申请/专利权人：南京航空航天大学

申请日：2023-11-28

公开（公告）日：2024-03-01

公开（公告）号：CN117633301A

主分类号：G06F16/901

分类号：G06F16/901;G06F18/22;G06F18/213;G06F18/23;G06F21/55;G06F11/36

优先权：

专利状态码：在审-公开

法律状态：2024.03.01#公开

摘要：本发明公开了一个基于硬件辅助处理器追踪的高效起源图构造方法，属于系统安全技术领域。该方法通过引入硬件辅助处理器追踪技术，将进程的指令级数据流与系统审计日志相结合，得到细粒度化后的系统审计日志。通过细粒度系统审计日志生成的起源图解决了依赖爆炸问题。该方法通过提取边的多个特征以及分配相应的权重，最终得到不同种类下的与威胁警报事件最相关的K个入口节点。从这些入口节点进行前向追踪，得到包含全部与威胁警报事件相关的事件序列的高效起源图，其仅包含数十条边且保证了起源图的完整性。因此，本发明得到的高效起源图可以帮助安全分析师高效地进行威胁警报调查。

主权项：1.一个基于硬件辅助处理器追踪的高效起源图构造方法，其特征在于，包括如下步骤：步骤1：在目标计算机系统中定期收集包含系统调用的系统审计日志；步骤2：当威胁警报事件发生时，利用硬件辅助处理器追踪技术优化由步骤1得到的粗粒度系统审计日志，得到细粒度系统审计日志；步骤3：解析由步骤2得到的细粒度审计日志，生成起源图并修剪，存储到图形数据库中；步骤4：提取起源图中每条边的时间相似性特征、数据流相似性特征、重要性特征；步骤5：利用AFK-MC2聚类算法和LDA线性判别法，分配边的权重；步骤6：在起源图中通过边的权重值后向传递威胁警报事件的可疑值，计算每个节点的可疑值；步骤7：在文件入口节点、进程入口节点、Socket入口节点中选择可疑值最高的K个入口节点并进行前向追踪得到高效起源图。

全文数据：

权利要求：

百度查询： 南京航空航天大学 一个基于硬件辅助处理器追踪的高效起源图构造方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD