[发明专利]一种面向模式图变化的连续子图匹配方法、系统及设备

说明书

本发明一个或多个实施例提供一种面向模式图变化的连续子图匹配方法、系统及设备，包括：基于网络拓扑图G和模式图P构建数据结构，数据结构用于存储网络拓扑图G和模式图P的局部匹配结果；基于模式图P的动态变化，构建维护模型；维护模型基于模式图P的动态变化更新数据结构，以使数据结构存储实时局部匹配结果；基于模式图P的匹配顺序，构建成本模型；利用成本模型计算模式图P的最小匹配代价，基于最小匹配代价得到匹配算法；基于实时局部匹配结果和匹配算法获得网络拓扑图G和模式图P的最终匹配结果，以完成网络威胁检测。本发明能够监测异常的网络攻击行为，预测即将发生的网络攻击模式，并推测网络黑客的攻击目标。

技术领域

本发明一个或多个实施例涉及网络安全技术领域，尤其涉及一种面向模式图变化的连续子图匹配方法、系统及设备。

背景技术

网络威胁检测作为维护网络安全的重要手段，主要包括：1)监测异常的网络攻击行为；2)预测即将发生的网络攻击模式；3)推测网络黑客的攻击目标。现有技术通过研究连续子图模式匹配技术，在动态变化的网络中查找是否存在异常的网络攻击模式，从而可以监测异常的网络攻击行为，但是研究发现，目前没有基于图的方法来解决网络威胁检测的后两个问题，无法预测网络攻击模式，或者推测被攻击的目标，将监测异常的网络攻击行为视为网络威胁被动检测模式，将网络威胁检测后两个问题视为主动检测方式，现有技术无法做到主动进行网络威胁检测。

发明内容

有鉴于此，本发明一个或多个实施例的目的在于提出，以解决预测即将发生的网络攻击模式，推测网络黑客的攻击目标的主动网络威胁检测的问题。

基于上述目的，本发明一个或多个实施例提供了一种面向模式图变化的连续子图匹配方法，包括：

基于网络拓扑图G和模式图P构建数据结构，所述数据结构用于存储所述网络拓扑图G和模式图P的局部匹配结果，所述模式图P基于网络攻击模式得到，所述模式图P关联所述网络攻击模式，所述模式图P中包括：节点，所述节点表示网络空间中实体，所述实体包括：IP地址、端口和边，所述边表示所述节点之间的连接关系和所述节点之间进行交互需要符合的运输协议；

基于所述模式图P的动态变化，构建维护模型；所述维护模型基于所述模式图P的动态变化更新所述数据结构，以使所述数据结构存储实时局部匹配结果；

基于所述模式图P的匹配顺序，构建成本模型；

利用所述成本模型计算所述模式图P的最小匹配代价，基于所述最小匹配代价得到匹配算法；

基于所述实时局部匹配结果和匹配算法获得所述网络拓扑图G和模式图P的最终匹配结果，所述匹配结果包括：当在所述网络拓扑图G中匹配到与所述模式图P同构的模式图或与所述模式图P完全一致的模式图时，则检测到网络威胁；当在所述网络拓扑图G中没有匹配到与所述模式图P同构的模式图或与所述模式图P完全一致的模式图时，则证明不存在网络威胁。

可选的，所述模式图P包括：初始模式图和更新流Δo，Δo表示一个更新序列(Δo₁,Δo₂,…,Δo_i…)，其中Δo_i是三元操作op,u_i,u_j，op为所述模式图P的边u_i,u_j的更新操作，u_i,u_j均表示所述模式图P中的节点。

可选的，所述基于网络拓扑图G和模式图P构建数据结构，包括：

基于所述网络拓扑图G和模式图P构造生成树T，基于所述生成树T构造所述数据结构，所述模式图P和生成树T包括第一节点集{u}，所述数据结构包括第二节点集{v}，所述数据结构存储的所述局部匹配结果包括：基于所述网络拓扑图G和模式图P的所述生成树T的解，以及所述生成树T中所述第一节点集{u}的子树的相应解。