申请/专利权人：中国人民解放军国防科技大学

申请日：2022-09-29

公开（公告）日：2024-06-18

公开（公告）号：CN115567306B

主分类号：H04L9/40

分类号：H04L9/40;G06N3/045;G06N3/0442;G06N3/0464

优先权：

专利状态码：有效-授权

法律状态：2024.06.18#授权;2023.01.20#实质审查的生效;2023.01.03#公开

摘要：本发明涉及一种基于双向长短时记忆网络的APT攻击溯源分析方法，包括以下步骤：步骤S1：构建溯源图，针对审计日志数据抽取系统操作事件构建溯源图并对溯源图进行图优化；步骤S2：提取序列，对优化后的溯源图提取攻击序列和非攻击序列；步骤S3：深度学习模型训练。步骤S4：攻击实体识别，由入侵检测系统提供真实的攻击症状实体，再由深度学习模型识别所有的攻击实体；步骤S5：攻击路径溯源。本发明针对日志类型的溯源数据，并通过图优化算法对依赖爆炸的溯源图进行处理，提取了攻击序列和非攻击序列，实现了对攻击实体的自动化识别，并在此基础上进行了攻击路径的溯源，能够准确的恢复出攻击路径。

主权项：1.一种基于双向长短时记忆网络的APT攻击溯源分析方法，其特征在于，包括以下步骤：步骤S1：构建溯源图，针对审计日志数据抽取系统操作事件构建溯源图并对溯源图进行图优化；步骤S2：提取序列，对优化后的溯源图提取攻击序列和非攻击序列；步骤S3：深度学习模型训练，提取的攻击序列与非攻击序列转换成攻击溯源数字向量；针对生成的攻击溯源数字向量，采用深度学习模型进行训练；步骤S4：攻击实体识别，由入侵检测系统提供真实的攻击症状实体，再由深度学习模型识别所有的攻击实体；步骤S5：攻击路径溯源，所有的含有攻击实体的攻击事件形成攻击事件集合，攻击事件按时间戳排序形成攻击流程；步骤S1中构建溯源图包括以下内容：针对所使用的审计日志数据，抽取系统操作事件，根据事件内容构建溯源图；溯源图由节点组成，节点代表主体和对象，代表主体的节点和代表对象的节点统称为事件实体，代表主体的节点和代表对象的节点与边相连，边代表主体和对象之间的操作；溯源图的图优化包括以下内容：（1）删除了攻击节点和攻击症状节点不可达的节点和边；（2）删除了同一主体和对象之间没有导致状态变化的重复动作的边；（3）合并相同事件的不同主体和对象描述；步骤S2中,攻击序列提取方法包括：提取含有攻击实体的攻击事件，将攻击事件按时间顺序形成攻击序列；非攻击序列提取方法包括：在每一个攻击实体子集中加入一个非攻击实体形成非攻击实体集，然后使用攻击序列提取方法来提取序列，如果提取的序列与已知的攻击序列不匹配，则标记为非攻击序列；在步骤S4中攻击实体识别主要步骤包括：首先把溯源图中的实体集去除攻击症状实体得到未知实体集合，然后从中取一个未知实体和所有攻击症状实体形成未知实体子集；对形成的未知实体子集提取序列并进行向量化处理，再输入到已经训练好的深度学习模型中；如果判定为攻击序列，则标记所取的一个未知实体为攻击实体，继续取未知实体并构建未知实体子集进行相同操作直到取完所有未知实体，标记的所有攻击实体形成攻击实体集。

全文数据：

权利要求：

百度查询： 中国人民解放军国防科技大学 基于双向长短时记忆网络的APT攻击溯源分析方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD