[发明专利]一种多步攻击溯源方法、系统、终端及可读存储介质

说明书

一种多步攻击溯源方法、系统、终端及可读存储介质，溯源方法包括以下步骤：格式化日志，从中提取事件特征，建立特征关系，依据特征关系，构建事件关系图；通过权重向量为事件关系图加权，得到带权关系图；将带权关系图传入社区检测模块，通过社区发现算法对其进行关系划分，发现攻击社区；社区发现后，基于得到的攻击社区，根据事件逻辑关系，建立先后顺序，构建攻击过程。本发明同时提供了实现上述方法的系统、终端及可读存储介质，本发明利用多个日志关联分析，能够解决因关系连接产生的状态爆炸问题，可以有效的分析多步攻击的攻击过程，可用于多种系统中基于多日志的攻击分析。

技术领域

本发明属于网络安全领域，涉及一种多步攻击溯源方法、系统、终端及可读存储介质。

背景技术

网络信息时代，信息安全成为了最重要的技术实现目标，然而网络在提供便利的同时，也带来了诸多的安全隐患。当下世界各地政府、公司都频繁的遭受着网络攻击。各种网络攻击中，多步攻击更难于发现与分析，其产生的危害也更为严重。如APT攻击具有高度的隐蔽性，往往经过了长期的经营与策划，它以商业信息和政治安全为攻击目的，过去的十年里，已经产生了6000多次的严重事件，造成了百亿级别的经济损失，在全球范围带来了巨大的负面影响。然而公司、用户系统中配置的杀毒软件、防火墙等安全设备无法完整的构建攻击过程。面对大量的攻击警告，管理员无法自行构建攻击关系，分析攻击过程。

现有的日志检测分析中，很多都基于单一种类日志，如仅基于DNS日志、HTTP日志等。然而多步攻击涉及多个程序，时间跨度大，其攻击踪迹隐藏在多个日志之中，单一种类日志的分析很难完整的提取攻击过程。而且一个完整的攻击过程中不只有异常事件，一些正常的行为也参与攻击过程，目前很多的入侵检测系统目的都在检测异常攻击，但单纯的异常事件很难完整的构造攻击过程。日志间关系错综复杂，为解决因此产生的状态爆炸问题，现有方法很多集中在了数据的精简，然而不一定能很好的优化数据关系，而且影响数据的有效性。

发明内容

本发明的目的在于针对上述现有技术中多步攻击检测分析时日志间关系错综复杂的问题，提供一种多步攻击溯源方法、系统、终端及可读存储介质，通过从多个日志提取事件并建立合理的关联关系，能够构建出一条完整准确的攻击过程，提升检测分析的准确率。

为了实现上述目的，本发明有如下的技术方案：

一种多步攻击溯源方法，包括以下步骤：

格式化日志，从中提取事件特征，建立特征关系，依据特征关系，构建事件关系图；

通过权重向量为事件关系图加权，得到带权关系图；

将带权关系图传入社区检测模块，通过社区发现算法对其进行关系划分，发现攻击社区；

社区发现后，基于得到的攻击社区，根据事件逻辑关系，建立先后顺序，构建攻击过程。

优选的，提取事件特征，建立特征关系包括如下步骤：

(1)收集产生的日志，输入解析程序，在解析程序中将所需的特征量表达为正则式，通过正则匹配方式，将日志解析为结构化的实体；正则式表达如下表：