CN119299214A 一种基于日志的apt攻击检测与溯源方法 （哈尔滨工业大学）.pdfVIP

(19)国家知识产权局

(12)发明专利申请

(10)申请公布号CN119299214A

(43)申请公布日2025.01.10

(21)申请号202411654640.4

(22)申请日2024.11.19

(71)申请人哈尔滨工业大学

地址150001黑龙江省哈尔滨市南岗区西

大直街92号

(72)发明人胡智超刘立坤李竑杰余翔湛

葛蒙蒙刘海心李卓凌秦浩伦

宋晨王邦国牟铎张垚

张靖宇周杰傅言晨李岱林

(74)专利代理机构哈尔滨市晨晟知识产权代理

有限公司23219

专利代理师朱永林

(51)Int.Cl.

H04L9/40(2022.01)

G06F18/214(2023.01)

权利要求书3页说明书18页附图11页

(54)发明名称

一种基于日志的APT攻击检测与溯源方法

(57)摘要

一种基于日志的APT攻击检测与溯源方法，

属于攻击检测技术领域。为解决APT攻击检测的

高效、细粒度、精确性，本发明包括采集原始的系

统日志数据，然后对原始的系统日志数据进行预

处理，得到数据集；基于4种操作类型构建溯源

图。所述4种操作类型包括文件操作、进程操作、

权限操作和网络操作；使用BERT模型和VAE模型

进行节点异常检测，获得威胁节点集合；基于得

到的威胁节点集合以及溯源图，使用斯坦纳树算

法获得包括所有威胁节点的攻击路径。本发明适

于在不具备大量已标注样本和先验知识的情况

下进行学习，可以克服传统的算法无法检测出零

A日攻击的问题，并且能够从大批量的系统日志中

4提取出简洁的APT攻击路径溯源图。

1

2

9

9

2

9

1

1

N

C

CN119299214A权利要求书1/3页

1.一种基于日志的APT攻击检测与溯源方法，其特征在于，包括如下步骤：

S1.采集原始的系统日志数据，然后对原始的系统日志数据进行预处理，得到数据集；

S2.对步骤S1得到的数据集，基于4种操作类型构建溯源图。所述4种操作类型包括文件

操作、进程操作、权限操作和网络操作；

S3.对步骤S2得到的溯源图，使用BERT模型和VAE模型进行节点异常检测，获得威胁节

点集合；

S4.基于步骤S3得到的威胁节点集合及步骤S2中的溯源图，使用斯坦纳树算法获得包

括所有威胁节点的攻击路径。

2.根据权利要求1中的一种基于计算似然比的分布外网络流量数据检测方法，其特征

在于，步骤S1的预处理过程为将原始日志记录转换为标准化格式的日志记录。

3.根据权利要求2中的一种基于计算似然比的分布外网络流量数据检测方法，其特征

在于，步骤S2的具体实现方法包括如下步骤：

S2.1.首先初始化建立一个空的溯源图；

S2.2.从步骤S2.1得到的数据集中的日志中，确定操作类型，包括文件操作FILE_OP、进

程操作PROCESS_OP、权限操作PERM_OP和网络操作NET_OP；

S2.3.对步骤S2.2确定了操作类型的每一个操作，创建溯源图中的节点和边，添加节点

到溯源图中，所述节点的类型包括进程、文件和网络；

S2.4.对步骤S2.3创建的节点设置节点的属性以及节点的标识，然后添加边到溯源图

中，边的属性包括操作类型和时间戳，操作类型为日志中的evt.type；

S2.5.检查溯源图是否为有向无环图DAG，如果有循环则移除循环，然后将溯源图保存

为Node‑Link.json的格式，并且将从日志中提取出的所有节点标识中的命令行文本加入到

文件comm