申请/专利权人：国网思极网安科技(北京)有限公司;国网江西省电力有限公司

申请日：2023-10-09

公开（公告）日：2024-04-02

公开（公告）号：CN117040932B

主分类号：H04L9/40

分类号：H04L9/40;H04L41/14

优先权：

专利状态码：有效-授权

法律状态：2024.04.02#授权;2023.11.28#实质审查的生效;2023.11.10#公开

摘要：本发明公开了一种网络攻击溯源快速取证方法及系统；S1、收集网络攻击的数据集：在此阶段，收集网络攻击相关的数据集，包括网络流量数据、IDS（入侵检测系统）输出、日志信息等。本发明的方法采用时空网络模型，综合了多维度的数据，包括网络拓扑、节点属性和事件发生时序等信息。这种多维数据综合分析有助于全面理解网络行为，提高溯源的准确性和全面性。

主权项：1.一种网络攻击溯源快速取证方法，其特征在于，包括如下步骤：S1、收集网络攻击的数据集；所述数据集包括：网络流量分析输出的信息、IDS系统输出的信息和日志分析的输出信息：1）所述网络流量分析输出的信息： ； 包括源IP地址、目标IP地址、协议和或端口；N代表其总数；2）所述IDS系统输出的信息： ；每个表示一条入侵检测记录，所述入侵检测记录包括入侵类型或和检测时间；m代表其总数；3）所述日志分析的输出信息： ；每个表示一条日志记录，所述日志记录包括事件描述或和发生时间；p代表其总数；S2、构建网络拓扑模型G： ；V表示节点集合，E表示边集合；S3、时空网络模型S：基于所述时空网络模型S输出信息向量IV；所述时空网络模型S包括：1）五元组： ；2）输出所述信息向量IV： ； 表示网络拓扑结构信息，包括所述节点集合V和所述边集合E； 表示节点属性信息； 表示边属性信息； 表示时间信息，包括网络事件发生的时刻；所述信息向量IV中，包括：1）所述网络拓扑结构信息： ；2）所述节点属性信息： ；在该式中的表示所述节点的属性；3）所述边属性信息： ；4）所述事件属性信息： ； 表示第i个网络事件；S4、路径分析：基于所述信息向量IV的输入，使用路径分析函数找到从源节点s到目标节点t所有可能的攻击路径AP；所述路径分析函数为：深度优先搜索： ； 表示从所述源节点s到所述目标节点t的所有可能攻击路径集合，使用DFS算法搜索得到；S5、溯源攻击源：基于所述信息向量IV的输入和所述攻击路径AP，使用溯源函数来确定攻击源；所述溯源函数： ；Wi是所述节点的权重，表示该节点作为攻击源的可能性；n是攻击路径上的节点数。

全文数据：

权利要求：

百度查询： 国网思极网安科技(北京)有限公司;国网江西省电力有限公司 一种网络攻击溯源快速取证方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD