【技术实现步骤摘要】
基于异构图异常链路发现的横向移动攻击检测方法及装置
[0001]本申请涉及网络安全
,尤其涉及一种基于异构图异常链路发现的横向移动攻击检测方法及装置。
技术介绍
[0002]高级持续性威胁(APT)攻击具有过程复杂、持续周期长、隐蔽性高、破坏性强等特点,严重威胁着组织机构利益和个人用户隐私。APT生命周期包含情报侦察与攻击工具构建、攻击工具投递与初始入侵、命令与控制(C&C)通信、横向移动、网络资产与数据发现和最终攻击目标共六个阶段。其中,横向移动是攻击者深入网络内部、扩大威胁范围,实现最终攻击目标的关键,准确地检测并阻断横向移动行为,可有效防御APT攻击,预防重大安全事件及经济损失。
[0003]当前基于用户认证图模型的横向移动检测方法在检测准确性和实际方案可行性方面存在问题。首先,在检测效果方面,当前方法受限于同构图或二分图模型的表达能力,忽略了多种网络实体间丰富的多源异构信息,没有充分挖掘内部网络场景。其次,在可行性方面,当前方法在训练数据集构建和模型部署上存在实际场景中难以达成的理想化要...
【技术保护点】
【技术特征摘要】
1.一种基于异构图异常链路发现的横向移动攻击检测方法,其特征在于,包括:获取日志信息,根据所述日志信息确定网络实体,构建异构用户认证图,其中,所述异构用户认证图包括所述网络实体以及所述网络实体之间的关系;根据基于元路径的随机游走邻居节点采样策略处理所述异构用户认证图,确定邻居节点集合;根据元路径注意力机制对所述邻居节点集合进行特征聚合,获取登入链路的表征向量;计算所述表征向量的相对重构误差,根据所述相对重构误差识别所述登入链路。2.根据权利要求1所述的方法,其特征在于,所述日志信息包括用户认证事件日志、文件访问日志、进程日志和网络流日志中的一种或者多种。3.根据权利要求1所述的方法,其特征在于,所述根据基于元路径的随机游走邻居节点采样策略处理所述异构用户认证图,确定邻居节点集合,包括:对于给定的异构用户认证图G=<V,E,X,T
V
,T
E
>和元路径在元路径节点类型约束下的随机游走过程中第i步的转移概率为:其中表示节点v的类型为的相邻节点集合;选取访问次数排名在预设范围内的节点构成所述邻居节点集合。4.根据权利要求1所述的方法,其特征在于,在所述根据元路径注意力机制对所述邻居节点集合进行特征聚合前,包括:获取所述元路径注意力机制的特征聚合表达式,公式化为:获取所述元路径注意力机制的特征聚合表达式,公式化为:其中,V
A
是类型为A的节点集合,P
A
是以A类型节点为起止节点的对称元路径集合,W
A
,b
A
和α
A
分别表示权重矩阵,偏置向量和注意力系数,是节点v经由元路径p
j
获取的表征向量。5.根据权利要求1所述的方法,其特征在于,所述根据元路径注意力机制对所述邻居节点集合进行特征聚合,获取登入链路的表征向量,包括:通过全连接网络将所述邻居节点集合内登入链路的属性信息X
e
编码至向量h
e
;根据图神经网络处理所述邻居节点集合,得到用户节点的表征向量h
u
和设备节点...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。