一种基于异构图学习的网络内部攻击检测系统及方法技术方案

本发明专利技术提出一种基于异构图学习的网络内部攻击检测系统及方法，打破传统检测方法难以探究内网日志异构交互关系的弊端，解决传统检测方法难以实现无监督网络内部攻击检测的缺陷，其基本思想是：融合异构图学习和无监督学习算法的优势，设计一种启发式算法以探究审计日志复杂的异构交互关系，并利用异构图对异构日志实体及其交互关系进行建模；然后设计一种异构图表示学习方法将异构图中的日志实体及关系嵌入到低维向量空间；最后使用无监督聚类算法对嵌入的日志实体进行聚类操作以划分异常的日志实体和群组，实现基于无监督的网络内部攻击检测。本发明专利技术可以在无标记的系统日志中自动学习不同类型的网络攻击模式，满足网络内部攻击检测对高效性及无监督性需求。部攻击检测对高效性及无监督性需求。部攻击检测对高效性及无监督性需求。

【技术实现步骤摘要】
一种基于异构图学习的网络内部攻击检测系统及方法


[0001]本专利技术涉及网络安全领域，尤其涉及一种基于异构图学习的网络内部攻击检测系统和方法。

技术介绍

[0002]网络内部攻击是横向移动攻击的主要方式之一，是高级可持续威胁攻击的重要组成步骤，它往往是某组织针对特定对象、出于特定目的、利用特定高级入侵手段展开的一种持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性，通常首先利用社会工程学入侵防御设施薄弱的内部主机，然后通过窃取系统部分用户的身份认证信息，在企业内部网络感染各种介质、供应链等设备，实施敏感数据窃取、情报数据采集等高危可持续的攻击行为。网络内部攻击是指攻击者进入攻击目标网络后，以有漏洞、防御宽松的设备为跳板，伪装成合法用户访问信息系统内部重要的服务器、主机、数据存储设备等，以对入侵的系统进行恶意软件安装、敏感信息窃取等。现有的网络内部攻击检测系统和技术严重依赖于已知的签名特征，如恶意软件的文件哈希，恶意网络流量的字节流等，但它们无法检测那些使用零日漏洞、新型恶意软件和伪装成合法操作的网络内部攻击。近年来，网络内部攻击日益泛滥，对社会和国家造成重大经济和安全损失，因此高效地检测并防护网络内部攻击对于保护网络安全、人民财产及国家安全具有重要意义。
[0003]目前，典型的网络内部攻击检测方法大致分为两种：一种是基于静态签名机制的检测方法，另一种是基于行为分析的检测方法。其中，基于静态签名机制的被动检测防护方法侧重于从日志和流量等样本中提取内部攻击特征来创建恶意签名库，入侵防护系统通过匹配恶意签名数据库中的恶意指纹信息来识别并阻断网络内部攻击入侵，但是这类方法只能被动地依据预定义的恶意签名库识别网络攻击，它无法识别新型未知的内部攻击模式，因此无法防护未知的内部网络入侵。基于行为分析的内部攻击检测方法侧重于从系统日志中抽取用户的操作行为序列，使用机器学习、深度学习等技术对每个用户的操作行为序列进行建模，通过学习用户的操作序列模式来发现可疑的内部网络攻击。为了抵御日益严峻的网络内部攻击影响，众多针对网络内部攻击检测与防御方法及专利已经被提出。
[0004]公开号为CN110012019A的专利技术专利公开了一种基于对抗模型的网络内部攻击检测方法及装置。包括以下步骤：(1)通过采集大量日志数据，获取大量个人上网行为数据并对这些数据进行手动标记；(2)将数据集划分为训练数据和验证数据两部分，分别用于模型训练和超参数调优；(3)对训练数据进行清洗和整理，分析时间序列关系，将其作为网络异常行为入侵的检测特征，通过实时追踪可对网络行为做出判断与预测；(4)同步训练恶意攻击生成器和判别器对抗神经网络，通过模拟异常攻击行为，对判别器模型进行持续优化和改进，不断提高恶意攻击判别器的检测准确率，从而实现基于对抗学习的网络内部攻击检测。
[0005]申请号为CN202010218396.2的专利技术专利公开了一种基于CNN(Convolutional Neural Network)的网络内部攻击检测方法及装置，该方法包括：读取并驻留待检测流量矩
阵的每条流量，并根据各流量的HTTP(Hyper Text Transfer Protocol)会话信息与信息排序分配至若干可存放一定流量的流袋中，得到若干流袋矩阵；提取每一所述流袋矩阵的缩放不变性特征和大小与序列不变性特征，得到各流袋的特征矩阵；将所述流袋特征矩阵逐一输入到卷积神经网络，判断各流袋中流量是否为合法流量。本专利技术通过提取具备缩放不变性和大小与序列不变性的流袋特征和CNN学习特征表达，对未知攻击的检测能力得到大幅提升，更适用于大数据下分布式计算场景，提供了更加灵活和快速的模型更新。
[0006]通过分析已公开网络内部攻击检测方法及专利可以发现，当前的网络内部攻击检测存在以下不足：
[0007](1)检测精度低，由于网络内部攻击通常是获取系统内部合法认证身份后发起的攻击，其攻击行为与正常用户操作行为差别不大，造成当前公开方法很难准确识别该类攻击；
[0008](2)难以检测新型未知内部攻击，由于当前公开的内部攻击检测方法大多基于监督学习模型，需要手动标记大量的训练样本来训练模型，此类方法不能识别新型未知的内部网络攻击。
[0009]本专利技术综合考虑了众多网络内部攻击检测及防护算法的优点与不足，提出了一种基于异构图学习的网络内部攻击检测系统和方法。

技术实现思路

[0010]本专利技术提出一种基于异构图学习的网络内部攻击检测系统及方法，打破传统检测方法难以探究内网日志异构交互关系的弊端，解决传统检测方法难以实现无监督网络内部攻击检测的缺陷，其基本思想是：融合异构图学习和无监督学习算法的优势，设计一种启发式算法以探究系统日志复杂的异构交互关系，并利用异构图对异构日志实体及其交互关系进行建模；然后设计一种异构图表示学习方法将异构图中的日志实体及关系嵌入到低维向量空间；最后使用无监督聚类算法对嵌入的日志实体进行聚类操作以划分异常的日志实体和群组，实现基于无监督的网络内部攻击检测。本专利技术可以在无标记的系统日志中自动学习不同类型的网络攻击模式，满足网络内部攻击检测对高效性及无监督性需求。
[0011]为实现上述专利技术目的，本专利技术所提供的技术方案是：
[0012]一种基于异构图学习的网络内部攻击检测系统，其特征在于，包括：审计日志采集单元、日志异构图构建单元、日志异构图表示学习单元、审计日志聚类单元、内部攻击检测单元。所述审计日志采集单元，负责采集企业内部用户操作行为审计日志信息；所述日志异构图构建单元设计不同的启发式规则从中抽取不同日志节点之间的交互行为关系，并使用异构图对其行为关系建模；所述日志异构图表示学习单元学习一个有效的表示学习函数将日志异构图中的节点和关系映射到低维向量空间；所述审计日志聚类设计基于逐对相似性计算的无监督聚类算法将日志节点划分到正常日志节点类别或异常日志节点类别；所述内部攻击检测单元负责寻找一个恰当的相似性阈值，以保证将合法日志节点划分到正常类别，将攻击日志节点划分到异常类别；并将异常类别中的日志节点标记为网络内部攻击节点，实现无监督的网络内部攻击检测需求。
[0013]进一步地根据所述基于异构图学习的网络内部攻击检测系统，其特征在于，所述审计日志采集单元，利用当前公开、常见的日志采集工具，采集企业网络中包括但不限于
Kerberos、NTLM(NT LAN Manager)以及操作系统产生的审计日志。所述审计日志是指用户访问内部信息系统的身份认证信息及操作行为信息。
[0014]进一步地根据所述基于异构图学习的网络内部攻击检测系统，所述日志异构图构建单元设计不同的启发式规则从中抽取不同日志节点之间、以及相同日志节点在不同时间周期的交互行为关系，并利用异构图来刻画使用启发式规则抽取的日志节点交互行为关系。其中，所述日志异构图中的节点表示企业网络中的日志实体(包括但不限于用户、主机、服务器、传感器、网络通讯设备等)，节点之间的连边表示日志实体之间的操作行为关系(如登录、读文件、写文件、网络请求等)本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于异构图学习的网络内部攻击检测系统，其特征在于，包括：审计日志采集单元、日志异构图构建单元、日志异构图表示学习单元、审计日志聚类单元、内部攻击检测单元。2.根据权利要求1所述的基于异构图学习的网络内部攻击检测系统，其特征在于，所述审计日志采集单元，利用当前公开、常见的日志采集工具，采集企业网络中包括但不限于Kerberos、NTLM(NT LAN Manager)以及操作系统产生的审计日志。所述审计日志是指用户访问内部信息系统的身份认证信息及操作行为信息。3.根据权利要求1所述的基于异构图学习的网络内部攻击检测系统，其特征在于，所述日志异构图构建单元使用异构图对专利要求2所述的审计日志进行建模，通过设计不同的启发式算法同步构建不同类型的日志实体、以及不同时间周期相同日志实体之间的异构交互行为关系。所述日志异构图能够覆盖企业内部系统所有的日志节点，并依据审计事件信息流刻画不同日志节点在不同时间段的全局交互关系。4.根据权利要求1所述的基于异构图学习的网络内部攻击检测系统，其特征在于，所述日志异构图表示学习单元利用包括但不限于随机游走和词嵌入算法学习日志异构图中每个日志节点的低维向量表示。所述日志异构图表示学习单元不仅能够有效学习日志节点的属性特征，同时还可以关联分析企业内部不同日志节点之间以及相同日志节点在不同时间段的操作行为模式。5.根据权利要求1所述的基于异构图学习的网络内部攻击检测系统，其特征在于，所述审计日志聚类单元设计一种逐对相似性计算的无监督聚类算法对权利要求4所述的日志节点低维向量进行聚类操作，计算日志节点低维向量逐对的相似性差异将其划分到正常日志节点类别或异常日志节点类别。6.根据权利要求1所述的基于异构图学习的网络内部攻击检测系统，其特征在于，所述内部攻击检测单元负责寻找一个适当的日志节点逐对相似性阈值，以保证将合法日志节点划分到正常类别，将攻击日志节点划分到异常类别；将异常类别中的日志节点标记为网络内部攻击节点，实现无监督的网络内部攻击检测需求。7.一种基于异构图学习的网络内部攻击检测方法，其特征在于...

【专利技术属性】
技术研发人员：张长河，耿童童，
申请(专利权)人：北京卫达信息技术有限公司，
类型：发明
国别省市：