(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211008675.1 (22)申请日 2022.08.22 (71)申请人 西安电子科技大 学 地址 710071 陕西省西安市太白南路2号 (72)发明人 朱光明　张亮　冯家伟　张锋军　 张向东　沈沛意　戴朝霞　 (74)专利代理 机构 西安智大知识产权代理事务 所 61215 专利代理师 季海菊 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/045(2022.01) H04L 43/0876(2022.01) (54)发明名称 一种基于因果图的多阶段攻击过程重构方 法 (57)摘要 一种基于因果图的多阶段攻击过程重构方 法， 包括： 从检测到的网络攻击事件中提取事件 主体， 主体类型包括IP地址、 进程、 文件、 服务； 从 主机的审计日志、 网络流分析日志以及进程和服 务的日志信息中抽取事件主体相关的日志信息； 对提取到的日志信息进行预处理， 从中提取更细 粒度的主体作为因果图的节点； 从日志信息中提 取节点间的交互及时间戳信息， 作为因果图的 边； 根据攻击事件主体和因果图的节 点之间的关 系， 把攻击事件 涉及的因果图的节 点标记为恶性 节点； 把因果图恶性节点涉及的边按时间戳排 序， 构成反映整个攻击过程的详细步骤<源节点、 边、 目的节点、 时间戳>序列， 实现对整个多阶段 攻击过程的细粒度重构； 本发明基于检测到的零 散攻击事件， 从日志信息中重构出多阶段的攻击 过程， 更加细粒度地复盘了攻击链， 更加有利于 网络安全员对网络安全状况做出综合评判并进行针对性防御部署。 权利要求书1页 说明书4页 附图2页 CN 115499169 A 2022.12.20 CN 115499169 A 1.一种基于因果图的多阶段攻击过程重构方法， 其特 征在于， 具体包括以下步骤： 1)从检测到的网络攻击事 件中提取事 件主体， 主体 类型包括 IP地址、 进程、 文件、 服 务； 2)从主机的审计日志、 网络流分析 日志以及进程和服务的日志信 息中抽取事件主体相 关的日志信息； 3)对步骤2)提取到的日志信息进行预处理， 从中提取更细粒度的主体作为因果图的节 点； 4)从步骤3)日志信息中提取节点间的交 互及时间戳信息， 作为因果图的边； 5)根据步骤1)的攻击事件主体和步骤3)的因果图的节点之间的关系， 把攻击事件涉及 的因果图的节点标记为恶性节点； 6)把因果图恶性节点涉及的边按时间戳排序， 构成反映整个攻击过程的详细步骤＜源 节点、 边、 目的节点、 时间戳＞序列， 实现对整个多阶段攻击过程的细粒度重构。 2.根据权利要求1所述的基于因果图的多阶段攻击过程重构方法， 其特征在于， 所述步 骤1)中， 网络攻击事 件是通过已知的入侵检测方式获得的。 3.根据权利要求1所述的基于因果图的多阶段攻击过程重构方法， 其特征在于， 从所述 步骤2中不同类型 的日志中提取出攻击事件主体相关的日志信息， 所述的相关日志条目涉 及步骤1中提取的IP地址、 进程、 文件、 服 务等攻击事件主体。 4.根据权利要求1所述的基于因果图的多阶段攻击过程重构方法， 其特征在于， 所述步 骤3中， 预处理指对如文件读写删除执行、 网络连接建立及数据传输、 会话建立及完成等日 志信息进行解析， 提取IP地址、 网络连接、 会话、 文件与进程的关系。 5.根据权利要求1所述的基于因果图的多阶段攻击过程重构方法， 其特征在于， 所述步 骤3)中， 细粒度的主体 类型包括 IP地址、 进程、 文件、 网络连接、 会话。 6.