[发明专利]一种基于图算法的攻击路径还原方法及系统

说明书

本发明涉及一种基于图算法的攻击路径还原方法及系统，涉及安全攻防领域，方法包括根据原始告警日志分别构建异构图和有向带权图；根据异构图和元路径确定同构图；根据同构图利用图卷积网络算法计算事件的嵌入表示；根据有向带权图利用大规模信息网络嵌入算法计算设备的嵌入表示；分别根据事件的嵌入表示和设备的嵌入表示利用相似性算法确定事件类型节点相似度和设备IP节点相似度，或者确定事件类型节点相似度和平台IP节点相似度，并对同一时间窗口内的原始告警日志进行遍历回溯，得到攻击路径。本发明能够降低对领域知识和专家知识的依赖性，提高还原效率。

技术领域

本发明涉及安全攻防领域，特别是涉及一种基于图算法的攻击路径还原方法及系统。

背景技术

工业控制系统（industrial control system，ICS）是一类工业生产自动化系统，主要由物理过程、传感器、执行器、控制器、人机界面、数据库等设备组成。

传统工控领域的网络安全聚焦于入侵检测等，对于更高级的威胁，如长期的APT攻击，往往比较难以发现，这种攻击发生比较隐蔽且持续时间久，过程复杂，同时攻击者有着明确的意图，损害攻击目标的利益，窃取重要信息，随着技术的进步，攻击手段愈发复杂，因此更需要引起重视。现在已有工控现场的追踪多步攻击方法有：分析攻击间的因果关系进行多步关联分析，但是这种方法设计要求高，定义复杂，实现难度大，不适用于未知攻击和不存在明显前因后果关系的攻击；利用已知的攻击场景和现有数据集挖掘出的知识进行事件关联分析，比如专家知识库等，但是这种方法依赖于领域知识和专家知识，且难以发现完整的攻击场景。

当前针对工业控制系统信息安全领域的攻击链还原多为基于规则或专家知识人为协助的。该过程耗费人力，且效率比较低；对规则要求比较高，而且无法找出规则中没有的攻击链。

发明内容

本发明的目的是提供一种基于图算法的攻击路径还原方法及系统，以降低对领域知识和专家知识的依赖性，提高还原效率。

为实现上述目的，本发明提供了如下方案：

一种基于图算法的攻击路径还原方法，包括：

获取工控现场的原始告警日志；所述原始告警日志包括工业主机数据和业务应用数据；

根据所述原始告警日志分别构建异构图和有向带权图；所述有向带权图为表示设备和平台之间的连接关系和攻击次数的图结构；

根据所述异构图和元路径确定同构图；所述同构图的节点为事件；所述同构图表示事件类型和事件之间的连接关系；

根据所述同构图利用图卷积网络算法计算事件的嵌入表示；

根据所述有向带权图利用大规模信息网络嵌入算法计算设备的嵌入表示；

分别根据所述事件的嵌入表示和所述设备的嵌入表示利用相似性算法确定事件类型节点相似度和设备IP节点相似度，或者确定事件类型节点相似度和平台IP节点相似度；

当确定所述事件类型节点相似度和所述设备IP节点相似度时，根据所述事件类型节点相似度和所述设备IP节点相似度对同一时间窗口内的所述原始告警日志进行遍历回溯，得到攻击路径；当确定所述事件类型节点相似度和所述平台IP节点相似度时，根据所述事件类型节点相似度和所述平台IP节点相似度对同一时间窗口内的所述原始告警日志进行遍历回溯，得到攻击路径。

可选地，所述根据所述原始告警日志分别构建异构图和有向带权图，具体包括：

将所述原始告警日志中的所有设备和事件映射为图结构的节点，以所述告警日志中的告警事件是否在设备上发生作为图结构的边，构建异构图；