买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：北京邮电大学

摘要：本申请提供一种基于多步攻击的攻击关联关系检测方法及相关设备。其中，基于多步攻击的攻击关联关系检测方法包括：获取多步攻击场景的攻击告警数据；将具有相同的源IP地址和相同的目的IP地址的攻击告警数据划分至同一组中，得到多组的攻击告警数据；每组攻击告警数据对应一组设备；关联同组内各个设备间的攻击告警数据，形成同组内设备之间的攻击链，得到多个组内设备的攻击链；以无双亲或无攻击关联的设备节点为起始节点，遍历查找源IP地址与当前组设备的目的IP地址相同的关联组，并将当前组的攻击链与关联组的攻击链关联，形成组间设备之间的拼接攻击链；其中，拼接攻击链设置为多条，且每组组间设备之间的拼接攻击链设置为至少一条。

主权项：1.一种基于多步攻击的攻击关联关系检测方法，其特征在于，包括：获取多步攻击场景的攻击告警数据；将具有相同的源IP地址和相同的目的IP地址的攻击告警数据划分至同一组中，得到多组的攻击告警数据；其中，每组攻击告警数据对应一组设备；关联同组内各个设备间的攻击告警数据，形成同组内设备之间的攻击链，得到多个组内设备的攻击链；其中，每组设备对应至少一条攻击链；以无双亲或无攻击关联的设备节点为起始节点，遍历查找源IP地址与当前组设备的目的IP地址相同的关联组，并将当前组的攻击链与关联组的攻击链关联，形成组间设备之间的拼接攻击链；其中，拼接攻击链设置为多条，且每组组间设备之间的拼接攻击链设置为至少一条；其中，所述关联同组内各个设备间的攻击告警数据，形成同组内设备之间的攻击链包括：针对所述同组内各个设备间的攻击告警数据，将相同类型的攻击告警数据通过一组告警标签表示；将相同类型的攻击告警数据进行聚类，得到各簇攻击告警数据的告警标签，将各簇中最早的告警发生时间确定为对应类型的攻击事件的发生时间，以得到同组内各个设备间的相同类型的攻击事件的所有发生时间；根据时序关系构建同组内设备的攻击事件的初始攻击链；基于动态滑动窗口修正所述初始攻击链的入侵逻辑，以移除所述初始攻击链中与前一时刻的攻击事件和后一时刻的攻击事件存在错误依赖关系的攻击事件，得到组内设备之间的攻击链；所述关联组包括多条攻击链，所述将当前组的攻击链与关联组的攻击链关联，形成组间设备之间的拼接攻击链包括：去除所述关联组中攻击事件的发生时间和发生阶段均不早于当前组的攻击链，将剩余的至少一条攻击链与当前组的攻击链进行关联；基于攻击事件的发生时间和发生阶段，查找关联后的攻击链中满足时序关系和入侵逻辑的第一位置，基于所述第一位置将关联后的攻击链进行拼接得到组间设备之间的拼接攻击链。

全文数据：

权利要求：

百度查询： 北京邮电大学 基于多步攻击的攻击关联关系检测方法及相关设备