(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210869355.9 (22)申请日 2022.07.22 (71)申请人 浙江工业大 学 地址 310014 浙江省杭州市下城区潮王路 18号 (72)发明人 朱添田　李爽　陈铁明　吕明琪　 (74)专利代理 机构 杭州求是专利事务所有限公 司 33200 专利代理师 忻明年 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/35(2019.01) G06F 40/295(2020.01) G06F 16/36(2019.01) G06N 5/02(2006.01) (54)发明名称 一种融合云 网端日志与威胁知识的APT检测 方法 (57)摘要 本发明公开了一种融合云网端日志与威胁 知识的APT检测方法， 采集多平台的云网端融合 日志， 将其处理成以进程为单位， 以时间为序的 四元组序列， 来构建云网端的起源图。 从网络威 胁情报中抽取攻击实体和实体关系， 以形成攻击 因果图， 并用于云网端的APT检测之中。 本发明采 集多平台的云网端融合日志， 并从 网络威胁情报 中抽取攻击因果图， 不依赖人工， 从而避免了大 量规则的制定， 帮助安全行业人员更精准、 更高 效地判别云网端融合的APT攻击， 从而实现针对 云网端融合APT的有效检测。 权利要求书2页 说明书6页 附图1页 CN 115396147 A 2022.11.25 CN 115396147 A 1.一种融合云网端日志与威胁知识的APT检测方法， 其特征在于， 所述融合云网端日志 与威胁知识的APT检测方法， 包括： 步骤1、 获取应用数据集， 所述应用数据集包含网络威胁情报， 以及根据网络威胁情报 展开模拟攻击下 得到的云端日志、 网络端日志和终端日志； 步骤2、 对应用数据集中的云端日志、 网络端日志和终端日志进行预处理， 生成以进程 为单位、 以时间为顺序的四元组序列， 并根据四元组序列构建攻击起源图， 四元组序列中的 每一四元组为(P， E， O， T)， 其中P是进程， E是事 件类型， O是客体， T是时间戳； 步骤3、 对应用数据集中的网络威胁情 报进行处 理， 建立攻击因果图库， 包括： 步骤3.1、 对于一个网络威胁情报的文本， 根据其文本中所含符号将长句 分割为短句， 并将句子转换为 规范形式； 步骤3.2、 将步骤3.1得到的文本进行消歧处 理； 步骤3.3、 将步骤3.2得到的文本进行冗余删除， 保留句子中的所有实体与主谓宾部分； 步骤3.4、 将步骤3.3得到的文本抽取实体和实体关系； 步骤3.5、 根据步骤3.4抽取 得到的实体和实体关系， 生成攻击因果图； 步骤3.6、 重复步骤3.1至步骤3.5， 将生成的单个攻击因果图存 储到攻击因果图库中； 步骤4、 根据步骤2的攻击起源图和步骤3得到的攻击因果图库训练Auto ‑encoder网络， 训练中以攻击起源图作为输入、 以攻击因果图作为真实标签； 步骤5、 将待检测的云端日志、 网络端日志和终端日志生成待检测的起源图， 将待检测 的起源图输入到训练好的Auto ‑encoder网络， 输出为待检测的因果图， 将该因果图与现有 的攻击因果图库进行比对， 若达到预设的相 似度， 则判定存在云网端的APT攻击， 并进行警 报； 否则不存在云网端的APT攻击， 继续进行检测。 2.如权利要求1所述的融合云网端日志与威胁知识的APT检测方法， 其特征在于， 所述 网络威胁情 报为取自Microsoft安全情 报报告中预设数量的非结构化 威胁情报。 3.如权利要求1所述的融合云网端日志与威胁知识的APT检测方法， 其特征在于， 所述 将句子转换为 规范形式， 包括： 使用词性标记和 依赖树检测句子 中的被动语态， 并利用依赖树将被动语态转换为主动 语态。 4.如权利要求1所述的融合云网端日志与威胁知识的APT检测方法， 其特征在于， 所述 将步骤3.1得到的文本进行消歧处 理， 包括： 针对文本 中省略主语的问题， 结合语法解析、 实体识别与实体字典， 从无主语的句子前 挑选候选实体， 并优 先选择距离最近的实体恢复省略的主语； 针对文本中使用代词的问题， 采用指代消 解算法将代词恢复为实体； 针对文本中同义不同词的问题， 采用专家编写的同 义词库进行消歧处 理。 5.如权利要求1所述的融合云网端日志与威胁知识的APT检测方法， 其特征在于， 所述 将步骤3.2得到的文本进行冗余删除， 包括： 针对文本冗余的问题， 采用BERT模型作为分类器对句子进行分类， 并根据分类结果删 除与攻击描述无关的句子； 针对词冗余的问题， 先后执行语法解析与实体识别算法， 保留句子中的所有实体与主 谓宾部分。权　利　要　求　书 1/2 页 2 CN 115396147 A 26.如权利要求1所述的融合云网端日志与威胁知识的APT检测方法， 其特征在于， 根据 步骤3.4抽取 得到的实体和实体关系， 生成攻击因果图， 包括： 语义角色标记： 从包含步骤3.4抽取的实体和实体关系的句子中提取实施者和受施这 两个角色， 并将句子中的每 个角色与语义标签建立联系； 系统实体提取器： 以从语义角色标记生成的角色中提取代表系统实体的简明节点， 并 修剪掉不能构成系统实体的描述部分； 因果推断： 根据语义角色标记区分出各角色的主体与客体， 并以主体到客体之间边的 方向表示节点之间的因果关系和信息流； 图形生成器： 对于至少包含一个动词和两个节点的句子生成相应的边和节点对， 并根 据因果关系和信息流确定边的方向。 7.如权利要求1所述的融合云网端日志与威胁知识的APT检测方法， 其特征在于， 所述 根据步骤2的攻击起源图和步骤3得到的攻击因果图库训练Auto ‑encoder网络， 包括： 步骤4.1、 将对应于同一网络威胁情报的攻击起源图和攻击因果图作为一个训练对， 将 训练对中的攻击起源图输入Auto ‑encoder网络， 得到Auto ‑encoder网络输出的预测因果 图； 步骤4.2、 根据预测因果图和训练对中作为真实标签的攻击因果图修 正网络参数； 步骤4.3、 返回步骤4.1直至训练达 到预设的结束条件。权　利　要　求　书 2/2 页 3 CN 115396147 A 3