CN112333195A - 基于多源日志关联分析的apt攻击场景还原检测方法及系统 - Google Patents

Abstract

基于多源日志关联分析的APT攻击场景还原检测方法及系统，检测方法包括收集主机的多源日志，设置新的特征参数，使用关系向量关联所有日志条目，将所有日志条目视为网络中的节点，日志条目间的关系视为节点之间的边，构建无向、有权重复杂网络图，使用标签传播算法聚类，识别出事件；再按照时间顺序将日志和事件组成长序列，挖掘出事件间逻辑关系及时间关系，生成初始子分区图并不断进行优化，得到场景图；然后学习场景图的顶点和边的矢量表达，进行聚类，对更新后的场景图，检测其新边和顶点是否异常，完成检测后，更新聚类情况，为后续检测做准备。本发明能全面、准确的还原攻击场景，防止高误报率和漏网之鱼，高效检测出APT攻击。

Description

基于多源日志关联分析的APT攻击场景还原检测方法及系统

技术领域

本发明属于网络安全领域，具体涉及一种基于多源日志关联分析的APT攻击场景还原检测方法及系统。

背景技术

随着计算机信息技术的飞速发展，人们越来越多地依赖网络进行信息传输和交互。但威胁着网络安全的事件却频繁发生，已经严重影响到了整个社会和个人的信息安全。据悉，全球平均每20秒就发生一起互联网计算机入侵事件。为了保护网络安全，市面上出现了防火墙、入侵检测系统等设备，这些设备基于网络数据包中特有的参数进行规则匹配，只能对违反现存规则的行为进行告警和阻断，在网络攻击的防御方面具有一定的滞后性。尤其对于APT攻击，它们往往难以检测到。APT攻击，即高级持久威胁攻击，是由有组织、经验丰富的攻击者发起，往往是对特定目标采取针对性、持久性的攻击。前期采用社会工程学等手段对目标进行反复侦察并获取有用信息，其行为往往难以探测并具有伪装性。当攻击者获取目标的信任并能够以不被发现的身份潜藏在目标网络中时，便会盗取信息并不断扩大其感染范围，严重的会使整个目标网络瘫痪。为了对APT攻击行为做到识别和防范，通常企业会选择部署入侵检测系统(IDS)，启用安全信息和事件管理(SIEM)工具，采用各种IOC(“危害指标”)捕获分散的指标，但它们孤立地对单一、固定的攻击行为进行检测的特点导致无法从整体上构建完整准确的攻击场景，故而造成了较高的误报率。此外，来自企业内部的攻击者由于本身具有对系统的访问权限，并且可能很熟悉网络体系结构和系统策略/过程，因而更有可能避开这些检测系统进行信息窃取甚至注入病毒等攻击行为。

为了更加全面、准确的还原攻击场景，防止高误报率和漏网之鱼，从日志层面上来识别系统发生的事件、研究事件之间的关系并构建完整的场景是十分必要的。

现有的日志研究方法通常采用单一或同类日志进行检测和追踪，例如采用主机审核数据(Linux审核或Windows ETW数据)描绘APT活动，但它们在检测攻击者前期的试探以及对目标网络的长期针对性调查方面显得力不从心；有的方法对日志及相应事件之间的关系分析不够准确，如通过时间戳对齐来关联来自不同记录的事件，通过实验发现，将此方法运用在关联不同类的日志时，由于不同类别的日志对同一事件的时间记录存在偏差，因此会出现将同一事件识别为不同事件的情况，导致无法正确处理事件关系。

发明内容

本发明的目的在于针对上述现有技术中通过日志检测APT攻击效果不佳的问题，提供一种基于多源日志关联分析的APT攻击场景还原检测方法及系统，能够更加全面、准确的还原攻击场景，防止高误报率和漏网之鱼的产生，确保准确检测出APT攻击。

为了实现上述目的，本发明有如下的技术方案：

一种基于多源日志关联分析的APT攻击场景还原检测方法，包括：

步骤一、识别事件；

(1a)收集主机的多源日志，对日志进行解析，统一日志的条目格式，使用关系向量关联所有日志条目，捕获日志内部和日志之间的关系；

(1b)构建无向、有权重复杂网络图：将所有日志条目视为网络中的节点，日志条目间的关系视为节点之间的边，关系向量中1的个数作为边的权重；

(1c)使用带权重的标签传播算法对网络图中的节点进行聚类，关联程度最为紧密的日志条目被聚成一组，称为一类事件；聚类出的节点类别对应于识别出的事件类型；

步骤二、构建场景图；

(2a)挖掘事件间的逻辑关系和时间关系；

(2b)建立初始图，在初始图的基础上，将属于相同类别事件的日志条目划分到同一个事件分区以生成初始子分区图，每个图中至少体现步骤(2a)挖掘出的逻辑关系的一种；

(2c)对每个初始子分区图，找出其中违反步骤(2a)挖掘出的时间关系的事件关系，通过从事件分区中分离出某些日志条目到其他分区的方式来改变这些不合法的事件关系，直至初始子分区图不违反任何挖掘出的时间关系为止；

(2d)对于每个子分区图，在不违反步骤(2a)挖掘出的时间关系的前提下，通过把同类日志条目融合进一个事件分区的方式对分区图进行优化，直到不能再融合为止；

(2e)将子分区图按照事件发生的先后顺序组合成完整场景图G＝(V,E)，其中顶点V表示事件，由日志条目集合构成，有向边

则表示事件间的关系；

步骤三、APT攻击检测；

(3a)学习现有场景图G的顶点和边的矢量表达；

(3b)对顶点或边的矢量表达进行聚类；

(3c)当场景图G更新或使用新的场景图G'时，根据异常分数或是否属于任何一个已知类别判断新的顶点或边是否来自APT攻击，若是，则报告异常情况；

(3d)更新聚类情况；

(3e)返回步骤(3c)进行新的APT攻击检测。

优选的，主机的多源日志包括防火墙日志、网络流量记录和进程日志；对日志进行解析包括调整参数、删除冗余以及统一格式；使用24维关系向量

关联所有日志条目，使每个日志条目x_i(i＝1,2,...,n)都有一个关系矩阵M_i储存着它和其它日志条目的关系向量

优选的，步骤(3a)使用Graph Embedding方法学习顶点和边的矢量表达；步骤(3b)使用k-means++对顶点或边的矢量表达进行聚类；步骤(3d)使用Streaming k-means更新聚类情况。

优选的，步骤(2a)挖掘事件间的逻辑关系时利用日志和事件序列挖掘不随输入及工作负载而改变的恒定关系式，通过这些关系反映程序工作流程的特征和结构。

优选的，步骤(2a)挖掘事件间的时间关系时挖掘时间不变式，时间不变式有三种，分别为：

·A→B：只要事件A发生，那么B事件一定会在A后面的某一时刻发生，尽管不一定紧随其后；

·

如果事件A发生，那么事件B一定不会在A后面发生；

·A←B：如果事件B发生，那么事件A一定在B前面的某一时刻发生了。

优选的，挖掘出的时间不变式有两组，利用逻辑关系中的恒定关系式挖掘出第一组时间不变式，利用表示恒定关系以外的其它收集到的日志和所对应的事件挖掘出第二组时间不变式。

优选的，步骤(3a)按下式学习现有场景图G的顶点和边的矢量表达：

(3a1)使用DeepWalk学习顶点的矢量表达；

(3a2)使用Hadamard运算符将顶点的矢量表达进行运算得出边的矢量表达。

优选的，步骤(3c)的异常分数为每个样本与当前已有聚类中心之间的最短距离。

优选的，步骤(3d)对于新到来的样本，其中聚类中心的更新方法为：

若更新前为n₀个样本

新到来n’个样本

衰减因子为

则：

之后用更新后的中心点作为下一批数据更新时的初始中心点，以此反复。

本发明还提供一种基于多源日志关联分析的APT攻击场景还原检测系统，包括：

事件识别模块，用于收集主机的多源日志，设置新的特征参数，使用关系向量关联所有日志条目，将所有日志条目视为网络中的节点，日志条目间的关系视为节点之间的边，构建无向、有权重复杂网络图，使用带权重的标签传播算法对节点聚类，识别出事件；

场景图构建模块，用于按照时间顺序将日志和事件组成长序列，挖掘出事件间的逻辑关系及时间关系，生成初始子分区图并不断进行优化，得到场景图；

APT攻击检测模块，用于学习场景图的顶点和边的矢量表达，进行聚类，对更新后的场景图，检测其新边和顶点是否异常，完成检测后，更新聚类情况并进行后续检测。

相较于现有技术，本发明具有如下的有益效果：

1.具有自验证性：不需要引入第三方数据进行验证，所有数据均来自实验室计算机，该实验过程实施中也会对计算机发起攻击，以获取日志数据。

2.便于安全人员理解、分析：在步骤一就对复杂的日志记录进行了提升语义操作，将日志转化为事件，即将复杂的日志记录转换成用户和分析员能够快速理解的事件。同时，在步骤二根据事件关系构建了完整的系统场景图，安全人员不仅可以通过本发明的方法进行APT检测，而且可以很快理解问题出现的原因及危害性等。

3.系统工作场景模型构建简洁、准确：

本发明对识别出的事件进行不变关系的挖掘，包括逻辑关系和时间关系，无论是系统内本身存在的不随其输入及工作负载而改变的恒定工作流程还是攻击者为了隐藏自身存在而模仿系统工作模式的行为，都会被作为事件间关系挖掘出来并用来构建完整关系模型。

4.适用性强：本发明不依赖于现有的重量级日志解析工具，在识别事件时，通过对日志参数(如协议类型、IP地址、端口、操作行为、进程名称、文件类型、时间戳等)进行关联分析以达到可以分别对每一类日志进行特征提取和事件识别的目的。

进一步的，本发明使用Graph Embedding方法学习顶点和边的矢量表达，在进行事件的特征学习时，使用Graph Embedding方法适用于各类关系图的学习。

进一步的，本发明的可扩展性强，使用Streaming k-means方法对场景图更新后的样本进行重新聚类，对于分批到来的新样本，计算异常分数，并且重新计算聚类中心的位置。该场景同样可以很好的扩展到动态、实时的APT检测应用上来。

附图说明

图1本发明检测方法的实现流程图；

图2本发明通过场景图进行APT攻击检测示意图。

具体实施方式

下面结合附图及实施例对本发明做进一步的详细说明。

本发明基于多源日志关联分析的APT攻击场景还原检测方法主要由三个阶段构成：识别系统内事件，构建场景图，检测APT攻击。参见图1，具体的实现方法如下：

步骤1，识别系统内事件；

(1a)收集防火墙日志、网络流量记录和进程日志，对日志进行解析，统一日志条目格式，使用24维关系向量

关联所有日志条目，捕获日志内部和日志之间的关系：

具体的，首先收集不同来源的日志(防火墙日志、网络流量记录和进程日志)，对日志进行解析，调整参数，删除冗余，统一格式。本发明在原有日志参数设置的基础上，进行保留和更新，得出了18个新的特征参数，如表1所示：

表1

之后使用24维关系向量

关联所有日志条目，捕获日志内部和日志之间的关系，以更好地识别出系统内事件。向量中不同维度数据及描述如表2所示：

表2

可以灵活调整表2第一行t的取值以得到更为准确的关联结果。对于任何一对日志条目，例如l和l'，都有一组只包含0,1元素的向量

来记录二者的关系，1表示满足关系，0表示不满足。例如

表示l和l'满足上表中d₁,d₂₄所示的关系，不满足d₂所示的关系。特别的，如果

则显然l和l'属于同类记录，代表同类事件。

故而，对于每一条日志条目，都可以得到许多它与其他日志条目的关系向量

规定X指代所有的日志条目，即有X＝{x₁,x₂,…,x_n}。

对于每一条日志条目x_i∈X，使用一个对应的关系矩阵M_i存储关系向量

实际情况中，日志条目巨大，为每一个条目x_i∈X构建一个n×24的矩阵是没有意义的，因为M_i中将存在大量的全0行及无意义的向量，对寻找相似的条目没有益处。

因此，矩阵M_i只包含强连接关系的向量，其定义为：当且仅当

中的非0元素个数≥

中的非0元素个数；这是因为，非0元素的个数代表了日志条目之间的关联程度，为了避免在日志条目之间建立过多的弱连接，以每一个条目自身的关联度

为基准，只对关联程度较高，满足上述定义的强连接感兴趣。此时，对于每个日志条目x_i(i＝1,2,...,n)，都有一个关系矩阵M_i储存着它和其它日志条目的关系向量

(1b)构建无向、有权重复杂网络图：将所有日志条目x_i视为网络中的节点，日志条目间的关系视为节点之间的边，关系向量

中1的个数作为边的权重；

(1c)使用带权重的标签传播(wLPA)算法对网络图中的节点进行聚类，关联程度最为紧密的日志条目将被聚成一组，称为一类事件。聚类出的节点类别对应于识别出的事件类型：

标签传播算法使用唯一的标签区分各个社区，具有相同标签的节点属于同一个社区。对于每个节点而言，它的标签由其邻居决定，在传统的LPA算法中，节点x_i的标签L_i是其最多的邻居拥有的标签。而在wLPA算法中，还需要考虑边的权重信息。在本实施例中，节点的集合即为X＝{x₁,x₂,…,x_n}，使用邻接矩阵A_ij记录节点边的信息，有公式(1)：

令节点x_i的邻居集合为N_i(x),x＝1,2,...,k，每个N_i(x)表示具有相同标签的邻居集合，它们的标签记为

k为唯一标签的个数。

节点x_i对于当前邻居的每个标签权重和，得到公式(2)：

通过max{S_i(1),S_i(2),...,S_i(k)}找出当前轮次中标签权重最大的邻居集合N_i(T)，则其标签

为节点x_i的新标签。

该算法迭代进行，算法结束的条件为，对所有节点x_i，都有以下公式(3)：

其中x＝1,2,...,k。

下面给出算法完整步骤：

(1c1)初始化网络中的节点标签L：对于节点x_i，有L_i ^(t＝0)＝i；

(1c2)令t＝1；

(1c3)随机排列网络中的节点并更新节点信息X(x_i∈X)；

(1c4)计算每个节点x_i分别对于其各个邻居标签的权重和(公式(2))，选择具有最大权重和的标签作为x_i这一轮的标签，即有L_i ^(t)＝N_i ^(t-1)(T)；

(1c5)如果对于

都有当前标签的权重和大于等于x_i对于其他邻居标签的权重和(公式(3))，那么算法结束，否则从(1c3)步骤开始重复进行；

步骤2，构建场景图；

(2a)挖掘事件间的逻辑关系和时间关系：

(2a1)挖掘事件间的逻辑关系：

挖掘事件间的逻辑关系，其内容为挖掘系统工作的恒定关系，即利用日志和事件序列挖掘系统内不随其输入及工作负载而改变的恒定关系式，这些关系反映着程序工作流程的特征和结构(比如顺序、分支、循环等)，是完整场景图构建的基础模式。

恒定关系的数学定义如下，若向量α＝[a₀,a₂,a₃,…,a_n]^T满足下述公式(4)：

Yα＝0 (4)

则α可以表示一组恒定关系，称为不变式向量，其中向量Y＝[1,y₁,y₂,…,y_m]，y_j(j＝1,2,...,m)表示识别出的各类事件对应的日志条目总数，并按照其在系统内发生的时间顺序排列起来。这一部分的目标是通过向量Y和上述等式，找出合适的不变式向量α，其中α所在空间称为不变式空间I。其方法为：

将向量Y分成两个子空间：R和I，其中I称作不变式空间，也就是不变式向量α所在空间，它是另一个子空间R的正交补空间。令I的维度为r，则R的维度为(m+1-r)。令P(Y)＝m+1-r，它代表了每个不变式向量中非零值数目的最大值，用p表示不变式向量中非零值的个数，有p≤P(Y)。下面为该部分的具体步骤：

(2a1a)估算不变式空间I的维度r：对向量Y进行奇异值分解，对其右奇异向量v_i按照奇异值递增的顺序进行检测，看是否满足|Yv_i|＜ε，其中ε取较小值0.5。当条件满足时，r的值自增并继续循环检测，当该条件不满足时，检测结束。

(2a1b)用暴力算法找到不变式α：

首先定义非零系数模式{k_i,i＝1,2,...,p}，k_i是向量Y中非零值的下标，该集合按下标从小到大的顺序排列，且有0≤k_i≤m。之后进行搜索：

①p按照从1到p(Y)的顺序递增，搜索出满足定义的非零系数模式的候选项

②判断候选项

是否满足等式(4)，若是，则

为我们要找的不变式，否则丢弃；

③找到r个满足上述条件的不变式时，算法退出；

(2a2)挖掘事件间的时间关系：

挖掘事件间的时间关系，其内容为挖掘时间不变式，时间不变式一共有三种，其定义为：

·A→B：只要事件A发生，那么B事件一定会在A后面的某一时刻发生，尽管不一定紧随其后；

·

如果事件A发生，那么事件B一定不会在A后面发生；

·A←B：如果事件B发生，那么事件A一定在B前面的某一时刻发生了；

挖掘时间不变式是在初始图上进行的，该图由日志抽象得出，图中每个事件分区仅包含一个日志条目，分区间的有向边体现了日志条目对应的事件发生的时间顺序关系。其中挖掘出的时间不变式一共有两组：利用(2a1)所述的恒定关系可以挖掘出第一组时间不变式，利用表示恒定关系以外的其它收集到的日志和其对应的事件可以挖掘出第二组时间不变式；

(2b)在初始图的基础上，将属于相同类别的事件的日志条目划分到同一个事件分区以生成初始子分区图。每个子分区图至少可以体现(2a)中挖掘出的事件间逻辑关系的一种；

(2c)对每个子分区图，找出其中违反(2a)中挖掘出的事件间时间关系的事件关系，通过从事件分区中分离出某些日志条目到其他分区的方式来依次改变这些不合法的事件关系，直到该子分区图不再违反任何挖掘出的时间关系为止；

(2d)对于每个子分区图，在不违反(2a)中挖掘出的事件间时间关系的前提下，通过把某些同类日志条目融合进一个事件分区的方式对分区图进行优化，直到不可以再融合为止；

(2e)将子分区图按照事件发生的先后顺序组合成完整场景图G＝(V,E)，其中顶点V表示事件，由日志条目集合构成，有向边

则表示事件间的关系；

步骤3，检测APT攻击；

(3a)使用Graph Embedding方法学习现有场景图G的特征表达，即图中顶点和边的矢量表达：

(3a1)使用DeepWalk学习顶点的矢量表达：

(3a1a)设置参数：Skip-Gram窗口大小w，矢量表达的维度d，以图中每个顶点v_i∈V为起点的随机游走序列数目γ，随机游走序列的长度l；

(3a1b)初始化矢量表达矩阵ψ∈R^|V|×d；

(3a1c)设置外循环，循环γ次，用来给每个顶点v_i∈V生成γ个随机游走序列W_vi：

直到序列长度为l为止，其中

是从顶点v_k的邻居顶点随机选择出的一个顶点；

(3a1d)设置内循环，依次给图中每个顶点v_i∈V生成一个随机游走序列，之后直接进入Skip-Gram算法部分；

(3a1e)Skip-Gram算法：对于随机游走序列W_vi中的每个顶点v_j∈W_vi，选择该顶点左边w个顶点和右边w个顶点组成的长度为2w的序列s_k，最小化优化函数-logPr(s_k|ψ(v_j))，得到最优化的矢量表达矩阵ψ；

