【技术实现步骤摘要】
溯源图的缩减方法及装置
[0001]本专利技术涉及网络安全
,具体而言,涉及一种溯源图的缩减方法及装置。
技术介绍
[0002]高级持续性威胁(APT)最近已成为企业和机构面临的最关键的网络空间威胁之一。APT攻击是一种隐蔽且长时间运行的计算机网络入侵,通常具有一定的目的性。它具有低频、低速的攻击模式和远程控制点攻击策略。APT攻击通常使用零日漏洞,并且在获得目标系统的控制权后,会在系统中隐藏很长时间,通常为几个月,以便引起怀疑。由于APT攻击的后果严重,其检测对于网络安全尤为重要。
[0003]关于APT检测的方式有很多,其中基于溯源图的检测方法被广泛应用。溯源图是一张有向图,图中的结点代表系统实体,图中的边代表系统调用,包含了系统中的信息流和系统时间的因果关系。溯源图可以通过系统日志(例如,审计日志、应用日志)构建,因此可以捕获到几乎所有的系统行为。上述特性使其成为APT检测的合适数据源。UNICORN是当前最先进的基于溯源图的APT检测方法,它利用表示系统正常行为的溯源图来训练模型,然后使用该模型检查表示...
【技术保护点】
【技术特征摘要】
1.一种溯源图的缩减方法,其特征在于,所述方法包括:通过对主机的历史运行数据进行共现分析,获取系统与外界交互的应用程序日志;按照预设的字段格式将所述应用程序日志解析并转换为规范化日志,并利用预先定义的规则集从所述规范化日志中提取实体;针对每一条规范化日志,使用公共字段建立所述实体与溯源图中结点之间的映射关系,以获取所述溯源图中与所述实体关联的目标结点,所述溯源图为使用溯源工具捕获系统内核的信息流生成的;以所述目标结点作为触发点,采用基于随机游走的算法来捕获所述目标结点的上下文,针对每个目标结点提取出从所述目标结点出发的溯源子图,并将所有溯源子图组合后形成缩减后的溯源图。2.如权利要求1所述的方法,其特征在于,所通过对主机的历史运行数据进行共现分析,获取系统与外界交互的应用程序日志,包括:通过对主机的历史运行数据进行共现分析,从系统与外界交互的应用程序中获取共现应用程序列表;从所述共现应用程序列表中选取共现频率排名在第一预设数值之前的目标应用程序,并收集所述目标应用程序的日志。3.如权利要求2所述的方法,其特征在于,所述收集所述目标应用程序的日志,包括:通过查询主机上与外界交互的目标应用程序对应的进程,收集所述目标应用程序的应用日志;对于无法获取应用日志的目标应用程序,使用审计工具收集所述目标应用程序的系统调用,以获取所述目标应用程序的审计日志。4.如权利要求1所述的方法,其特征在于,所述按照预设的字段格式将所述应用程序日志解析并转换为规范化日志,包括:通过解析所述应用程序日志,从所述应用程序日志中获取预设字段的数据信息;按照预设的字段格式将所述预设字段的数据信息归一化至日志表格中,形成规范化日志。5.如权利要求1所述的方法,其特征在于,所述预先定义的规则集中包括默认规则和自定义扩展规则,所述利用预先定义的规则集从所述规范化日志中提取实体,包括:使用所述默认规则判断若所述规范化日志的预设字段包含已知攻击签名和/或关键系统命令,则从所述规范化日志中提取出匹配字段作为精准实体;否则,使用所述自定义扩展规则从所述规范化日志的预设字段中提取出名词以及其请求的时间戳作为结果实体。6.如权利要求5所述的方法,其特征在于,所述使用所述默认规则判断若所述规范化日志的预设字段包含已知攻击签名和/或关键系统命令,则从所述规范化日志中提取出匹配字段作为精准实体,包括:使用所述默认规则判断若所述规范化日志的预设字段包含已知攻击签名,则检查所述规范化日...
【专利技术属性】
技术研发人员:万海,周博雅,孙逸伦,焦伟,严人宁,王瑞华,赵曦滨,
申请(专利权)人:清华大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。