[发明专利]一种APT攻击溯源图分析方法

权利要求书

1.一种APT攻击溯源图分析方法，其特征在于，包括以下步骤：

步骤S1：对银行信息系统进行日志采集并利用日志转换算法进行格式转换，得到溯源图统一格式日志，其中所述的日志转换算法函数如下所示：

；

式中，为日志转换算法函数，为银行信息系统日志的数量，为日志转换算法的调和平滑参数，为银行信息系统日志的参数，为第个银行信息系统日志，为日志转换算法的参数缩放因子，为指数函数变换，为概率密度函数，为日志转换算法的修正值；

构建溯源图日志数据库，对溯源图统一格式日志进行抽取和加工处理并将加工处理后的溯源图统一格式日志保存至溯源图日志数据库中，得到整体溯源图日志；

步骤S2：通过预设的日志分类算法模型对整体溯源图日志进行分类处理，得到溯源图日志类型数据；利用重要权度挖掘算法对溯源图日志类型数据进行关键特征提取，以得到溯源图日志关键特征，其中所述的重要权度挖掘算法函数如下所示：

；

式中，为溯源图日志类型数据特征中第个特征的重要权度，为正整数，其取值范围为，为溯源图的时间跨度，为在时间中包含溯源图日志类型数据特征中第个特征的溯源图数量，为在时间中溯源图日志类型数据特征中第个特征出现的概率，为时间影响衰减系数，为积分项的贡献系数，为积分项时间衰减系数，为积分项收敛系数，为溯源图日志类型数据特征中第个特征在时间上的出现概率，为重要权度挖掘算法的修正值；

步骤S3：根据溯源图日志关键特征构建溯源图，得到溯源图序列；利用门控循环单元算法对溯源图序列进行异常行为检测，得到攻击目标数据；

步骤S4：利用图论算法对攻击目标数据进行溯源图构建，以生成APT攻击溯源图，其中APT攻击溯源图包括攻击行为和攻击链；通过预设的机器学习算法模型对APT攻击溯源图中的攻击行为进行模型训练和自主学习，并提取攻击链的关系特征，得到攻击关系链；

步骤S5：根据路径分析算法和关联规则挖掘算法相结合的方法识别攻击关系链中的攻击路径和攻击方法，以得到攻击规则信息；

步骤S6：通过攻击溯源算法对攻击规则信息进行溯源计算，得到攻击溯源度；根据预设的攻击异常阈值对攻击溯源度进行行为判断，得到报警信号；根据报警信号绘制行为图谱以执行相应的防御策略。

2.根据权利要求1所述的APT攻击溯源图分析方法，其特征在于，所述步骤S1包括以下步骤：

步骤S11：对银行信息系统进行日志采集，得到银行信息系统日志；

步骤S12：利用日志转换算法对银行信息系统日志进行格式转换，得到溯源图统一格式日志；

步骤S13：构建溯源图日志数据库，对溯源图统一格式日志进行抽取和加工处理并保存至溯源图日志数据库，以生成溯源图日志文件；

步骤S14：获取溯源图日志文件中的信息数据包，根据信息数据包获取与整体溯源图相关的日志，得到整体溯源图日志。

3.根据权利要求1所述的APT攻击溯源图分析方法，其特征在于，所述步骤S2包括以下步骤：

步骤S21：对整体溯源图日志进行日志数据格式转换处理，得到整体溯源图日志数据；

步骤S22：通过预设的基于支持向量机的日志分类算法模型对整体溯源图日志数据进行分类处理，得到溯源图日志类型数据；

步骤S23：利用重要权度挖掘算法对溯源图日志类型数据进行关键特征提取，得到溯源图日志关键特征。