买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：浙江工业大学

摘要：本发明公开了一种融合序列学习和因果分析的APT攻击溯源方法，包括：获取系统内核日志和POI事件，系统内核日志包括遭受攻击和未遭受攻击的系统内核日志；构建POI强依赖影响模块，获得POI强依赖影响图；采用关键序列识别模型训练模块获取训练好的关键序列识别模型；通过关键组件识别模块进行APT攻击溯源，执行如下操作：将基于POI强依赖影响图获取的嵌入向量输入训练好的模型进行识别，识别出关键进程和关键事件，组合关键进程和关键事件为关键组件图，根据关键组件图实现APT攻击溯源。该方法可实现高效、准确、细粒度的APT攻击溯源，解决有标记数据集的缺少问题并有利于缓解依赖爆炸。

主权项：1.一种融合序列学习和因果分析的APT攻击溯源方法，其特征在于：所述融合序列学习和因果分析的APT攻击溯源方法包括如下步骤：（1）获取系统内核日志和POI事件，所述系统内核日志包括遭受攻击的系统内核日志和未遭受攻击的系统内核日志；（2）构建POI强依赖影响模块，所述POI强依赖影响模块执行如下操作：（2-1）根据第一数据库进行POI事件反向依赖图构建并压缩，所述第一数据库包括遭受攻击的系统内核日志和POI事件；（2-2）从压缩后的POI事件反向依赖图中提取事件的特征，根据提取的特征计算依赖影响并传播，筛选出依赖影响排名靠前的预设比例的节点作为高依赖影响节点，然后根据高依赖影响节点构建POI强依赖影响图；（3）采用关键序列识别模型训练模块获取训练好的关键序列识别模型，所述关键序列识别模型训练模块执行如下操作：（3-1）根据第二数据库进行正向依赖图构建并压缩，所述第二数据库包括未遭受攻击的系统内核日志；（3-2）在压缩后的正向依赖图中提取以进程为中心的按时序递增的事件序列，并基于事件序列构建序列预先分词语句；（3-3）利用序列预先分词语句对BERT预训练模型进行嵌入训练，得到嵌入向量；（3-4）将嵌入向量输入OC-SVM模型进行训练，获得训练好的关键序列识别模型；（4）通过关键组件识别模块进行APT攻击溯源，所述关键组件识别模块执行如下操作：将基于POI强依赖影响图获取的嵌入向量输入训练好的关键序列识别模型进行识别，视识别出的进程和事件对应为关键进程和关键事件，组合关键进程和关键事件为关键组件图，根据关键组件图实现APT攻击溯源。

全文数据：

权利要求：

百度查询： 浙江工业大学 一种融合序列学习和因果分析的APT攻击溯源方法