CN116915484A - 元宇宙网络威胁事件推演方法 - Google Patents

Abstract

本发明公开了一种元宇宙网络威胁事件推演方法，主要解决现有威胁检测方法不能完全反映系统的动态性，无法实时检测系统中实时发生的网络攻击，缺乏重建攻击场景能力的问题。其实现方案为：监控元宇宙虚拟资源参数变化，在元宇宙虚拟环境中对用户当前虚拟边界的状况发出警告；利用用户设备上采集的系统日志数据以及网络空间锚点实体信息构建溯源图；对溯源图进行压缩得到压缩溯源图，并在Neo4j数据库中进行可视化显示；设置压缩溯源图中实体匹配到的攻击阶段标签，对压缩溯源图进行正向和反向搜索，提取元宇宙安全边界攻击的攻击图。本发明能够实时检测元宇宙网络中的攻击，应用场景更广，增强了主动应对元宇宙网络威胁的能力，可用于网络安全。

Description

元宇宙网络威胁事件推演方法

技术领域

本发明属于计算机技术领域，进一步涉及一种事件推演方法，可用于实时检测元宇宙网络中的攻击，并对攻击行为进行更全面的描述，进一步增强主动应对元宇宙网络威胁的能力，保护网络安全。

背景技术

元宇宙是一个自我维持的、超时空的3D沉浸式虚拟共享空间，其由持久的虚拟环境和虚拟增强的物理现实融合创造生成。随着元宇宙的快速发展，各种新型攻击不断涌现。一方面，相对于传统网络，由于元宇宙涉及到更广泛的数据和服务，导致元宇宙的攻击面增大；另一方面，元宇宙集成了虚拟现实VR、增强现实AR、物联网、区块链、人工智能等多种技术，这些技术存在各种漏洞，对用户的安全和隐私构成了新的威胁。

元宇宙应用程序和各类传感设备为用户提供了进入虚拟世界并与其他用户互动的渠道。应用程序在处理输入命令以后，将输出发送到传感设备，在这个过程中，恶意应用程序可以更改输出显示，在虚拟环境中误导用户。由于元宇宙的沉浸式和临场感特征，这类威胁事件在虚拟世界中的影响会被放大。恶意输出通过传感设备作用于用户感官，让用户感到不适，比如恶心、眩晕；此外攻击者可以在用户不知情的情况下，控制用户的身体运动，操控其移动方向和位置，对用户造成身体伤害。

CaseyP等人在其发表的论文“Immersivevirtualrealityattacksandthehumanjoystick”(IEEETransactionsonDependableandSecureComputing,2019,18(2):550-562)中提出了一种针对VR边界系统的攻击方法。用户借助VR设备参与元宇宙体验时沉浸在虚拟世界中，为了帮助用户在佩戴VR设备时避开看不见的障碍，需要设置边界系统，边界系统定义用户可以安全移动的区域。攻击者如果恶意修改边界系统的配置，将使得用户的人身安全受到威胁。该方法由于在Chaperone边界系统的边界配置文件中以明文的方式存储安全特征数据，存在可利用的安全漏洞，当用户沉浸在虚拟世界中时，篡改边界配置文件中的数据，使得用户在元宇宙场景中迷失方向或引导用户撞到物理对象上，对用户造成身体伤害甚至生命威胁。

ValluripallyS等人在其发表的论文“Attacktreesforsecurityandprivacyinsocialvirtual realitylearningenvironments”(2020IEEE17thAnnualConsumerCommunications&NetworkingConference(CCNC).IEEE,2020:1-9)中为VR学习环境开发了一个异常事件监控工具，该工具根据简单的阈值检查器，比如网络数据包的传入速率超过阈值触发警报。使用攻击树方法对VR学习环境中可能存在的安全和隐私风险进行建模和描述，分析潜在的攻击路径和攻击者的行为，针对检测到的不同威胁做出决策。该方法由于其攻击树是一次性建立的静态模型，不能完全反映系统的动态性，因而无法检测系统中实时发生的网络攻击。

OdeleyeB等人在其发表的论文“Detectingframerate-orientedcyberattacksonuser experienceinvirtualreality”(VR4Sec:1stInternationalWorkshoponSecurityforXRandXRfor Security(2021))中提出了第一个VR入侵检测系统，旨在防止恶意攻击者通过降低VR应用程序的帧率来破坏用户体验。该系统利用机器学习检测正在进行的攻击，并在其影响升级之前提供早期预警，其检测步骤是，第一步：收集大量VR应用程序数据，包括不同场景和运行情况下的帧率和延迟情况；第二步：从收集到的数据中提取特征，表示帧率和延迟的变化，监控的系统指标包括平均帧率、帧率标准差、平均帧延迟、帧延迟标准差和帧率熵变；第三步：使用隔离森林的无监督机器学习来学习特定VR系统的正常情况；第四步：通过基于机器学习的分类与实际状态的对比来区分是否有发生攻击，当检测到多个连续的攻击数据点时进行标记并警告用户。该方法存在的不足之处是：仅仅根据一些系统特征进行攻击检测，发出预警，没有考虑到攻击事件之间的因果关系，因而无法追踪到攻击者的攻击链，缺乏重建攻击场景的能力。

发明内容

本发明的目的是针对上述元宇宙中的安全威胁及现有威胁检测技术存在的不足，提供一种基于溯源图的威胁事件推演方法，能完全反映系统的动态性，实时检测系统中发生的网络攻击，提高重建攻击场景的能力。

本发明技术关键是：监控元宇宙虚拟资源参数变化，如果检测到攻击行为，即在元宇宙虚拟环境中发出警告提示，进行攻击溯源；采集系统日志建立溯源图，并根据攻击规则和标签传递方法从溯源图中提取攻击图，其实现步骤包括如下：

(1)监控元宇宙虚拟资源参数变化：

利用哈希算法计算边界文件的哈希值，记录用户进入元宇宙虚拟环境时设置的初始边界文件对应的哈希值；

在用户沉浸在元宇宙体验中时，不断获取当前时刻边界文件的哈希值，判断边界文件的初始哈希值与当前哈希值是否相同：

若相同，则说明当前虚拟环境安全，继续进行监控；

若不相同，则说明元宇宙虚拟边界资源被篡改，执行步骤(2)；

(2)在元宇宙虚拟环境中对用户当前虚拟边界的状况发出警告，即使用OpenGL渲染警告提示图案，利用PyOpenVR将其显示在元宇宙虚拟环境中，警告用户当前虚拟边界被恶意篡改；

(3)在用户设备上采集系统日志数据；

(4)对日志数据进行处理构建溯源图：

(4a)解析系统日志数据，即将其解析为一个源实体、一个目标实体及它们之间的关系这三个部分，从日志中提取与攻击溯源相关的关键信息，包括时间戳、事件类型；建立不同日志事件之间的关联关系；

(4b)将解析出的源实体与目标实体作为溯源图中的节点，将实体间的关系作为溯源图中的有向边，以构成溯源图；

(5)在溯源图中创建网络空间锚点实体：

在溯源图中创建网络空间锚点实体，锚点实体的属性包括锚点ID、所属账户、锚点权限、锚点创建时间、锚点类型、锚点有效期、锚点坐标、锚点姿势、关联锚点ID；

将每个网络空间锚点和与其唯一对应的元宇宙应用程序相关联，在溯源图中找到该元宇宙应用程序对应的一个进程实体，以建立溯源图中网络空间锚点实体与进程实体之间的关系；

(6)对溯源图进行压缩：

(6a)合并溯源图中节点间相同的交互操作，即对于两个节点间不同时间发生的相同操作，在溯源图中只保留一次操作信息，得到合并压缩图a；

(6b)在合并压缩图a中移除与攻击无关的大量良性节点和关系边，得到节点移除压缩图b；

(6c)对节点移除压缩图b中的弱依赖关系进行剪枝，得到最终的压缩溯源图；

(7)将压缩溯源图在Neo4j数据库中进行可视化显示；

(8)从压缩溯源图中提取攻击图：

(8a)建立攻击规则，即定义攻击阶段以及每个攻击阶段中涉及到的实体、相关的操作属性、要匹配该攻击阶段所要满足的先决条件；

(8b)使用攻击规则在压缩溯源图中匹配攻击的多个阶段，并利用攻击规则中的先决条件建立各攻击阶段之间的联系，为每个攻击阶段设置一个标签，通过标签传递的方式传递匹配到的先决条件，避免重复遍历；

(8c)对压缩溯源图进行正向和反向搜索，提取元宇宙安全边界攻击的攻击图：

所述反向搜索，是从告警信号开始，遍历压缩溯源图，遍历过程中使用攻击规则各阶段的标签来引导入侵点定位，一旦发现入侵点遍历过程即终止；

所述正向搜索，是遍历除入侵点以外匹配到其他攻击规则的节点，最终找到完整的攻击路径。

本发明与现有技术相比具有如下优点：

第一，由于本发明可以实时采集系统日志并构建溯源图，克服了现有技术中不能完全反映系统的动态性，无法检测系统中实时发生的网络攻击的问题，使得本发明在实际的攻击检测场景中更实用，应用场景更广。

第二，由于本发明采用溯源图表征元宇宙网络中带有时间属性的实体间的交互事件，建立各攻击事件之间的关联，克服了现有技术中无法追踪到攻击者的攻击链，重建攻击场景的问题，使得本发明能够对攻击行为有更全面的描述，进一步增强主动应对元宇宙网络威胁的能力。

附图说明

图1是本发明的实现流程图；

图2是本发明中涉及到的元宇宙安全边界攻击原理图；

图3是本发明的仿真结果图。

具体实施方式

下面结合附图对本发明的实例做进一步的详细描述。

参照图1，本实例的实现步骤如下：

步骤1，监控元宇宙虚拟资源参数变化。

参照图2，本发明中涉及到的元宇宙安全边界攻击的原理是：以元宇宙安全边界为攻击目标，首先入侵目标电脑，安装恶意代码，通过执行恶意命令，操作边界配置文件，启动OpenVR的实例；攻击生效以后，元宇宙安全边界被篡改，用户失去可信边界保护，将造成眩晕，碰撞、跌落，生命安全受到威胁；最后，从用户系统提取到的信息被转发给攻击者。

根据元宇宙安全边界攻击原理，本实例利用哈希算法监控元宇宙安全边界的参数变化，实现步骤包括如下：

1.1)利用哈希算法计算边界文件的哈希值，记录用户进入元宇宙虚拟环境时设置的初始边界文件对应的哈希值：

1.1.1)填充文件消息，使得文件长度与448模512同余，得到填充后的文件消息；

1.1.2)在填充后的文件消息之后附加64位的消息长度，并对其进行分组；

1.1.3)使用MD5辅助函数计算各个分组的散列值，并将各个分组的散列值连接为512位的哈希值；

1.2)在用户沉浸在元宇宙体验中时，不断获取当前时刻边界文件的哈希值，判断边界文件的初始哈希值与当前哈希值是否相同：

若相同，则说明当前虚拟环境安全，继续进行监控；

若不相同，则说明元宇宙虚拟边界资源被篡改，执行步骤2。

步骤2，在元宇宙虚拟环境中对用户当前虚拟边界的状况发出警告。

使用图形渲染应用程序接口OpenGL渲染警告提示图案，并利用Python开源库PyOpenVR将其显示在元宇宙虚拟环境中，以警告用户当前虚拟边界被恶意篡改。

步骤3，在用户设备上采集系统日志数据。

在用户设备上采集系统日志数据的现有方法包括操作系统自带的日志收集功能、安全信息和事件管理功能、日志代理、日志收集器，本实例使用但不限于Windows系统自带的日志收集功能和日志收集器在用户设备上采集系统日志数据，实现步骤包括如下：

3.1)对系统审计策略进行配置，采集传感设备所连接在主机上与进程、文件、网络实体相关的系统日志；

3.2)运行日志收集器Winlogbeat监视配置的日志源，当发生与配置过滤规则匹配的系统日志事件时，Winlogbeat从操作系统中获取这些事件并将其发送到Kafka服务器；

3.3)启动Kafka服务器，将Kafka消费者应用程序连接到Kafka主题并读取日志数据。

步骤4，对日志数据进行处理构建溯源图。

对日志数据进行处理构建溯源图的现有方法包括基于关联规则的溯源图构建方法、基于机器学习的溯源图构建方法、基于因果关系的溯源图构建方法，本实例采用但不限于基于因果关系的溯源图构建方法对日志数据进行处理构建溯源图，实现步骤包括如下：

4.1)解析系统日志数据，即将其解析为一个源实体、一个目标实体及它们之间的关系这三个部分，从日志中提取与攻击溯源相关的关键信息，包括时间戳、事件类型；建立不同日志事件之间的关联关系；

