申请/专利权人：华中科技大学

申请日：2023-12-29

公开（公告）日：2024-03-29

公开（公告）号：CN117792775A

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：在审-实质审查的生效

法律状态：2024.04.16#实质审查的生效;2024.03.29#公开

摘要：本发明公开了一种基于溯源图路径的APT攻击检测方法，本发明的基于社区检测的路径提取策略是针对APT攻击的溯源图路径级检测场景提出的路径提取方法，在确保关键行为路径提取的完整性和准确性的前提下，减少从溯源图提取路径所需的计算量，最终得到能够精确代表溯源图中主要系统活动的路径，提高攻击检测的效率；同时，基于自然语言处理的特征嵌入和基于异常检测的攻击检测能够在特征向量中保存行为路径的属性语义信息，实现了在没有攻击行为的先验知识的情况下进行攻击检测，提高攻击检测的准确率和攻击调查的效率。本发明还提供了相应的基于溯源图路径的APT攻击检测装置。

主权项：1.一种基于溯源图路径的APT攻击检测方法，其特征在于，包括如下步骤：S1、部署审计事件采集器捕获内核级别的系统调用事件；S2、基于S1采集器收集的日志数据进行初步处理，将日志数据的每行信息带入程序进行分析，获得系统实体间的因果关系以及其自身的相关信息，从而构造原始溯源图；S3、在S2构造的原始溯源图的基础上，从边和节点两方面对溯源图的规模进行缩减从而大大降低溯源图的复杂性，同时合并重复边上的属性获得新边的统计属性Ecount＝{e0,e1,...,en}以保留语义信息,其中ei,i∈[0,n]是合并的边中第i种边的数量，同时为新边计算一个事件频率来衡量两个节点之间的关系是否密切；S4、在S3构造的溯源图的基础上，基于社区检测算法，对生成的溯源图进行划分生成多个社区子图，将相互之间边的事件频率Efreq高的节点划分到同一社区子图中，得到的社区子图中包含着一组相互之间关系紧密而和社区外节点关系不紧密的节点；S5、根据S4中得到的社区子图，利用全新的节点选择方法，在社区中选择特定节点作为行为路径起止节点生成起始节点集合Vstart和终点节点集合Vend，在起始节点和终止节点之间通过广度优先遍历寻找一条最长的路径作为行为路径p，并根据路径中节点的中心性计算路径的中心性得分Cpath获得路径的优先级排序，最终选择优先级较高的能够代表社区中主要行为活动的行为路径生成路径集合Pbehavior＝{p0,...,pn}；S6、根据S5中得到的行为路径，利用自然语言处理的方法，将路径pi转换为语句后使用深度学习神经网络生成特征嵌入向量xi，然后使用异常检测算法构建异常检测模型，最终检测出图中的攻击行为路径pattck，并输出异常行为路径和与其拥有重叠节点的其他行为路径组成的攻击场景图。

全文数据：

权利要求：

百度查询： 华中科技大学 基于溯源图路径的APT攻击检测方法及装置

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD