基于多源日志关联分析的APT攻击场景还原检测方法及系统,检测方法包括收集主机的多源日志,设置新的特征参数,使用关系向量关联所有日志条目,将所有日志条目视为网络中的节点,日志条目间的关系视为节点之间的边,构建无向、有权重复杂网络图,使用标签传播算法聚类,识别出事件；再按照时间顺序将日志和事件组成长序列,挖掘出事件间逻辑关系及时间关系,生成初始子分区图并不断进行优化,得到场景图；然后学习场景图的顶点和边的矢量表达,进行聚类,对更新后的场景图,检测其新边和顶点是否异常,完成检测后,更新聚类情况,为后续检测做准备。本发明能全面、准确的还原攻击场景,防止高误报率和漏网之鱼,高效检测出APT攻击。

• 单位
  西安电子科技大学