[发明专利]攻击链检测方法及装置有效
| 申请号: | 201811360528.4 | 申请日: | 2018-11-15 |
| 公开(公告)号: | CN109660515B | 公开(公告)日: | 2020-05-12 |
| 发明(设计)人: | 刘银龙;马宇晨;朱大立;张杭生 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京路浩知识产权代理有限公司 11002 | 代理人: | 王莹;吴欢燕 |
| 地址: | 100093 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明实施例提供一种攻击链检测方法及装置,所述方法包括:根据各攻击事件所属的攻击阶段和传递各所述攻击事件的主机节点构建攻击事件图,根据所述攻击事件图计算各所述主机节点的中介中心性;对于任一种临近攻击事件序列,根据各所述主机节点的中介中心性计算该种临近攻击事件序列的隶属度;获取所述攻击事件图中的每条攻击路径,若各条所述攻击路径包含核心主机节点,则根据各所述主机节点的临近攻击事件序列的隶属度,基于D‑S证据理论以所述核心主机节点为起点逆向追寻发起所述攻击事件的主机节点,将追寻的所述主机节点和所述核心节点作为攻击链。本发明实施例检测出的攻击链更加准确,能实现对APT事件的精准检测。 | ||
| 搜索关键词: | 攻击 检测 方法 装置 | ||
【主权项】:
1.一种攻击链检测方法,其特征在于,包括:S1,根据各攻击事件所属的攻击阶段和传递各所述攻击事件的主机节点构建攻击事件图;S2,根据所述攻击事件图计算各所述主机节点的中介中心性;S3,对于任一种临近攻击事件序列,根据各所述主机节点的中介中心性计算该种临近攻击事件序列的隶属度;S4,获取所述攻击事件图中的每条攻击路径,若各条所述攻击路径包含核心主机节点,则根据各所述主机节点的临近攻击事件序列的隶属度,基于D‑S证据理论以所述核心主机节点为起点逆向追寻发起所述攻击事件的主机节点,将追寻的所述主机节点和所述核心节点作为攻击链;其中,该种临近攻击事件序列的隶属度为该种临近攻击事件序列属于该种临近攻击事件序列对应的临近攻击阶段序列的概率,所述临近攻击事件序列包括任一所述主机节点的一次出向攻击事件和一次入向攻击事件,且所述出向攻击事件和所述入向攻击事件满足第一预设条件,所述临近攻击事件序列对应的临近攻击阶段序列包括所述临近攻击事件序列中出向攻击事件所属的攻击阶段和入向攻击事件所属的攻击阶段;所述核心主机节点为满足第二预设条件的所述主机节点。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201811360528.4/,转载请声明来源钻瓜专利网。
