[发明专利]一种基于计算机时序依赖网络的入侵感染区域定位方法

权利要求书

1.一种基于计算机时序依赖网络的入侵感染区域定位方法，其特征在于，所述方法包括以下步骤：

S100、构建对象时序依赖网络：

S1001、将每个计算机对象沿时间轴切分得到对应的对象切片；

S1002、基于步骤S1001，提取依赖关系：依赖关系包括对象间依赖关系和对象内依赖关系；所述对象间依赖关系包括：不同对象的切片之间的依赖关系；所述对象内依赖关系包括：同一个对象的相邻切片之间的依赖关系；

S1003、根据步骤S1002中所述的依赖关系，构建对象时序依赖网络G(V，E₁，E₂)；其中V表示计算机对象切片的集合，对于表示对象切片，i表示计算机对象的标识，t表示离散的时间点；E₁表示对象间依赖关系集合，E₂表示对象内依赖关系集合；

所述对象时序依赖网络是基于待分析计算机系统中所有进程的访问记录构建的；

所述待分析计算机系统包括：在过去某个时刻遭到攻击者的入侵感染且直到当前时刻才检测到部分感染对象的计算机系统；

所述所有进程的访问记录包括：在待分析计算机系统中，从上一个安全检查点到当前时刻之间，捕获到的计算机上运行的所有进程对计算机对象的访问记录；

计算机对象包括：文件对象、注册表对象、进程对象、套接字对象；

S200、根据已知感染对象，对所述对象时序依赖网络进行剪枝，提取出与入侵感染相关的对象时序依赖子网络：

S2001、反向入侵溯源：将已知感染对象集合M1中的对象沿时间轴切分得到对应的已知感染对象切片集合D＝{(j，t_j)}，其中j∈M₁为已知感染对象，t_j表示对象j被检测为恶意的时刻；分别以集合D中的每个对象切片为起始点，反向遍历时序依赖网络G(V，E₁，E₂)，用集合S表示所有遍历到的对象切片；对集合S进行筛选得到可疑入侵源点对象切片集合S′＝{(m，t)|(m，t)∈S}，其中m表示一个建立远程网络连接的进程对象或者移动存储设备上的文件对象；

S2002、正向入侵扩散：以步骤S2001中得到可疑入侵源点对象切片集合S中的每个对象切片为起始点，正向遍历对象时序依赖网络G(V，E₁，E₂)，用集合V₁表示所有遍历到的对象切片；

S2003、根据步骤S2002得到的集合V₁，对所述对象时序依赖网络G(V，E₁，E₂)进行剪枝，提取可能被感染的计算机对象集合O＝{n|(n，t)∈V₁}；将所述可能被感染的对象集合O＝{n|(n，t)∈V₁}中的对象沿时间轴切分得到对应的对象切片集合V′＝{(n，t)|n∈O}；去除G(V，E₁，E₂)中不属于集合V′的对象切片，得到与入侵感染相关的对象时序依赖子网络G′(V′，E₁′，E₂′)；

S300、根据所述对象时序依赖子网络，构建贝叶斯网络；

S400、将已知对象的安全状态映射到贝叶斯网络的已观察变量中；已知对象包括：已知感染的对象和已知正常的对象；

S500、基于S300中构建的贝叶斯网络，利用S400中所述的已观察变量确定计算机系统中其他对象遭到入侵感染的概率，并进一步得到计算机系统中入侵的感染区域。

2.根据权利要求1所述的方法，其特征在于，所述步骤S300具体包括：

根据步骤S2003中得到的与入侵感染相关的对象时序依赖子网络G′(V′，E₁′，E₂′)确定概率贝叶斯网络对于定义二值的随机变量X_v，X_v＝1表示v受到入侵感染，反之，X_v＝0表示v是正常的。