(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113965469A(43)申请公布日2022.01.21(21)申请号202111137372.5(22)申请日2021.09.27(71)申请人西安交通大学地址710049陕西省西安市咸宁西路28号(72)发明人陶敬陈凯梁阿晨李响常跃熊宇恒王平辉韩婷赵俊舟(74)专利代理机构北京润泽恒知识产权代理有限公司11319代理人苟冬梅(51)Int.Cl.H04L41/14(2022.01)H04L9/40(2022.01)权利要求书2页说明书19页附图4页(54)发明名称网络数据分析模型的构建方法(57)摘要本申请提供一种网络数据分析模型的构建方法，涉及网络安全技术领域，所述方法包括：对获取的网络数据进行分析，获得攻击序列集合；依据所述攻击序列集合构建至少两个攻击树；确定不同攻击树之间的攻击通道；将所述攻击通道加入对应的攻击树之间，得到分析模型。本申请的方法所建立的分析模型，提取攻击树之间的通道，使不同攻击树之间通过攻击通道相关联，不但能够描述攻击过程、对网络攻击的受害目标分析，还能够描述不同受害目标之间的攻击活动，更好地还原攻击场景，为分析复杂网络攻击提供了支持。CN113965469ACN113965469A权利要求书1/2页1.一种网络数据分析模型的构建方法，其特征在于，所述方法包括：对获取的网络数据进行分析，获得攻击序列集合；依据所述攻击序列集合构建至少两个攻击树；确定不同攻击树之间的攻击通道；将所述攻击通道加入对应的攻击树之间，得到分析模型。2.根据权利要求1所述的方法，其特征在于，所述对获取的网络数据进行分析，获得攻击序列集合，包括：对获取的网络数据进行分析，得到多个攻击事件；基于所述多个攻击事件，获得攻击序列集合，所述攻击序列集合包括至少两个攻击序列，其中，每个所述攻击序列包括：至少两个攻击事件、以及该攻击序列对应的攻击目标。3.根据权利要求2所述的方法，其特征在于，所述基于所述多个攻击事件，获得攻击序列集合，包括：基于所述多个攻击事件之间的关联度，对所述多个攻击事件进行聚类，得到所述至少两个攻击事件集，其中，攻击事件集中所包括的每两个攻击事件之间的关联度大于预设阈值，不同的攻击事件集对应不同的攻击场景；对每个攻击事件集中的攻击事件，基于攻击事件的发生时间，生成该攻击事件集对应的攻击序列；对每个攻击序列进行分析，确定每个攻击序列的攻击目标。4.根据权利要求1所述的方法，其特征在于，依据所述攻击序列集合构建至少两个攻击树，包括：确定所述攻击序列集合中的攻击目标与攻击事件之间的相互关系、以及不同攻击事件之间的相互关系；基于确定出的所述攻击目标与攻击事件之间的相互性关系，以及所述不同攻击事件之间的相互关系，构建至少两个攻击树；其中，不同的攻击树对应不同的攻击目标。5.根据权利要求4所述的方法，其特征在于，所述相互关系包括：父子关系、兄弟关系，所述确定所述攻击序列集合的攻击目标与攻击事件之间的相互关系、以及不同攻击事件之间的相互关系包括：针对每一个攻击目标，执行相互关系挖掘步骤，包括：挖掘与攻击目标存在父子关系的攻击事件及攻击事件的兄弟关系；对于攻击目标的每一个子事件，向下迭代挖掘相互关系，直到到达最底层子事件。6.根据权利要求5所述方法，其特征在于，所述兄弟关系包括：顺序与、与、或关系，所述针对每一个攻击目标，执行相互关系挖掘步骤包括：对每一个攻击目标，执行顺序与挖掘步骤：挖掘攻击目标的k‑频繁序列，攻击目标的k‑频繁序列中的事件都与攻击目标存在父子关系，且相互之间存在顺序与关系，所述顺序与关系表示攻击事件必须按照顺序发生；执行以下顺序与关系挖掘迭代步骤，直到不能挖掘出k‑频繁序列，包括：将k‑频繁序列中的所有事件作为父事件；挖掘每个父事件的k‑频繁序列，依据挖掘出的k‑频繁序列记录对应事件的父子关系、顺序与关系。7.根据权利要求5所述方法，其特征在于，所述针对每一个攻击目标，执行相互关系挖2CN113965469A权利要求书2/2页掘步骤包括：对每一个攻击目标，执行与关系挖掘步骤：挖掘攻击目标的k‑频繁项集，攻击目标的k‑频繁项集中的事件都与攻击目标存在父子关系，且相互之间存在与关系，所述与关系表示攻击事件必须共同发生；执行以下与关系挖掘迭代步骤，直到不能挖掘出k‑频繁项集，包括：筛选出k‑频繁项集已经被挖掘顺序与关系的事件，将筛选后的事件作为父事件；挖掘每个父事件的k‑频繁项集，依据挖掘出的k‑频繁项集记录对应事件的父子关系、与关系。8.根据权利要求5所述方法，其特征在于，所述方法还包括：对每一个攻击序列，执行或关系挖掘步骤：挖掘攻击序列的攻击目标在该攻击序列内关联攻击事件，攻击目标的关联攻击事件都与攻击目标存在父子关系，且相互之间存在或关