CN116881903A - 一种面向溯源图入侵检测的恶意行为子图分级提取方法及系统 - Google Patents
一种面向溯源图入侵检测的恶意行为子图分级提取方法及系统 Download PDFInfo
- Publication number
- CN116881903A CN116881903A CN202310870371.4A CN202310870371A CN116881903A CN 116881903 A CN116881903 A CN 116881903A CN 202310870371 A CN202310870371 A CN 202310870371A CN 116881903 A CN116881903 A CN 116881903A
- Authority
- CN
- China
- Prior art keywords
- vertex
- malicious
- graph
- malicious behavior
- pruning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000605 extraction Methods 0.000 title claims abstract description 41
- 238000001514 detection method Methods 0.000 title claims abstract description 18
- 238000013138 pruning Methods 0.000 claims abstract description 69
- 238000012163 sequencing technique Methods 0.000 claims abstract description 16
- 238000000034 method Methods 0.000 claims abstract description 9
- 230000006399 behavior Effects 0.000 claims description 144
- 230000001960 triggered effect Effects 0.000 claims description 4
- 230000001174 ascending effect Effects 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001364 causal effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及溯源图入侵检测技术领域,提出一种面向溯源图入侵检测的恶意行为子图分级提取方法及系统,其中包括以下步骤:将溯源图G中的恶意顶点以其在恶意顶点集合中的层级为基线进行排序,得到层级排序后的恶意顶点集合AN;根据层级排序后的恶意顶点集合AN,在溯源图G上逐层级进行锚顶点剪枝,得到由若干恶意行为子图组成的恶意行为子图集合;对经过锚顶点剪枝的所述恶意行为子图依次进行迭代锚顶点剪枝,直至所述恶意顶点集合AN中的顶点元素全部被删除,得到相应锚顶点层级的恶意行为子图,用于对溯源图规则库的自动扩充。
Description
技术领域
本发明涉及溯源图入侵检测技术领域,更具体地,涉及一种面向溯源图入侵检测的恶意行为子图分级提取方法及系统。
背景技术
溯源图入侵检测技术被用于识别计算机系统上可能存在的入侵行为,区别于防火墙“只允许可信赖的数据或机构通过”的被动防御,入侵检测技术的目标是主动识别不同类型的恶意网络流量或计算机异常行为,从而维护计算机系统的安全,对于维护信息机密性、完整性以及可用性十分重要。
溯源图是一种日志审计数据信息流的表达形式,被用于在入侵检测中对日志审计数据中的事件因果关系进行来源追溯。在溯源图中,包含顶点(或结点)和边两类元素,顶点代表事件主体,边代表事件与事件之间的因果关系。恶意行为子图是指从溯源图中提取得到的能够收纳攻击行为特征的子图,可用以描述攻击场景以及在其他溯源图中匹配检测恶意行为。
现有溯源图入侵检测的方法中,对于规则库的维护、扩充和运营方面的关注比较少,溯源图入侵检测系统能够在日志关联等方面改进传统入侵检测方法。但现有方案往往仅在溯源子图规则库的前期构造环节,通过模拟特定攻击情景,提取用以检测特定场景的恶意行为子图,当攻击场景变化时,需要再次针对性提取和构造特定的恶意子图,但目前的恶意行为子图的提取方法不具备自学习能力,无法实现溯源图规则库的自动扩充,存在一定的安全运营压力。
发明内容
本发明为克服上述现有技术所述的恶意行为子图提取方法不具备自学习能力的缺陷,提供一种面向溯源图入侵检测的恶意行为子图分级提取方法及系统。
为解决上述技术问题,本发明的技术方案如下:
一种面向溯源图入侵检测的恶意行为子图分级提取方法,包括以下步骤:
将溯源图G中的恶意顶点以其在恶意顶点集合中的层级为基线进行排序,得到层级排序后的恶意顶点集合AN;
根据层级排序后的恶意顶点集合AN,在溯源图G上逐层级进行锚顶点剪枝,得到由若干恶意行为子图组成的恶意行为子图集合;
对经过锚顶点剪枝的所述恶意行为子图依次进行迭代锚顶点剪枝,直至所述恶意顶点集合AN中的顶点元素全部被删除,得到相应锚顶点层级的恶意行为子图,用于对溯源图规则库的自动扩充。
进一步地,本发明还提出了一种面向溯源图入侵检测的恶意行为子图分级提取系统,应用本发明提出的恶意行为子图分级提取方法。其中,所述系统包括:
基线排序模块,用于将溯源图G中的恶意顶点以其在恶意顶点集合中的层级为基线进行排序,输出层级排序后的恶意顶点集合AN;
锚顶点剪枝模块,用于根据层级排序后的恶意顶点集合AN,在溯源图G上逐层级进行锚顶点剪枝,输出由若干恶意行为子图组成的恶意行为子图集合;
以及用于对经过锚顶点剪枝的所述恶意行为子图依次进行迭代锚顶点剪枝,直至所述恶意顶点集合AN中的顶点元素全部被删除,输出相应锚顶点层级的恶意行为子图,并存储在溯源图规则库中。
进一步地,本发明还提出了一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,其中所述计算机可读指令被所述处理器执行时,使得所述处理器执行本发明提出的恶意行为子图分级提取方法的步骤。
进一步地,本发明还提出了一种存储介质,其上存储有计算机可读指令,其中,所述计算机可读指令被处理器执行时实现本发明提出的恶意行为子图分级提取方法的步骤。
与现有技术相比,本发明技术方案的有益效果是:本发明通过从溯源图中分层级提取恶意子图,并从原始恶意行为子图的某个顶点中提取得到层级更高的顶点分支恶意行为子图,实现发现未被收录在子图特征规则库中的新恶意行为子图,从而实现溯源图特征规则库的自动扩充,降低安全运营压力。
附图说明
图1为本发明的恶意行为子图分级提取方法的流程图。
图2为锚顶点剪枝的流程图。
图3为标记有恶意顶点的溯源图。
图4为子图特征规则库自动扩充的流程图。
图5为本发明的恶意行为子图分级提取系统的架构图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;为了更好说明本实施例,附图某些说明可能省略是可以理解的。
下面结合附图和实施例对本发明的技术方案做进一步的说明。
实施例1
本实施例提出一种面向溯源图入侵检测的恶意行为子图分级提取方法,如图1所示,为本实施例的恶意行为子图分级提取方法的流程图。
本实施例提出的面向溯源图入侵检测的恶意行为子图分级提取方法中,包括以下步骤:
S1、将溯源图G中的恶意顶点以其在恶意顶点集合中的层级为基线进行排序,得到层级排序后的恶意顶点集合AN。
S2、根据层级排序后的恶意顶点集合AN,在溯源图G上逐层级进行锚顶点剪枝,得到由若干恶意行为子图组成的恶意行为子图集合。
S3、对经过锚顶点剪枝的所述恶意行为子图依次进行迭代锚顶点剪枝,直至所述恶意顶点集合AN中的顶点元素全部被删除,得到相应锚顶点层级的恶意行为子图,用于对溯源图规则库的自动扩充。
本实施例中通过从溯源图中分层级提取恶意子图,并从原始恶意行为子图的某个顶点中提取得到层级更高的顶点分支恶意行为子图,实现发现未被收录在子图特征规则库中的新恶意行为子图,从而实现溯源图特征规则库的自动扩充,降低安全运营压力。
作为示例性说明,本实施例中令溯源图表示为G=(N,E),其中N表示顶点集合,顶点集合其中p∈{m,f},/>表示恶意事件顶点,/>表示模糊恶意事件顶点,M为顶点总数量;E表示事件之间的先后发生顺序关系。本实施例中,以顶点集合N中的某个恶意事件顶点/>作为锚顶点,即恶意顶点,将其中祖先顶点均为良性顶点的恶意事件顶点/>定为层级1,从/>开始往后进行层次遍历,遍历中遇到的下一个恶意事件顶点定为层级2,以此类推。以不同层级的恶意事件顶点作为锚顶点向后寻找子树,即得到不同层级的恶意行为子图。