4.2)将解析出的源实体与目标实体作为溯源图中的节点，将实体间的关系作为溯源图中的有向边，以构成溯源图。

步骤5，在溯源图中创建网络空间锚点实体。

在溯源图中创建网络空间锚点实体，锚点实体的属性包括锚点ID、所属账户、锚点权限、锚点创建时间、锚点类型、锚点有效期、锚点坐标、锚点姿势、关联锚点ID；

将每个网络空间锚点和与其唯一对应的元宇宙应用程序相关联，在溯源图中找到该元宇宙应用程序对应的一个进程实体，以建立溯源图中网络空间锚点实体与进程实体之间的关系。

步骤6，对溯源图进行压缩。

现有对溯源图进行压缩的方法包括基于属性的压缩、基于规则的压缩、聚类、K-Core图压缩算法、K-Truss图压缩算法、图合并、图剪枝、路径因子算法，本实例使用但不限于用图合并、图剪枝和路径因子算法对溯源图进行压缩，其实现步骤包括如下：

6.1)合并溯源图中节点间相同的交互操作，即对于两个节点间不同时间发生的相同操作，在溯源图中只保留一次操作信息，得到合并压缩图a；

6.2)在合并压缩图a中移除与攻击无关的大量良性节点和关系边，得到节点移除压缩图b；

6.3)在节点移除压缩图b中使用路径因子对受攻击者影响的信息流路径进行优先排序，对弱信息流路径进行剪枝，得到最终的压缩溯源图，并在Neo4j数据库中进行可视化显示。

步骤7，从压缩溯源图中提取攻击图。

现有从压缩溯源图中提取攻击图的方法包括基于机器学习的威胁检测方法、基于相似性的威胁检测方法、基于结构的威胁检测方法、基于攻击规则的威胁检测方法，本实例使用但不限于采用基于攻击规则的威胁检测方法从压缩溯源图中提取攻击图，其实现步骤包括如下：

8.1)建立攻击规则，即定义攻击阶段以及每个攻击阶段中涉及到的实体、相关的操作属性、要匹配该攻击阶段所要满足的先决条件：

本步骤设定攻击阶段为6个，，其包括初始渗透、建立根据点、提权、读取敏感文件、完成目标、删除痕迹，每个阶段所涉及的实体、相关的操作属性、要匹配该攻击阶段所要满足的先决条件分别定义如下：

所述该初始渗透阶段：是指攻击者进行远程连接，即读取不授信IP地址，其涉及到的实体为进程P和网络S，操作属性为recvmsg，先决条件为S.ip属于不可信ip地址；

所述建立根据点阶段：是指系统受到初步渗透以后，攻击者使用CnC通信，尝试与服务器进行通信接收下一步的指令，其涉及到的实体为进程P和网络S，操作属性为sendmsg和recvmsg，先决条件为进程匹配到的第一攻击阶段与其他任意攻击阶段标签值P.step_1,*＝1和S.ip属于不可信ip地址；

所述提权阶段：是指攻击者利用root权限执行写入到本地的恶意代码，以达到更多的操作权限，其涉及到的实体为进程P和文件F，操作属性为exec，先决条件为用户U＝root权限和进程匹配到的第一攻击阶段标签值P.step₁＝1；

所述读取敏感文件阶段：是指匹配到其他攻击阶段的进程读取在白名单中的文件，其涉及到的实体为进程P和文件F，操作属性为read，先决条件为F属于敏感文件，和进程匹配到的第一攻击阶段标签值P.step₁＝1或进程匹配到的第二攻击阶段标签值P.step₂＝1；

所述完成目标阶段：是指攻击者执行特定系统指令，用恶意进程派生其他进程将恶意操作提交运行，其涉及到的实体为进程P，操作属性为fork和exec，先决条件为P属于敏感系统指令，和进程匹配到的第一攻击阶段标签值P.step₁＝1或进程匹配到的第二攻击阶段标签值P.step₂＝1；

所述删除痕迹阶段：是指攻击者清除下载到本地的恶意代码，其涉及到的实体为进程P和文件F，操作属性为unlink，先决条件为进程匹配到的第一攻击阶段与第二攻击阶段标签值P.step_1,2＝1；

8.2)使用攻击规则在压缩溯源图中匹配攻击的多个阶段，并利用攻击规则中的先决条件建立各攻击阶段之间的联系，为每个攻击阶段设置一个标签，通过标签传递的方式传递匹配到的先决条件，避免重复遍历：

