【技术实现步骤摘要】
本专利技术涉及网络安全,特别涉及一种基于时序约束的持续子图匹配方法、装置及存储介质。
技术介绍
1、在网络空间安全领域,一个重要的研判任务是多步攻击检测。当攻击者在实施多步攻击事件时,需要完成若干固定的单步攻击行为,例如,在海莲花攻击事件中,“攻击者首先会发送钓鱼邮件并且释放远程木马连接后门程序,接着攻击者会发动内网横向渗透攻击,最后窃取数据回传”,通过时空约束,建立攻击事件之间的关联关系,形成一个包含多个安全事件实体的攻击检测模版,如图1所示。在攻击检测中,根据实时数据生成的网络空间安全事件越来越多,这些安全事件其本身是一个大图,其中顶点可以是安全事件实体,边是安全事件实体之间的关系,如图2描述一个mdata安全事件知识库的一部分,这个图是根据实时检测到的网络攻击行为进行关联而形成。在这个图上检测多步攻击事件就可以利用子图匹配技术完成,即在安全事件图中查询海莲花攻击事件的同构子图,所谓同构子图是指拓扑结构和顶点标签一一对应的子图。
2、以往已经提出了一系列的持续子图匹配算法,针对这些算法,把算法分为两类,无时序约束的持续子...
【技术保护点】
1.一种基于时序约束的持续子图匹配方法,其特征在于,包括:
2.根据权利要求1所述基于时序约束的持续子图匹配方法,其特征在于,对存在有公共顶点的节点创建链接,包括:
3.根据权利要求1所述基于时序约束的持续子图匹配方法,其特征在于,当候选存储索引图的中两个节点之间的边被创建时,需要满足的过滤规则为:a.这两个节点在数据图中对应的边是相邻的,并且满足时序约束;b.这两个节点在查询图中的映射边是相邻的。
4.根据权利要求1所述基于时序约束的持续子图匹配方法,其特征在于,通过状态信息来判断候选存储索引图中两个节点之间是否匹配,对相匹配的两...
【技术特征摘要】
1.一种基于时序约束的持续子图匹配方法,其特征在于,包括:
2.根据权利要求1所述基于时序约束的持续子图匹配方法,其特征在于,对存在有公共顶点的节点创建链接,包括:
3.根据权利要求1所述基于时序约束的持续子图匹配方法,其特征在于,当候选存储索引图的中两个节点之间的边被创建时,需要满足的过滤规则为:a.这两个节点在数据图中对应的边是相邻的,并且满足时序约束;b.这两个节点在查询图中的映射边是相邻的。
4.根据权利要求1所述基于时序约束的持续子图匹配方法,其特征在于,通过状态信息来判断候选存储索引图中两个节点之间是否匹配,对相匹配的两个节点更新边用以搜索,包括:
5.根据权利要求4所述基于时序约束的持续子图匹配方法,其特征在于,对于一个新插入的节点,只有当新插入的节点状态信息为1时才执行回溯搜索;若新插入的节点状态信息为0则不执行回溯搜索。
6.根据权利要求5所述基于时序约束的持续子图匹配方法,其特征在于,对于一个新插入的节点,如果该节点之前有前置时序,则该节点将被插入,并为...
【专利技术属性】
技术研发人员:杨建业,方圣,顾钊铨,马子艺,田志宏,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。