在一可选实施例中,将溯源图G中的恶意顶点以其在恶意顶点集合中的层级为基线进行排序时,包括以下步骤:
S1.1、对于恶意顶点集合AN中的所有顶点,初始化顶点排序基准d为0;
S1.2、对于任一顶点,遍历其祖先结点,且当触发遍历条件时,顶点排序基准d增加1;
S1.3、根据任一顶点对应的顶点排序基准d对顶点进行排序,将顶点排序基准d相等固定顶点作为同一层级的顶点,并按照顶点排序基准d升序排序,得到层级排序后的恶意顶点集合AN。
本实施例中,根据锚顶点在溯源图中的位置前后关系,确定恶意事件顶点分别所对应的层级。
作为示例性说明,令溯源图G中的顶点集合为N,将顶点集合N中所有恶意事件顶点组成的集合作为锚顶点集合,记为
在初始状态下,令每个锚顶点标记的顶点排序基准d为0,记为 对于每个恶意事件顶点/>向前追溯其所有祖先结点,每存在一个祖先结点,则令顶点排序基准d的值加1,最后对所有锚顶点/>按照顶点排序基准d的大小进行正序排序,得到层级排序后的恶意顶点集合AN。
进一步地,在一可选实施例中,S2步骤中在溯源图G上逐层级进行锚顶点剪枝时,包括以下步骤:
遍历所述恶意顶点集合AN中的所有顶点;其中,对于任一顶点n,判断其是否在溯源图G的顶点集合中:若是,则从顶点n开始向后进行DFS子图剪枝提取,得到恶意行为子图s,将所述恶意行为子图s保存在恶意行为子图集合S中;同时,将顶点n从所述恶意顶点集合AN中删除,将包含在所述恶意行为子图s中的顶点集合Ns从溯源图G的顶点集合中删除;若否,则对下一顶点进行判断;直至所有顶点完成遍历,输出由若干恶意行为子图组成的恶意行为子图集合。
本实施例中,遍历以层级为基线进行排序后的锚顶点集合的恶意事件顶点对于顶点/>首先判断其是否存在于溯源图G的顶点集合N中,若存在则从该顶点出发向后剪枝子图,得到恶意行为子图si。进一步地,从存储溯源图顶点集合N的容器中移除恶意行为子图si中的顶点,并将/>从恶意顶点集合AN中移除。其中,若恶意行为子图si中存在恶意顶点,则这些恶意顶点将无法通过剪枝算法中的选择结构的筛选,不再参与当前轮次的剪枝,而是作为潜在的下一层级的恶意行为子图延后处理。完成剪枝后,继续对下一个能够通过选择结构筛选的恶意事件顶点/>进行相同剪枝计算,以此类推完成一轮锚顶点集合的剪枝工作,得到恶意行为子图集合S。
进一步地,在一可选实施例中,S2步骤中,在进行下一轮遍历前,更新所述恶意顶点集合AN的集合元素和所述溯源图G中顶点集合的集合元素的状态。
进一步地,在一可选实施例中,S3步骤中,对经过锚顶点剪枝的所述恶意行为子图依次进行迭代锚顶点剪枝,包括以下步骤:
在每一轮迭代中,遍历所述恶意行为子图集合S中的所有恶意行为子图;其中,对于任一恶意行为子图,在所述恶意行为子图上进行锚顶点剪枝,并对所述恶意顶点集合AN进行更新,直至所述恶意顶点集合AN中的顶点元素全部被删除。
其中,每一次迭代中经过锚顶点剪枝得到的子图集合按照迭代级数划分为相应层级的恶意行为子图,得到各锚顶点层级的恶意行为子图。
如图2所示,为本实施例的锚顶点剪枝的流程图。
本实施例中,在每一轮迭代锚顶点剪枝中,会得到以恶意顶点集合AN中的同一层级批次的恶意顶点作为根结点进行子图剪枝后返回的子图,并在恶意顶点集合中删除完成剪枝的恶意顶点。
作为示例性说明,在第一轮剪枝中对所有层级为1的恶意行为子图进行剪枝并提取子图,完成了剪枝计算的恶意顶点会从恶意顶点集合AN中移除,继续判断恶意顶点集合AN中是否还有剩余恶意顶点,如果有,则在提取到的层级为1的恶意行为子图集合AN中继续剪枝和提取层级为2的恶意行为子图集合,直至恶意顶点集合AN中的所有恶意顶点全部完成剪枝计算。
进一步地,作为示例性说明,如图3所示,为标记有恶意顶点的溯源图。其中,溯源图的顶点集合为N={0,1,2,3,4,5,6,7,8,9,10,11,12,13}。锚顶点层级为1的顶点分别是顶点1、3、5,锚顶点层级为2的顶点分别是顶点6、8、14,锚顶点层级为3的顶点是顶点9。在溯源图中共提取得到层级为1的恶意行为子图3个,层级为2的恶意行为子图3个,层级为3的恶意行为子图1个。
对溯源图的锚顶点进行基线排序,得到经过排序的恶意顶点集合AN={1,3,5,6,8,14,9}。其中,对于顶点1,祖先结点包括顶点0,排序基准d为1。对于顶点5,祖先结点包括顶点2、0,排序基准d为2,以此类推。