(3a2)使用Hadamard运算符将顶点的表达进行运算得出边的矢量表达：如果相邻顶点v和u的矢量表达为

和

边(v,u)的矢量表达为

(3b)使用k-means++对顶点或边的矢量表达进行聚类：

(3b1)随机选择一个聚类样本作为初始聚类中心c₁；

(3b2)计算每个样本x∈X与当前已有聚类中心之间的最短距离D(x)，以及每个样本被选为下一个聚类中心的概率

最后按照轮盘法选择下一个聚类中心；

(3b3)重复步骤(3b2)直到选择出K个聚类中心；

(3b4)对每个样本x∈X，计算它到K个聚类中心的距离，将其分到距离最小的聚类中心所在的类中；

(3b5)对每个类别c_i，重新计算它的聚类中心所在位置

(3b6)重复(3b4)，(3b5)步骤直到聚类中心的位置不在变化；

其中距离D(x)使用欧氏距离||c-f(·)||₂，c代表聚类中心，f(·)是学习到的矢量表达。

(3c)当场景图G更新或使用新的场景图G'时，根据异常分数(或是否属于任何一个已知类别)判断新的顶点或边是否来自APT攻击，若是，则报告异常情况，如图2所示，其中异常分数定义为每个样本与当前已有聚类中心之间的最短距离；

(3d)使用Streaming k-means更新聚类情况：Streaming k-means使用参数来控制估算值的衰减，即衰减因子

它可以控制现有集群中过去数据点的重要性。对于新到来的样本，重复上述的(3b4)，(3b5)步骤，其中聚类中心的更新方法为：

假如更新前为n₀个样本

新到来n’个样本

有公式(5)：

然后可以用更新后的中心点作为下一批数据更新时的初始中心点,以此反复。

(3e)返回到(3c)步骤进行新的APT攻击检测。

一种基于多源日志关联分析的APT攻击场景还原检测系统，包括：

事件识别模块，用于收集主机的多源日志，设置新的特征参数，使用关系向量关联所有日志条目，将所有日志条目视为网络中的节点，日志条目间的关系视为节点之间的边，构建无向、有权重复杂网络图，使用带权重的标签传播算法对节点聚类，识别出事件；

场景图构建模块，用于按照时间顺序将日志和事件组成长序列，挖掘出事件间的逻辑关系及时间关系，生成初始子分区图并不断进行优化，得到场景图；

APT攻击检测模块，用于学习场景图的顶点和边的矢量表达，进行聚类，对更新后的场景图，检测其新边和顶点是否异常，完成检测后，更新聚类情况并进行后续检测。

本发明不需要引入第三方数据进行验证，可用于网络安全应用中对APT攻击的检测，能更加全面、准确的还原攻击场景，防止高误报率和漏网之鱼，确保准确检测出APT攻击。

以上所述的仅仅是本发明的较佳实施例，并不用以对本发明的技术方案进行任何限制，本领域技术人员应当理解的是，在不脱离本发明精神和原则的前提下，该技术方案还可以进行若干简单的修改和替换，这些修改和替换也均属于权利要求书所涵盖的保护范围之内。

Claims (10)

1.一种基于多源日志关联分析的APT攻击场景还原检测方法，其特征在于，包括：

步骤一、识别事件；

(1a)收集主机的多源日志，对日志进行解析，统一日志的条目格式，使用关系向量关联所有日志条目，捕获日志内部和日志之间的关系；

(1b)构建无向、有权重复杂网络图：将所有日志条目视为网络中的节点，日志条目间的关系视为节点之间的边，关系向量中1的个数作为边的权重；

(1c)使用带权重的标签传播算法对网络图中的节点进行聚类，关联程度最为紧密的日志条目被聚成一组，称为一类事件；聚类出的节点类别对应于识别出的事件类型；

步骤二、构建场景图；

(2a)挖掘事件间的逻辑关系和时间关系；

(2b)建立初始图，在初始图的基础上，将属于相同类别事件的日志条目划分到同一个事件分区以生成初始子分区图，每个图中至少体现步骤(2a)挖掘出的逻辑关系的一种；

(2c)对每个初始子分区图，找出其中违反步骤(2a)挖掘出的时间关系的事件关系，通过从事件分区中分离出某些日志条目到其他分区的方式来改变这些不合法的事件关系，直至初始子分区图不违反任何挖掘出的时间关系为止；

