(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210305603.7 (22)申请日 2022.03.25 (71)申请人 北京邮电大 学 地址 100876 北京市海淀区西土城路10号 申请人 国家电网有限公司信息通信分公司 　 国网山东省电力公司信息通信公司 (72)发明人 李家威　程杰　张茹　刘建毅　 高雅婷　王婵　夏昂　崔博　 孔汉章　 (51)Int.Cl. G06F 21/55(2013.01) G06K 9/62(2022.01) G06F 16/36(2019.01) G06F 16/17(2019.01) (54)发明名称 一种基于图核聚类的威胁狩猎方法 (57)摘要 本发明公开一种基于图核聚类的威胁狩猎 方法， 通过将审计日志构建为行为依赖图， 并设 计图核聚类方法实现将正常行为与异常行为分 离， 且能够对行为依赖图进行威胁量化评估， 发 现未知攻击。 包括： 行为依赖图构造器， 负责将审 计日志构建为行为依赖图； 图核聚类， 负责将行 为依赖图嵌入到高维空间并计算相似度， 利用聚 类方法实现攻击行为和异常行为的分离； 威胁评 估， 负责判断哪些类簇中的行为依赖图表示异常 行为， 并对异常行为进行威胁评估， 实现威胁狩 猎。 本发明通过构造基于行为依赖图和图核聚类 的方法， 为 威胁狩猎提供了新的设计思路。 权利要求书2页 说明书5页 附图2页 CN 114662096 A 2022.06.24 CN 114662096 A 1.一种基于图核聚类的威胁狩猎方法， 其特 征在于， 包括： A、 构建行为依赖 图： 从审计日志中抽取实体和实体之间的关系构建行为依赖图， 并基 于密度对长时间运行 的进程进行分区， 其中行为依赖图是带标签的有向图， 节点表示系统 层实体， 有向边表示实体之间的操作关系； B、 相似度计算与聚类： 针对行为依赖 图的特点， 设计图核方法将行为依赖图嵌入到高 维空间， 并在高维空间中计算图之 间的相似度得到图核矩阵， 其中， 图核矩阵可以看作相似 度矩阵， 再利用聚类方法对图核矩阵进行分析， 实现正常行为与异常行为的分离； C、 威胁评估： 通过类簇中图的数量判断哪些类簇包含异常行为， 对异常行为图进行威 胁评估量 化， 计算异常行为图的威胁值， 最终 实现威胁狩猎。 2.根据权利要求1所述的一种基于 图核聚类的威胁狩猎方法， 其特征在于， 步骤A进一 步包括以下步骤： A1、 从审计日志中抽取实体和其属性信息， 实体的类型有进程、 文件、 IP和用户， 属性信 息包括实体名称和实体之 间的关系等， 例如 进程名和进程ID， 文件名路径和文件名， 以及 进 程对文件的读写操作等； A2、 基于A1步骤中抽取的实体信息构建依赖图， 依赖图的节点表示实体， 并根据实体的 属性信息为节点分配节点标签， 依赖图的有向边表示实体之间的关系； A3、 利用进程生命周期内依赖在时间轴上发生的密度对长时间运行的进程进行分区， 密度的计算公式如下： 其中， Timestart是第一个依赖发生的时间， Timeend是最后一个依赖发生 的时间， Ti表示 两个依赖发生的时间间隔， 遍历所有依赖并将密度高于平均密度的连续依赖项视为属于同 一分区， 实现对依赖图的分割并生成行为依赖图。 3.根据权利要求1所述的一种基于 图核聚类的威胁狩猎方法， 其特征在于， 步骤B进一 步包括以下步骤： B1、 将字符串类型的标签集映射为数字标签集， 其中每个字符串元素对应一个唯一的 值， 基于上述映射将行为依赖图中的字符串标签替换为数字标签； B2、 基于节点的邻居节点 为每个节点分配新的标签： u表示节点vi的邻居节点， 为节点vi的邻居节点集合， le(vi,u)表示有向边的标 签， l(vi)表示节点的数字标签， M(vi)为节点vi的新标签集 合； B4、 节点之间的一阶核值可通过如下公式计算： 其中v1和v2分别是两个图中的节点； B3、 根据节点标签集的相似程度迭代的计算节点之间的核值： 权　利　要　求　书 1/2 页 2 CN 114662096 A 2其中 表示边的核值， α和β 都是非负的常 量， 表示节点之间的k阶核值； B4、 利用B3步骤中计算得到的节点之间的核值计算图之间的核值： B(V1,V2)表示节点之间的映射， kG(G1G2)是计算得到的图之间的核值， 最终得到正定核 值矩阵KN×N， Ki,j是Gi和Gj之间的核值， 核值矩阵可以被认为是一个相似度矩阵； B5、 使用非监 督的聚类方法对核值矩阵进行分析， 实现将正常行为与攻击行为分离 。 4.根据权利要求1所述的一种基于 图核聚类的威胁狩猎方法， 其特征在于， 步骤C下进 一步包括以下步骤： C1、 针对每一个类簇， 统计其中的行为依赖图的数量， 当数量小于阈值时， 类簇中的行 为依赖图被判定为异常行为； C2、 对C1步骤中得到的表示异常行为的行为依赖图进行威胁量化， 遍历每一个异常行 为依赖图， 从可疑IP、 用户权限和敏感信息三个方面对其进行量 化： 表示IP和URL的威胁值， 其通过公开的恶意IP库和域名访问排名计算得到， 表 示用户权限的量化， 用户拥有的权限越高威胁值越高， 表示敏感信息的量化， 其一般 通过人工标注或者敏感信息识别工具 标注， α, β,γ表示权 重， 可根据需要 进行调整； C3、 对异常行为依赖图的威胁得分进行排序， 当威胁评分超过阈值时， 异常行为被判定 为威胁行为， 并发出告警， 实现威胁狩猎。权　利　要　求　书 2/2 页 3 CN 114662096 A 3