本发明专利技术公开了一种基于知识图谱的APT流量检测方法,该方法通过分析网络流量中网络数据流特征,建立网络数据流的知识图谱,并利用图神经网络算法对构建的网络流知识图谱进行分类,检测网络中的APT攻击流量,从网络层面检测APT组织的攻击行为。本发明专利技术能够检测未知的APT攻击网络数据流量,有助于灵活准确的检测APT流量。流量。流量。
【技术实现步骤摘要】
一种基于知识图谱的APT流量检测方法
[0001]本专利技术属于网络安全
,涉及知识图谱领域,具体地涉及一种基于知识图谱的APT流量检测方法。
技术介绍
[0002]随着网络技术的不断发展,网络系统被应用于各种重要设施和各种系统中。这也引起了攻击者的关注,攻击者为了进行高级持续性攻击,APT攻击,或者为了达成某些特殊目的,成立专门组织发起APT攻击。APT攻击具有高隐蔽性、持续时间长、针对性强等特征。相比传统攻击,APT攻击更难防御,更难检测。
[0003]与传统的网络防御手段不同,基于APT流量的知识图谱生成及检测方法通过构建更加灵活的网络数据流知识图谱,可以灵活且明确地表示网络数据流特征之间的关系,能够适应各种形式的网络流量数据,减少对数据归一化过程中数据信息的丢失。
[0004]由于APT攻击的技术与工具在不断变化,如何检测未知的APT攻击网络数据流量仍是APT攻击防御所要面临的问题,因此不能简单采用黑名单的形式进行网络流量匹配,需要深入分析APT攻击网络数据流量特征之间内部的联系及特征,构建一种新型的APT流量检测方法,使其能够在一定程度上检测未知的APT攻击网络数据流量。
技术实现思路
[0005]本专利技术的目的在于针对现有技术的不足,提供一种基于知识图谱的APT流量检测方法。
[0006]本专利技术的目的是通过以下技术方案来实现的:一种基于知识图谱的APT流量检测方法,其特征在于,包括以下步骤:
[0007](1)对网络数据包进行分析,根据网络数据包的标识获取多条网络数据流,生成多条NetFlow数据,判断所述NetFlow数据是否为APT攻击行为数据;
[0008](2)根据所述NetFlow数据的特征,构建网络流量知识图谱;
[0009](3)以所述网络流量知识图谱作为图神经网络的输入,以知识图谱是否为APT攻击行为数据流知识图谱作为图神经网络的输出,根据输入和输出共同训练图神经网络,以得到APT攻击行为数据流知识图谱分类器模型;
[0010](4)运行所述APT攻击行为数据流知识图谱分类器模型,分析未知的网络数据流,以判断未知的网络数据流是否为APT攻击行为数据流。
[0011]进一步地,所述标识包括源IP地址、源端口号、目的IP地址、目的端口号、连接建立及结束。
[0012]进一步地,所述步骤(1)包括以下子步骤:
[0013](1.1)对网络数据包进行初步的分析,根据网络数据包的标识获取多条网络数据流,并利用网络设备生成网络中多条网络数据流的多条NetFlow数据,以得到NetFlow数据的特征值;
[0014](1.2)将所述NetFlow数据的特征值中出现的非十进制的数字特征值转化为十进制的数字特征值;将所述NetFlow数据的特征值中非数字形式的特征值从0开始进行编码,将其转化为整数;将NetFlow数据的全部特征值转化为浮点数,并生成浮点数形式列表;
[0015](1.3)根据已知信息,将所述浮点数列表形式的NetFlow数据进行分类,以判断所述NetFlow数据是否为APT攻击行为数据;所述NetFlow数据的类型包括APT攻击行为NetFlow数据和非APT攻击行为NetFlow数据。
[0016]进一步地,所述NetFlow数据的特征值包括数据流持续时间、协议类型、源端口号、数据流向、目的端口号、状态、源服务字节、目的服务字节、数据包总量、总传输字节数和源地址传输字节数中的至少一个。
[0017]进一步地,所述步骤(2)包括以下子步骤:
[0018](2.1)为所述NetFlow数据构建空白知识图谱,在所述空白知识图谱中建立中心节点,以辅助NetFlow知识图谱中节点之间边的建立,所述中心节点表示为X0;
[0019](2.2)所述NetFlow数据的特征值包括N个,在NetFlow知识图谱中建立与N个特征值一一对应的N个节点,将N个节点分别表示为X1,X2,
…
,XN,所述节点的值为与其对应的特征值的值;
[0020](2.3)建立中心节点X0至N个节点的N条边,以构建NetFlow知识图谱;
[0021](2.4)循环执行所述步骤(2.1)
‑
所述步骤(2.3),为所有NetFlow数据构建NetFlow知识图谱,以获得网络流量知识图谱。
