一种面向模式图变化的连续子图匹配方法、系统及设备技术方案

本发明专利技术一个或多个实施例提供一种面向模式图变化的连续子图匹配方法、系统及设备，包括：基于网络拓扑图G和模式图P构建数据结构，数据结构用于存储网络拓扑图G和模式图P的局部匹配结果；基于模式图P的动态变化，构建维护模型；维护模型基于模式图P的动态变化更新数据结构，以使数据结构存储实时局部匹配结果；基于模式图P的匹配顺序，构建成本模型；利用成本模型计算模式图P的最小匹配代价，基于最小匹配代价得到匹配算法；基于实时局部匹配结果和匹配算法获得网络拓扑图G和模式图P的最终匹配结果，以完成网络威胁检测。本发明专利技术能够监测异常的网络攻击行为，预测即将发生的网络攻击模式，并推测网络黑客的攻击目标。

【技术实现步骤摘要】
一种面向模式图变化的连续子图匹配方法、系统及设备
本专利技术一个或多个实施例涉及网络安全
，尤其涉及一种面向模式图变化的连续子图匹配方法、系统及设备。
技术介绍
网络威胁检测作为维护网络安全的重要手段，主要包括：1)监测异常的网络攻击行为；2)预测即将发生的网络攻击模式；3)推测网络黑客的攻击目标。现有技术通过研究连续子图模式匹配技术，在动态变化的网络中查找是否存在异常的网络攻击模式，从而可以监测异常的网络攻击行为，但是研究发现，目前没有基于图的方法来解决网络威胁检测的后两个问题，无法预测网络攻击模式，或者推测被攻击的目标，将监测异常的网络攻击行为视为网络威胁被动检测模式，将网络威胁检测后两个问题视为主动检测方式，现有技术无法做到主动进行网络威胁检测。
技术实现思路
有鉴于此，本专利技术一个或多个实施例的目的在于提出，以解决预测即将发生的网络攻击模式，推测网络黑客的攻击目标的主动网络威胁检测的问题。基于上述目的，本专利技术一个或多个实施例提供了一种面向模式图变化的连续子图匹配方法，包括：r>基于网络拓扑图G本文档来自技高网...

【技术保护点】
1.一种面向模式图变化的连续子图匹配方法，其特征在于，包括：/n基于网络拓扑图G和模式图P构建数据结构，所述数据结构用于存储所述网络拓扑图G和模式图P的局部匹配结果，所述模式图P基于网络攻击模式得到，所述模式图P关联所述网络攻击模式，所述模式图P包括：节点，所述节点表示网络空间中实体，所述实体包括：IP地址、端口和边，所述边表示所述节点之间的连接关系和所述节点之间进行交互需要符合的运输协议；/n基于所述模式图P的动态变化，构建维护模型；所述维护模型基于所述模式图P的动态变化更新所述数据结构，以使所述数据结构存储实时局部匹配结果；/n基于所述模式图P的匹配顺序，构建成本模型；/n利用所述成本模型...

【技术特征摘要】
1.一种面向模式图变化的连续子图匹配方法，其特征在于，包括：
基于网络拓扑图G和模式图P构建数据结构，所述数据结构用于存储所述网络拓扑图G和模式图P的局部匹配结果，所述模式图P基于网络攻击模式得到，所述模式图P关联所述网络攻击模式，所述模式图P包括：节点，所述节点表示网络空间中实体，所述实体包括：IP地址、端口和边，所述边表示所述节点之间的连接关系和所述节点之间进行交互需要符合的运输协议；
基于所述模式图P的动态变化，构建维护模型；所述维护模型基于所述模式图P的动态变化更新所述数据结构，以使所述数据结构存储实时局部匹配结果；
基于所述模式图P的匹配顺序，构建成本模型；
利用所述成本模型计算所述模式图P的最小匹配代价，基于所述最小匹配代价得到匹配算法；
基于所述实时局部匹配结果和匹配算法获得所述网络拓扑图G和模式图P的最终匹配结果，所述匹配结果包括：当在所述网络拓扑图G中匹配到与所述模式图P同构的模式图或与所述模式图P完全一致的模式图时，则检测到网络威胁；当在所述网络拓扑图G中没有匹配到与所述模式图P同构的模式图或与所述模式图P完全一致的模式图时，则证明不存在网络威胁。


2.根据权利要求1所述的方法，其特征在于，所述模式图P包括：初始模式图和更新流Δo，Δo表示一个更新序列(Δo1,Δo2,…,Δoi…)，其中Δoi是三元操作<op,ui,uj>，op为所述模式图P的边<ui,uj>的更新操作，ui,uj均表示所述模式图P中的节点。


3.根据权利要求1所述的方法，其特征在于，所述基于网络拓扑图G和模式图P构建数据结构，包括：
基于所述网络拓扑图G和模式图P构造生成树T，基于所述生成树T构造所述数据结构，所述模式图P和所述生成树T包括第一节点集{u}，所述数据结构包括第二节点集{v}，所述数据结构存储的所述局部匹配结果包括：基于所述网络拓扑图G和模式图P的所述生成树T的解，以及所述生成树T中所述第一节点集{u}的子树的相应解。


4.根据权利要求3所述的方法，其特征在于，所述基于所述网络拓扑图G和模式图P构造生成树T，包括：
确定候选边；所述候选边包括：不包括于所述生成树T中的第一边和包括于所述生成树的第二边；
若所述模式图P包含环结构，则通过删除所述第一边来构造所述生成树T。


5.根据权利要求4所述的方法，其特征在于，所述数据结构包括：集合match(·)排列规则和集合stree(·)排列规则；第一节点u∈{u}，第二节点v∈{v}，所述第一节点u与所述第二节点v相匹配，所述第二节点v为所述第一节点u的候选者节点，所述候选者节点构成集合match(u)，所述候选者节点的子树构成集合stree(u)。


6.根据权利要求5所述的方法，其特征在于，所述维护模型基于所述模式图P的动态变化更新所述数据结构，包括：
处理所述第二边的插入操作，所述插入操作具体包括：
所述模式图P中的第一节点u0，u0∈{u}，所述第二节点v不是所述第一节点u0的候选者节点，则所述第二节点v将处于NULL状态；
检查所述集合match(u)中是否存在一条第二边<v,v'>满足v'∈NULL，且所述第二边<v,v'>与第二边<u,u'>匹配，其中u'为新引入第一节点，第二节点v'为所述u'的候选者节点；
若不存在，则从所述集合match(u)中删除所述第二节点v；
若存在，则将所述第二节点v'添加到集合match(u')中。
...

【专利技术属性】
技术研发人员：郭得科，张千桢，王希，罗来龙，
申请(专利权)人：中国人民解放军国防科技大学，
类型：发明
国别省市：湖南;43