(2d)对于每个子分区图，在不违反步骤(2a)挖掘出的时间关系的前提下，通过把同类日志条目融合进一个事件分区的方式对分区图进行优化，直到不能再融合为止；

(2e)将子分区图按照事件发生的先后顺序组合成完整场景图G＝(V,E)，其中顶点V表示事件，由日志条目集合构成，有向边

则表示事件间的关系；

步骤三、APT攻击检测；

(3a)学习现有场景图G的顶点和边的矢量表达；

(3b)对顶点或边的矢量表达进行聚类；

(3c)当场景图G更新或使用新的场景图G'时，根据异常分数或是否属于任何一个已知类别判断新的顶点或边是否来自APT攻击，若是，则报告异常情况；

(3d)更新聚类情况；

(3e)返回步骤(3c)进行新的APT攻击检测。

2.根据权利要求1所述基于多源日志关联分析的APT攻击场景还原检测方法，其特征在于：主机的多源日志包括防火墙日志、网络流量记录和进程日志；对日志进行解析包括调整参数、删除冗余以及统一格式；使用24维关系向量

关联所有日志条目，使每个日志条目x_i(i＝1,2,...,n)都有一个关系矩阵M_i储存着它和其它日志条目的关系向量

3.根据权利要求1所述基于多源日志关联分析的APT攻击场景还原检测方法，其特征在于：步骤(3a)使用Graph Embedding方法学习顶点和边的矢量表达；步骤(3b)使用k-means++对顶点或边的矢量表达进行聚类；步骤(3d)使用Streaming k-means更新聚类情况。

4.根据权利要求1所述基于多源日志关联分析的APT攻击场景还原检测方法，其特征在于：步骤(2a)挖掘事件间的逻辑关系时利用日志和事件序列挖掘不随输入及工作负载而改变的恒定关系式，通过这些关系反映程序工作流程的特征和结构。

5.根据权利要求1所述基于多源日志关联分析的APT攻击场景还原检测方法，其特征在于，步骤(2a)挖掘事件间的时间关系时挖掘时间不变式，时间不变式有三种，分别为：

·A→B：只要事件A发生，那么B事件一定会在A后面的某一时刻发生，尽管不一定紧随其后；

·

如果事件A发生，那么事件B一定不会在A后面发生；

·A←B：如果事件B发生，那么事件A一定在B前面的某一时刻发生了。

6.根据权利要求5所述基于多源日志关联分析的APT攻击场景还原检测方法，其特征在于：挖掘出的时间不变式有两组，利用逻辑关系中的恒定关系式挖掘出第一组时间不变式，利用表示恒定关系以外的其它收集到的日志和所对应的事件挖掘出第二组时间不变式。

7.根据权利要求1所述基于多源日志关联分析的APT攻击场景还原检测方法，其特征在于，步骤(3a)按下式学习现有场景图G的顶点和边的矢量表达：

(3a1)使用DeepWalk学习顶点的矢量表达；

(3a2)使用Hadamard运算符将顶点的矢量表达进行运算得出边的矢量表达。

8.根据权利要求1所述基于多源日志关联分析的APT攻击场景还原检测方法，其特征在于：步骤(3c)的异常分数为每个样本与当前已有聚类中心之间的最短距离。

9.根据权利要求1所述基于多源日志关联分析的APT攻击场景还原检测方法，其特征在于，步骤(3d)对于新到来的样本，其中聚类中心的更新方法为：

若更新前为n₀个样本

新到来n’个样本

衰减因子为

则：

之后用更新后的中心点作为下一批数据更新时的初始中心点，以此反复。

10.一种基于多源日志关联分析的APT攻击场景还原检测系统，其特征在于，包括：

事件识别模块，用于收集主机的多源日志，设置新的特征参数，使用关系向量关联所有日志条目，将所有日志条目视为网络中的节点，日志条目间的关系视为节点之间的边，构建无向、有权重复杂网络图，使用带权重的标签传播算法对节点聚类，识别出事件；

场景图构建模块，用于按照时间顺序将日志和事件组成长序列，挖掘出事件间的逻辑关系及时间关系，生成初始子分区图并不断进行优化，得到场景图；

APT攻击检测模块，用于学习场景图的顶点和边的矢量表达，进行聚类，对更新后的场景图，检测其新边和顶点是否异常，完成检测后，更新聚类情况并进行后续检测。

Images