买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

龙图腾网获悉西安电子科技大学;西安联飞智能装备研究院有限责任公司申请的专利基于多源日志的多步可持续性攻击检测方法获国家发明授权专利权，本发明授权专利权由国家知识产权局授予，授权公告号为：CN116866060B 。

龙图腾网通过国家知识产权局官网在2026-03-31发布的发明授权授权公告中获悉：该发明授权的专利申请号/专利号为：202310955068.4，技术领域涉及：H04L9/40；该发明授权基于多源日志的多步可持续性攻击检测方法是由李腾;朱雄杰;唐智亮;彭春蕾;李德彪;马卓设计研发完成，并于2023-08-01向国家知识产权局提交的专利申请。

本基于多源日志的多步可持续性攻击检测方法在说明书摘要公布了：本发明提出了一种基于多源日志的多步可持续性攻击检测方法，主要解决现有恶意多步可持续性攻击行为预测准确率不佳的问题。包括：1收集系统日志、应用日志、网络日志等多源日志进行评分和聚类；2对日志进行三维张量建模，利用张量分解进行日志数据的逐层分解提取事件；3根据事件关系构造事件溯源图并提取事件路径；4对事件的因果关系进行建模；5利用泊松‑伽马混合分布对事件的邻域关系进行建模；6建立因子图模型预测攻击者所处的攻击阶段，得到阶段关系矩阵；7将三种关系矩阵输入LSTM和BNN结合的分类器，进行恶意攻击事件路径预测。本发明能够利用原生多源日志实现多步可持续性攻击检测，且有效提高了检测准确率。

