[发明专利]一种基于图算法的攻击路径还原方法及系统有效
| 申请号: | 202211651409.0 | 申请日: | 2022-12-22 |
| 公开(公告)号: | CN115632888B | 公开(公告)日: | 2023-04-07 |
| 发明(设计)人: | 王冲华;郝志强;林晨;周昊;李俊;樊佩茹;曲海阔;刘奕彤;李文婷;张雪莹;韦彦 | 申请(专利权)人: | 国家工业信息安全发展研究中心 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L41/069;H04L41/16;H04L41/22 |
| 代理公司: | 北京高沃律师事务所 11569 | 代理人: | 褚海英 |
| 地址: | 100040 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 算法 攻击 路径 还原 方法 系统 | ||
1.一种基于图算法的攻击路径还原方法,其特征在于,包括:
获取工控现场的原始告警日志;所述原始告警日志包括工业主机数据和业务应用数据;
根据所述原始告警日志分别构建异构图和有向带权图;所述有向带权图为表示设备和平台之间的连接关系和攻击次数的图结构;将工控场景中的告警事件收集起来,用异构图形式表达;
根据所述异构图和元路径确定同构图;所述同构图的节点为事件;所述同构图表示事件类型和事件之间的连接关系;
根据所述同构图利用图卷积网络算法计算事件的嵌入表示;
根据所述有向带权图利用大规模信息网络嵌入算法计算设备的嵌入表示;
分别根据所述事件的嵌入表示和所述设备的嵌入表示利用相似性算法确定事件类型节点相似度和设备IP节点相似度,或者确定事件类型节点相似度和平台IP节点相似度;
当确定所述事件类型节点相似度和所述设备IP节点相似度时,根据所述事件类型节点相似度和所述设备IP节点相似度对同一时间窗口内的所述原始告警日志进行遍历回溯,得到攻击路径;当确定所述事件类型节点相似度和所述平台IP节点相似度时,根据所述事件类型节点相似度和所述平台IP节点相似度对同一时间窗口内的所述原始告警日志进行遍历回溯,得到攻击路径。
2.根据权利要求1所述的基于图算法的攻击路径还原方法,其特征在于,所述根据所述原始告警日志分别构建异构图和有向带权图,具体包括:
将所述原始告警日志中的所有设备和事件映射为图结构的节点,以所述告警日志中的告警事件是否在设备上发生作为图结构的边,构建异构图;
将所述原始告警日志中的每个设备映射为图结构的节点,基于所有连接关系和权重,构建有向带权图;所述连接关系包括设备和设备、设备和平台以及平台和平台之间的连接关系;所述权重包括设备和设备、设备和平台以及平台和平台之间的权重。
3.根据权利要求1所述的基于图算法的攻击路径还原方法,其特征在于,所述根据所述有向带权图利用大规模信息网络嵌入算法计算设备的嵌入表示,具体包括:
根据所述有向带权图利用大规模信息网络嵌入算法中的二阶相似性计算设备的嵌入表示。
4.根据权利要求1所述的基于图算法的攻击路径还原方法,其特征在于,所述当确定所述事件类型节点相似度和所述设备IP节点相似度时,根据所述事件类型节点相似度和所述设备IP节点相似度对同一时间窗口内的所述原始告警日志进行遍历回溯,得到攻击路径,具体包括:
当确定所述事件类型节点相似度和所述设备IP节点相似度时,根据所述事件类型节点相似度和所述设备IP节点相似度对同一时间窗口内的所述原始告警日志利用spark分区方法进行遍历,得到攻击路径表;
根据所述攻击路径表确定攻击路径。
5.根据权利要求1所述的基于图算法的攻击路径还原方法,其特征在于,所述当确定所述事件类型节点相似度和所述平台IP节点相似度时,根据所述事件类型节点相似度和所述平台IP节点相似度对同一时间窗口内的所述原始告警日志进行遍历回溯,得到攻击路径,具体包括:
当确定所述事件类型节点相似度和所述平台IP节点相似度时,根据所述事件类型节点相似度和所述平台IP节点相似度对同一时间窗口内的所述原始告警日志利用spark分区方法进行遍历,得到攻击路径表;
根据所述攻击路径表确定攻击路径。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国家工业信息安全发展研究中心,未经国家工业信息安全发展研究中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202211651409.0/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种橡胶止水带及其制备方法和应用
- 下一篇:一种油泵及电子油泵
