(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114117432A(43)申请公布日2022.03.01(21)申请号202111482974.4(22)申请日2021.12.07(71)申请人上海交通大学地址200240上海市闵行区东川路800号(72)发明人邹福泰聂铭杰吴搏伦吴越(74)专利代理机构上海旭诚知识产权代理有限公司31220代理人郑立(51)Int.Cl.G06F21/56(2013.01)权利要求书2页说明书4页附图2页(54)发明名称一种基于数据溯源图的APT攻击链还原系统(57)摘要本发明公开了一种基于数据溯源图的APT攻击链还原系统，涉及计算机网络安全领域，包括数据溯源图记录模块、输入模块、数据溯源图压缩模块、感染点定位模块和攻击链映射模块；数据溯源图记录模块监控目标主机内的系统活动，并以数据溯源图格式进行记录；输入模块获取数据溯源图格式或系统日志格式的输入数据；数据溯源图压缩模块对数据溯源图进行压缩；感染点定位模块标定攻击事件在数据溯源图中的位置；攻击链映射模块通过映射规则将数据溯源图中的节点和边映射到APT攻击链的各个阶段，构造出完整的APT攻击链。本发明能够使分析人员对攻击过程有清晰的认识，并通过基于公开威胁情报的感染点定位和数据溯源图压缩来提高系统效率、降低存储开销。CN114117432ACN114117432A权利要求书1/2页1.一种基于数据溯源图的APT攻击链还原系统，其特征在于，包括数据溯源图记录模块、输入模块、数据溯源图压缩模块、感染点定位模块和攻击链映射模块；所述数据溯源图记录模块用于监控目标主机内的系统活动，并以数据溯源图格式进行记录；所述输入模块用于获取所述数据溯源图格式或系统日志格式的输入数据，得到原始数据溯源图；所述数据溯源图压缩模块用于对所述原始数据溯源图进行压缩，得到数据溯源图；所述感染点定位模块用于对所述数据溯源图中可疑的节点和边进行标记，标定攻击事件在所述数据溯源图中的位置，得到已定位数据溯源图；所述攻击链映射模块通过映射规则将所述已定位数据溯源图中的节点和边映射到APT攻击链的各个阶段，最终构造出完整的APT攻击链。2.如权利要求1所述的基于数据溯源图的APT攻击链还原系统，其特征在于，所述数据溯源图记录模块使用跨平台数据溯源图记录工具SPADE。3.如权利要求1所述的基于数据溯源图的APT攻击链还原系统，其特征在于，所述输入模块使用转换脚本将系统日志的输入数据转换为数据溯源图格式，得到原始数据溯源图。4.如权利要求1所述的基于数据溯源图的APT攻击链还原系统，其特征在于，所述数据溯源图压缩模块对所述原始数据溯源图进行转换，使其成为无环图。5.如权利要求4所述的基于数据溯源图的APT攻击链还原系统，其特征在于，所述数据溯源图压缩模块对成为无环图的原始数据溯源图通过压缩算法删去冗余信息，得到数据溯源图。6.如权利要求5所述的基于数据溯源图的APT攻击链还原系统，其特征在于，所述压缩算法包括边压缩算法、节点压缩算法。7.如权利要求1所述的基于数据溯源图的APT攻击链还原系统，其特征在于，所述感染点定位模块利用公开威胁情报标记所述数据溯源图中的感染点，定位与APT攻击相关的节点与边。8.如权利要求7所述的基于数据溯源图的APT攻击链还原系统，其特征在于，所述攻击链映射模块使用攻击链映射规则，以在所述感染点定位模块中定位的感染点作为基点，对所述已定位数据溯源图进行深度优先搜索，匹配满足映射规则的节点和边，并将它们映射至APT攻击链的各个阶段，最终获得完整的APT攻击链。9.一种基于如权利要求1至7任一所述的基于数据溯源图的APT攻击链还原系统的APT攻击链还原方法，其特征在于，所述方法包括以下步骤：步骤1、用户通过所述数据溯源图记录模块获取系统的数据溯源图，或利用系统自身的审计功能获取系统日志；步骤2、用户通过所述输入模块，获取所述步骤1中获得的数据溯源图或系统日志输入系统，对于系统日志，所述输入模块将其转化为数据溯源图格式；步骤3、所述数据溯源图压缩模块对所述输入模块输入的数据溯源图进行压缩，保留关键信息并剔除与APT攻击无关的冗余信息；步骤4、所述感染点定位模块利用公开威胁情报信息标记数据溯源图中的感染点，使系统能够精确定位到数据溯源图中与攻击相关的节点和边；2CN114117432A权利要求书2/2页步骤5、所述攻击链映射模块使用自行编写的攻击链映射规则，以所述步骤4中定位的感染点为基点对数据溯源图进行深度优先搜索，并匹配满足映射规则的节点和边，将它们映射到APT攻击链的对应步骤，最终输出完整的APT攻击链；步骤6、向用户展示还原的APT攻击链，用户能够从中获知攻击的完整传递过程，针对性地做出防御措施。10.如权利要求9所述的基于数据