[发明专利]一种基于计算机时序依赖网络的入侵感染区域定位方法

摘要

本发明公开了一种基于计算机时序依赖网络的入侵感染区域定位方法，所述方法根据计算机系统中采集到所有进程对计算机对象的访问记录，构建完整的对象时序依赖网络；对完整的时序依赖网络进行剪枝，提取出与入侵相关的对象时序依赖子网络；根据对象时序依赖子网络，构建贝叶斯网络；利用贝叶斯网络概率推理，计算和量化系统中其他未知对象遭到入侵感染的可能性，得到入侵对计算机系统的感染区域。本发明方法的优点在于建立结合时间信息的对象依赖网络，能够更准确地描述对象间的时序依赖关系以及对象感染状态随时间变化的特性；提出概率推理的方法来进行入侵感染区域定位。

主权项

一种基于计算机时序依赖网络的入侵感染区域定位方法，其特征在于，所述方法包括以下步骤：S100、构建对象时序依赖网络：S1001、将每个计算机对象沿时间轴切分得到对应的对象切片；S1002、基于步骤S1001，提取依赖关系：依赖关系包括对象间依赖关系和对象内依赖关系；所述对象间依赖关系包括：不同对象的切片之间的依赖关系；所述对象内依赖关系包括：同一个对象的相邻切片之间的依赖关系；S1003、根据步骤S1002中所述的依赖关系，构建对象时序依赖网络G(V，E1，E2)；其中V表示计算机对象切片的集合，对于表示对象切片，i表示计算机对象的标识，t表示离散的时间点；E1表示对象间依赖关系集合，E2表示对象内依赖关系集合；所述对象时序依赖网络是基于待分析计算机系统中所有进程的访问记录构建的；所述待分析计算机系统包括：在过去某个时刻遭到攻击者的入侵感染且直到当前时刻才检测到部分感染对象的计算机系统；所述所有进程的访问记录包括：在待分析计算机系统中，从上一个安全检查点到当前时刻之间，捕获到的计算机上运行的所有进程对计算机对象的访问记录；计算机对象包括：文件对象、注册表对象、进程对象、套接字对象；S200、根据已知感染对象，对所述对象时序依赖网络进行剪枝，提取出与入侵感染相关的对象时序依赖子网络：S2001、反向入侵溯源：将已知感染对象集合M1中的对象沿时间轴切分得到对应的已知感染对象切片集合D＝{(j，tj)}，其中j∈M1为已知感染对象，tj表示对象j被检测为恶意的时刻；分别以集合D中的每个对象切片为起始点，反向遍历时序依赖网络G(V，E1，E2)，用集合S表示所有遍历到的对象切片；对集合S进行筛选得到可疑入侵源点对象切片集合S′＝{(m，t)|(m，t)∈S}，其中m表示一个建立远程网络连接的进程对象或者移动存储设备上的文件对象；S2002、正向入侵扩散：以步骤S2001中得到可疑入侵源点对象切片集合S中的每个对象切片为起始点，正向遍历对象时序依赖网络G(V，E1，E2)，用集合V1表示所有遍历到的对象切片；S2003、根据步骤S2002得到的集合V1，对所述对象时序依赖网络G(V，E1，E2)进行剪枝，提取可能被感染的计算机对象集合O＝{n|(n，t)∈V1}；将所述可能被感染的对象集合O＝{n|(n，t)∈V1}中的对象沿时间轴切分得到对应的对象切片集合V′＝{(n，t)|n∈O}；去除G(V，E1，E2)中不属于集合V′的对象切片，得到与入侵感染相关的对象时序依赖子网络G′(V′，E1′，E2′)；S300、根据所述对象时序依赖子网络，构建贝叶斯网络；S400、将已知对象的安全状态映射到贝叶斯网络的已观察变量中；已知对象包括：已知感染的对象和已知正常的对象；S500、基于S300中构建的贝叶斯网络，利用S400中所述的已观察变量确定计算机系统中其他对象遭到入侵感染的概率，并进一步得到计算机系统中入侵的感染区域。