溯源图压缩方法、装置、电子设备及存储介质

本技术涉及网络安全，尤其涉及一种溯源图压缩方法、装置、电子设备及存储介质。

背景技术：

1、近些年，国内外重大网络安全事件频发，apt(advanced persistent threat，高级持续性威胁)攻击由于组织性强、目标明确、计划周详的特点，在具有高威胁性的同时，也不易被人发现，使得检测apt攻击成为了一项具有挑战性的任务。通过全局视角去对系统整体安全形势进行分析的网络态势感知技术应运而生。

2、态势感知的关键技术包括：数据采集、异常检测、攻击溯源。通过数据采集，安全系统可以对网络环境进行全面地监控和分析，发现网络攻击和威胁。通过基于机器学习和深度学习等算法的异常检测模型，对网络环境中的各种数据进行分析和挖掘，发现系统中的异常事件，保证安全系统能够及时采取相应的措施。利用异常检测结果，通过网络攻击溯源算法对网络攻击的数据进行分析挖掘，进而找到攻击源和攻击路径，为后续的反制处置提供基础。

3、由于apt攻击通常持续很长时间，因此保存大量全面的历史系统事件至关重要。然而，在庞大的数据量下，企业可能不得不每隔一段时间就丢弃所有数据，丢弃的数据很可能包含关键信息，将导致攻击溯源失效。并且攻击检测与调查算法的速度将变得缓慢，延迟响应的异常检测和花费大量时间人力的攻击溯源无法满足实际要求。因此，如何对数据优化削减，保留关键有效信息，进而满足态势感知需求成为亟待解决的技术问题。

技术实现思路

1、为了解决上述技术问题，本技术提供了一种溯源图压缩方法、装置、电子设备及存储介质。

2、根据本技术的第一方面，提供了一种溯源图压缩方法，包括：

3、采集应用程序在运行过程中的审计日志数据；

4、根据所述审计日志数据构建待压缩溯源图；其中，所述待压缩溯源图中的节点表示所述审计日志数据中的实体，所述待压缩就溯源图中的有向边表示各个实体之间的关联关系；

5、根据预先构建的模板库中的多个模板子图，从所述待压缩溯源图中匹配与所述模板子图同构的部分作为待压缩区域；其中，所述模板子图用于描述所述应用程序的正常行为模式；

6、对所述待压缩区域进行有损压缩，得到压缩后的溯源图。

7、可选地，所述模板库的构建方法包括：

8、在应用程序上运行测试用例，并采集在运行每个测试用例过程中的审计日志数据；

9、根据每个测试用例对应的审计日志数据构建溯源图，得到每个测试用例对应的溯源图集；其中，所述溯源图集中每个溯源图中的节点表示审计日志数据中的实体，所述溯源图中的有向边表示各个实体之间的关联关系；

10、针对每个测试用例对应的溯源图集，利用子图挖掘算法，对所述溯源图集中的多个溯源图进行频繁项挖掘，得到所述溯源图集对应的模板子图；

11、将多个溯源图集对应的模板子图的集合作为模板库。

12、可选地，所述对所述待压缩区域进行有损压缩，得到压缩后的溯源图，包括：

13、假设所述待压缩溯源图与n个模板子图同构，所述n个模板子图对应m个应用程序，n和m均为正整数，且n大于等于m；

14、针对单个模板子图，将所述模板子图对应的应用程序节点作为第一节点，并根据所述模板子图的模板信息生成的新的第二节点，所述第二节点表示所述模板子图对应的待压缩区域的所有节点；

15、将所述第一节点和所述第二节点通过一条边连接，其中，所述第一节点和所述第二节点之间的边根据所述模板信息生成；

16、将所述模板子图对应的待压缩区域内原有的节点和边删除，并将所述待压缩区域外的、与所述待压缩区域内原有的节点相连接的节点重新连接到第一节点和第二节点上；

17、其中，如果所述待压缩区域外的、与所述待压缩区域内原有的节点相连接的节点是所述待压缩区域内原的有节点的前驱节点，则所述待压缩区域外的、与所述待压缩区域内原有的节点相连接的节点为所述第一节点的前驱节点；如果所述待压缩区域外的、与所述待压缩区域内原有的节点相连接的节点是所述待压缩区域内原有的节点的后继节点，所述待压缩区域外的、与所述待压缩区域内原有的节点相连接的节点为所述第二节点的后继节点。

18、可选地，所述利用子图挖掘算法，对所述溯源图集中的多个溯源图进行频繁项挖掘，得到所述测试用例对应的模板子图，包括：

19、利用gspan算法，对所述溯源图集中的多个溯源图进行频繁项挖掘，得到所述测试用例对应的模板子图。

20、可选地，所述从所述待压缩溯源图中匹配与所述模板子图同构的部分作为待压缩区域，包括：

21、利用vf2算法，从所述待压缩溯源图中匹配与所述模板子图同构的部分作为待压缩区域。

22、可选地，所述根据所述审计日志数据构建待压缩溯源图，包括：

23、从所述审计日志数据中提取出实体，并提取出的各个实体作为节点；

24、从所述审计日志数据中解析出各个实体间的关联关系，并通过有向边表示各个实体之间的关联关系；

25、根据所述审计日志数据对各个节点和各个有向边添加属性信息。

26、可选地，所述采集应用程序在运行过程中的审计日志数据，包括：

27、启动数据采集器并制定过滤规则，启动包含测试用例的容器；

28、执行测试用例，并等待预设时间段后，停止容器并销毁；

29、关闭数据采集器并保存输出的审计日志数据。

30、根据本技术的第二方面，提供了一种溯源图压缩装置，包括：

31、审计日志数据采集模块，用于采集应用程序在运行过程中的审计日志数据；

32、溯源图构建模块，用于根据所述审计日志数据构建待压缩溯源图；其中，所述待压缩溯源图中的节点表示所述审计日志数据中的实体，所述待压缩就溯源图中的有向边表示各个实体之间的关联关系；

