(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211014967.6 (22)申请日 2022.08.23 (71)申请人 广州大学 地址 510006 广东省广州市大 学城外环西 路230号 申请人 中国电力科 学研究院有限公司 　 国网上海市电力公司 (72)发明人 王乐　张志强　周亮　顾钊铨　 黄坤鑫　马丽婷　陈光耀　蔺子卿　 王海翔　杨举　 (74)专利代理 机构 北京高航知识产权代理有限 公司 11530 专利代理师 王庞 (51)Int.Cl. H04L 9/40(2022.01)G06N 5/04(2006.01) G06N 3/12(2006.01) (54)发明名称 基于机器学习的攻击路径溯源和攻击源头 检测方法 (57)摘要 本发明公开了一种基于机器学习的攻击路 径溯源和攻击源头检测方法， 包括： 构建大型网 络有向攻击图， 针对不同的源主机和目标主机进 行统一编号， 并将相邻主机 之间的可达性存储为 二维邻接矩阵， 利用深度优先遍历算法和二维邻 接矩阵找出源主机和目标主机之间所有可达路 径， 从所有可达路径中筛选出符合依照事件时间 顺序的实际可行路径， 对实际可行路径的权重进 行初始化， 利用路径排序算法计算攻击源头概 率， 选出概率值最大的作为攻击源头， 对计算攻 击源头概率过程中路径权重不断迭代 寻优， 得出 最优情况下的路径权重值； 本发 明有效提升了攻 击源头检测的效率， 能够发现在 整个大型网络中 与该起攻击事件密切相关的多个节 点， 可为防御 者快速找到突破口。 权利要求书2页 说明书5页 附图5页 CN 115412328 A 2022.11.29 CN 115412328 A 1.一种基于机器学习的攻击路径溯源和攻击源头检测方法， 其特征在于， 包括如下步 骤： 构建大型网络有向攻击 图， 针对不同的源主机和目标主机进行统一编号， 并将相邻主 机之间的可达性存储为二 维邻接矩阵， 利用深度优先遍历算法和二 维邻接矩阵找出源主机 和目标主机之间所有可达路径； 引入事件发生的时间参数结合递归的方式， 从所有可达路径中筛选出符合依照事件时 间顺序的实际可 行路径； 对实际可行路径 的权重进行初始化， 利用路径排序算法计算攻击源头概率， 选出概率 值最大的作为 攻击源头； 通过粒子群优化算法对计算攻击源头概率过程中路径权重不断迭代寻优， 从而得出最 优情况下的路径权 重值。 2.如权利要求1所述的基于机器学习的攻击路径溯源和攻击源头检测方法， 其特征在 于， 所述利用深度优先遍历算法和二维邻接矩阵找出源主机和目标主机之间所有可达路 径， 包括： 利用深度优先遍历算法找出所有中间路径在二维邻 接矩阵上不为零的路径， 作为可达 路径。 3.如权利要求1所述的基于机器学习的攻击路径溯源和攻击源头检测方法， 其特征在 于， 所述从所有可达路径中筛 选出符合依照事 件时间顺序的实际可 行路径， 包括： 主机Ci到主机Cj的可行关系路径P需要满足所有中间路径Tpm依照时间顺序有序排列， 符 合如下公式的规则为实际可 行路径： 4.如权利要求3所述的基于机器学习的攻击路径溯源和攻击源头检测方法， 其特征在 于， 所述对实际可 行路径的权 重进行初始化， 包括： 将权重的种类定义为8个类别， 分别表示8个级别的路径权重， 将8级或超过8级的路径 权重均记为 W8。 5.如权利要求1所述的基于机器学习的攻击路径溯源和攻击源头检测方法， 其特征在 于， 所述利用路径排序算法计算 攻击源头概 率之前， 包括： 计算相邻主机路径概 率值， 具体为： 相邻两个节点Cp到Cq的路径概 率θpq满足与Cp出度相关的关系表达式： 6.如权利要求3所述的基于机器学习的攻击路径溯源和攻击源头检测方法， 其特征在 于， 所述利用路径排序算法计算 攻击源头概 率， 包括： 对求出的每条可达路径Pij所经过的所有相邻中间路径的路径概率与路径权重相乘得 到单条路径概率score(one  Pij)， 最终将求出的所有可达路径的单条路径概率求和作为最 终的攻击源头概 率score(i； j)：权　利　要　求　书 1/2 页 2 CN 115412328 A 27.如权利要求6所述的基于机器学习的攻击路径溯源和攻击源头检测方法， 其特征在 于， 所述将求出的所有可达路径的单条路径概率求和作为最终的攻击源头概率score(i； j)， 包括： 对求出的每条可达路径Pij， 其始点和终点相同， 由于同一个始点走向同一个终点的不 同路径， 单条 路径概率sc ore(one Pij)会有很多种， 因此， 将所有的单条 路径概率求和， 才是 真正的主机 Ci是主机Cj的攻击源头的概 率score(i； j)。 8.如权利要求6所述的基于机器学习的攻击路径溯源和攻击源头检测方法， 其特征在 于， 所述通过粒子群优化算法对计算攻击源头概率过程中路径权重不断迭代寻优之前， 包 括： 初始化指定个数的粒子数为8， 并初始化粒子的初始速度和初始位置， 其中， 初始位置 即8个级别的路径初始权重值， 然后初始化全局最优和局部最优值， 其中， 最优值即多台主 机是某一台主机的攻击源头的概 率， 通过如下公式来更新单个粒子的速度和位置： 9.如权利要求8所述的基于机器学习的攻击路径溯源和攻击源头检测方法， 其特征在 于， 更新单个例子的速度和位置之后， 包括： 将单个粒子位置更新的位置作为对应路径的权重， 其余路径权重不变， 基于当前路径 权重值， 使用攻击源头概率计算方式计算主机是另一个主机的攻击源头的概率， 以此作为 此时的局部最优值并与历史最优值进行比较， 所有粒子的位置都更新后， 再基于此时的路 径权重值， 使用攻击源头概率计算方式计算主机是另一个主机的攻击源头的概率， 以此作 为当前的全局最优值并与历史全局最优值进 行比较， 如果全局最优值与实际值误差高于历 史全局最优值与实际值误差， 则退出循环迭代过程， 并将历史最优情况下对应的粒子位置 作为最终的多条路径的权 重。 10.如权利要求9所述的基于机器学习的攻击路径溯源和攻击源头检测方法， 其特征在 于， 若全局 最优值与实际值误差低于历史全局 最优值与实际值误差， 则重新进入更新粒子 速度和位置的步骤， 并将历史最优值更新 为当前全局最优值。权　利　要　求　书 2/2 页 3 CN 115412328 A 3