公开(公告)号：CN114637892B

公开(公告)日：2024-11-29

申请号：CN202210107372.9

申请日：2022-01-28

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  文雨 ,  徐志强 ,  张博洋 ,  杨纯 ,  郑阳 ,  张东雪 ,  杜莹莹 ,  吴艳娜

IPC: G06F16/901 ,  H04L9/40

Abstract: 本发明提供一种用于攻击调查和还原的系统日志依赖图的概要图生成方法，包括：确定待调查和还原的攻击事件的系统实体依赖关系图，依赖关系图包含与攻击事件相关联的系统实体节点和系统实体节点间的调用关系；系统实体节点包括进程节点和资源节点；在依赖关系图中的进程节点上执行分层随机行走，确定进程节点的行为表示；基于行为表示对进程节点进行聚类，基于聚类结果将依赖关系图划分为至少一个第一子图；压缩每个第一子图获取至少一个第二子图；生成每个第二子图对应的概要，获得依赖关系图对应的概要图。本发明通过将依赖关系图划分为多个子图并为每个子图提供简洁的概要生成概要图，便于查看相关系统活动的概要和与攻击相关的子图的概要信息。

公开(公告)号：CN114637892A

公开(公告)日：2022-06-17

申请号：CN202210107372.9

申请日：2022-01-28

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  文雨 ,  徐志强 ,  张博洋 ,  杨纯 ,  郑阳 ,  张东雪 ,  杜莹莹 ,  吴艳娜

IPC: G06F16/901 ,  H04L9/40

Abstract: 本发明提供一种用于攻击调查和还原的系统日志依赖图的概要图生成方法，包括：确定待调查和还原的攻击事件的系统实体依赖关系图，依赖关系图包含与攻击事件相关联的系统实体节点和系统实体节点间的调用关系；系统实体节点包括进程节点和资源节点；在依赖关系图中的进程节点上执行分层随机行走，确定进程节点的行为表示；基于行为表示对进程节点进行聚类，基于聚类结果将依赖关系图划分为至少一个第一子图；压缩每个第一子图获取至少一个第二子图；生成每个第二子图对应的概要，获得依赖关系图对应的概要图。本发明通过将依赖关系图划分为多个子图并为每个子图提供简洁的概要生成概要图，便于查看相关系统活动的概要和与攻击相关的子图的概要信息。