[發(fā)明專利]一種基于圖核聚類的威脅狩獵方法在審
| 申請?zhí)枺?/td> | 202210305603.7 | 申請日: | 2022-03-25 |
| 公開(公告)號: | CN114662096A | 公開(公告)日: | 2022-06-24 |
| 發(fā)明(設(shè)計)人: | 李家威;程杰;張茹;劉建毅;高雅婷;王嬋;夏昂;崔博;孔漢章 | 申請(專利權(quán))人: | 北京郵電大學(xué);國家電網(wǎng)有限公司信息通信分公司;國網(wǎng)山東省電力公司信息通信公司 |
| 主分類號: | G06F21/55 | 分類號: | G06F21/55;G06K9/62;G06F16/36;G06F16/17 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 100876 *** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 基于 圖核聚類 威脅 狩獵 方法 | ||
1.一種基于圖核聚類的威脅狩獵方法,其特征在于,包括:
A、構(gòu)建行為依賴圖:從審計日志中抽取實體和實體之間的關(guān)系構(gòu)建行為依賴圖,并基于密度對長時間運行的進(jìn)程進(jìn)行分區(qū),其中行為依賴圖是帶標(biāo)簽的有向圖,節(jié)點表示系統(tǒng)層實體,有向邊表示實體之間的操作關(guān)系;
B、相似度計算與聚類:針對行為依賴圖的特點,設(shè)計圖核方法將行為依賴圖嵌入到高維空間,并在高維空間中計算圖之間的相似度得到圖核矩陣,其中,圖核矩陣可以看作相似度矩陣,再利用聚類方法對圖核矩陣進(jìn)行分析,實現(xiàn)正常行為與異常行為的分離;
C、威脅評估:通過類簇中圖的數(shù)量判斷哪些類簇包含異常行為,對異常行為圖進(jìn)行威脅評估量化,計算異常行為圖的威脅值,最終實現(xiàn)威脅狩獵。
2.根據(jù)權(quán)利要求1所述的一種基于圖核聚類的威脅狩獵方法,其特征在于,步驟A進(jìn)一步包括以下步驟:
A1、從審計日志中抽取實體和其屬性信息,實體的類型有進(jìn)程、文件、IP和用戶,屬性信息包括實體名稱和實體之間的關(guān)系等,例如進(jìn)程名和進(jìn)程ID,文件名路徑和文件名,以及進(jìn)程對文件的讀寫操作等;
A2、基于A1步驟中抽取的實體信息構(gòu)建依賴圖,依賴圖的節(jié)點表示實體,并根據(jù)實體的屬性信息為節(jié)點分配節(jié)點標(biāo)簽,依賴圖的有向邊表示實體之間的關(guān)系;
A3、利用進(jìn)程生命周期內(nèi)依賴在時間軸上發(fā)生的密度對長時間運行的進(jìn)程進(jìn)行分區(qū),密度的計算公式如下:
其中,Timestart是第一個依賴發(fā)生的時間,Timeend是最后一個依賴發(fā)生的時間,Ti表示兩個依賴發(fā)生的時間間隔,遍歷所有依賴并將密度高于平均密度的連續(xù)依賴項視為屬于同一分區(qū),實現(xiàn)對依賴圖的分割并生成行為依賴圖。
3.根據(jù)權(quán)利要求1所述的一種基于圖核聚類的威脅狩獵方法,其特征在于,步驟B進(jìn)一步包括以下步驟:
B1、將字符串類型的標(biāo)簽集映射為數(shù)字標(biāo)簽集,其中每個字符串元素對應(yīng)一個唯一的值,基于上述映射將行為依賴圖中的字符串標(biāo)簽替換為數(shù)字標(biāo)簽;
B2、基于節(jié)點的鄰居節(jié)點為每個節(jié)點分配新的標(biāo)簽:
u表示節(jié)點vi的鄰居節(jié)點,為節(jié)點vi的鄰居節(jié)點集合,le(vi,u)表示有向邊的標(biāo)簽,l(vi)表示節(jié)點的數(shù)字標(biāo)簽,M(vi)為節(jié)點vi的新標(biāo)簽集合;
B4、節(jié)點之間的一階核值可通過如下公式計算:
其中v1和v2分別是兩個圖中的節(jié)點;
B3、根據(jù)節(jié)點標(biāo)簽集的相似程度迭代的計算節(jié)點之間的核值:
其中表示邊的核值,α和β都是非負(fù)的常量,表示節(jié)點之間的k階核值;
B4、利用B3步驟中計算得到的節(jié)點之間的核值計算圖之間的核值:
