一种网络深度威胁检测方法.pdf

(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 CN 111431865 A (43)申请公布日 2020.07.17 (21)申请号 202010130894.1 (22)申请日 2020.02.28 (71)申请人 四川亿览态势科技有限公司 地址 610000 四川省成都市高新区天府大 道北段1700号9栋1单元15楼1506号 (72)发明人 任大章　李润恒　梁颖　刘欢　 武宇　李玉军　谢敏容　 (74)专利代理机构 成都顶峰专利事务所(普通 合伙) 51224 代理人 曾凯 (51)Int.Cl. H04L 29/06(2006.01) 权利要求书2页 说明书5页 (54)发明名称 一种网络深度威胁检测方法 (57)摘要 本发明公开了一种网络深度威胁检测方法， 属于人工智能技术领域，通过获得深度威胁原 理、生成海量样本图谱、生成样本向量集合、生成 用户图谱、生成用户向量等步骤判断是否存在深 度威胁，并且在将存在深度威胁的图谱存入海量 样本图谱，实现检测能力的不断进化。本发明从 图谱和向量空间的角度，进行深度威胁检测，检 测较快且较为准确，在检测过程中可实现检测能 力自主进化，有利于在检测的同时优化检测性 能。 A 5 6 8 1 3 4 1 1 1 N C CN 111431865 A 权　利　要　求　书 1/2页 1.一种网络深度威胁检测方法，其特征在于：包括以下步骤： S1)获得深度威胁原理：运用IDA Pro静态反汇编、OllyDbg动态调试技术或搜索深度威 胁相关资料，获得深度威胁原理； S2)生成海量样本图谱： S21)设置不同环境参数，生成大量模拟环境； S22)根据步骤S1)的深度威胁原理，在不同模拟环境中，设置不同的攻击时长进行推 演，生成海量样本图谱； S3)生成样本向量集合： S31)将步骤S2)生成的海量样本图谱划分为多个互不相交的子集，挖掘各子集中的频 繁子图，得到特征子图集合； S32)取特征子图集合中次数最多的一个或多个特征子图，得到频繁特征子图集合，以 图谱包含频繁特征子图集合中不同特征子图的数量作为分量，构成向量空间，将海量样本 图谱映射到向量空间中，得到样本向量子集； S4)生成用户图谱：将用户网络中的安全日志转化为用户图谱； S5)生成用户向量； S6)判断是否存在深度威胁。 2.根据权利要求1所述的一种网络深度威胁检测方法，其特征在于：所述深度威胁原理 为深度威胁使用攻击技术、漏洞编号、控制方式、扩散策略中的任意一种或多种。 3.根据权利要求1所述的一种网络深度威胁检测方法，其特征在于：所述环境参数包括 网络节点数量、存在漏洞的节点数量、安装有防护软件的节点数量。 4.根据权利要求1所述的一种网络深度威胁检测方法，其特征在于：所述安全日志包括 时间、攻击者、目标、攻击行为、特征码。 5.根据权利要求1所述的一种网络深度威胁检测方法，其特征在于：步骤S5)包括如下 步骤： S51)每条日志对应图谱中的两个节点及这两个节点之间的连线，计算对应节点和连 线； S52)与相关的节点和连线是否匹配特征子图集合，计算实时流； S53)计算得到用户向量，即用户图谱中包含特征子图的数量。 6.根据权利要求1所述的一种网络深度威胁检测方法，其特征在于：所述S6)包括如下 步骤： S61)由于特征子图的数量是自然数，必然存在超平面，根据样本向量子集得