公开(公告)号：CN118764280A

公开(公告)日：2024-10-11

申请号：CN202410973523.8

申请日：2024-07-19

Applicant: 厦门大学

Inventor： 张志宏 ,  王云霄 ,  陈牧

IPC: H04L9/40 ,  H04L41/16 ,  G06N3/0455 ,  G06N3/098 ,  G06F18/2411

Abstract: 本发明涉及一种自动攻击溯源方法、终端设备及存储介质，该方法中包括：接收不同来源的日志并进行分类和排序；对日志条目进行单词级别的拆分后，得到标记化的日志条目；构建异常日志识别模型，模型包括嵌入提取模块和分类模块，以标记化的所有日志条目作为训练集，以同步联邦学习的形式对模型进行训练；当接收到待溯源日志时，首先进行标记化，之后将标记化的日志条目输入训练后的模型，得到异常日志条目识别结果；将异常日志条目对应的事件类型作为可疑事件；构建每个可疑事件对应的独立因果图，并将所有可疑事件的独立因果图进行融合，基于融合后的因果图重建攻击故事。本发明可以检测攻击并且跟踪攻击链路，高效重建攻击故事。

公开(公告)号：CN118337453A

公开(公告)日：2024-07-12

申请号：CN202410486675.5

申请日：2024-04-22

Applicant: 厦门大学

Inventor： 张志宏 ,  王云霄

IPC: H04L9/40 ,  H04L41/16 ,  G06N3/0455 ,  G06N3/098 ,  G06F18/2411

Abstract: 本发明涉及一种自动攻击溯源方法、终端设备及存储介质，该方法中包括：接收不同来源的日志并进行分类和排序；对日志条目进行单词级别的拆分后，得到标记化的日志条目；构建异常日志识别模型，模型包括嵌入提取模块和分类模块，以标记化的所有日志条目作为训练集，以同步联邦学习的形式对模型进行训练；当接收到待溯源日志时，首先进行标记化，之后将标记化的日志条目输入训练后的模型，得到异常日志条目识别结果；将异常日志条目对应的事件类型作为可疑事件；构建每个可疑事件对应的独立因果图，并将所有可疑事件的独立因果图进行融合，基于融合后的因果图重建攻击故事。本发明可以检测攻击并且跟踪攻击链路，高效重建攻击故事。