【技术实现步骤摘要】
一种基于异构图学习的网络内部攻击检测系统及方法
[0001]本专利技术涉及网络安全领域,尤其涉及一种基于异构图学习的网络内部攻击检测系统和方法。
技术介绍
[0002]网络内部攻击是横向移动攻击的主要方式之一,是高级可持续威胁攻击的重要组成步骤,它往往是某组织针对特定对象、出于特定目的、利用特定高级入侵手段展开的一种持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常首先利用社会工程学入侵防御设施薄弱的内部主机,然后通过窃取系统部分用户的身份认证信息,在企业内部网络感染各种介质、供应链等设备,实施敏感数据窃取、情报数据采集等高危可持续的攻击行为。网络内部攻击是指攻击者进入攻击目标网络后,以有漏洞、防御宽松的设备为跳板,伪装成合法用户访问信息系统内部重要的服务器、主机、数据存储设备等,以对入侵的系统进行恶意软件安装、敏感信息窃取等。现有的网络内部攻击检测系统和技术严重依赖于已知的签名特征,如恶意软件的文件哈希,恶意网络流量的字节流等,但它们无法检测那些使用零日漏洞、新型恶意软件和伪装成合法操作的网络内部攻击。近年来,...
【技术保护点】
【技术特征摘要】
1.一种基于异构图学习的网络内部攻击检测系统,其特征在于,包括:审计日志采集单元、日志异构图构建单元、日志异构图表示学习单元、审计日志聚类单元、内部攻击检测单元。2.根据权利要求1所述的基于异构图学习的网络内部攻击检测系统,其特征在于,所述审计日志采集单元,利用当前公开、常见的日志采集工具,采集企业网络中包括但不限于Kerberos、NTLM(NT LAN Manager)以及操作系统产生的审计日志。所述审计日志是指用户访问内部信息系统的身份认证信息及操作行为信息。3.根据权利要求1所述的基于异构图学习的网络内部攻击检测系统,其特征在于,所述日志异构图构建单元使用异构图对专利要求2所述的审计日志进行建模,通过设计不同的启发式算法同步构建不同类型的日志实体、以及不同时间周期相同日志实体之间的异构交互行为关系。所述日志异构图能够覆盖企业内部系统所有的日志节点,并依据审计事件信息流刻画不同日志节点在不同时间段的全局交互关系。4.根据权利要求1所述的基于异构图学习的网络内部攻击检测系统,其特征在于,所述日志异构图表示学习单元利用包括但不限于随机游走和词嵌入算法学习日志异构图中每个日志节点的低维向量表示。所述日志异构图表示学习单元不仅能够有效学习日志节点的属性特征,同时还可以关联分析企业内部不同日志节点之间以及相同日志节点在不同时间段的操作行为模式。5.根据权利要求1所述的基于异构图学习的网络内部攻击检测系统,其特征在于,所述审计日志聚类单元设计一种逐对相似性计算的无监督聚类算法对权利要求4所述的日志节点低维向量进行聚类操作,计算日志节点低维向量逐对的相似性差异将其划分到正常日志节点类别或异常日志节点类别。6.根据权利要求1所述的基于异构图学习的网络内部攻击检测系统,其特征在于,所述内部攻击检测单元负责寻找一个适当的日志节点逐对相似性阈值,以保证将合法日志节点划分到正常类别,将攻击日志节点划分到异常类别;将异常类别中的日志节点标记为网络内部攻击节点,实现无监督的网络内部攻击检测需求。7.一种基于异构图学习的网络内部攻击检测方法,其特征在于...
【专利技术属性】
技术研发人员:张长河,耿童童,
申请(专利权)人:北京卫达信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。