基于经过排序的恶意顶点集合AN,在溯源图G上,进行一轮锚顶点剪枝,得到三个恶意行为子图组成的子图集合S,顶点集合分别为
s1={1,13,14,15,16,17},s2={5,6,7},s3={3,8,9,10,11,12},并将这批子图组成层级为1的恶意行为子图集合。
在锚顶点剪枝过程中,例如遍历顶点1时,顶点1在溯源图G的顶点集合中,则从顶点1开始向后进行子图剪枝,得到子图s1,其顶点集合为Ns1=
{1,13,14,15,16,17}。
然后将顶点从恶意顶点集合AN中删除,例如遍历顶点1后,恶意顶点集合AN由{1,3,5,6,8,14,9}变为{3,5,6,8,14,9}。
将包含在子图s1中的顶点集合Ns1从溯源图G的顶点集合N中删除,例如删除子图顶点集合Ns1={1,13,14,15,16,17}后,溯源图G的顶点集合N由
{0,1,2,3,4,5,6,7,8,9,10,11,12,13}变为{0,2,3,4,5,6,7,8,9,10,11,12}。
在进行下一轮遍历前,需要更新恶意顶点集合AN的集合元素和溯源图G顶点集合的集合元素的状态,例如遍历顶点14时,由于在遍历顶点1时将子图顶点集合{1,13,14,15,16,17}从溯源图G的顶点集合中删除,故进行锚顶点剪枝时顶点14不在溯源图顶点集合中。
进一步地,在一可选实施例中,将经过恶意行为子图分级提取得到的相应锚顶点层级的恶意行为子图加入溯源图规则库中,如图4所示,为子图特征规则库自动扩充的流程图。
其中,将从溯源图中提取得到的恶意行为子图构建初步的溯源图规则库,再对初步提取的恶意行为子图按层级提取到新的恶意行为子图,实现溯源图特征规则库的自动扩充,降低安全运营压力。
实施例2
本实施例提出一种面向溯源图入侵检测的恶意行为子图分级提取系统,应用实施例1提出的恶意行为子图分级提取方法。如图5所示,为本实施例的恶意行为子图分级提取系统的架构图。
本实施例提出的恶意行为子图分级提取系统中,包括:
基线排序模块,用于将溯源图G中的恶意顶点以其在恶意顶点集合中的层级为基线进行排序,输出层级排序后的恶意顶点集合AN。
锚顶点剪枝模块,用于根据层级排序后的恶意顶点集合AN,在溯源图G上逐层级进行锚顶点剪枝,输出由若干恶意行为子图组成的恶意行为子图集合;
以及用于对经过锚顶点剪枝的所述恶意行为子图依次进行迭代锚顶点剪枝,直至所述恶意顶点集合AN中的顶点元素全部被删除,输出相应锚顶点层级的恶意行为子图,并存储在溯源图规则库中。
在一可选实施例中,所述基线排序模块被执行时,执行以下步骤:
对于恶意顶点集合AN中的所有顶点,初始化顶点排序基准d为0;
对于任一顶点,遍历其祖先结点,且当触发遍历条件时,顶点排序基准d增加1;
根据任一顶点对应的顶点排序基准d对顶点进行排序,将顶点排序基准d相等固定顶点作为同一层级的顶点,并按照顶点排序基准d升序排序,输出层级排序后的恶意顶点集合AN。
进一步地,在一可选实施例中,所述锚顶点剪枝模块被执行时,执行以下步骤:
遍历所述恶意顶点集合AN中的所有顶点;其中,对于任一顶点n,判断其是否在溯源图G的顶点集合中:
若是,则从顶点n开始向后进行DFS子图剪枝提取,得到恶意行为子图s,将所述恶意行为子图s保存在恶意行为子图集合S中;同时,将顶点n从所述恶意顶点集合AN中删除,将包含在所述恶意行为子图s中的顶点集合Ns从溯源图G的顶点集合中删除;
若否,则对下一顶点进行判断;直至所有顶点完成遍历,输出由若干恶意行为子图组成的恶意行为子图集合;其中,在进行下一轮遍历前,更新所述恶意顶点集合AN的集合元素和所述溯源图G中顶点集合的集合元素的状态;
对经过锚顶点剪枝的所述恶意行为子图依次进行迭代锚顶点剪枝,在每一轮迭代中,遍历所述恶意行为子图集合S中的所有恶意行为子图;其中,对于任一恶意行为子图,在所述恶意行为子图上进行锚顶点剪枝,并对所述恶意顶点集合AN进行更新,直至所述恶意顶点集合AN中的顶点元素全部被删除;
其中,每一次迭代中经过锚顶点剪枝得到的子图集合按照迭代级数划分为相应层级的恶意行为子图,输出各锚顶点层级的恶意行为子图。
此外,可以理解,本实施例的系统对应于上述实施例1的方法,上述实施例1中的可选项同样适用于本实施例,故在此不再重复描述。
实施例3
本实施例提出一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,其中所述计算机可读指令被所述处理器执行时,使得所述处理器执行实施例1提出的恶意行为子图分级提取方法的步骤。
