本发明专利技术涉及一种自编码器溯源入侵检测方法及装置,根据用户行为的溯源数据构建表示用户行为的溯源图;根据溯源图中各个节点的节点重要度将所述溯源图划分为多个溯源子图,每个溯源子图代表用户的一个行为实例;所述节点重要度通过节点间的依赖关系以及节点自身的属性个数来度量节点在溯源图中的重要程度;将非欧空间的溯源子图转变为欧式空间的图序列,得到行为实例序列;将所述行为实例序列输入到预先训练好的自编码器模型中提取行为实例特征并进行异常行为检测。本发明专利技术能有效解决现有技术难以从海量溯源数据中挖掘分析出异常操作,分析工作量巨大而导致检测效果不佳的问题。分析工作量巨大而导致检测效果不佳的问题。分析工作量巨大而导致检测效果不佳的问题。
【技术实现步骤摘要】
一种自编码器溯源入侵检测方法及装置
[0001]本专利技术涉及网络安全
,具体涉及一种基于重叠社区发现的自编码器溯源入侵检测方法及装置。
技术介绍
[0002]入侵检测技术是网络安全领域中的核心技术之一,该技术收集信息是通过分析那些存在于计算机系统、计算机网络中的关键节点,以此来探查在系统或网络中是否存在违反安全策略的异常行为或者遭遇攻击型的现象,入侵检测作为一种主动防护技术可有效克服传统技术存在的静态防护能力、被动防御等缺陷。
[0003]虽然传统的基于溯源的入侵检测方法在一定程度上能够获得良好的检测效果,但随着用户行为逐渐变的多样化,复杂化,这就导致溯源追踪系统收集的溯源数据逐渐增大,这就增加了传统入侵检测方法的分析工作量。不仅如此,目前攻击者擅长将自己的攻击操作隐藏在大量的正常操作中,这就使得这些传统的入侵检测方法难以从海量的溯源数据中挖掘出攻击操作以识别异常行为,同时在分析攻击操作的同时,还需要分析相关的正常操作,这就导致检测效果不佳同时还耗费大量的分析时间。
技术实现思路
[0004]本专利技术提供一种基于重叠社区发现的自编码器溯源入侵检测方法及装置,以此来解决现有技术难以从海量溯源数据中挖掘分析出异常操作,分析工作量巨大而导致检测效果不佳的问题。
[0005]本专利技术解决上述技术问题的技术方案如下:第一方面,本专利技术提供一种自编码器溯源入侵检测方法,包括:根据由溯源追踪系统收集的用户行为的溯源数据构建表示用户行为的溯源图;溯源图中的节点包括:文件、进程、套接字、管道;节点自身拥有不同数目的属性,节点与节点之间存在描述用户操作的依赖关系。
[0006]根据溯源图中各个节点的节点重要度将所述溯源图划分为多个溯源子图,每个溯源子图代表用户的一个行为实例;所述节点重要度通过节点间的依赖关系以及节点自身的属性个数来度量节点在溯源图中的重要程度;将非欧空间的溯源子图转变为欧式空间的图序列,得到行为实例序列;将所述行为实例序列输入到预先训练好的自编码器模型中提取行为实例特征并进行异常行为检测。
[0007]进一步的,所述节点重要度的获取方法,包括:向溯源图中添加与所有节点都有双向关系的公共节点G,并将对公共节点G的节点依赖度D设为0,其余的节点的节点依赖度D设为1;节点依赖度D用来衡量节点之间的依赖关系;利用下式进行迭代的更新各节点的D值,直到所有节点的D值稳定不变;
式中的t表示迭代轮次,表示节点p的子节点集合;表示节点j的出度;将收敛状态下公共节点G的D值平分给每一个节点,如下式所示:式中表示第i个节点的节点依赖度,表示最终收敛时第i个节点的节点依赖度,表示最终收敛时公共节点G的节点依赖度,表示最终收敛时的迭代轮次;利用下式计算溯源图中的每个节点重要度NI:式中,为节点p的节点依赖度,为节点p的属性值,为节点属性占比。
