【技术实现步骤摘要】
一种基于日志因果溯源的数据窃取检测方法、系统及设备
[0001]本申请涉及数据窃取检测
,尤其涉及一种基于日志因果溯源的数据窃取检测方法、系统及设备。
技术介绍
[0002]在企业或单位中每天都会上报海量的告警日志,由于网络分析人员工作强度过大,往往会陷入警报疲劳的状态,从而导致漏过真正有威胁的事件。
[0003]现阶段,针对内部数据被窃取检测的方法主要有:(1)基于规则+人工的传统检测手段;(2)基于机器学习的单点检测手段;(3)基于本地主机的事件关联检测手段。
[0004]但是,上述人工检测不适用海量文件的异常检测;由于APT攻击的特点往往是潜伏期长,仅凭单点检测难以将更大的威胁识别出来;此外,事件关联检测其本质依赖于实现定义好的规则,但是定义好的规则缺少因果语义,使得异常检测准确率低。
技术实现思路
[0005]针对现有技术的上述不足,本专利技术提供一种基于日志因果溯源的数据窃取检测方法、系统及设备,以解决上述技术问题。
[0006]第一方面,本申请提供了一种基于日志因果溯...
【技术保护点】
【技术特征摘要】
1.一种基于日志因果溯源的数据窃取检测方法,其特征在于,所述方法包括:通过终端统一日志平台采集预设日志采集时间段对应的原始日志;对所述原始日志进行数据清洗,以获得预处理日志;通过计算引擎将所述预处理日志抽象为初始依赖图;其中,所述依赖图包括IP、文件MD5值、进程ID及操作关系;基于所述操作关系对应的整体关系占比值和实体节点占比值,确定各个操作关系对应的优先度得分;去除初始依赖图中优先度得分低于预设优先度阈值的操作关系,以获得最终依赖图;将最终依赖图导入训练好的因果模型中,以获得最终依赖图对应的隐式行为序列;将所述隐式行为序列与预设数据窃取行为对应的隐式行为调用链进行对比,以确定是否存在数据窃取行为。2.根据权利要求1所述的基于日志因果溯源的数据窃取检测方法,其特征在于,计算引擎分为实时计算引擎和批量计算引擎,在通过计算引擎将所述预处理日志抽象为初始依赖图之前,所述方法还包括:获取计算指令,以从实时计算引擎和批量计算引擎中确定处理所述预处理日志的计算引擎。3.根据权利要求1所述的基于日志因果溯源的数据窃取检测方法,其特征在于,在通过计算引擎将所述预处理日志抽象为初始依赖图之后,所述方法还包括:通过预设KV
‑
数据库以Key
‑
Value的形式存储所述初始依赖图;其中,Key表示IP、文件MD5值、进程ID,Value表示操作关系。4.根据权利要求1所述的基于日志因果溯源的数据窃取检测方法,其特征在于,基于所述操作关系对应的整体关系占比值和实体节点占比值,确定各个操作关系对应的优先度得分,具体包括:基于所述操作关系对应的整体关系占比值,确定稀有度得分;基于所述操作关系对应的实体节点比值,确定扇出得分;根据预设优先度得分公式:优先度得分=α*稀有度得分+в*扇出得分;计算优先度得分;其中,α为预设稀有度矫正...
【专利技术属性】
技术研发人员:邹斯达,郑传义,卢延科,翟永吉,
申请(专利权)人:中孚安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。