实施例4
本实施例提出一种存储介质,其上存储有计算机可读指令,其中,所述计算机可读指令被处理器执行时实现实施例1提出的恶意行为子图分级提取方法的步骤。
示范性地,所述存储介质包括但不限于U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁盘或者光盘等各种可以存储程序代码的介质。
示范性地,所述指令、程序、代码集或指令集可采用常规编程语言实现。
示范性地,所述处理器包括但不限于智能手机、个人计算机、服务器、网络设备等,用于执行实施例1所述的恶意行为子图分级提取方法的全部或部分步骤。
附图中用语仅用于示例性说明,不能理解为对本专利的限制;
显然,本发明的上述实施例仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。
Claims (10)
1.一种面向溯源图入侵检测的恶意行为子图分级提取方法,其特征在于,包括:
将溯源图G中的恶意顶点以其在恶意顶点集合中的层级为基线进行排序,得到层级排序后的恶意顶点集合AN;
根据层级排序后的恶意顶点集合AN,在溯源图G上逐层级进行锚顶点剪枝,得到由若干恶意行为子图组成的恶意行为子图集合;
对经过锚顶点剪枝的所述恶意行为子图依次进行迭代锚顶点剪枝,直至所述恶意顶点集合AN中的顶点元素全部被删除,得到相应锚顶点层级的恶意行为子图,用于对溯源图规则库的自动扩充。
2.根据权利要求1所述的恶意行为子图分级提取方法,其特征在于,所述将溯源图G中的恶意顶点以其在恶意顶点集合中的层级为基线进行排序时,包括以下步骤:
对于恶意顶点集合AN中的所有顶点,初始化顶点排序基准d为0;
对于任一顶点,遍历其祖先结点,且当触发遍历条件时,顶点排序基准d增加1;
根据任一顶点对应的顶点排序基准d对顶点进行排序,将顶点排序基准d相等固定顶点作为同一层级的顶点,并按照顶点排序基准d正序排序,得到层级排序后的恶意顶点集合AN。
3.根据权利要求1所述的恶意行为子图分级提取方法,其特征在于,所述在溯源图G上逐层级进行锚顶点剪枝时,包括以下步骤:
遍历所述恶意顶点集合AN中的所有顶点;其中,对于任一顶点n,判断其是否在溯源图G的顶点集合中:
若是,则从顶点n开始向后进行DFS子图剪枝提取,得到恶意行为子图s,将所述恶意行为子图s保存在恶意行为子图集合S中;同时,将顶点n从所述恶意顶点集合AN中删除,将包含在所述恶意行为子图s中的顶点集合Ns从溯源图G的顶点集合中删除;
若否,则对下一顶点进行判断;直至所有顶点完成遍历,输出由若干恶意行为子图组成的恶意行为子图集合。
4.根据权利要求3所述的恶意行为子图分级提取方法,其特征在于,所述在溯源图G上逐层级进行锚顶点剪枝时,还包括以下步骤:
在进行下一轮遍历前,更新所述恶意顶点集合AN的集合元素和所述溯源图G中顶点集合的集合元素的状态。
5.根据权利要求3所述的恶意行为子图分级提取方法,其特征在于,所述对经过锚顶点剪枝的所述恶意行为子图依次进行迭代锚顶点剪枝,包括以下步骤:
在每一轮迭代中,遍历所述恶意行为子图集合S中的所有恶意行为子图;其中,对于任一恶意行为子图,在所述恶意行为子图上进行锚顶点剪枝,并对所述恶意顶点集合AN进行更新,直至所述恶意顶点集合AN中的顶点元素全部被删除;
其中,每一次迭代中经过锚顶点剪枝得到的子图集合按照迭代级数划分为相应层级的恶意行为子图,得到各锚顶点层级的恶意行为子图。
6.一种面向溯源图入侵检测的恶意行为子图分级提取系统,应用权利要求1~5任一项所述的恶意行为子图分级提取方法,其特征在于,包括:
基线排序模块,用于将溯源图G中的恶意顶点以其在恶意顶点集合中的层级为基线进行排序,输出层级排序后的恶意顶点集合AN;
锚顶点剪枝模块,用于根据层级排序后的恶意顶点集合AN,在溯源图G上逐层级进行锚顶点剪枝,输出由若干恶意行为子图组成的恶意行为子图集合;
以及用于对经过锚顶点剪枝的所述恶意行为子图依次进行迭代锚顶点剪枝,直至所述恶意顶点集合AN中的顶点元素全部被删除,输出相应锚顶点层级的恶意行为子图,并存储在溯源图规则库中。
7.根据权利要求6所述的恶意行为子图分级提取系统,其特征在于,所述基线排序模块被执行时,执行以下步骤:
对于恶意顶点集合AN中的所有顶点,初始化顶点排序基准d为0;
对于任一顶点,遍历其祖先结点,且当触发遍历条件时,顶点排序基准d增加1;
