻率來顯示攻擊者最常采用的攻擊鏈。

5.根據(jù)權(quán)利要求1所述基于日志關(guān)聯(lián)分析的攻擊鏈構(gòu)造方法，其特征在于：通過條件找到相關(guān)的系統(tǒng)日志，通過日志集群發(fā)現(xiàn)事件并分析事件之間的相關(guān)性；檢測到一個攻擊鏈S₀-W₁S₁-W₁S₂，提取W₁S₁的時間戳來定位相應(yīng)的系統(tǒng)日志，將時間戳上的日志作為事件的中心點日志；設(shè)置一個跨中心點的窗口窗口的長度表示為φ；提取系統(tǒng)日志簇的模板以及事件的固定日志模板序列，通過模板檢索出原始的日志條目并找出攻擊者的特定ID。

6.根據(jù)權(quán)利要求5所述基于日志關(guān)聯(lián)分析的攻擊鏈構(gòu)造方法，其特征在于：

所述的特定ID包括IP地址、MAC地址和工具信息。

7.根據(jù)權(quán)利要求5所述基于日志關(guān)聯(lián)分析的攻擊鏈構(gòu)造方法，其特征在于：

若攻擊者隱藏其身份，使用模板識別事件，先識別出攻擊的前置步驟，然后通過對所有的參數(shù)進(jìn)行關(guān)聯(lián)分析，即識別出真正的攻擊者。

下載完整專利技術(shù)內(nèi)容需要扣除積分，VIP會員可以免費下載。

免登錄下載普通用戶下載升級VIP會員，免費下載

該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息，商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于西安電子科技大學(xué)，未經(jīng)西安電子科技大學(xué)許可，擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作，請聯(lián)系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/202010929922.6/1.html，轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。

上一篇：一種民族傳統(tǒng)體育教學(xué)器材
下一篇：一種提示方法、裝置、設(shè)備及存儲介質(zhì)

同類專利

專利分類

H 電學(xué)

H04 電通信技術(shù)
H04L 數(shù)字信息的傳輸，例如電報通信
H04L29-00 H04L 1/00至H04L 27/00單個組中不包含的裝置、設(shè)備、電路和系統(tǒng)
H04L29-02 .通信控制；通信處理
H04L29-12 .以數(shù)據(jù)終端為特征的
H04L29-14 .故障的應(yīng)對措施
H04L29-04 ..用于多條通信線路的
H04L29-06 ..以協(xié)議為特征的

免登錄下載普通用戶下載升級VIP會員，免費下載

專利文獻(xiàn)下載

說明：

1、專利原文基于中國國家知識產(chǎn)權(quán)局專利說明書；

2、支持發(fā)明專利、實用新型專利、外觀設(shè)計專利（升級中）；

3、專利數(shù)據(jù)每周兩次同步更新，支持Adobe PDF格式；

4、內(nèi)容包括專利技術(shù)的結(jié)構(gòu)示意圖、流程工藝圖或技術(shù)構(gòu)造圖；

5、已全新升級為極速版,下載速度顯著提升！歡迎使用！

請您登陸后，進(jìn)行下載，點擊【登陸】【注冊】