【技术实现步骤摘要】
本专利技术涉及一种基于日志溯源图的apt攻击检测方法,属于网络安全。
技术介绍
1、高级持续性威胁(apt)对网络安全构成了重大挑战,因为它们可能在目标网络中潜伏数月甚至数年而未被检测到。apt的长时间存在期间系统会生成大量审计日志,增加了检测的复杂性。为应对apt攻击,近期一些研究提出了使用溯源图的方法,其中节点代表系统实体(如进程、文件、套接字等),边则表示它们之间的交互。这种方法将原始的系统审计日志转换为结构化的图结构记录,有效捕获了大规模系统审计日志,并提供了apt生命周期中系统行为的全面视图。
2、现有的基于溯源的入侵检测系统(pids)主要分为图粒度和节点粒度两种。图粒度pids,例如streamspot、unicorn和provdetector,通常将图分割为子图,使用各种方法提取子图特征,并应用聚类算法检测恶意图。然而,由于apt的低速攻击策略以及图特征对低密度的威胁相关实体的不敏感性,这些方法对隐蔽性较高的apt效果不佳。为了解决这些问题,节点粒度的方法,例如threatrace、magic、kairos和...
【技术保护点】
1.一种基于日志溯源图的APT攻击检测方法,其特征在于,包括以下步骤:
2.如权利要求1所述的方法,其特征在于,步骤1)中采用两种以下两种策略简化溯源图:忽略交互的方向性,将图转换为无向图;
3.如权利要求1所述的方法,其特征在于,步骤2)中通过PageRank算法计算溯源图中节点的亲密度矩阵。
4.如权利要求1所述的方法,其特征在于,步骤2)中根据亲密度提取相关节点并构建句子的方法为:对每个节点,按亲密度排序提取一组高亲密度的相关节点;将节点视为单词,将当前节点与提取的相关节点构成一个句子。
5.如权利要求1所述的方法...
【技术特征摘要】
1.一种基于日志溯源图的apt攻击检测方法,其特征在于,包括以下步骤:
2.如权利要求1所述的方法,其特征在于,步骤1)中采用两种以下两种策略简化溯源图:忽略交互的方向性,将图转换为无向图;
3.如权利要求1所述的方法,其特征在于,步骤2)中通过pagerank算法计算溯源图中节点的亲密度矩阵。
4.如权利要求1所述的方法,其特征在于,步骤2)中根据亲密度提取相关节点并构建句子的方法为:对每个节点,按亲密度排序提取一组高亲密度的相关节点;将节点视为单词,将当前节点与提取的相关节点构成一个句子。
5.如权利要求1所述的方法,其特征在于,步骤2)提取每个节点的结构特征的步骤包括:根据每个节点的度数为其分配一个颜色;
6.如权利要求1所述的方法,其特征在于,步骤3)中进行交互或无交互预测任务时,50%的时间选择直接连接的主客体节点对,50%的时间...
【专利技术属性】
技术研发人员:姜波,董天琦,卢志刚,田甜,杨晓波,杜丹,朱燕,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。