[0008]进一步的,根据溯源图中各个节点的节点重要度将所述溯源图划分为多个溯源子图,包括:S301,计算所有未标记的节点的平均节点重要度,作为标签传播阈值T;S302,选择节点重要度NI大于标签传播阈值T的未标记的节点作为备选标记节点,并按照节点重要度NI的大小进行排序;S303,依次判断每一备选标记节点是否为比其排序靠前的节点的子节点,若不是则将该备选标记节点本身的ID值作为其标签值完成标记;S304,将标记完成的节点按照节点重要度NI的大小进行排序,并利用标记完成的节点的标签值标记其子节点;重复步骤S304,直至无新增被标记的节点;S305,判断溯源图中所有节点是否还存在未被标记的节点,若是则跳转至步骤S301,否则按照标签值将所述溯源图划分为多个溯源子图。
[0009]进一步的,根据溯源图中各个节点的节点重要度将所述溯源图划分为多个溯源子图,还包括:判断所述溯源图中的任一节点是否存在父节点且该节点的标签是否与其父节点的标签相同;若该节点存在父节点且该节点的标签与其父节点的标签不一致,则计算该节点与与其标签一致的溯源子图的关联度以及该节点与与其具有不同标签的父节点所在的溯源子图的关联度;若,则新增标签值给该节点,新增的标签值为对应的溯源子图的标签值;所述节点p与溯源子图C之间的关联度Co,如下式所示:
式中,为溯源子图C中与节点p相邻的所有节点的集合,为溯源图中与节点p相邻的所有节点的集合。
[0010]进一步的,将非欧空间的溯源子图转变为欧式空间的图序列,得到行为实例序列,包括:将溯源子图中的节点,按照节点重要度由大到小排序,获得前K个节点作为中心节点;分别对每个中心节点构造邻域,将中心节点放入邻域,再将中心节点的子节点按照节点重要度排序后放入邻域,再依次获取新放入邻域的节点的未被访问过的子节点并按照节点重要度排序后放入邻域,直至没有节点被放入邻域内;针对每一个邻域,若其大小大于K时,则对于除中心节点外的节点重要度排序前K
‑
1的每一个节点,将其与相邻节点进行聚合并更新其节点重要度;对于每个中心节点,依次获取邻域内节点的节点重要度得到长度为K的第一序列,若长度不足则以0填充;并按照中心节点在溯源子图中的排序,将第一序列排列得到长度为K*K的第二序列,若长度不足则以0填充,所述第二序列即为溯源子图对应的行为实例序列。
[0011]进一步的,将所述行为实例序列输入到预先训练好的自编码器模型中提取行为实例特征并进行异常行为检测,包括:将所述行为实例序列输入到预先训练好的自编码器模型中提取行为实例特征;利用二分K
‑
means聚类方法对所述行为实例特征进行聚类,得到行为实例特征代表;根据所述行为实例特征代表与正常行为特征代表的差异性判断用户行为是否为异常行为。
[0012]进一步的,根据所述行为实例特征代表与正常行为特征代表的差异性判断用户行为是否为异常行为,包括:对于用户行为的每一个行为实例特征代表,计算其与规则库中所有行为实例特征代表的余弦距离,若最小的余弦距离大于距离阈值,则该行为实例特征代表所对应的用户行为为异常行为;所述规则库中的行为特征实例代表为正常用户行为对应的行为实例特征代表。
[0013]第二方面,本专利技术提供一种自编码器溯源入侵检测装置,包括:预处理模块,根据用户行为的溯源数据构建表示用户行为的溯源图;行为实例划分模块,根据溯源图中各个节点的节点重要度将所述溯源图划分为多个溯源子图,每个溯源子图代表用户的一个行为实例;所述节点重要度通过节点间的依赖关系以及节点自身的属性个数来度量节点在溯源图中的重要程度;行为实例序列化模块,将非欧空间的溯源子图转变为欧式空间的图序列,得到行为实例序列;异常判断模块,将所述行为实例序列输入到预先训练好的自编码器模型中提取行
