【技术实现步骤摘要】
一种基于图算法的攻击路径还原方法及系统
[0001]本专利技术涉及安全攻防领域,特别是涉及一种基于图算法的攻击路径还原方法及系统。
技术介绍
[0002]工业控制系统(industrial control system,ICS)是一类工业生产自动化系统,主要由物理过程、传感器、执行器、控制器、人机界面、数据库等设备组成。
[0003]传统工控领域的网络安全聚焦于入侵检测等,对于更高级的威胁,如长期的APT攻击,往往比较难以发现,这种攻击发生比较隐蔽且持续时间久,过程复杂,同时攻击者有着明确的意图,损害攻击目标的利益,窃取重要信息,随着技术的进步,攻击手段愈发复杂,因此更需要引起重视。现在已有工控现场的追踪多步攻击方法有:分析攻击间的因果关系进行多步关联分析,但是这种方法设计要求高,定义复杂,实现难度大,不适用于未知攻击和不存在明显前因后果关系的攻击;利用已知的攻击场景和现有数据集挖掘出的知识进行事件关联分析,比如专家知识库等,但是这种方法依赖于领域知识和专家知识,且难以发现完整的攻击场景。
[0004]当前针...
【技术保护点】
【技术特征摘要】
1.一种基于图算法的攻击路径还原方法,其特征在于,包括:获取工控现场的原始告警日志;所述原始告警日志包括工业主机数据和业务应用数据;根据所述原始告警日志分别构建异构图和有向带权图;所述有向带权图为表示设备和平台之间的连接关系和攻击次数的图结构;根据所述异构图和元路径确定同构图;所述同构图的节点为事件;所述同构图表示事件类型和事件之间的连接关系;根据所述同构图利用图卷积网络算法计算事件的嵌入表示;根据所述有向带权图利用大规模信息网络嵌入算法计算设备的嵌入表示;分别根据所述事件的嵌入表示和所述设备的嵌入表示利用相似性算法确定事件类型节点相似度和设备IP节点相似度,或者确定事件类型节点相似度和平台IP节点相似度;当确定所述事件类型节点相似度和所述设备IP节点相似度时,根据所述事件类型节点相似度和所述设备IP节点相似度对同一时间窗口内的所述原始告警日志进行遍历回溯,得到攻击路径;当确定所述事件类型节点相似度和所述平台IP节点相似度时,根据所述事件类型节点相似度和所述平台IP节点相似度对同一时间窗口内的所述原始告警日志进行遍历回溯,得到攻击路径。2.根据权利要求1所述的基于图算法的攻击路径还原方法,其特征在于,所述根据所述原始告警日志分别构建异构图和有向带权图,具体包括:将所述原始告警日志中的所有设备和事件映射为图结构的节点,以所述告警日志中的告警事件是否在设备上发生作为图结构的边,构建异构图;将所述原始告警日志中的每个设备映射为图结构的节点,基于所有连接关系和权重,构建有向带权图;所述连接关系包括设备和设备、设备和平台以及平台和平台之间的连接关系;所述权重包括设备和设备、设备和平台以及平台和平台之间的权重。3.根据权利要求1所述的基于图算法的攻击路径还原方法,其特征在于,所述根据所述有向带权图利用大规模信息网络嵌入算法计算设备的嵌入表示,具体包括:根据所述有向带权图利用大规模信息网络嵌入算法中的二阶相似性计算设备的嵌入表示。4.根据权利要求1所述的基于图算法的攻击路径还原方法,其特征在于,所述当确定所述事件类型节点相似度和所述设备IP节点相似度时,根据所述事件类型节点相似度和所述设备IP节点相似度对同一时间窗口内的所述原始告警日志进行遍历回溯,得到攻击路径,具体包括:当确定所述事件类型节点相似度和所述设备IP节点相似度时,根据所述事件类型节点相似度和所述设备IP节点相似度对同一时间窗口内的所述原始告警日志利用spark分区方法进行遍历,得到攻击路径表;根据所述攻击路径表确定攻击路径。5.根据权利要求1所述的基于图算法的攻击路径还原方法,其特征在于,所述当确定所述事件类型节点相似度和所述平台IP节点相似...
【专利技术属性】
技术研发人员:王冲华,郝志强,林晨,周昊,李俊,樊佩茹,曲海阔,刘奕彤,李文婷,张雪莹,韦彦,
申请(专利权)人:国家工业信息安全发展研究中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。