8.2.1)根据溯源图中的关系边(src,r,sink)，设置目标节点sink继承源节点src的标签值：

如果源节点src在某攻击阶段的标签值src.step_i为1，则将目标节点sink在该攻击阶段的标签值sink.step_i设为1，i＝1,2,3...6，执行步骤(8.2.2)；

否则，维持目标节点的标签值sink.step_i的原值不变，执行步骤(8.2.2)；

8.2.2)根据关系边(src,r,sink)匹配到的攻击阶段，设置目标节点sink标签值：

如果(src,r,sink)匹配到攻击规则的第j个阶段，则设置目标节点的标签值sink.step_j为1，j＝1,2,3...6；

否则，维持目标节点的标签值sink.step_j原值不变；

8.3)对压缩溯源图进行正向和反向搜索，提取元宇宙安全边界攻击的攻击图：

8.3.1)对压缩溯源图进行反向搜索，即从告警信号开始，使用攻击规则各阶段的标签来引导入侵点定位遍历压缩溯源图，一旦发现入侵点立即终止遍历过程；

8.3.1)对压缩溯源图再次进行正向搜索，即遍历除入侵点以外匹配到其他攻击规则的节点，最终找到完整的攻击路径。

上述步骤的标记是为了更清楚的描述本发明的实现方案，其序号顺序不做限定。

下面结合仿真实验对本发明的效果做进一步的描述。

1.仿真实验条件：

本发明的仿真实验的硬件平台为：处理器为Intel(R)Core(TM)i7-9700F，主频为3.00GHz，内存为16GB。

本发明的仿真实验的软件平台为：Windows10操作系统和Python3.8。

本发明的仿真实验所使用的传感设备为PICO4。

2.仿真实验内容与结果分析：

在上述实验条件下，用本发明方法在实际的攻击环境中进行元宇宙威胁事件推演，得到压缩溯源图和元宇宙安全边界攻击的攻击图，结果如图3所示，其中：

图3(a)为根据用户设备上采集的系统日志构建出的压缩溯源图，图中黑色节点为文件实体，深灰色节点为进程实体，浅灰色节点为网络实体，线框标注的节点为网络空间锚点实体，节点之间的有向边为数据流向和节点间的相互操作。

图3(b)为从压缩溯源图中提取出的元宇宙安全边界攻击的攻击图，图中还原了元宇宙安全边界攻击的攻击场景，其中：

“S_192.168.31.168/9999”为网络实体，

“P_D:Software\Python38\python.exe”、“P_C:Windows\System32\cmd.exe”、“P_C:Users\67139\Desktop\Boundary\Attack-master\Demo-Tools\Attack-console\myOpenVr.ex e”、“P_C:\ProgramFiles(x86)\Steam\steamapps\common\SteamVR\bin\win64\vrserver.exe”为进程实体，

“F_C:\ProgramFiles(x86)\Steam\config\chaperone_info.vrchap”为文件实体，

“b9b04d3g_cd4f_c585_56cc_588293264f38”为网络空间锚点实体。

从图3(b)中可以看到，python.exe连接不可信IP地址，会受到攻击者入侵，且与不可信地址通信之后，可通过恶意程序读取并修改边界文件chaperone_info.vrchap，最后执行进程myOpenVr.exe，从磁盘重新加载修改后的边界信息，完成攻击目标。

从图3(b)中还可看到，本发明通过攻击图追踪到攻击者的IP地址为192.168.31.168，并检测到可能被攻击的网络空间锚点实体为b9b04d3g_cd4f_c585_56cc_588293264f38。

仿真实验结果表明，本发明能够实时检测元宇宙安全边界攻击的发生，并重建攻击链。

以上描述仅是本发明的一个具体实例，并未构成对本发明的任何限制，显然对于本领域的专业人员来说，在了解本发明内容和原理后，都可能在不背离本发明原理、结构的情况下，进行形式和细节上的各种修正和改变，但是这些基于本发明思想的修正和改变仍然在本发明的权利要求保护范围之内。

Claims (8)