根据权利要求4所述的基于因果图的多阶段攻击过程重构方法， 其特征在于， 所步骤 4)中， 因果图节点间的边， 表征了节点之间的交互关系， 边类型包括读、 写、 删除、 执行、 克 隆、 请求、 绑定、 发送、 接收、 连接、 解析。 7.根据权利要求1所述的基于因果图的多阶段攻击过程重构方法， 其特征在于， 所述步 骤5)中， 一个攻击事件主体通常关联多个因果图节点， 包括一个IP地址涉及多个网络连接 和会话、 一个进程读写文件并网络传输数据等； 把这些与攻击事件主体关联 的所有因果图 的节点都标记成恶性节点。 8.根据权利要求1所述的基于因果图的多阶段攻击过程重构方法， 其特征在于， 所述步 骤6)中， 所述因果图恶性节点涉及的边既包括两个恶性节点之间的边， 也包括恶性节点与 非恶性节点之间的边； 如果两个节点之间存在时间戳不同的多条边， 那么这些边都要包括 进来； 把上述边按时间戳排序， 节点、 边、 时间戳的序列即表征了多阶段攻击过程的细粒度 重构结果。权　利　要　求　书 1/1 页 2 CN 115499169 A 2一种基于因果图的多阶段攻 击过程重构方法 技术领域 [0001]本发明涉及网络安全领域入侵检测技术， 特别涉及一种基于因果图的多阶段攻击 过程重构方法。 背景技术 [0002]随着互联 网、 云计算、 物联 网等技术的发展， 越来越多的设备、 信息实现了联 网， 给 网络安全、 数据安全等带来了极大的挑战。 利用深度学习和图方法实现入侵检测， 对网络安 全的研究及应用具有重大的意 义。 [0003]在现有技术中， 倾向于针对特定的攻击行为设定检测规则实现对已知攻击行为的 检测， 或者直接利用深度学习 方法对网络流进行良性和恶性二分类。 基于特定规则的方法 只能检测特定的攻击行为， 简单地利用深度学习方法进行二分类忽略了网络拓扑连接和攻 击过程的上下文特征。 上述检测方式只孤立地检测各个攻击步骤， 并未把各个攻击行为重 构出一个完整的攻击过程。 发明内容 [0004]为了克服上述现有技术存在的缺陷， 本发明提出了一种基于因果图的多阶段攻击 过程重构方法， 基于已经检测到的若干个攻击事件， 对主机审计日志、 网络流日志及其它日 志信息进 行分析， 构建因果图， 根据攻击事件对因果图进行分析， 在细粒度上重构出详细的 多阶段攻击过程； 本发明更加细粒度地复盘了攻击链， 更加有利于网络安全员对网络安全 状况做出综合评判并进行针对性防御部署。 [0005]为实现上述目的， 本发明提供如下技 术方案： [0006]一种基于因果图的多阶段攻击过程重构方法， 具体包括以下步骤： [0007]1)从检测到的网络攻击事件中提取事件主体， 主体类型包括IP地址、 进程、 文件、 服务； [0008]2)从主机的审计日志、 网络流分析日志以及进程和服务的日志信息中抽取事件主 体相关的日志信息； [0009]3)对步骤2)提取到的日志信息进行预处理， 从中提取更细粒度的主体作为因果图 的节点； [0010]4)从步骤3)日志信息中提取节点间的交 互及时间戳信息， 作为因果图的边； [0011]5)根据步骤1)的攻击事件主体和步骤3)的因果图的节点之间的关系， 把攻击事件 涉及的因果图的节点标记为恶性节点； [0012]6)把因果图恶性节点涉及的边按时间戳排序， 构成反映整个攻击过程的详细步骤 <源节点、 边、 目的节点、 时间戳>序列， 实现对整个多阶段攻击过程的细粒度重构。 [0013]所述步骤1)中， 网络攻击事 件是通过已知的入侵检测方式获得的。 [0014]所述步骤2)中不同类型的日志中提取出与攻击事件主体相关的日志信息， 相关日 志信息涉及步骤1中提取的IP地址、 进程、 文件、 服 务等攻击事件主体。说　明　书 1/4 页 3 CN 115499169 A 3