【技术实现步骤摘要】
一种无监督的主机入侵检测方法及系统
[0001]本专利技术属于网络安全领域,具体涉及一种无监督的主机入侵检测方法及系统。
技术介绍
[0002]主机入侵检测系统被广泛应用于保护网络环境的安全。主机入侵检测系统依靠系统审计日志来识别攻击,但是有些攻击活动,例如高级持续性威胁(APT),具有潜伏时间长、隐蔽性好的特点,其分为多个攻击阶段,常常涉及一系列较长的进程派生链,仅依靠日志中的单个系统实体或者交互无法检测出来。
[0003]现有技术中,为了应对越来越先进的攻击方式,一般使用溯源图来建模完整的主机活动,并依赖专家经验制定打分函数或者规则,从而对溯源图给出异常分数。然而专家经验不仅耗费人力,而且很难挖掘到溯源图中系统实体之间的非线性交互,从而影响了检测性能;同时,攻击数据的稀有性使得有监督算法难以应用在入侵检测领域,无法进行精准检测。
技术实现思路
[0004]鉴于现有技术中的上述缺陷,本专利技术旨在提供一种无监督的主机入侵检测方法及系统,使用带属性的异质图神经网络来挖掘溯源图中的非线性交互以及实体属性...
【技术保护点】
【技术特征摘要】
1.一种无监督的主机入侵检测方法,其特征在于,所述方法包括如下步骤:步骤S1,根据系统日志构建带属性的异质图;步骤S2,根据所述带属性的异质图,利用有向异质图神经网络,从异质图中获取异质图的嵌入向量和节点的嵌入向量;步骤S3,采用单类神经网络同时从全局和局部两种视角出发,根据所获得的异质图的嵌入向量和节点的嵌入向量,对异质图进行异常检测,综合两个视角下的异常分数,给出异质图最后的异常得分,进行异常异质图的识别,判断是否存在主机入侵。2.根据权利要求1所述的无监督的主机入侵检测方法,其特征在于,所述根据系统日志构建带属性的异质图,包括:首先,根据系统日志构建异质图,以进程和文件作为异质图的节点,以进程派生进程、进程访问文件作为异质图上的边;其次,根据系统日志及异质图,将进程命令行的嵌入向量作为异质图中进程节点的属性,将文件全路径的嵌入向量作为异质图中文件节点的属性,构建带属性的异质图。3.根据权利要求2所述的无监督的主机入侵检测方法,其特征在于,所述根据系统日志构建异质图,具体为:给定主机内的行为数据,以进程的标识符以及创建该进程的命令行标识一个进程,以文件的全路径标识一个文件,主机内进程之间的派生关系对应着一张异质图。4.根据权利要求2所述的无监督的主机入侵检测方法,其特征在于,所述将进程命令行的嵌入向量作为异质图中进程节点的属性,将文件全路径的嵌入向量作为异质图中文件节点的属性,包括:将进程命令行建模为一个句子,将其中进程执行路径、命令行参数建模为单词,使用子词嵌入学习得到单词的嵌入向量,进程命令行的嵌入向量则为其所包含的单词的嵌入向量的平均;将文件建模为一个句子,将文件使用每一级目录以及文件名建模为单词,使用子词嵌入学习得到单词的嵌入向量,文件的嵌入向量则为文件所包含的单词的嵌入向量的平均;对于出现的新单词或者生僻词,子词嵌入模型使用这些单词的n
‑
gram子词的嵌入向量作为该单词的嵌入向量。5.根据权利要求1所述的无监督的主机入侵检测方法,其特征在于,从异质图中获取节点的嵌入向量,包括:在所述有向异质图神经网络中,对节点的聚合过程如下:将异质图表示为两个邻接矩阵以及两个节点特征矩阵,包含邻接矩阵其中|v
e
|为进程节点总数,|v
f
|为文件节点总数,代表进程i派生了进程j,代表进程i派生了文件j,包含节点特征矩阵X
P
、X
F
,其中X
P
的第i行代表进程i的属性,X
F
的第i行代表文件i的属性;使用公式(1)
‑
(3)聚合不同种类的两个相邻节点:(3)聚合不同种类的两个相邻节点:
其中,D为A
PP
的度矩阵,为第l层的进程节点的嵌入向量,初始为X
P
,和分别为进程以及文件的权重矩阵,用于将进程以及文件节点的属性变换到同一维度,σ(
·
)表示激活函数,本步骤中使用PreLu;表示父进程的嵌入向量,表示子进程的嵌入向量,表现访问的文件的嵌入向量;最终的节点嵌入向量由...
【专利技术属性】
技术研发人员:黄泽祺,谷勇浩,王翼翡,张晓青,徐昊,孙睿,宁静,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。