[发明专利]一种多步攻击溯源方法、系统、终端及可读存储介质

权利要求书

1.一种多步攻击溯源方法，其特征在于，包括以下步骤：

格式化日志，从中提取事件特征，建立特征关系，依据特征关系，构建事件关系图；

通过权重向量为事件关系图加权，得到带权关系图；

将带权关系图传入社区检测模块，通过社区发现算法对其进行关系划分，发现攻击社区；

通过增强的Louvain社区发现算法对关系图进行社区划分，社区划分的具体步骤如下：

(1)节点移动：通过移动节点，选择模块度变化更大的移动方式划分社区；

(2)分区重构：通过对节点移动后社区进行分区细化分析，减少连接不良的社区；

(3)分区聚合：将细化后的分区重新压缩为节点再次返回步骤(1)进行节点移动；

社区发现后，基于得到的攻击社区，根据事件逻辑关系，建立先后顺序，构建攻击过程。

2.根据权利要求1所述的多步攻击溯源方法，其特征在于：

提取事件特征，建立特征关系包括如下步骤：

(1)收集产生的日志，输入解析程序，在解析程序中将所需的特征量表达为正则式，通过正则匹配方式，将日志解析为结构化的实体；正则式表达如下：

特征Timstamp的正则式为(？:\[(？Pdatetime[^\[\]]+)\])；

特征Remote_address的正则式为(？Premote_addr[\d\.]{7,})；

特征PName的正则式为(？PPname^[a-zA-Z])；

特征Objname的正则式为(？PObjname^[a-zA-Z])；

特征Process ID的正则式为(？PPid[0,9]{1,4})；

特征IP的正则式为(？:％{IPV6}|％{IPV4})；

(2)对提取的特征建立以下特征关系：

关系表达式为(u.timestamp–v.timestamp)t的描述为“表示对时间差在阈值t内的事件u和v建立联系”；

关系表达式为u.pid＝v.pid的描述为“表示对进程ID相同的事件u和v建立联系”；

关系表达式为u.pname＝v.pname的描述为“表示对进程名称相同的事件u和v建立联系”；

关系表达式为u.Hip＝v.Hip的描述为“表示对主机IP相同的事件u和v建立联系”；

关系表达式为u.Objname＝v.Objname的描述为“表示对访问对象名称相同的事件u和v建立联系”；

关系表达式为u.R_addr＝v.R_addr的描述为“表示对远程地址相同的事件u和v建立联系”；所述的构建事件关系图是通过事件描述的特征关系连接节点构成无向图。

3.根据权利要求2所述的多步攻击溯源方法，其特征在于：

所述的事件关系图是一个n维网络图G(V,E,D)，其中V是一系列节点事件集合，表示事件描述，E是事件描述之间关系构成的边，D是n维的特征关系；最终形成V*V*D的三维矩阵M，i和j表示两个节点条目，则M_i,j,k＝1表示节点i和节点j间存在第k维的关系，M_i,j,k＝0则没有关系；E中的边e表示为{(i,j,d,d₂,d₃…dn)|i,j∈v,d_k∈D}。

4.根据权利要求1所述的多步攻击溯源方法，其特征在于：对关系图进行监督学习得到权重向量，通过逻辑回归算法，构造权重向量函数，通过对数似然法最小化权重向量函数当中的成本函数，从而得到权重向量权重范围为[0,1]。

5.根据权利要求1所述的多步攻击溯源方法，其特征在于：

攻击过程构建是对社区发现后得到的攻击社区中的事件，依据时间顺序、进程ID间的先后关联以及进程调用目标文件的先后为顺序，构建攻击过程。