买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

摘要：本发明提供一种用于攻击调查和还原的系统日志依赖图的概要图生成方法，包括：确定待调查和还原的攻击事件的系统实体依赖关系图，依赖关系图包含与攻击事件相关联的系统实体节点和系统实体节点间的调用关系；系统实体节点包括进程节点和资源节点；在依赖关系图中的进程节点上执行分层随机行走，确定进程节点的行为表示；基于行为表示对进程节点进行聚类，基于聚类结果将依赖关系图划分为至少一个第一子图；压缩每个第一子图获取至少一个第二子图；生成每个第二子图对应的概要，获得依赖关系图对应的概要图。本发明通过将依赖关系图划分为多个子图并为每个子图提供简洁的概要生成概要图，便于查看相关系统活动的概要和与攻击相关的子图的概要信息。

主权项：1.一种用于攻击调查和还原的系统日志依赖图的概要图生成方法，其特征在于，包括：确定待调查和还原的攻击事件的系统实体依赖关系图，所述系统实体依赖关系图中包含与所述待调查和还原的攻击事件相关联的系统实体节点以及所述系统实体节点之间的调用关系；其中，所述系统实体节点包括进程节点和资源节点，所述系统实体节点之间的调用关系表征系统活动；在所述系统实体依赖关系图中的进程节点上执行分层随机行走，确定所述进程节点的行为表示；基于所述进程节点的行为表示，对所述进程节点进行聚类，并基于所述聚类的结果，将所述系统实体依赖关系图划分为至少一个第一子图；对所述至少一个第一子图中的每一个第一子图进行压缩，获取至少一个第二子图，所述至少一个第二子图与所述至少一个第一子图一一对应；具体包括：确定所述至少一个第一子图中的目标子图中的第一模式，所述第一模式包括：同一个进程节点至少产生两个相同的进程节点集以访问同一个资源节点的模式，所述进程节点集中包括至少一个子进程节点，所述资源节点包括文件节点或网络节点；合并所述第一模式中相同的所述子进程节点，以及合并连接所述子进程节点的边，完成对所述目标子图的压缩，获取所述目标子图对应的第二子图；生成所述至少一个第二子图中每一个第二子图对应的概要，获得所述系统实体依赖关系图对应的概要图，所述概要中包括以下至少一项：主进程；时间跨度；目标信息流；其中，所述主进程表示所述第二子图中包括的系统活动的父进程节点；所述时间跨度表示所述第二子图中包括的系统活动的最早开始时间与最晚结束时间之间的时间间隔；所述目标信息流表示所述第二子图中包括的系统活动对应的信息流中优先级排名位于所有信息流的排名中前预设数量位的信息流。

全文数据：

权利要求：

百度查询： 中国科学院信息工程研究所 用于攻击调查和还原的系统日志依赖图的概要图生成方法