CN119299214A 一种基于日志的apt攻击检测与溯源方法 （哈尔滨工业大学）.docxVIP

(19)国家知识产权局

(12)发明专利申请

(10)申请公布号CN119299214A(43)申请公布日2025.01.10

(21)申请号202411654640.4

(22)申请日2024.11.19

(71)申请人哈尔滨工业大学

地址150001黑龙江省哈尔滨市南岗区西

大直街92号

(72)发明人胡智超刘立坤李竑杰余翔湛

葛蒙蒙刘海心李卓凌秦浩伦

宋晨王邦国牟铎张垚

张靖宇周杰傅言晨李岱林

(74)专利代理机构哈尔滨市晨晟知识产权代理

有限公司23219专利代理师朱永林

(51)Int.CI.

H04L9/40(2022.01)

GO6F18/214(2023.01)

权利要求书3页说明书18页附图11页

(54)发明名称

一种基于日志的APT攻击检测与溯源方法

(57)摘要

CN119299214A一种基于日志的APT攻击检测与溯源方法，属于攻击检测技术领域。为解决APT攻击检测的高效、细粒度、精确性，本发明包括采集原始的系统日志数据，然后对原始的系统日志数据进行预处理，得到数据集；基于4种操作类型构建溯源图。所述4种操作类型包括文件操作、进程操作、权限操作和网络操作；使用BERT模型和VAE模型进行节点异常检测，获得威胁节点集合；基于得到的威胁节点集合以及溯源图，使用斯坦纳树算法获得包括所有威胁节点的攻击路径。本发明适于在不具备大量已标注样本和先验知识的情况下进行学习，可以克服传统的算法无法检测出零日攻击的问题，并且能够从大批量的系统日志中

CN119299214A

采集原始的系统日志数据，然后对原始的系统日志数据进行预处理

采集原始的系统日志数据，然后对原始的系统日志数据进行预处理，得到数据集

对步骤S1得到的数据集，基于4种操作类型构建溯源图。所述4种操作类型包括文件操作、进程操作、权限操作和网络操作

对步骤S2得到的溯源图，使用BERT模型和VAE模型进行节点异常检测，获得威胁节点集合

基于步骤S3得到的威胁节点集合及步骤S2中的溯源图，使用斯坦纳树算法获得包括所有威胁节点的攻击路径

CN119299214A权利要求书1/3页

2

1.一种基于日志的APT攻击检测与溯源方法，其特征在于，包括如下步骤：

S1.采集原始的系统日志数据，然后对原始的系统日志数据进行预处理，得到数据集；

S2.对步骤S1得到的数据集，基于4种操作类型构建溯源图。所述4种操作类型包括文件操作、进程操作、权限操作和网络操作；

S3.对步骤S2得到的溯源图，使用BERT模型和VAE模型进行节点异常检测，获得威胁节点集合；

S4.基于步骤S3得到的威胁节点集合及步骤S2中的溯源图，使用斯坦纳树算法获得包括所有威胁节点的攻击路径。

2.根据权利要求1中的一种基于计算似然比的分布外网络流量数据检测方法，其特征在于，步骤S1的预处理过程为将原始日志记录转换为标准化格式的日志记录。

3.根据权利要求2中的一种基于计算似然比的分布外网络流量数据检测方法，其特征在于，步骤S2的具体实现方法包括如下步骤：

S2.1.首先初始化建立一个空的溯源图；

S2.2.从步骤S2.1得到的数据集中的日志中，确定操作类型，包括文件操作FILE_OP、进程操作PROCESS_0P、权限操作PERM_0P和网络操作NET_0P;

S2.3.对步骤S2.2确定了操作类型的每一个操作，创建溯源图中的节点和边，添加节点到溯源图中，所述节点的类型包括进程、文件和网络；

S2.4.对步骤S2.3创建的节点设置节点的属性以及节点的标识，然后添加边到溯源图中，边的属性包括操作类型和时间戳，操作类型为日志中的evt.type;

S2.5.检查溯源图是否为有向无环图DAG,如果有循环则移除循环，然后将溯源图保存为Node-Link.json的格式，并且将从日志中提取出的所有节点标识中的命令行文本加入到文件command_line.json中，将文件路径、IP和端口的组合加入到文件object.json中，得到溯源图和节点标识集合，所述节点标识集合为节点对应的的命令行文本或文件路径或IP地址和端口组合。

4.根据权利要求3中的一种基于计算似然比的分布外网络流量数据检测方法，其特征在于，步骤S3的具体实现方法包括如下步骤：

S3.1.对于步骤S2得到