1.一种元宇宙网络威胁事件推演方法，其特征在于，包括如下步骤：

(1)监控元宇宙虚拟资源参数变化：

利用哈希算法计算边界文件的哈希值，记录用户进入元宇宙虚拟环境时设置的初始边界文件对应的哈希值；

在用户沉浸在元宇宙体验中时，不断获取当前时刻边界文件的哈希值，判断边界文件的初始哈希值与当前哈希值是否相同：

若相同，则说明当前虚拟环境安全，继续进行监控；

若不相同，则说明元宇宙虚拟边界资源被篡改，执行步骤(2)；

(2)在元宇宙虚拟环境中对用户当前虚拟边界的状况发出警告，即使用OpenGL渲染警告提示图案，利用PyOpenVR将其显示在元宇宙虚拟环境中，警告用户当前虚拟边界被恶意篡改；

(3)在用户设备上采集系统日志数据；

(4)对日志数据进行处理构建溯源图：

(4a)解析系统日志数据，即将其解析为一个源实体、一个目标实体及它们之间的关系这三个部分，从日志中提取与攻击溯源相关的关键信息，包括时间戳、事件类型；建立不同日志事件之间的关联关系；

(4b)将解析出的源实体与目标实体作为溯源图中的节点，将实体间的关系作为溯源图中的有向边，以构成溯源图；

(5)在溯源图中创建网络空间锚点实体：

在溯源图中创建网络空间锚点实体，锚点实体的属性包括锚点ID、所属账户、锚点权限、锚点创建时间、锚点类型、锚点有效期、锚点坐标、锚点姿势、关联锚点ID；

将每个网络空间锚点和与其唯一对应的元宇宙应用程序相关联，在溯源图中找到该元宇宙应用程序对应的一个进程实体，以建立溯源图中网络空间锚点实体与进程实体之间的关系；

(6)对溯源图进行压缩：

(6a)合并溯源图中节点间相同的交互操作，即对于两个节点间不同时间发生的相同操作，在溯源图中只保留一次操作信息，得到合并压缩图a；

(6b)在合并压缩图a中移除与攻击无关的大量良性节点和关系边，得到节点移除压缩图b；

(6c)对节点移除压缩图b中的弱依赖关系进行剪枝，得到最终的压缩溯源图；

(7)将压缩溯源图在Neo4j数据库中进行可视化显示；

(8)从压缩溯源图中提取攻击图：

(8a)建立攻击规则，即定义攻击阶段以及每个攻击阶段中涉及到的实体、相关的操作属性、要匹配该攻击阶段所要满足的先决条件；

(8b)使用攻击规则在压缩溯源图中匹配攻击的多个阶段，并利用攻击规则中的先决条件建立各攻击阶段之间的联系，为每个攻击阶段设置一个标签，通过标签传递的方式传递匹配到的先决条件，避免重复遍历；

(8c)对压缩溯源图进行正向和反向搜索，提取元宇宙安全边界攻击的攻击图：

所述反向搜索，是从告警信号开始，遍历压缩溯源图，遍历过程中使用攻击规则各阶段的标签来引导入侵点定位，一旦发现入侵点遍历过程即终止；

所述正向搜索，是遍历除入侵点以外匹配到其他攻击规则的节点，最终找到完整的攻击路径。

2.根据权利要求1所述的方法，其特征在于，步骤(1)中利用哈希算法计算边界文件的哈希值，包括如下：

(1a)填充文件消息，使得文件长度与448模512同余，得到填充后的文件消息；

(1b)在(1a)的结果值之后附加64位的消息长度；

(1c)对(1b)的结果值进行分组，根据MD5辅助函数得到各个分组的散列值；

(1d)将得到的各个分组的散列值连接为512位的哈希值。

3.根据权利要求1所述的方法，其特征在于，步骤(3)中在用户设备上采集系统日志数据，包括如下：

(3a)对系统审计策略进行配置，采集传感设备所连接主机上与进程、文件、网络实体相关的系统日志；

(3b)运行Winlogbeat监视配置的日志源，当发生与配置过滤规则匹配的系统日志事件时，Winlogbeat从操作系统中获取这些事件并将其发送到Kafka服务器；

(3c)启动Kafka服务器，将Kafka消费者应用程序连接到Kafka主题并读取日志数据。

4.根据权利要求1所述的方法，其特征在于，步骤(4a)中将系统日志数据解析为一个源实体、一个目标实体及它们之间的关系这三个部分，是从系统日志数据中提取关键字段，包括源实体Id、目标实体Id、源实体名称、目标实体名称、事件操作类型和时间戳；其中，源实体Id和目标实体Id为唯一的两个实体，事件操作类型表明两个实体间的边关系和数据流向，时间戳表示事件操作的时间属性。