为实例特征并进行异常行为检测。
[0014]第三方面,本专利技术提供一种电子设备,包括:存储器,用于存储计算机软件程序;处理器,用于读取并执行所述计算机软件程序,进而实现本专利技术第一方面所述的一种自编码器溯源入侵检测方法。
[0015]第四方面,本专利技术提供一种非暂态计算机可读存储介质,所述存储介质中存储有本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种自编码器溯源入侵检测方法,其特征在于,包括:根据用户行为的溯源数据构建表示用户行为的溯源图;根据溯源图中各个节点的节点重要度将所述溯源图划分为多个溯源子图,每个溯源子图代表用户的一个行为实例;所述节点重要度通过节点间的依赖关系以及节点自身的属性个数来度量节点在溯源图中的重要程度;将非欧空间的溯源子图转变为欧式空间的图序列,得到行为实例序列;将所述行为实例序列输入到预先训练好的自编码器模型中提取行为实例特征并进行异常行为检测。2.根据权利要求1所述的方法,其特征在于,所述节点重要度的获取方法,包括:向溯源图中添加与所有节点都有双向关系的公共节点G,并将对公共节点G的节点依赖度D设为0,其余的节点的节点依赖度D设为1;节点依赖度D用来衡量节点之间的依赖关系;利用下式进行迭代的更新各节点的D值,直到所有节点的D值稳定不变;式中的t表示迭代轮次,表示节点p的子节点集合;表示节点j的出度;将收敛状态下公共节点G的D值平分给每一个节点,如下式所示:式中表示第i个节点的节点依赖度,表示最终收敛时第i个节点的节点依赖度,表示最终收敛时公共节点G的节点依赖度,表示最终收敛时的迭代轮次;利用下式计算溯源图中的每个节点重要度NI:式中,为节点p的节点依赖度,为节点p的属性值,为节点属性占比。3.根据权利要求1所述的方法,其特征在于,根据溯源图中各个节点的节点重要度将所述溯源图划分为多个溯源子图,包括:S301,计算所有未标记的节点的平均节点重要度,作为标签传播阈值T;S302,选择节点重要度NI大于标签传播阈值T的未标记的节点作为备选标记节点,并按照节点重要度NI的大小进行排序;S303,依次判断每一备选标记节点是否为比其排序靠前的节点的子节点,若不是则将该备选标记节点本身的ID值作为其标签值完成标记;S304,将标记完成的节点按照节点重要度NI的大小进行排序,并利用标记完成的节点的标签值标记其子节点;重复步骤S304,直至无新增被标记的节点;S305,判断溯源图中所有节点是否还存在未被标记的节点,若是则跳转至步骤S301,否则按照标签值将所述溯源图划分为多个溯源子图。4.根据权利要求3所述的方法,其特征在于,根据溯源图中各个节点的节点重要度将所述溯源图划分为多个溯源子图,还包括:
判断所述溯源图中的任一节点是否存在父节点且该节点的标签是否与其父节点的标签相同;若该节点存在父节点且该节点的标签与其父节点的标签不一致,则计算该节点与与其标签一致的溯源子图的关联度以及该节点与与其具有不同标签的父节点所在的溯源子图的关联度;若,则新增标签值给该节点,新增的标签值为对应的溯源子图的标签值;所述节点p与溯源子图C之间的关联度Co,如下式所示:式中,为溯源子图C中与节点p相邻的所有节点的集合,为溯源图中与节点p相邻的所有节点的集合。5.根据权利要求1所述的方法,其特征在于,将...
【专利技术属性】
技术研发人员:张海霞,谢雨来,吴雅锋,冯丹,周潘,
申请(专利权)人:华中科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。