[发明专利]基于双向长短时记忆网络的APT攻击溯源分析方法

权利要求书

1.一种基于双向长短时记忆网络的APT攻击溯源分析方法，其特征在于，包括以下步骤：

步骤S1：构建溯源图，针对审计日志数据抽取系统操作事件构建溯源图并对溯源图进行图优化；

步骤S2：提取序列，对优化后的溯源图提取攻击序列和非攻击序列；

步骤S3：深度学习模型训练，提取的攻击序列与非攻击序列转换成攻击溯源数字向量；针对生成的攻击溯源数字向量，采用深度学习模型进行训练；

步骤S4：攻击实体识别，由入侵检测系统提供真实的攻击症状实体，再由深度学习模型识别所有的攻击实体；

步骤S5：攻击路径溯源，所有的含有攻击实体的攻击事件形成攻击事件集合，攻击事件按时间戳排序形成攻击流程。

2.根据权利要求1所述的基于双向长短时记忆网络的APT攻击溯源分析方法，其特征在于，步骤S1中构建溯源图包括以下内容：

针对所使用的审计日志数据，抽取系统操作事件，根据事件内容构建溯源图；溯源图由节点组成，节点代表主体和对象，代表主体的节点和代表对象的节点统称为事件实体，代表主体的节点和代表对象的节点与边相连，边代表主体和对象之间的操作；

溯源图的图优化包括以下内容：

(1)删除了攻击节点和攻击症状节点不可达的节点和边；

(2)删除了同一主体和对象之间没有导致状态变化的重复动作的边；

(3)合并相同事件的不同主体和对象描述。

3.根据权利要求1所述的基于双向长短时记忆网络的APT攻击溯源分析方法，其特征在于，步骤S2中,

攻击序列提取方法包括：提取含有攻击实体的攻击事件，将攻击事件按时间顺序形成攻击序列；

非攻击序列提取方法包括：在每一个攻击实体子集中加入一个非攻击实体形成非攻击实体集，然后使用攻击序列提取方法来提取序列，如果提取的序列与已知的攻击序列不匹配，则标记为非攻击序列。

4.根据权利要求1所述的基于双向长短时记忆网络的APT攻击溯源分析方法，其特征在于，所述深度学习模型为双向长短时记忆网络BiLSTM，所述深度学习模型学习攻击序列和非攻击序列的相似性和区别。

5.根据权利要求1所述的基于双向长短时记忆网络的APT攻击溯源分析方法，其特征在于，在步骤S4中攻击实体识别主要步骤包括：

首先把溯源图中的实体集去除攻击症状实体得到未知实体集合，然后从中取一个未知实体和所有攻击症状实体形成未知实体子集；

对形成的未知实体子集提取序列并进行向量化处理，再输入到已经训练好的深度学习模型中；

如果判定为攻击序列，则标记所取的一个未知实体为攻击实体，继续取未知实体并构建未知实体子集进行相同操作直到取完所有未知实体，标记的所有攻击实体形成攻击实体集。