B(V1,V2)表示節(jié)點之間的映射,kG(G1G2)是計算得到的圖之間的核值,最終得到正定核值矩陣KN×N,Ki,j是Gi和Gj之間的核值,核值矩陣可以被認(rèn)為是一個相似度矩陣;
B5、使用非監(jiān)督的聚類方法對核值矩陣進(jìn)行分析,實現(xiàn)將正常行為與攻擊行為分離。
4.根據(jù)權(quán)利要求1所述的一種基于圖核聚類的威脅狩獵方法,其特征在于,步驟C下進(jìn)一步包括以下步驟:
C1、針對每一個類簇,統(tǒng)計其中的行為依賴圖的數(shù)量,當(dāng)數(shù)量小于閾值時,類簇中的行為依賴圖被判定為異常行為;
C2、對C1步驟中得到的表示異常行為的行為依賴圖進(jìn)行威脅量化,遍歷每一個異常行為依賴圖,從可疑IP、用戶權(quán)限和敏感信息三個方面對其進(jìn)行量化:
表示IP和URL的威脅值,其通過公開的惡意IP庫和域名訪問排名計算得到,表示用戶權(quán)限的量化,用戶擁有的權(quán)限越高威脅值越高,表示敏感信息的量化,其一般通過人工標(biāo)注或者敏感信息識別工具標(biāo)注,α,β,γ表示權(quán)重,可根據(jù)需要進(jìn)行調(diào)整;
C3、對異常行為依賴圖的威脅得分進(jìn)行排序,當(dāng)威脅評分超過閾值時,異常行為被判定為威脅行為,并發(fā)出告警,實現(xiàn)威脅狩獵。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京郵電大學(xué);國家電網(wǎng)有限公司信息通信分公司;國網(wǎng)山東省電力公司信息通信公司,未經(jīng)北京郵電大學(xué);國家電網(wǎng)有限公司信息通信分公司;國網(wǎng)山東省電力公司信息通信公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202210305603.7/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 同類專利
- 專利分類
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計算機(jī)或計算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過保護(hù)計算機(jī)的特定內(nèi)部部件
G06F21-04 .通過保護(hù)特定的外圍設(shè)備,如鍵盤或顯示器
G06F21-06 .通過感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過限制訪問計算機(jī)系統(tǒng)或計算機(jī)網(wǎng)絡(luò)中的節(jié)點
G06F21-22 .通過限制訪問或處理程序或過程
- 基于Gauss誘導(dǎo)核的模糊c均值聚類算法
- 一種基于雙變加權(quán)核FCM算法的數(shù)據(jù)聚類方法
- 一種具有缺失核的多視圖聚類機(jī)器學(xué)習(xí)方法
- 缺失條件下的核互補(bǔ)齊多核k-均值聚類機(jī)器學(xué)習(xí)方法
- 一種基于最優(yōu)鄰居核的多視圖聚類機(jī)器學(xué)習(xí)方法
- 一種集成空間約束的核模糊C均值快速聚類算法
- 一種基于局部核的最優(yōu)鄰居多核聚類方法及系統(tǒng)
- 基于代理圖改善的后期融合多核聚類機(jī)器學(xué)習(xí)方法及系統(tǒng)
- 基于局部密度聚類的分子云核檢測方法
- 一種基于圖核聚類的威脅狩獵方法
- 威脅處理方法及系統(tǒng)、聯(lián)動客戶端、安全設(shè)備及主機(jī)
- 一種安全威脅管理方法和系統(tǒng)
- 一種電力系統(tǒng)移動終端安全威脅評估方法
- 一種云平臺下租戶安全威脅告警系統(tǒng)及其實現(xiàn)方法
- 一種基于決策樹的網(wǎng)絡(luò)威脅評估方法、裝置及存儲介質(zhì)
- 一種工控網(wǎng)絡(luò)威脅自動隔離方法及系統(tǒng)
- 一種威脅情報防御方法和系統(tǒng)
- 基于態(tài)勢感知告警的威脅評估系統(tǒng)及方法
- 一種威脅處置方法、威脅處置工具和計算機(jī)可讀介質(zhì)
- 一種威脅情報的評價方法、裝置、設(shè)備及存儲介質(zhì)
