元宇宙网络威胁事件推演方法技术

本发明专利技术公开了一种元宇宙网络威胁事件推演方法，主要解决现有威胁检测方法不能完全反映系统的动态性，无法实时检测系统中实时发生的网络攻击，缺乏重建攻击场景能力的问题。其实现方案为：监控元宇宙虚拟资源参数变化，在元宇宙虚拟环境中对用户当前虚拟边界的状况发出警告；利用用户设备上采集的系统日志数据以及网络空间锚点实体信息构建溯源图；对溯源图进行压缩得到压缩溯源图，并在Neo4j数据库中进行可视化显示；设置压缩溯源图中实体匹配到的攻击阶段标签，对压缩溯源图进行正向和反向搜索，提取元宇宙安全边界攻击的攻击图。本发明专利技术能够实时检测元宇宙网络中的攻击，应用场景更广，增强了主动应对元宇宙网络威胁的能力，可用于网络安全。可用于网络安全。可用于网络安全。

【技术实现步骤摘要】
元宇宙网络威胁事件推演方法


[0001]本专利技术属于计算机
，进一步涉及一种事件推演方法，可用于实时检测元宇宙网络中的攻击，并对攻击行为进行更全面的描述，进一步增强主动应对元宇宙网络威胁的能力，保护网络安全。

技术介绍

[0002]元宇宙是一个自我维持的、超时空的3D沉浸式虚拟共享空间，其由持久的虚拟环境和虚拟增强的物理现实融合创造生成。随着元宇宙的快速发展，各种新型攻击不断涌现。一方面，相对于传统网络，由于元宇宙涉及到更广泛的数据和服务，导致元宇宙的攻击面增大；另一方面，元宇宙集成了虚拟现实VR、增强现实AR、物联网、区块链、人工智能等多种技术，这些技术存在各种漏洞，对用户的安全和隐私构成了新的威胁。
[0003]元宇宙应用程序和各类传感设备为用户提供了进入虚拟世界并与其他用户互动的渠道。应用程序在处理输入命令以后，将输出发送到传感设备，在这个过程中，恶意应用程序可以更改输出显示，在虚拟环境中误导用户。由于元宇宙的沉浸式和临场感特征，这类威胁事件在虚拟世界中的影响会被放大。恶意输出通过传感设备作用于用户感官，让用户感到不适，比本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种元宇宙网络威胁事件推演方法，其特征在于，包括如下步骤：(1)监控元宇宙虚拟资源参数变化：利用哈希算法计算边界文件的哈希值，记录用户进入元宇宙虚拟环境时设置的初始边界文件对应的哈希值；在用户沉浸在元宇宙体验中时，不断获取当前时刻边界文件的哈希值，判断边界文件的初始哈希值与当前哈希值是否相同：若相同，则说明当前虚拟环境安全，继续进行监控；若不相同，则说明元宇宙虚拟边界资源被篡改，执行步骤(2)；(2)在元宇宙虚拟环境中对用户当前虚拟边界的状况发出警告，即使用OpenGL渲染警告提示图案，利用PyOpenVR将其显示在元宇宙虚拟环境中，警告用户当前虚拟边界被恶意篡改；(3)在用户设备上采集系统日志数据；(4)对日志数据进行处理构建溯源图：(4a)解析系统日志数据，即将其解析为一个源实体、一个目标实体及它们之间的关系这三个部分，从日志中提取与攻击溯源相关的关键信息，包括时间戳、事件类型；建立不同日志事件之间的关联关系；(4b)将解析出的源实体与目标实体作为溯源图中的节点，将实体间的关系作为溯源图中的有向边，以构成溯源图；(5)在溯源图中创建网络空间锚点实体：在溯源图中创建网络空间锚点实体，锚点实体的属性包括锚点ID、所属账户、锚点权限、锚点创建时间、锚点类型、锚点有效期、锚点坐标、锚点姿势、关联锚点ID；将每个网络空间锚点和与其唯一对应的元宇宙应用程序相关联，在溯源图中找到该元宇宙应用程序对应的一个进程实体，以建立溯源图中网络空间锚点实体与进程实体之间的关系；(6)对溯源图进行压缩：(6a)合并溯源图中节点间相同的交互操作，即对于两个节点间不同时间发生的相同操作，在溯源图中只保留一次操作信息，得到合并压缩图a；(6b)在合并压缩图a中移除与攻击无关的大量良性节点和关系边，得到节点移除压缩图b；(6c)对节点移除压缩图b中的弱依赖关系进行剪枝，得到最终的压缩溯源图；(7)将压缩溯源图在Neo4j数据库中进行可视化显示；(8)从压缩溯源图中提取攻击图：(8a)建立攻击规则，即定义攻击阶段以及每个攻击阶段中涉及到的实体、相关的操作属性、要匹配该攻击阶段所要满足的先决条件；(8b)使用攻击规则在压缩溯源图中匹配攻击的多个阶段，并利用攻击规则中的先决条件建立各攻击阶段之间的联系，为每个攻击阶段设置一个标签，通过标签传递的方式传递匹配到的先决条件，避免重复遍历；(8c)对压缩溯源图进行正向和反向搜索，提取元宇宙安全边界攻击的攻击图：所述反向搜索，是从告警信号开始，遍历压缩溯源图，遍历过程中使用攻击规则各阶段
的标签来引导入侵点定位，一旦发现入侵点遍历过程即终止；所述正向搜索，是遍历除入侵点以外匹配到其他攻击规则的节点，最终找到完整的攻击路径。2.根据权利要求1所述的方法，其特征在于，步骤(1)中利用哈希算法计算边界文件的哈希值，包括如下：(1a)填充文件消息，使得文件长度与448模512同余，得到填充后的文件消息；(1b)在(1a)的结果值之后附加64位的消息长度；(1c)对(1b)的结果值进行分组，根据MD5辅助函数得到各个分组的散列值；(1d)将得到的各个分组的散列值连接为512位的哈希值。3.根据权利要求1所述的方法，其特征在于，步骤(3)中在用户设备上采集系统日志数据，包括如下：(3a)对系统审计策略进行配置，采集传感设备所连接主机上与进程、文件、网络实体相关的系统日志；(3b)运行Winlogbeat监视配置的日志源，当发生与配置过滤规则匹配的系统日志事件时，Winlogbeat从操作系统中获取这些事件并将其发送到Kafka服务器；(3c)启动Kafka服务器，将Kafka消费者应用程序连接到Kafka主题并读取日志数据。4.根据权利要求1所述的方法，其特征在于，步骤(4a)中将系统日志数据解析为一个源实体、一个目标实体及它们之间的关系这三个部分，是从系统日志数据中提取关键字段，包括源实体Id、目标实体Id、源实体名称、目标实体名称、事件操作类型和时间戳；其中，源实体Id和目标实体Id为唯一的两个实体，事件操作类型表明两个实体间的边关系和数据流向，时间戳表示事件操作的时间属性。5.根据权利...

【专利技术属性】
技术研发人员：杨力，杨蕊媛，李国浩，张昊，王江煜，冯鹏斌，周亚胜，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：