[发明专利]基于有限状态机的面向天地一体化网络安全状态分析方法

权利要求书

1.基于有限状态机的面向天地一体化网络安全状态分析方法，其特征在于：包括以下步骤：

S1：对天地一体化网络的数据进行采集；

S2：读取并处理采集的数据；

S3：根据数据的特征值区分数据来源，将数据分成地面网数据和卫星网数据，

S4：根据数据来源调用不同的有限状态机模块来处理数据，将数据特征依次与知识图谱中的知识进行匹配，将匹配返回的结果存入状态机，并通过设置触发条件获得最后的分析结果，将分析结果对应的当前攻击的现状及其相关的知识输出给管控系统；

调用satellite-module模块，用于处理卫星网数据，

satellite-module模块将数据的特征值中的转发带宽与天地一体化网络的知识图谱进行匹配，若匹配成功，则返回卫星编号、卫星攻击名称和时间给管控系统，否则，认为无卫星攻击；

调用ground-module模块，用于处理地面网数据，

ground-module模块将数据的特征值中的事件特征与天地一体化网络的知识图谱进行匹配，其中单步攻击的事件描述为攻击名称，APT攻击的事件描述为APT攻击对应的kill-chain模型的阶段，当数据的特征值中的事件特征与天地一体化网络的知识图谱中的APT攻击的阶段相匹配且匹配到的APT攻击的阶段不是第一阶段，则认为是单步攻击，返回单步攻击的名称、时间、目的IP给管控系统；

当数据的特征值中的事件特征与天地一体化网络的知识图谱中的APT攻击的阶段相匹配且匹配到APT攻击的阶段是第一阶段，将匹配到的攻击的名称及对应的APT攻击的阶段存入状态机，根据触发条件继续匹配APT攻击的第二阶段且更新状态机的状态，若匹配到APT攻击的第二阶段则继续顺次匹配APT攻击的第三阶段，以此类推直到无法匹配到APT攻击的下一阶段或匹配结束，然后将最后匹配到APT攻击的阶段、APT攻击名称、目的IP、时间和处置建议返回给管控系统；

当数据的特征值中的事件特征匹配到APT攻击的第一阶段后，无法匹配到APT攻击的第二阶段却匹配到与APT攻击的第一阶段间隔为N的阶段，其中N为自然数，

当N大于2时，则认为匹配到APT攻击的第一阶段和第N+1阶段分别为两个单步攻击，返回单步攻击的名称、时间、目的IP给管控系统；

当N小于等于2时，则任然认为该阶段与APT攻击相匹配，根据触发条件继续与APT攻击的下一阶段进行匹配且更新状态机的状态，以此类推直到无法匹配到APT攻击的下一阶段或匹配结束，则将最后匹配到APT攻击的阶段、APT攻击名称、目的IP、时间和处置建议返回给管控系统。

2.根据权利要求1所述的基于有限状态机的面向天地一体化网络安全状态分析方法，其特征在于：步骤S1中对天地一体化网络的数据进行采集具体如下：包括采集地面网的数据和卫星网的数据，

地面网的数据包括探针采集的数据和链路采集的数据，

探针采集设置的节点包括终端采集节点、网络节点和蜜罐采集节点，终端采集节点用于实时采集系统行为，包括windows注册表的进程、文件、网络模块；网络节点用于采集由网络节点产生的多种类型的日志；罐采集节用于点采集漏洞和攻击手段；

链路采集的数据通过对宿主机中虚拟机网络流量的采集得到；

卫星网的数据由卫星的第三方管控系统提供，数据内容为卫星经纬度、频段范围和转发带宽。

3.根据权利要求1所述的基于有限状态机的面向天地一体化网络安全状态分析方法，其特征在于：步骤S2中对采集的数据进行处理具体如下：读取采集的数据，对采集的数据进行清理、去除重复数据；然后通过z-score方法进行标准化处理；再将数据按照时间戳、源IP、目的IP、特征值的格式统一表示。