【技术实现步骤摘要】
一种攻击行为识别的方法及装置
[0001]本申请涉及网络安全
,尤其涉及一种攻击行为识别的方法及装置。
技术介绍
[0002]企业为了抵御内部攻击或外部攻击,通常会部署大量的安全检测设备,安全检测设备比如Web应用防护系统(Web Application Firewall,WAF)、端点检测与响应系统(Endpoint Detection and Response,EDR)和蜜罐等等。
[0003]安全检测设备可产生海量日志,而这些海量日志中大部分日志都是低级、孤立的、没有语义的。如何从这些海量日志中自动识别攻击行为是当前安全运营所面临的挑战。
技术实现思路
[0004]本申请提供一种攻击行为识别的方法及装置,用于从主机日志或主机运行日志中,自动识别出攻击行为。
[0005]第一方面,本申请提供一种攻击行为识别的方法,该方法可由安全检测设备执行。
[0006]在一种可能的实现方式中,从主机日志中提取出多个三元组,其中三元组包括源节点、目标节点和边,所述边用于指示所述源节点与所述目...
【技术保护点】
【技术特征摘要】
1.一种攻击行为识别的方法,其特征在于,包括:从主机日志中提取出多个三元组,其中三元组包括源节点、目标节点和边,所述边用于指示所述源节点与所述目标节点之间的操作;根据所述多个三元组中源节点、目标节点和边,确定所述主机日志的属性异构图;根据所述属性异构图,进行模型训练得到语义推理模型;根据所述语义推理模型和所述属性异构图,得到一个或多个子图;从所述一个或多个子图对应的行为中确定出攻击行为。2.如权利要求1所述的方法,其特征在于,所述主机日志中包括多种类型的日志,每个类型对应于源节点的关键字和目标节点的关键字;所述从主机日志中提取出多个三元组,包括:针对于任一个类型的日志:根据所述类型对应的源节点的关键字,从所述日志中提取源节点;根据所述类型对应的目标节点的关键字,从所述日志中提取目标节点;根据所述日志中、所述源节点和所述目标节点之间的操作确定边;将所述源节点、所述边和所述目标节点组成所述日志的三元组。3.如权利要求1所述的方法,其特征在于,所述根据所述属性异构图,进行模型训练得到语义推理模型,包括:针对所述属性异构图中每个三元组对应的源节点、边和目标节点,执行向量初始化,得到所述三元组对应的向量表示,从而得到所述多个三元组对应的向量表示;根据所述多个三元组对应的向量表示,进行模型训练得到所述语义推理模型。4.如权利要求1所述的方法,其特征在于,所述根据所述语义推理模型和所述属性异构图,得到一个或多个子图,包括:根据所述语义推理模型,对所述属性异构图中的多个节点进行聚类分析,得到所述属性异构图对应的一个或多个节点集合;将每个节点集合中的多个节点,以及各节点对应的边,组成所述节点集合对应的子图,从而得到所述属性异构图对应的一个或多个子图。5.如权利要求4所述的方法,其特征在...
【专利技术属性】
技术研发人员:薛见新,刘文懋,王星凯,张润滋,顾杜娟,
申请(专利权)人:北京神州绿盟科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。