一种基于日志关联分析的攻击链构造方法,包括以下步骤：首先,从几种类型的源中收集不同的系统日志,对数据进行预处理使其规格化；然后,利用LCS将寻找攻击步骤逻辑规则的问题转化为从整个条件链中寻找最长公共条件序列的问题,构造出攻击链后分析事件,得到对应条件或事件的日志条目序列；最后,查找条件相同的时间戳来确定系统日志位置,通过分析内部事件参数的关系来识别具体的攻击者及其行为,实现攻击的预测。本发明具有准确率高、计算速度快、可主动防御攻击以及可扩展性强的优点。

• 单位
  西安电子科技大学