本发明授权基于多源日志的多步可持续性攻击检测方法在权利要求书中公布了：1.一种基于多源日志的多步可持续性攻击检测方法，其特征在于，包括如下步骤： 1收集系统日志、应用日志和网络日志，并利用正则匹配方式进行解析，将日志语句解析为相应的结构化实体，得到结构化日志； 2从结构化日志中提取日志模板，实现如下： 2.1首先进行单词评分，假设每个日志条目中的单词被空格分隔开，利用空格进行切词，并在切词过程中记录单词的位置p和日志消息的长度len；设定评分规则为：如果一个单词出现在长度为len的日志消息的第p个位置上，那么这个单词的分数score可以依据下式计算： Scoreword,p,len＝pword|p,len； 2.2将每条消息中的所有单词划分为模板词和参数词，所述模板词是在相同位置出现的具有相同长度的日志条目；根据2.1得到的评分对单词进行分类，使用基于密度的空间聚类DBSCAN方式进行聚类，使簇之间的距离大于距离阈值δ，然后通过选择最高分的簇，使单词的数量大于β×Len，其中β为参数字数阈值，且0β1，得到日志模板； 3将网络日志数据视为秩3张量，即日志模板、事件和时间窗口，提取日志数据中同时出现的模板组和主机关系，实现如下； 3.1对每个时间窗口的日志数据进行逐层分解，步骤如下： 3.1.1定义一个大小为I×L的日志模板矩阵V，若模板i属于模板组l，则日志模板矩阵的模板分量vil＞0，若模板i不属于模板组l，则等于vil＝0； 3.1.2用秩3的张量Z表示一个事件张量，每个H×L的矩阵是一个事件切片，在每个事件切片中，若主机h上的模板组l属于第k个事件，则该事件对应的事件分量zlkh＞0；反之，zlkh＝0； 3.1.3令W表示时间窗口权重矩阵，将第k个事件发生在第j个时间窗口的权重分量表示为wkj，完成对日志张量的逐层分解，得到日志模板、事件与时间窗口权重的分量； 3.2将分解问题表示为用KL散度与损失函数定义的最小化问题，根据乘法更新规则迭代计算日志张量的分量，提取出其中的事件； 4将当前日志对应的事件中每一个内部节点表示为一个流程创建事件，内部节点的子节点表示为进程与系统资源交互的事件，通过事件连接构成事件溯源图； 5根据事件溯源图，采取深度遍历的方式提取事件路径并存储； 6利用提取的事件路径，对事件的因果关系进行建模，构造因果关系矩阵： 6.1定义如下四个维度的关系： 维度1：父事件与子事件的时间戳差值； 维度2：父事件的进程号、父事件的父进程号、父事件的主机号和父进程的进程名； 维度3：父事件的IP和端口； 维度4：父事件的类型； 6.2对步骤5中提取到的每一条事件路径，分别提取步骤6.1定义的四个维度的关系，构造对应的因果关系矩阵；所述矩阵的每个事件对应于因果关系的一维行向量，矩阵的大小为L×8，其中L表示路径长度； 7对事件的邻域关系进行建模，构造邻域关系矩阵： 7.1用邻域矩阵的前N列代表过去与现在的偏差，N的数量为事件类型的数量，获取事件的偏差向量D＝{D1,D2,...,DN}； 7.2使用泊松-伽马混合分布预测事件的未来邻域关系，计算得到各个类型的事件在单位时间后出现的概率，使用向量P存储概率，P＝{P1,P2,...,PN}； 7.3连接向量D和P构成领域矩阵，该矩阵的每个事件对应于邻域关系的一维行向量，矩阵的大小为L×16； 8对事件的阶段关系进行建模，构造阶段关系矩阵： 8.1以用户资料、用户在节点上发生的事件、用户位于的攻击阶段、用户所处的攻击节点四类变量为输入变量，定义如下四种因子函数，并捕获这些输入变量之间的关系： 第一种：t时刻的多步可持续性攻击的攻击阶段st与用户在当前信息的事件et之间的关系feet,st；如果事件et发生，则认为多步可持续性攻击目前存在于st这个阶段； 第二种：t时刻的多步可持续性攻击的攻击阶段st与当前发生的事件et、t-1时刻的攻击阶段st-1、攻击事件et-1三者的关系fset-1,st-1,et,st；如果事件et发生，并且t-1时刻发生了攻击事件et-1，且t-1时刻位于st-1阶段，则认为多步可持续性攻击目前存在于st这个阶段； 第三种：t时刻的多步可持续性攻击的攻击阶段st与用户属性U、当前发生的事件et这两者的关系fuU,et,st；如果事件et发生，且用户具有属性U，则认为多步可持续性攻击目前存在于st这个阶段； 第四种：t时刻的多步可持续性攻击的攻击阶段st与用户所处的攻击节点Node、当前发生的事件et两者的关系fnNode,et,st；如果事件et发生，且用户处于攻击节点Node，则认为多步可持续性攻击目前存在于st这个阶段； 8.2将所有因子函数联合成集合F＝{Fe,Fs,Fu,Fn}，其中Fe、Fs、Fu、Fn分别表示因子图中feet,st、fset-1,st-1,et,st、fuU,et,st以及fnNode,et,st的集合；令每个因子函数的输入均为X＝{et,U,Node}、Y＝{St}，当X与Y满足关联关系时输出1，否则输出0；计算得到条件概率密度PY|X； 8.3利用条件概率构造大小为L×7的矩阵，矩阵的每个事件对应于邻域关系的一维长度为7的行向量，代表多步可持续性攻击的七个攻击阶段；将每一行最有可能处于的阶段对应列的值置为P，其余的列置为0，得到阶段关系矩阵； 9对于每条事件路径，将其对应的因果关系矩阵、邻域关系矩阵以及阶段关系矩阵输入三层长短期记忆神经网络LSTM和一层贝叶斯神经网络BNN中，使用ELBO损失训练分类器； 10利用经过训练的分类器对事件路径进行预测，生成类别的预测结果，表明事件为良性或多步可持续性攻击，同时生成代表预测标准差的不确定性分数，实现多步可持续性攻击检测。

如需购买、转让、实施、许可或投资类似专利技术，可联系本专利的申请人或专利权人西安电子科技大学;西安联飞智能装备研究院有限责任公司，其通讯地址为：710071 陕西省西安市雁塔区太白南路2号；或者联系龙图腾网官方客服，联系龙图腾网可拨打电话0551-65771310或微信搜索“龙图腾网”。

以上内容由龙图腾AI智能生成。