[发明专利]一种基于因果图的网络攻击路径识别方法

权利要求书

1.一种基于因果图的网络攻击路径识别方法，其特征在于，包括以下步骤：

S1、提取信息系统日志，获取与网络攻击相关的日志信息；

S2、依据日志信息，构建因果图；

S3、用已知场景生成因果图，并生成攻击序列和非攻击序列；

S4、对攻击序列和非攻击序列分别进行向量表征，生成攻击序列向量和非攻击序列向量；

S5、基于攻击序列向量和非攻击序列向量，训练攻击序列识别模型；

S6、采用步骤S1～S4，构建被测场景的因果图并生成行为序列向量，采用步骤S5攻击序列识别模型对被测场景中已知的被攻击实体的攻击路径识别。

2.根据权利要求1所述的基于因果图的网络攻击路径识别方法，其特征在于：步骤S1中，提取信息系统日志，获取与网络攻击相关的日志信息，包括：

S11、在系统设备终端部署的日志生成器，获取系统日志文件；

S12、提取系统日志文件中与网络攻击相关的安全事件日志；

S13、依据日志四元组格式，对安全事件日志进行处理，形成结构化日志信息。

3.根据权利要求1所述的基于因果图的网络攻击路径识别方法，其特征在于：所述日志四元组格式包括安全事件日志的源实体、事件名称、目的实体、时间戳。

4.根据权利要求1所述的基于因果图的网络攻击路径识别方法，其特征在于：步骤S2中，依据日志信息，构建因果图，包括：

S21、定义因果图中的节点、边、行为、事件之间的关系；

S22、依据日志信息，生成面向日志信息的因果图；

S22、对面向日志信息的因果图压缩，生成优化后因果图。

5.根据权利要求1所述的基于因果图的网络攻击路径识别方法，其特征在于：步骤S3中，基于已知场景构造攻击序列和非攻击序列，包括：

S311、获取已知攻击场景的受害主机日志信息，构建攻击行为因果图；

S312、获取攻击行为因果图内攻击实体，提取各攻击实体的邻域图；

S313、依据各攻击实体的邻域图，生成攻击事件集合；

S314、对攻击事件集合按照实体名称和时间顺序排序，生成攻击序列；

S321、获取已知正常场景的日志信息，构建正常行为因果图；

S322、获取正常行为因果图内实体，提取各实体的邻域图；

S323、依据依据各实体的邻域图，生成事件集合；

S324、对事件集合按照实体名称和时间顺序排序，生成非攻击序列。

6.根据权利要求1所述的基于因果图的网络攻击路径识别方法，其特征在于：步骤S6中，采用步骤S1～S4，构建被测场景的因果图，获取攻击序列向量和非攻击序列向量，输入S5中攻击路径预测模型进行攻击路径识别，输出攻击路径识别结果，包括：

S61、将攻击序列向量输入攻击路径预测模型内，识别攻击向量；

S62、依据攻击序列向量中的已知攻击实体，对因果图在时间维度上进行向前遍历和向后遍历，对受攻击实体进行检测直到攻击最初发生的事件为止，获得多个攻击序列；

S63、对多个攻击序列进行相似度进行匹配，输出攻击路径。