33、待压缩区域确定模块，用于根据预先构建的模板库中的多个模板子图，从所述待压缩溯源图中匹配与所述模板子图同构的部分作为待压缩区域；其中，所述模板子图用于描述所述应用程序的正常行为模式；

34、有损压缩模块，用于对所述待压缩区域进行有损压缩，得到压缩后的溯源图。

35、可选地，所述审计日志数据采集模块，还用于在应用程序上运行测试用例，并采集在运行每个测试用例过程中的审计日志数据；

36、所述溯源图构建模块，还用于根据每个测试用例对应的审计日志数据构建溯源图，得到每个测试用例对应的溯源图集；其中，所述溯源图集中每个溯源图中的节点表示审计日志数据中的实体，所述溯源图中的有向边表示各个实体之间的关联关系；

37、所述溯源图压缩装置还包括：

38、模板子图挖掘模块，用于针对每个测试用例对应的溯源图集，利用子图挖掘算法，对所述溯源图集中的多个溯源图进行频繁项挖掘，得到所述溯源图集对应的模板子图；

39、模板库构建模块，用于将多个溯源图集对应的模板子图的集合作为模板库。

40、可选地，所述有损压缩模块，具体用于假设所述待压缩溯源图与n个模板子图同构，所述n个模板子图对应m个应用程序，n和m均为正整数，且n大于等于m；以及，

41、针对单个模板子图，将所述模板子图对应的应用程序节点作为第一节点，并根据所述模板子图的模板信息生成的新的第二节点，所述第二节点表示所述模板子图对应的待压缩区域的所有节点；以及，

42、将所述第一节点和所述第二节点通过一条边连接，其中，所述第一节点和所述第二节点之间的边根据所述模板信息生成；以及，

43、将所述模板子图对应的待压缩区域内原有的节点和边删除，并将所述待压缩区域外的、与所述待压缩区域内原有的节点相连接的节点重新连接到第一节点和第二节点上；

44、其中，如果所述待压缩区域外的、与所述待压缩区域内原有的节点相连接的节点是所述待压缩区域内原的有节点的前驱节点，则所述待压缩区域外的、与所述待压缩区域内原有的节点相连接的节点为所述第一节点的前驱节点；如果所述待压缩区域外的、与所述待压缩区域内原有的节点相连接的节点是所述待压缩区域内原有的节点的后继节点，所述待压缩区域外的、与所述待压缩区域内原有的节点相连接的节点为所述第二节点的后继节点。

45、可选地，所述模板子图挖掘模块，具体用于针对每个测试用例对应的溯源图集，利用gspan算法，对所述溯源图集中的多个溯源图进行频繁项挖掘，得到所述测试用例对应的模板子图。

46、可选地，所述待压缩区域确定模块，具体用于根据预先构建的模板库中的多个模板子图，利用vf2算法，从所述待压缩溯源图中匹配与所述模板子图同构的部分作为待压缩区域。

47、可选地，所述溯源图构建模块，具体用于从所述审计日志数据中提取出实体，并提取出的各个实体作为节点；从所述审计日志数据中解析出各个实体间的关联关系，并通过有向边表示各个实体之间的关联关系；根据所述审计日志数据对各个节点和各个有向边添加属性信息。

48、可选地，所述审计日志数据采集模块，具体用于启动数据采集器并制定过滤规则，启动包含测试用例的容器；执行测试用例，并等待预设时间段后，停止容器并销毁；关闭数据采集器并保存输出的审计日志数据。

49、根据本技术的第三方面，提供了一种电子设备，包括：处理器，所述处理器用于执行存储于存储器的计算机程序，所述计算机程序被处理器执行时实现第一方面所述的方法。

50、根据本技术的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现第一方面所述的方法。

51、根据本技术的第五方面，提供了一种计算机程序产品，当所述计算机程序产品在计算机上运行时，使得所述计算机执行第一方面所述的方法。

52、本技术实施例提供的技术方案与现有技术相比具有如下优点：

53、通过采集应用程序运行时的审计日志数据，根据审计日志数据构建待压缩溯源图。根据预先构建的模板库中的多个模板子图，从待压缩溯源图中匹配与模板子图同构的部分作为待压缩区域，并对待压缩区域进行有损压缩，压缩后的溯源图可以作为输入被送入下游的异常检测任务。由于模板子图是通过应用程序执行测试用例、采集对应的审计日志数据、构建审计日志数据对应溯源图、并通过模板子图挖掘算法对溯源图进行挖掘后得到的，也就是，模板子图学习到了应用程序的行为模式，利用这些行为模式进行有损压缩，可以在保留关键信息的同时有效减小数据规模，从而在不造成负面影响的前提下有效降低下游任务的负担。