[發(fā)明專利]一種基于因果圖的網(wǎng)絡(luò)攻擊路徑識(shí)別方法在審

申請?zhí)枺?/td>	202211618906.0	申請日：	2022-12-15
公開（公告）號(hào)：	CN116248330A	公開（公告）日：	2023-06-09
發(fā)明（設(shè)計(jì)）人：	周亞勝;王中華;李萌;楊子怡;何旺宇;劉鐔稚	申請（專利權(quán)）人：	中國航空工業(yè)集團(tuán)公司西安航空計(jì)算技術(shù)研究所
主分類號(hào)：	H04L9/40	分類號(hào)：	H04L9/40;G06F16/36;H04L41/069;H04L41/14
代理公司：	北京清大紫荊知識(shí)產(chǎn)權(quán)代理有限公司 11718	代理人：	秦亞群
地址：	710065 陜***	國省代碼：	陜西;61
權(quán)利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關(guān)鍵詞：	一種基于因果網(wǎng)絡(luò) 攻擊路徑識(shí)別方法
鉆瓜網(wǎng) 技術(shù)展會(huì) 專利詞庫專利權(quán)人專利榜在售專利公布日期熱門專利

【權(quán)利要求書】：

1.一種基于因果圖的網(wǎng)絡(luò)攻擊路徑識(shí)別方法，其特征在于，包括以下步驟：

S1、提取信息系統(tǒng)日志，獲取與網(wǎng)絡(luò)攻擊相關(guān)的日志信息；

S2、依據(jù)日志信息，構(gòu)建因果圖；

S3、用已知場景生成因果圖，并生成攻擊序列和非攻擊序列；

S4、對(duì)攻擊序列和非攻擊序列分別進(jìn)行向量表征，生成攻擊序列向量和非攻擊序列向量；

S5、基于攻擊序列向量和非攻擊序列向量，訓(xùn)練攻擊序列識(shí)別模型；

S6、采用步驟S1～S4，構(gòu)建被測場景的因果圖并生成行為序列向量，采用步驟S5攻擊序列識(shí)別模型對(duì)被測場景中已知的被攻擊實(shí)體的攻擊路徑識(shí)別。

2.根據(jù)權(quán)利要求1所述的基于因果圖的網(wǎng)絡(luò)攻擊路徑識(shí)別方法，其特征在于：步驟S1中，提取信息系統(tǒng)日志，獲取與網(wǎng)絡(luò)攻擊相關(guān)的日志信息，包括：

S11、在系統(tǒng)設(shè)備終端部署的日志生成器，獲取系統(tǒng)日志文件；

S12、提取系統(tǒng)日志文件中與網(wǎng)絡(luò)攻擊相關(guān)的安全事件日志；

S13、依據(jù)日志四元組格式，對(duì)安全事件日志進(jìn)行處理，形成結(jié)構(gòu)化日志信息。

3.根據(jù)權(quán)利要求1所述的基于因果圖的網(wǎng)絡(luò)攻擊路徑識(shí)別方法，其特征在于：所述日志四元組格式包括安全事件日志的源實(shí)體、事件名稱、目的實(shí)體、時(shí)間戳。

4.根據(jù)權(quán)利要求1所述的基于因果圖的網(wǎng)絡(luò)攻擊路徑識(shí)別方法，其特征在于：步驟S2中，依據(jù)日志信息，構(gòu)建因果圖，包括：

S21、定義因果圖中的節(jié)點(diǎn)、邊、行為、事件之間的關(guān)系；

S22、依據(jù)日志信息，生成面向日志信息的因果圖；

S22、對(duì)面向日志信息的因果圖壓縮，生成優(yōu)化后因果圖。

5.根據(jù)權(quán)利要求1所述的基于因果圖的網(wǎng)絡(luò)攻擊路徑識(shí)別方法，其特征在于：步驟S3中，基于已知場景構(gòu)造攻擊序列和非攻擊序列，包括：