[0022]进一步地,所述步骤(4)包括以下子步骤:
[0023](4.1)根据所述步骤(1.1)、所述步骤(1.2)和所述步骤(2)为未知的网络数据流的网络数据包构建网络流量知识图谱;
[0024](4.2)将所述步骤(4.1)获得的网络流量知识图谱输入所述步骤(3)中训练完成获得的APT攻击行为数据流知识图谱分类器模型中进行分析,输出当前知识图谱是否为APT攻击行为数据流知识图谱,以判断未知的网络数据流是否为APT攻击行为网络数据流。
[0025]本专利技术的有益效果是,本专利技术中将网络数据整合成为数据流形式并转化为知识图谱,不同于现有方法,本专利技术深入分析了不同网络数据流的特征,采用知识图谱技术表示网络数据流;通过采用图神经网络模型,并对其训练,建立网络数据流知识图谱中各节点与网络数据流是否为APT攻击网络数据流之间的关系,能够检测未知的APT攻击网络数据流量,有助于灵活准确的检测网络中的APT攻击流量,从网络层面检测APT组织的攻击行为。
附图说明
[0026]图1是APT流量知识图谱生成及检测方法流程图;
[0027]图2是一个只有7个特征的网络数据流的NetFlow知识图谱。
具体实施方式
[0028]下面根据图1
‑
图2详细说明本专利技术。
[0029]本专利技术提供了一种基于知识图谱的APT流量检测方法,通过对网络数据流进行切分,转化为网络数据流,NetFlow;并利用知识图谱生成技术将NetFlow转化为知识图谱;并利用图神经网络技术对NetFlow生成的知识图谱进行检测,检测其中的APT攻击行为网络流
量。
[0030]如图1所示,具体包括以下步骤:
[0031](1)对网络数据包进行分析,根据网络数据包的标识获取多条网络数据流,生成多条NetFlow数据,判断NetFlow数据是否为APT攻击行为数据。其中,标识包括源IP地址、源端口号、目的IP地址、目的端口号、连接建立及结束。
[0032](1.1)对网络数据包进行初步的分析,根据网络数据包的标识获取多条网络数据流,并利用网络设备生成网络中多条网络数据流的多条NetFlow数据,以得到NetFlow数据的特征值。
[0033]应当理解的是,网络设备包括但不限于:路由器、交换机、防火墙和虚拟网络设备。
[0034]本实施例中,可以利用路由器、交换机、虚拟网络设备等网络设备,从含有APT攻击的虚拟网络、子网络、靶场或真实网络中收集一些网络数据包,且收集到的网络数据包应包含网络中APT攻击本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于知识图谱的APT流量检测方法,其特征在于,包括以下步骤:(1)对网络数据包进行分析,根据网络数据包的标识获取多条网络数据流,生成多条NetFlow数据,判断所述NetFlow数据是否为APT攻击行为数据;(2)根据所述NetFlow数据的特征,构建网络流量知识图谱;(3)以所述网络流量知识图谱作为图神经网络的输入,以知识图谱是否为APT攻击行为数据流知识图谱作为图神经网络的输出,根据输入和输出共同训练图神经网络,以得到APT攻击行为数据流知识图谱分类器模型;(4)运行所述APT攻击行为数据流知识图谱分类器模型,分析未知的网络数据流,以判断未知的网络数据流是否为APT攻击行为数据流。2.根据权利要求1所述的基于知识图谱的APT流量检测方法,其特征在于,所述标识包括源IP地址、源端口号、目的IP地址、目的端口号、连接建立及结束。3.根据权利要求1所述的基于知识图谱的APT流量检测方法,其特征在于,所述步骤(1)包括以下子步骤:(1.1)对网络数据包进行初步的分析,根据网络数据包的标识获取多条网络数据流,并利用网络设备生成网络中多条网络数据流的多条NetFlow数据,以得到NetFlow数据的特征值;(1.2)将所述NetFlow数据的特征值中出现的非十进制的数字特征值转化为十进制的数字特征值;将所述NetFlow数据的特征值中非数字形式的特征值从0开始进行编码,将其转化为整数;将NetFlow数据的全部特征值转化为浮点数,并生成浮点数形式列表;(1.3)根据已知信息,将所述浮点数列表形式的NetFlow数据进行分类,以判断所述NetFlow数据是否为APT攻击行为数据;所述NetFlow数据的类型包括APT攻击行为NetFlow数据和非APT攻击...
【专利技术属性】
技术研发人员:李德印,吴春明,陆星宇,王文海,
申请(专利权)人:浙江大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。