首页 专利交易 科技果 科技人才 科技服务 国际服务 商标交易 会员权益 IP管家助手 需求市场 关于龙图腾
 /  免费注册
到顶部 到底部
清空 搜索

一种基于图理论和统计方法的APT攻击检测方法 

买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!

申请/专利权人:大连理工大学

摘要:一种基于图理论和统计方法的APT攻击检测方法。首先通过分析网络流量和系统日志,构建了一个图结构,用以展示系统实体和它们之间的交互。节点和边的特征被提取出来,包括连接次数、访问频率和数据传输量等。利用图理论,分析了图结构的特性,比如节点度、聚类系数、连通分量和节点中心性。通过统计分析,建立正常行为的基线,并计算新行为与基线的距离。如果距离超过设定的阈值,那么该行为被视为异常。同时通过实时监控网络流量和系统日志,不断更新图结构,并进行异常检测。一旦检测到异常,会触发安全响应措施,包括隔离受感染设备、阻断可疑连接和发出警报。这种方法能够高效地识别复杂的网络关系和行为模式,有效检测并应对高级持续性威胁。

主权项:1.一种基于图理论和统计方法的APT攻击检测方法,其特征在于,步骤如下:S1、数据收集与图构建S1.1、收集数据:收集网络流量数据和系统日志;网络流量数据包括源IP、目标IP、端口、协议、连接时长、数据传输量;系统日志包括进程启动、文件访问、用户登录、权限变更;S1.2、构建图结构:将收集到的数据转换为图,其中:节点集合V:每个节点代表一个系统实体;边集合E:每条边表示系统实体之间的交互;节点类型:主机、用户、进程、文件;边类型:网络连接、文件访问、进程通信;S2、特征提取与图理论分析S2.1、提取节点特征:对于每个节点v∈V,提取特征向量hv=[hv1,hv2,…,hvd],特征包括:主机节点:连接次数、连接的唯一IP数、传输的数据量;用户节点:登录次数、访问的文件数、启动的进程数;进程节点:启动次数、访问的文件数、连接的网络数;文件节点:被访问次数、访问的用户数、被修改次数;S2.2、提取边特征:对于每条边e∈E,提取特征向量he=[he1,he2,…,hem],特征包括:网络连接边:连接频率、数据传输量、连接时长;文件访问边:访问频率、访问时长、访问模式;进程通信边:通信频率、通信数据量、通信时长;S2.3、图理论分析:使用图理论方法分析图结构特征度:节点v的度dv表示连接到节点v的边数; 其中,A是图的邻接矩阵,Avu=1表示节点v和u之间存在边;聚类系数:节点v的聚类系数Cv表示其邻居之间连接的密集程度; 其中,Ev是节点v的邻居之间的边数;连通分量:图中连通子图的数量,即图中每个节点都可以通过边连接到达其他节点的最大子图;中心性:节点v在图中的重要程度,中心性指标进一步包括:介数中心性:节点v在所有最短路径中的出现频率 其中,σst是节点s和t之间的最短路径数,σstv是通过节点v的最短路径数;度中心性:节点v的度,表示其直接连接的节点数;Dv=dvS3、异常检测模型训练S3.1、计算特征分布:;对正常行为数据,计算每个特征hji的均值μi和标准差σi 其中,N是正常行为数据的样本数,hji是第j个样本的第i个特征值;S3.2、建立正常行为基线;S3.3、计算异常分数:对于新的行为特征向量hv,计算其与正常行为基线的距离: 其中,μi和σi分别是第i个特征的均值和标准差,d是特征维度;其中,特征hv包括度dv、聚类系数Cv、介数中心性Bv及其他特征;设定阈值Tv,当Dv超过阈值时,认为节点v是异常的;S4、持续收集网络流量数据和系统日志,更新图结构。

全文数据:

权利要求:

百度查询: 大连理工大学 一种基于图理论和统计方法的APT攻击检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。