根据任一顶点对应的顶点排序基准d对顶点进行排序,将顶点排序基准d相等固定顶点作为同一层级的顶点,并按照顶点排序基准d升序排序,输出层级排序后的恶意顶点集合AN。
8.根据权利要求6所述的恶意行为子图分级提取系统,其特征在于,所述锚顶点剪枝模块被执行时,执行以下步骤:
遍历所述恶意顶点集合AN中的所有顶点;其中,对于任一顶点n,判断其是否在溯源图G的顶点集合中:
若是,则从顶点n开始向后进行DFS子图剪枝提取,得到恶意行为子图s,将所述恶意行为子图s保存在恶意行为子图集合S中;同时,将顶点n从所述恶意顶点集合AN中删除,将包含在所述恶意行为子图s中的顶点集合Ns从溯源图G的顶点集合中删除;
若否,则对下一顶点进行判断;直至所有顶点完成遍历,输出由若干恶意行为子图组成的恶意行为子图集合;其中,在进行下一轮遍历前,更新所述恶意顶点集合AN的集合元素和所述溯源图G中顶点集合的集合元素的状态;
对经过锚顶点剪枝的所述恶意行为子图依次进行迭代锚顶点剪枝,在每一轮迭代中,遍历所述恶意行为子图集合S中的所有恶意行为子图;其中,对于任一恶意行为子图,在所述恶意行为子图上进行锚顶点剪枝,并对所述恶意顶点集合AN进行更新,直至所述恶意顶点集合AN中的顶点元素全部被删除;
其中,每一次迭代中经过锚顶点剪枝得到的子图集合按照迭代级数划分为相应层级的恶意行为子图,输出各锚顶点层级的恶意行为子图。
9.一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,其特征在于,所述计算机可读指令被所述处理器执行时,使得所述处理器执行如权利要求1~5任一项所述的恶意行为子图分级提取方法的步骤。
10.一种存储介质,其上存储有计算机可读指令,其特征在于,所述计算机可读指令被处理器执行时实现如权利要求1~5任一项所述的恶意行为子图分级提取方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310870371.4A CN116881903B (zh) | 2023-07-14 | 2023-07-14 | 一种面向溯源图入侵检测的恶意行为子图分级提取方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310870371.4A CN116881903B (zh) | 2023-07-14 | 2023-07-14 | 一种面向溯源图入侵检测的恶意行为子图分级提取方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116881903A true CN116881903A (zh) | 2023-10-13 |
| CN116881903B CN116881903B (zh) | 2024-02-06 |
Family
ID=88258289
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310870371.4A Active CN116881903B (zh) | 2023-07-14 | 2023-07-14 | 一种面向溯源图入侵检测的恶意行为子图分级提取方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116881903B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140037227A1 (en) * | 2012-07-31 | 2014-02-06 | Bin Zhang | Hierarchical cluster determination based on subgraph density |
| CN112765603A (zh) * | 2021-01-28 | 2021-05-07 | 电子科技大学 | 一种结合系统日志与起源图的异常溯源方法 |
| CN114238958A (zh) * | 2021-12-15 | 2022-03-25 | 华中科技大学 | 一种基于溯源聚类及图序列化的入侵检测方法及系统 |
-
2023
- 2023-07-14 CN CN202310870371.4A patent/CN116881903B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140037227A1 (en) * | 2012-07-31 | 2014-02-06 | Bin Zhang | Hierarchical cluster determination based on subgraph density |
