[发明专利]一种网络攻击模式图的生成方法

权利要求书

1.一种网络攻击模式图的生成方法，其特征在于：包括以下步骤：

步骤S1：获取一段时间的网络入侵检测系统的日志数据，作为生成攻击图的输入数据；

步骤S2：对步骤S1获得的日志数据进行过程挖掘，得到一个包含所有攻击链的攻击图G；

步骤S3：计算攻击图G的复杂度，若攻击图G的复杂度大于指定阈值，则输出G；否则将有向图G放入队列Q_s中，执行步骤S4；其中队列Q_s用于存放待分割的有向图，初始为空队列；

步骤S4：遍历队列Q_s，对队列中的每个有向图G，自顶向下寻找分支点V_split；其中，所述分支点V_split为自顶向下遍历有向图G所找到的第一个出度大于1的顶点；

步骤S5：以分支点V_split作为分割的起始点，去除有向图G中的独立子图，然后将剩余以V_split为起始点的有向边加入到队列Q_e中，其中队列Q_e用于存放待遍历的以V_split为起始点的有向边，初始为空队列；

步骤S6：遍历队列Q_e，对遍历到的有向边e使用广度优先算法遍历并生成e的后继子图，对每个后继子图G_e，计算G_e复杂度，如果G_e不是复杂子图，将G_e加入输出队列Q_output中；否则将G_e加入队列Q_s；

步骤S7：判断队列Q_s是否为空，如果Q_s为空，转到步骤S8；否则转到步骤S4；

步骤S8：将Q_output中的有向图G，使用分支信息补全算法处理得到有向图G'，输出G'，即为攻击模式图。

2.根据权利要求1所述的一种网络攻击模式图的生成方法，其特征在于：步骤S2具体包括以下步骤：

步骤S21：将日志数据按照IP地址分组，作为输入簇，将攻击事件标记为行为活动；

步骤S22：挖掘各个活动之间的依赖关系；

步骤S23：处理活动之间的AND/XOR-split/Join和不可见关系；

步骤S24：挖掘寻找活动之间的长距离依赖和自循环关系；

步骤S25：输出挖掘结果，即包含所有攻击链的攻击图G。

3.根据权利要求1所述的一种网络攻击模式图的生成方法，其特征在于：步骤S3中，计算攻击图G的复杂度具体包括以下步骤：

步骤S31：计算图G的顶点数和边数，利用顶点数和边数的关系计算复杂度；

步骤S32：设定两个阈值V_min和V_max，若图G的顶点个数|V|＜V_min,则图G为非复杂图；若图G的顶点个数|V|＞V_max，则图G为复杂图；若图G的顶点个数满足V_min＜|V|＜V_max，则计算图G的顶点集V与边集E大小的比值|V|/|E|，若比值大于指定阈值T₁，则图G是复杂图。

4.根据权利要求1所述的一种网络攻击模式图的生成方法，其特征在于：步骤S4中，寻找分支点V_split的方法为：自顶向下遍历有向图G中的顶点，对遍历到的顶点v，检查顶点v的出度，若v是遍历过程遇到的第一个出度大于1的顶点，则该顶点v为分支点。