[发明专利]一种内网渗透过程还原方法和系统

权利要求书

1.一种内网渗透过程还原方法，其特征在于，所述方法包括：

捕获攻击事件；

根据所述攻击事件获取所述攻击事件对应的流量元数据特征；所述流量元数据特征是定期对网络数据报文进行分析和提取得到的，所述流量元数据特征包括内容特征、数据流特征和网络连接行为特征；所述内容特征包括恶意流量协议段特定值以及负载特定字符序列；所述数据流特征是根据数据流中数据包大小、密钥长度和通信协议状态机时间确定；所述网络连接行为特征是根据流量数据中的网络连接数确定；

根据所述攻击事件对应的流量元数据特征基于数据库确定所述攻击事件对应的攻击类别；

机器学习组件基于数据库对所述攻击事件对应的攻击类别进行时序关联分析和聚类，得到一条或多条所述攻击事件对应的攻击路径，以还原内网渗透过程；其中，所述机器学习组件是根据所述数据库中的内网渗透事件特征训练得到；

所述攻击事件对应的攻击类别为攻击链中的攻击类别，包括侦查、工具制作、投递、攻击渗透、安装工具、命令控制和恶意活动。

2.如权利要求1所述的方法，其特征在于，所述捕获攻击事件，包括：

检测网络中设定锚点被触发时，将触发所述锚点的事件确定为攻击事件；所述设定锚点为设定的网络异常类型。

3.一种内网渗透过程还原系统，其特征在于，所述系统包括：

捕获模块，用于捕获攻击事件；

攻击事件理解第一模块，用于根据所述攻击事件获取所述攻击事件对应的流量元数据特征；所述流量元数据特征是定期对网络数据报文进行分析和提取得到的，所述流量元数据特征包括内容特征、数据流特征和网络连接行为特征；所述内容特征包括恶意流量协议段特定值以及负载特定字符序列；所述数据流特征是根据数据流中数据包大小、密钥长度和通信协议状态机时间确定；所述网络连接行为特征是根据流量数据中的网络连接数确定；

攻击事件理解第二模块，用于根据所述攻击事件对应的流量元数据特征基于数据库确定所述攻击事件对应的攻击类别；

渗透过程还原模块，用于机器学习组件基于数据库对所述攻击事件对应的攻击类别进行时序关联分析和聚类，得到一条或多条所述攻击事件对应的攻击路径，以还原内网渗透过程；其中，所述机器学习组件是根据所述数据库中的内网渗透事件特征训练得到；

所述攻击事件对应的攻击类别为攻击链中的攻击类别，包括侦查、工具制作、投递、攻击渗透、安装工具、命令控制和恶意活动。

4.如权利要求3所述的系统，其特征在于，所述捕获模块具体用于：

检测网络中设定锚点被触发时，将触发所述锚点的事件确定为攻击事件；所述设定锚点为设定的网络异常类型。