5.根据权利要求1所述的方法，其特征在于，步骤(8a)中对节点移除压缩图b中的弱依赖关系进行剪枝，是根据在溯源图中，两个实体之间的信息流路径表示实体之间可能存在的数据传递关系，通过确定信息流中的实体是否共享渗透祖先节点来判断信息流的强弱：

如果两个实体共享渗透祖先节点，则意味着它们是攻击活动的一部分，且它们之间存在较强的依赖关系，在溯源图中保留它们；

否则，意味着它们之间的依赖关系较弱，对其进行剪枝。

6.根据权利要求1所述的方法，其特征在于，步骤(6c)中定义攻击阶段以及每个攻击阶段中涉及到的实体、相关的操作属性、要匹配该攻击阶段所要满足的先决条件，是对攻击阶段包括的6个阶段，即初始渗透、建立根据点、提权、读取敏感文件、完成目标、删除痕迹中每个阶段所涉及的实体、相关的操作属性、要匹配该攻击阶段所要满足的先决条件分别定义如下：

所述该初始渗透阶段：是指攻击者进行远程连接，即读取不授信IP地址，其涉及到的实体为进程P和网络S，操作属性为recvmsg，先决条件为S.ip属于不可信ip地址；

所述建立根据点阶段：是指系统受到初步渗透以后，攻击者使用CnC通信，尝试与服务器进行通信接收下一步的指令，其涉及到的实体为进程P和网络S，操作属性为sendmsg和recvmsg，先决条件为进程匹配到的第一攻击阶段与其他任意攻击阶段标签值P.step_1,*＝1和S.ip属于不可信ip地址；

所述提权阶段：是指攻击者利用root权限执行写入到本地的恶意代码，以达到更多的操作权限，其涉及到的实体为进程P和文件F，操作属性为exec，先决条件为用户U＝root权限和进程匹配到的第一攻击阶段标签值P.step₁＝1；

所述读取敏感文件阶段：是指匹配到其他攻击阶段的进程读取在白名单中的文件，其涉及到的实体为进程P和文件F，操作属性为read，先决条件为F属于敏感文件，和进程匹配到的第一攻击阶段标签值P.step₁＝1或进程匹配到的第二攻击阶段标签值P.step₂＝1；

所述完成目标阶段：是指攻击者执行特定系统指令，用恶意进程派生其他进程将恶意操作提交运行，其涉及到的实体为进程P，操作属性为fork和exec，先决条件为P属于敏感系统指令，和进程匹配到的第一攻击阶段标签值P.step₁＝1或进程匹配到的第二攻击阶段标签值P.step₂＝1；

所述删除痕迹阶段：是指攻击者清除下载到本地的恶意代码，其涉及到的实体为进程P和文件F，操作属性为unlink，先决条件为进程匹配到的第一攻击阶段与第二攻击阶段标签值P.step_1,2＝1。

7.根据权利要求1所述的方法，其特征在于，步骤(8b)中使用攻击规则在压缩溯源图中匹配攻击的多个阶段，是遍历步骤(6c)所述的每个攻击阶段，判断溯源图中的关系边(src,r,sink)是否满足某个攻击阶段所定义的操作属性及其先决条件：

如果该关系边(src,r,sink)满足某个攻击阶段所定义的操作属性及其先决条件，则该关系边与该攻击阶段匹配；

否则，该关系边(src,r,sink)不与任何攻击阶段匹配。

8.根据权利要求1所述的方法，其特征在于，步骤(8b)中通过标签传递的方式传递匹配到的先决条件，包括如下：

(8b1)根据溯源图中的关系边(src,r,sink)，设置目标节点sink继承源节点src的标签值：

如果源节点src在某攻击阶段的标签值src.step_i为1，则将目标节点sink在该攻击阶段的标签值sink.step_i设为1，i＝1,2,3...6，执行步骤(8b2)；

否则，目标节点的标签值sink.step_i维持原值不变，执行步骤(8b2)；

(8b2)根据关系边(src,r,sink)匹配到的攻击阶段，设置目标节点sink标签值：

如果(src,r,sink)匹配到攻击规则的第j个阶段，则设置目标节点的标签值sink.step_j为1，j＝1,2,3...6；

否则，目标节点的标签值sink.step_j维持原值不变。