技術(shù)特征：

1.一種基于溯源圖行為信息的apt攻擊檢測(cè)方法，其特征在于，分為四個(gè)步驟，如下：

2.根據(jù)權(quán)利要求1所述的一種基于溯源圖行為信息的apt攻擊檢測(cè)方法，其特征在于，步驟2中，按照時(shí)間順序依次檢索完整溯源圖的每個(gè)事件，若被檢索事件的主體和客體未添加到系統(tǒng)內(nèi)存的緩存圖中，則將其作為新的節(jié)點(diǎn)添加到緩存圖中，并在這對(duì)新節(jié)點(diǎn)之間添加一條邊，同時(shí)將行為的時(shí)間戳分配給這些新節(jié)點(diǎn)；若被檢索事件的主體和客體已經(jīng)存在于緩存圖中，則只更新時(shí)間戳，確保時(shí)間戳與最新的行為時(shí)間保持一致；

3.根據(jù)權(quán)利要求1所述的一種基于溯源圖行為信息的apt攻擊檢測(cè)方法，其特征在于，步驟3包括以下步驟：

4.根據(jù)權(quán)利要求3所述的一種基于溯源圖行為信息的apt攻擊檢測(cè)方法，其特征在于，步驟3.2包括以下步驟：

5.根據(jù)權(quán)利要求1所述的一種基于溯源圖行為信息的apt攻擊檢測(cè)方法，其特征在于，步驟4包括以下步驟：

6.根據(jù)權(quán)利要求4所述的一種基于溯源圖行為信息的apt攻擊檢測(cè)方法，其特征在于，所述步驟3.2.3從行為結(jié)構(gòu)圖中提取最終邊特征向量，具體的：

技術(shù)總結(jié)
本發(fā)明屬于網(wǎng)絡(luò)攻擊檢測(cè)領(lǐng)域，具體涉及一種基于溯源圖行為信息的APT攻擊檢測(cè)方法。分為四個(gè)步驟：步驟1、數(shù)據(jù)預(yù)處理；步驟2、子圖生成；步驟3、行為特征提?。粚?duì)每一張子圖進(jìn)行特征提取，包括節(jié)點(diǎn)特征提取和邊特征提??；步驟4、分類(lèi)模型設(shè)計(jì)、訓(xùn)練、異常檢測(cè)；訓(xùn)練和測(cè)試分類(lèi)模型，利用訓(xùn)練好的模型依次分類(lèi)每一條邊的類(lèi)型，當(dāng)某一條邊無(wú)法被現(xiàn)有任何一個(gè)子模型正確分類(lèi)時(shí)，判定其為異常，并輸出它的行為結(jié)構(gòu)圖。本發(fā)明在溯源圖的建模中引入了行為屬性及其結(jié)構(gòu)信息，超越了傳統(tǒng)關(guān)注實(shí)體交互關(guān)系的范疇；通過(guò)引入池化方法和圖表征學(xué)習(xí)，提高了模型的表達(dá)能力，使其更有效地捕捉行為結(jié)構(gòu)中的重要信息，在初始結(jié)構(gòu)信息的基礎(chǔ)上不斷優(yōu)化。

技術(shù)研發(fā)人員：王成,王朝棟,張旺,朱航宇,賈奇龍
受保護(hù)的技術(shù)使用者：同濟(jì)大學(xué)
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/2