(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211040616.2 (22)申请日 2022.08.29 (71)申请人 北京航空航天大 学 地址 100191 北京市海淀区学院路37号 (72)发明人 李巍　乔智　李云春　 (74)专利代理 机构 北京科迪生专利代理有限责 任公司 1 1251 专利代理师 金怡　顾炜 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/14(2022.01) (54)发明名称 一种基于动态图嵌入的多步攻击场景构建 方法及系统 (57)摘要 本发明涉及一种基于动态图嵌入的多步攻 击场景构建方法及系统， 其方法包括： S1： 根据网 络流量日志和审计日志抽取事件构建原始溯源 图G'； S2： 基于事件时间顺序构建 因果信息流， 消 除G'中无效的因果关系， 得到修剪后的溯源图G； S3： 基于因果信息流， 对G进行邻居边采样， 构建 邻居边队列； S4： 构建时序卷积聚合函数， 提取事 件之间的时序关系， 用于生 成当前时刻的事件表 示， 训练动态图嵌入模型， 生 成G中所有事件的向 量表示； S5： 基于事件的向量表示， 对单个阶段的 事件进行聚类， 生成攻击路径； 关联不同阶段的 攻击路径， 重现攻击场景。 本发明提供的方法利 用邻居边的评分机制有效的区分正常的行为和 攻击行为， 通过关联不同阶段的攻击路径重现攻 击场景。 权利要求书3页 说明书8页 附图3页 CN 115378733 A 2022.11.22 CN 115378733 A 1.一种基于动态图嵌入的多步 攻击场景构建方法， 其特 征在于， 包括： 步骤S1： 根据网络流量日志和主机端的审计日志抽取事件Event， 其 中， 所述事件Event 由一个三元组构成： Event＝(Sub， Obj， Time)， Sub表示事件的起点， Obj表示事件的终点， Time表示事件的发生时间， 并根据所述事件构建原始溯源图G'＝(V,E,T)， 其中， 点V∈(Sub ∪Obj)， 边E∈Event， 边的时间戳T ∈Time； 步骤S2： 基于所述事件的起点， 终点和事件的时间顺序构建因果信息流， 对所述原始溯 源图进行剪枝， 消除无效的因果关系， 得到修剪后的溯源图G； 步骤S3： 基于所述因果信息流， 对溯源图G进行邻居边采样， 构建长度为H的邻居边队 列， 其中， 所述邻居边队列包括： 原因邻居边队列X和结果邻居边队列Y； 步骤S4： 构建时序卷积聚合函数， 提取所述事件之间的时序关系， 用于生成当前时刻的 事件表示， 训练动态图嵌入 模型， 生成所述溯源图G中所有事 件的向量表示； 步骤S5： 基于所述事件的向量表示， 对单个阶段的事件进行聚类， 生成可疑攻击路径； 关联不同阶段的所述 攻击路径， 重现攻击场景。 2.根据权利要求1所述的基于动态图嵌入的多步攻击场景构建方法， 其特征在于， 所述 步骤S2： 基于所述事件的起点， 终点和事件的时间顺序构建因果信息流， 对所述原始溯源图 进行剪枝， 消除无效的因果关系， 得到修剪后的溯源图G， 具体包括： 步骤S21： 设有两个事件对应的边分别为： 和 其中， a、 b分别为边 的起点和终 点， b、 c分别 为边 的起点和终点； 则b作为 的终点， 也同时作为 的起点， 并且t1<t2， 则认为 和 之间存在因果关系； 将 这样的两条边称为因果信息流； 步骤S22： 删除原 始溯源图G'中起 点入度和终点的出度都为0的边； 步骤S23： 删除构成环路的边， 得到修剪后的溯源图G。 3.根据权利要求2所述的基于动态图嵌入的多步攻击场景构建方法， 其特征在于， 所述 步骤S3： 基于所述因果信息流， 对溯源图G进行邻居边采样， 构建长度为H的邻居边队列， 其 中， 所述邻居边队列包括： 原因邻居边队列X和结果邻居边队列Y， 具体包括： 步骤S31： 从所述溯源图G中选择与待采样边 中存在因果信息流的边作为候选邻居 边， 其中， 所述 候选邻居边 为下述两种边之一： 1)原因邻居边:发生在t1时刻之前的事件， 并且事件的终点为a： 2)结果邻居边： 发生在t1时刻之后的事件， 并且事件的起点为b： 其中， t1是待采样边 的产生时间， t2是 的邻居边的产生时间， x是事件的起点， y是 事件的终点； δ 是表示历史时间窗口 的大小； 得到待采样边 的候选邻居边集合 其中， 每条 候选邻居边满足条件 或者 权　利　要　求　书 1/3 页 2 CN 115378733 A 2步骤S32： 计算待采样边 的候选邻居边的可疑性评分； 其中， O(ΔH)表示所有候选邻居边出现次数， N为所有候选邻居边的个数， 表 示在在满足条件 的邻居边中 的出现次数， 表 示在在满足条件 的邻居边中 的出现次数， 表示节 点在t1之前的入度， 表示节点在t1之后的出度； 步骤S33： 选择可疑性评分最高的M个候选邻居边加入邻居边队列； 步骤S34： 从所述邻居边队列中取出队首元素， 继续进行步骤S31～S33， 直到所述邻居 边队列长度达到预设的长度H， 其中， 所述邻居边队列包括： 长度为H的原因邻居边队列X和 长度为H的结果邻居边队列Y 。 4.根据权利要求3所述的基于动态图嵌入的多步攻击场景构建方法， 其特征在于， 所述 步骤S4： 构建时序卷积聚合函数， 提取所述事件之间的时序关系， 用于生 成当前时刻的事件 表示， 训练动态图嵌入 模型， 生成所述溯源图G中所有事 件的向量表示， 具体包括： 步骤S41： 随机初始化溯源图G中的事 件表示矩阵Zold和当前时刻的事 件表示矩阵Znew； 其中， l是向量表示的长度， n是溯源图G中的事 件个数； 步骤S42： 利用因果卷积构建时序卷积聚合函数TCNAggregate， 将Zold和Znew进行聚合， 得到当前时刻的事 件表示矩阵， 并更新Znew： 其中， d是步长， s是当前的位置， k是卷积核的大小， f1(i)和f2(i)分别表示原因邻居边 的因果卷积核和结果邻居边的因果卷积核的权重； Zold(xs‑d·i)表示距离当前事件位置的d* i个邻居事件的向量表示， y'表示所述结果邻居边队列Y的倒序表示； Concat表示向量的连 接， σ 表示全连接层；权　利　要　求　书 2/3 页 3 CN 115378733 A 3