S311、獲取已知攻擊場景的受害主機(jī)日志信息，構(gòu)建攻擊行為因果圖；

S312、獲取攻擊行為因果圖內(nèi)攻擊實(shí)體，提取各攻擊實(shí)體的鄰域圖；

S313、依據(jù)各攻擊實(shí)體的鄰域圖，生成攻擊事件集合；

S314、對(duì)攻擊事件集合按照實(shí)體名稱和時(shí)間順序排序，生成攻擊序列；

S321、獲取已知正常場景的日志信息，構(gòu)建正常行為因果圖；

S322、獲取正常行為因果圖內(nèi)實(shí)體，提取各實(shí)體的鄰域圖；

S323、依據(jù)依據(jù)各實(shí)體的鄰域圖，生成事件集合；

S324、對(duì)事件集合按照實(shí)體名稱和時(shí)間順序排序，生成非攻擊序列。

6.根據(jù)權(quán)利要求1所述的基于因果圖的網(wǎng)絡(luò)攻擊路徑識(shí)別方法，其特征在于：步驟S6中，采用步驟S1～S4，構(gòu)建被測場景的因果圖，獲取攻擊序列向量和非攻擊序列向量，輸入S5中攻擊路徑預(yù)測模型進(jìn)行攻擊路徑識(shí)別，輸出攻擊路徑識(shí)別結(jié)果，包括：

S61、將攻擊序列向量輸入攻擊路徑預(yù)測模型內(nèi)，識(shí)別攻擊向量；

S62、依據(jù)攻擊序列向量中的已知攻擊實(shí)體，對(duì)因果圖在時(shí)間維度上進(jìn)行向前遍歷和向后遍歷，對(duì)受攻擊實(shí)體進(jìn)行檢測直到攻擊最初發(fā)生的事件為止，獲得多個(gè)攻擊序列；

S63、對(duì)多個(gè)攻擊序列進(jìn)行相似度進(jìn)行匹配，輸出攻擊路徑。

下載完整專利技術(shù)內(nèi)容需要扣除積分，VIP會(huì)員可以免費(fèi)下載。

免登錄下載普通用戶下載升級(jí)VIP會(huì)員，免費(fèi)下載

該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息，商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國航空工業(yè)集團(tuán)公司西安航空計(jì)算技術(shù)研究所，未經(jīng)中國航空工業(yè)集團(tuán)公司西安航空計(jì)算技術(shù)研究所許可，擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作，請聯(lián)系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/202211618906.0/1.html，轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。

同類專利

專利分類

H 電學(xué)

H04 電通信技術(shù)
H04L 數(shù)字信息的傳輸，例如電報(bào)通信
H04L9-00 保密或安全通信裝置
H04L9-06 .使用移位寄存器或存儲(chǔ)器用于塊式碼的密碼裝置，例如dES系統(tǒng)
H04L9-10 .帶有特殊機(jī)體，物理特征或人工控制
H04L9-12 .同步的或最初建立特殊方式的發(fā)送和接收密碼設(shè)備
H04L9-14 .使用多個(gè)密鑰或算法
H04L9-18 .用串行和連續(xù)修改數(shù)據(jù)流單元加密，例如數(shù)據(jù)流加密系統(tǒng)

免登錄下載普通用戶下載升級(jí)VIP會(huì)員，免費(fèi)下載

專利文獻(xiàn)下載

說明：

1、專利原文基于中國國家知識(shí)產(chǎn)權(quán)局專利說明書；

2、支持發(fā)明專利、實(shí)用新型專利、外觀設(shè)計(jì)專利（升級(jí)中）；

3、專利數(shù)據(jù)每周兩次同步更新，支持Adobe PDF格式；

4、內(nèi)容包括專利技術(shù)的結(jié)構(gòu)示意圖、流程工藝圖或技術(shù)構(gòu)造圖；

5、已全新升級(jí)為極速版,下載速度顯著提升！歡迎使用！

請您登陸后，進(jìn)行下載，點(diǎn)擊【登陸】【注冊】