[发明专利]基于日志关联分析的攻击溯源方法及装置

权利要求书

1.一种基于日志关联分析的攻击溯源方法，其特征在于，所述方法包括：

收集系统内各个层次的日志，根据所述各个层次的日志之间的关联关系，构建日志连接图，所述日志连接图表现为日志节点和标记节点交替出现，一个日志节点解析出至少一个标记节点，一个标记节点至少被一个日志节点解析出；

利用所述日志连接图中的标记节点将各个单源溯源图中的溯源元素进行连接，得到融合溯源图，所述单源溯源图为使用日志解析算法对每个数据源的日志文件转换得到，所述溯源元素包括节点和边；

在所述融合溯源图中执行攻击溯源算法，并基于短路机制挖掘所述融合溯源图中围绕依赖爆炸节点周围形成的连通路径，所述依赖爆炸节点为输入边和输出边之和大于预设数值的节点；

针对所述攻击溯源算法中搜索路径的每一个步数，使用搜索路径包含所述连通路径作为路径评估因素之一，计算所述攻击溯源算法搜索到各个路径的评估分数，选取评估分数最高的路径作为攻击溯源算法输出的攻击链。

2.如权利要求1所述的方法，其特征在于，所述根据所述各个层次的日志之间的关联关系，构建日志连接图，包括：

以每行日志作为一个日志节点，解析所述各个层次的日志中表达日志节点之间关联关系的特征，形成标记节点集合；

针对标记节点集合中的每个标记节点，使用至少被两个日志节点解析出的标记节点形成连接纽带，并根据所述连接纽带将所述至少两个日志节点与标记节点进行连接，绘制出日志连接图。

3.如权利要求2所述的方法，其特征在于，所述解析所述各个层次的日志中表达日志节点之间关联关系的特征，形成标记节点集合，包括：

针对同层次的日志节点，使用频繁分析项来挖掘表征同层日志节点之间关联关系的公共模式，形成标记节点集合；

针对跨层次的日志节点，使用预先列举的跨层连接标记来表达日志节点之间关联关系的特征，形成标记节点集合。

4.如权利要求2所述的方法，其特征在于，所述针对标记节点集合中的每个标记节点，使用至少被两个日志节点解析出的标记节点形成连接纽带，并根据所述连接纽带将所述至少两个日志节点与标记节点进行连接，绘制出日志连接图，包括：

针对标记节点集合中的每个标记节点，判断若该标记节点是否被其他日志节点解析出，则将该标记节点作为至少被两个日志节点解析出的标记节点；

使用将该标记节点形成连接纽带来表达标记节点与日志节点之间的共享关系，并根据所述共享关系绘制出日志连接图，所述共享关系中标记节点连接与其关联的至少两个日志节点。

5.如权利要求1所述的方法，其特征在于，所述利用所述日志连接图中的标记节点将各个单源溯源图中的溯源元素进行连接，得到融合溯源图，包括：

遍历所述日志连接图中所有标记节点，查询所述日志连接图中日志节点之间的关联关系，并根据所述节点之间的关联关系，解析出各个单源溯源图中具有关联关系的溯源元素；

将所述各个单源溯源图中具有关联关系的溯源元素进行连接，得到融合溯源图。

6.如权利要求1所述的方法，其特征在于，所述在所述融合溯源图中执行攻击溯源算法，并基于短路机制挖掘所述融合溯源图中围绕依赖爆炸节点周围形成的连通路径，包括：

预先将所述融合溯源图中输入边和输出边之和大于预设数值的节点确定为依赖爆炸节点；

在所述融合溯源图中执行攻击溯源算法，当所述攻击溯源算法定位到依赖爆炸节点，基于短路机制围绕所述依赖爆炸节点进行路径的深度优先搜索，挖掘围绕所述依赖爆炸节点周围形成的连通路径。