[发明专利]一种网络杀伤链检测方法、预测方法及系统

权利要求书

1.一种网络杀伤链检测方法，获取IDS告警日志数据中符合网络杀伤链模型的多个攻击事件序列的集合，其特征在于，包括以下步骤：

(1)构建d维特征向量：

(1.1)获取IDS告警日志数据中的n个攻击事件，按照每个攻击事件的攻击特征把所有的攻击事件分别划分到网络杀伤链模型的7个阶段中，最终把每个攻击事件所在的网络杀伤链模型的阶段数添加到该攻击事件所在的日志数据中，得到新的日志数据，n为自然数；

(1.2)通过新的日志数据构建出与网络杀伤链相关的d维特征向量，该d维特征向量包含攻击事件所在的网络杀伤链模型的阶段数；

(2)无监督特征选择将d维特征向量筛减为k维，每一个攻击事件都用一个k维特征向量表示；

(3)通过k维特征向量获取网络杀伤链攻击事件序列集合：

(3.1)更新R_l＝R_l-1\C_l；

R_l表示第l次迭代中，从R_l-1删除掉已经进行聚簇划分的攻击事件后剩余所有攻击事件的序列集合；l表示迭代次数；C_l为已进行聚簇划分的攻击事件序列集合，supp'函数表示特征向量的每一维对攻击事件的支持度，h表示支持度门槛；为标准化的图拉普拉斯矩阵L_sym的稀疏特征向量估计，L_sym通过k维特征向量得到；

第一次更新时需初始化参数l＝1，h＝0.1，初始时R₀＝{1,2,…,n}，B₀为初始化的n个攻击事件的空间结构表达；

(3.2)更新B_l+1＝B_l-(u_l^TB_lu_l)u_lu_l^T；

B_l表示在第l次迭代中，删除掉已经进行聚簇划分的攻击事件后剩余所有攻击事件空间结构表达，通过k维特征向量得到，u_l为B_l的第一主稀疏特征向量，通过对B_l进行稀疏化正则求得；

(3.3)更新迭代次数l＝l+1；

(3.4)重复步骤(3.1)-(3.3)，直至无法找到进行聚簇划分的攻击事件，最终所有迭代中删除的已进行聚簇划分的攻击事件序列集合即为所有攻击事件中找到的具有网络杀伤链的攻击事件序列集合；

步骤(2)k维特征向量的计算具体包括：

(2.1)分别计算每两个攻击事件的相似性度量值后，使用全连接法构造n×n相似矩阵S；通过相似矩阵S构造权重矩阵A；同时计算出特征向量只在第i维上的相似性，构造出权重矩阵Aⁱ，其中i＝1,2,…,d；

(2.2)通过权重矩阵A和Aⁱ计算出权值w_i，w_i表示第i维特征向量表征IDS告警日志数据空间结构能力的得分；

其中，w＝[w₁,w₂,...,w_i,...,w_d]为d维特征向量表征IDS告警日志数据空间结构能力的得分；G_ij＝tr((Aⁱ)^TA^j)，表示(Aⁱ)^TA^j的迹，b_r＝tr(A^TA^r)，表示A^TA^r的迹，其中j＝1,2,…,d；

(2.3)对w降序排列，前k个权值对应的特征向量，即为新的k维特征向量。

2.如权利要求1所述网络杀伤链检测方法，其特征在于，k维特征向量为{LocalDateTime，IP，ClientPort，Locate，Event}，k的值为5。