| CN112765603A (zh) * | 2021-01-28 | 2021-05-07 | 电子科技大学 | 一种结合系统日志与起源图的异常溯源方法 |
| CN114238958A (zh) * | 2021-12-15 | 2022-03-25 | 华中科技大学 | 一种基于溯源聚类及图序列化的入侵检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116881903B (zh) | 2024-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7882047B2 (en) | Partially observable markov decision process including combined bayesian networks into a synthesized bayesian network for information processing | |
| JP3209163B2 (ja) | 分類装置 | |
| CN113612749B (zh) | 一种面向入侵行为的溯源数据聚类方法及装置 | |
| Tikka et al. | Identifying causal effects via context-specific independence relations | |
| WO2020259325A1 (zh) | 一种适用于机器学习的特征处理方法及装置 | |
| CN113239365B (zh) | 一种基于知识图谱的漏洞修复方法 | |
| CN114637892A (zh) | 用于攻击调查和还原的系统日志依赖图的概要图生成方法 | |
| Ashraf et al. | WeFreS: weighted frequent subgraph mining in a single large graph | |
| CN114840857A (zh) | 基于深度强化学习与多级覆盖策略的智能合约模糊测试方法及系统 | |
| CN116881903B (zh) | 一种面向溯源图入侵检测的恶意行为子图分级提取方法及系统 | |
| CN111736774B (zh) | 冗余数据的处理方法、装置、服务器及存储介质 | |
| CN111899117A (zh) | 应用于社交网络的k边连通分量挖掘系统及挖掘方法 | |
| CN113590912B (zh) | 融合节点相对位置和绝对度分布的跨社交网络对齐方法 | |
| CN115577147A (zh) | 可视化情报图谱检索方法、装置、电子设备及存储介质 | |
| CN115270136A (zh) | 一种基于二元组的漏洞克隆检测系统及方法 | |
| CN110825846B (zh) | 数据处理方法及装置 | |
| CN116910769B (zh) | 资产漏洞分析方法、装置和可读存储介质 | |
| CN115879868B (zh) | 一种专家系统与深度学习相融合的智能合约安全审计方法 | |
| CN117473510B (zh) | 一种基于图神经网络和漏洞补丁关系的自动化漏洞挖掘技术 | |
| CN115514580B (zh) | 一种自编码器溯源入侵检测方法及装置 | |
| CN116225967B (zh) | 基于集合枚举树和剪枝策略的分布式数据库测试方法 | |
| CN116756732A (zh) | 基于全局异构图的安卓恶意应用检测方法 | |
| CN117540367A (zh) | 一种基于行为序列和语言模型的攻击调查方法 | |
| KR20220086050A (ko) | 네트워크 환경 동기화 장치 및 방법 | |
| Li et al. | Constraint-based high utility mobile trajectory pattern mining for security systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |