[发明专利]一种网络深度威胁检测方法

权利要求书

1.一种网络深度威胁检测方法，其特征在于：包括以下步骤：

S1)获得深度威胁原理：运用IDA Pro静态反汇编、OllyDbg动态调试技术或搜索深度威胁相关资料，获得深度威胁原理；

S2)生成海量样本图谱：

S21)设置不同环境参数，生成大量模拟环境；

S22)根据步骤S1)的深度威胁原理，在不同模拟环境中，设置不同的攻击时长进行推演，生成海量样本图谱；

S3)生成样本向量集合：

S31)将步骤S2)生成的海量样本图谱划分为多个互不相交的子集，挖掘各子集中的频繁子图，得到特征子图集合；

S32)取特征子图集合中次数最多的一个或多个特征子图，得到频繁特征子图集合，以图谱包含频繁特征子图集合中不同特征子图的数量作为分量，构成向量空间，将海量样本图谱映射到向量空间中，得到样本向量子集；

S4)生成用户图谱：将用户网络中的安全日志转化为用户图谱，其中，所述安全日志包括攻击者、目标和攻击行为，在图谱中，攻击者和目标是节点，攻击行为是节点之间的连线；

S5)生成用户向量；

S51)每条日志对应图谱中的两个节点及这两个节点之间的连线，其中，每一特征子图由多个节点和连线构成，将所述特征子图集合等价为多个日志组合的模式，所述特征子图集合S₀＝{s_i},1≤i≤n相当于n

个模式；

S52)计算对应节点和连线与相关的节点和连线是否匹配特征子图集合，实现实时流的计算；

S53)计算得到用户向量，所述用户用量为用户图谱中包含特征子图的数量；

S6)判断是否存在深度威胁；

S61)由于特征子图的数量是自然数，必然存在超平面，根据样本向量子集得到超平面集合；

S62)计算相邻两个超平面之间的样本向量覆盖率，得到覆盖率序列集合，其中，样本向量覆盖率＝样本向量数量/空间坐标数；

S63)取峰值之前的覆盖率序列集合，拟合得到函数；

S64)设阈值，计算用户向量属于样本向量全集的概率；

S65)判断是否存在深度威胁。

2.根据权利要求1所述的一种网络深度威胁检测方法，其特征在于：所述深度威胁原理为深度威胁使用攻击技术、漏洞编号、控制方式、扩散策略中的任意一种或多种。

3.根据权利要求1所述的一种网络深度威胁检测方法，其特征在于：所述环境参数包括网络节点数量、存在漏洞的节点数量、安装有防护软件的节点数量。

4.根据权利要求1所述的一种网络深度威胁检测方法，其特征在于：所述安全日志还包括时间和特征码。

5.根据权利要求1所述的一种网络深度威胁检测方法，其特征在于：所述步骤S65)中判断的方式为：

当概率大于阈值时，判定用户图谱属于样本图谱全集，用户网络存在深度威胁。

6.根据权利要求1所述的一种网络深度威胁检测方法，其特征在于：所述步骤S6)中还包括如下步骤：当判断用户网络存在深度威胁时 ，将用户图谱加入海量样本图谱中，并重新计算特征子图集合。

7.根据权利要求1所述的一种网络深度威胁检测方法，其特征在于：步骤S31)中运用gSpan算法挖掘各子集中的频繁子图。