[发明专利]一种基于相似度计算的攻击路径重构方法

权利要求书

1.一种基于相似度计算的攻击路径重构方法，其特征在于，包括以下步骤：

步骤一，搭建包括日志采集子系统、日志融合子系统和攻击路径重构子系统在内的攻击路径重构系统；

步骤二，启动攻击路径重构系统；

步骤三，日志采集子系统采集网络日志、主机日志和应用程序日志；然后根据特征匹配来判断日志记录中是否存在攻击告警，并将攻击告警存入攻击告警队列AA中；

步骤四，日志融合子系统对攻击告警队列AA中的攻击告警进行融合，去除重复告警，建立攻击事件队列AE；

步骤五，攻击路径重构子系统采用相似度计算方法构造攻击路径队列AP。

2.根据权利要求1所述的一种基于相似度计算的攻击路径重构方法，其特征在于，所述的日志采集子系统包括日志采集客户端和日志采集服务端。

3.根据权利要求2所述的一种基于相似度计算的攻击路径重构方法，其特征在于，所述的步骤三中，日志采集客户端将网络日志、主机日志和应用程序日志采集至日志采集服务端；日志服务端根据特征匹配的方法，判断日志记录中是否存在攻击告警，并将攻击告警存入攻击告警队列AA中。

4.根据权利要求1所述的一种基于相似度计算的攻击路径重构方法，其特征在于，所述的步骤三中，日志采集子系统通过syslog协议来采集网络日志、主机日志和应用程序日志。

5.根据权利要求1所述的一种基于相似度计算的攻击路径重构方法，其特征在于，所述的步骤三中，所述的根据特征匹配来判断日志记录中是否存在攻击告警，是根据日志中所记录的关键字作为特征来判断是否存在攻击告警。

6.根据权利要求1所述的一种基于相似度计算的攻击路径重构方法，其特征在于，所述的步骤四中，日志融合子系统采用如下步骤建立攻击事件队列：

步骤1：初始化攻击事件队列AE为空；

步骤2：取出攻击告警队列中的队头元素AA_i，并由其他元素填补为队头元素，若攻击告警队列已为空，则结束建立攻击事件队列；

步骤3：比对攻击事件队列AE中是否存在与攻击告警AA_i的攻击类型、攻击目的地址相同的攻击事件AE_j元素，且AA_i的告警发生时间和AE_j的攻击发生时间差值小于预设阈值；若是，将AE_j的攻击发生时间修改为AA_i的告警发生时间，转到步骤2；否则转到步骤4；

步骤4：将攻击告警加入到攻击事件队列中，转到步骤2。

7.根据权利要求1所述的一种基于相似度计算的攻击路径重构方法，其特征在于，所述的步骤五中，攻击路径重构子系统采用如下步骤构造攻击路径队列：

步骤1：初始化攻击路径队列AP为空；

步骤2：取出攻击事件队列AE中的队头元素AE_i，并由其他元素填补为队头元素，若攻击事件队列已为空，则结束建立攻击路径队列；

步骤3：读取攻击路径队列中的队头元素AP_j，然后取出攻击路径AP_j中保存的最后一个攻击事件AE_l，并判断与AE_i的相似度Sim(AE_i,AE_l)是否小于阈值；若是，将AE_i放入临时数组S中，进入步骤4；否则，进入步骤6，其中取出最后一个攻击事件AE_l后，由原倒数第二个攻击事件填补为新的最后一个攻击事件；

步骤4：判断AP_j是否为空，转到步骤5；否则，转到步骤3；

步骤5：取出临时数组S中相似度AE_i最小的加入到攻击路径AP_j中，转到步骤2；

步骤6：创建新的攻击路径，转到步骤2。