[发明专利]一种基于行为模式的APT事件同源判定方法

权利要求书

1.一种基于行为模式的高级持续性威胁APT事件同源判定方法，其特征在于，其步骤包括：

S1，构建基于行为模式的APT事件关联图；

S2，对APT事件关联图进行节点属性扩展；

S3，对APT事件关联图中的节点进行属性标注；

对APT事件关联图中的节点进行属性标注，得到APT事件关联图节点的行为标签或线索标签；

S4，对APT事件关联图进行相似性判别；

对APT事件关联图进行相似性判别，完成APT事件的同源判定；采用子图相似性度量函数，比较两个APT事件关联图结构数据的拓扑结构信息和节点属性信息，来确定两个APT事件关联图的同源性或相似性；

所述的步骤S1，其具体包括，从多渠道获得的非结构化数据中抽取APT事件线索信息，从杀伤链模型提取APT事件的攻击链数据，从ATTCK模型中的攻击技战术知识中提取本次APT事件的技战术信息，将攻击线索和攻击技战术抽象为APT事件行为模式实体，APT攻击技战术手段抽象为行为模式实体属性，以攻击线索和攻击技战术间的连接关系和通信关系为实体间关系，依据杀伤链模型的攻击链条步骤或ATTCK模型中的攻击技战术知识，利用实体抽取和关系识别方法，构建基于行为模式的APT事件关联图；

所述的步骤S4，其具体包括，

步骤S41，所述的两个APT事件关联图，其数据分别为图数据G和图数据H，以事件关联图的行为模式实体为中心节点，对图数据G和H分别进行子图分解，分别分解为多个子图{g₁,g₂,...,g_i,...,g_n}和{h₁,h₂,...,h_i,...,h_n}，n表示分解得到的子图的数量，g_i表示图数据G中的第i个子图，h_i表示图数据H中的第i个子图；

步骤S42，根据步骤S3得到节点的属性标注结果，利用子图相似性度量函数，对不同子图结构进行相似性度量，子图g和子图h的子图相似性度量函数的计算公式为：

其中δ(g,h)表示子图g和子图h的子图相似性度量函数，L_ij表示子图中节点V_i到节点V_j的最短路径，最短路径上包含节点属性的标签，M(k)表示子图中路径长度小于k的最短标签路径的集合，是用于表示子图g中是否包含某一最短标签路径的变量，是用于表示子图h中是否包含某一最短标签路径的变量，该子图相似性度量函数δ(g,h)以两个子图h和g中含有相同的最短标签路径的数量，作为衡量两个图结构之间的相似性的标准；

步骤S43，计算两个图数据G和H之间的图核函数值，图核函数的表达式为：

其中，k(G,H)表示两个图数据G和H之间的图核函数值，即为两个APT事件之间的同源性判定结果值。

2.如权利要求1所述的基于行为模式的APT事件同源判定方法，其特征在于，所述的多渠道包括公开网页、移动终端、公开的技术文章。

3.如权利要求1所述的基于行为模式的APT事件同源判定方法，其特征在于，所述的杀伤链模型包括攻击链条步骤。

4.如权利要求1所述的基于行为模式的APT事件同源判定方法，其特征在于，所述的APT事件关联图包括APT事件关联图节点和连接边，APT事件行为模式实体为APT事件关联图节点，实体间关系为连接边。