【技术实现步骤摘要】
一种基于跨主机异常行为识别的复杂网络攻击检测方法
[0001]本专利技术涉及网络安全和深度学习技术,具体涉及一种基于跨主机异常行为识别的复杂网络攻击检测方法。
技术介绍
[0002]复杂网络攻击在现代网络中变得日益突出。复杂网络攻击是一种持续时间久、攻击手段多的网络攻击方式。攻击者会采用各种手段渗透进目标网络中的主机,然后从一台主机横向移动到另一台主机,来进行内部侦查和数据窃取。复杂网络攻击的这些特性使得传统的单点网络攻击方法难以应对。
[0003]最近的工作表明,溯源图是用于检测复杂网络攻击最有效的工具。溯源图是在系统内核日志数据上构建的一种关联图,其节点代表系统实体(如进程、文件),边代表系统事件(如进程读文件)。溯源图可以很好地捕捉系统实体之间的控制流和数据流,更好地体现了系统事件之间的上下文关联和因果关系,因此对于检测长时间、多步骤的复杂网络攻击具有较好的效果。另一方面,随着深度学习的快速发展,深度学习技术也逐渐被用于复杂网络攻击检测任务,特别是可有效处理溯源图的图神经网络技术。
[0004]然而,现...
【技术保护点】
【技术特征摘要】
1.一种基于跨主机异常行为识别的复杂网络攻击检测方法,其特征在于,包括如下步骤:1) 主机内异常行为检测:首先采集主机内核日志数据构建主机内关联图,然后采用图卷积网络抽取特征,最后采用自动编码机检测主机内关联图中的异常节点;2) 主机间异常行为检测:首先采用网络流量日志数据构建主机间交互图,然后基于主机间交互图序列训练预测模型,最后根据预测差异检测主机间交互图中的异常边;3) 跨主机网络攻击检测:首先根据主机内和主机间异常检测结果构建跨主机异常关联图,然后采用PageRank算法对异常分数进行传播,最后基于异常分数确认受攻击主机。2.根据权利要求1所述的一种基于跨主机异常行为识别的复杂网络攻击检测方法,其特征在于,步骤1)中,主机内异常行为检测的具体步骤如下:1
‑
1) 主机内良性关联图构建:采集主机正常运行过程中系统日志数据,构建关联图nIAG
k
;其中,关联图nIAG
k
的节点为系统实体,边为系统实体之间的交互事件;1
‑
2) 节点初始特征抽取:对于关联图nIAG
k
中的每一个节点,初始特征向量为x
i = [a
i1
, a
i2
,
ꢀ…
, a
iN
];其中,a
ij
为节点在关联图nIAG
k
中与其一跳邻居节点相连的边的集合中第j种类型边的数量;1
‑
3) 节点语义特征抽取:采用图卷积神经网络对关联图nIAG
k
进行处理,更新关联图nIAG
k
每个节点的特征向量,得到每个节点的语义特征向量;1
‑
4) 自动编码机训练:收集所有主机的关联图nIAG
k
中所有进程节点的语义特征向量,将上述语义特征向量输入自动编码机进行训练,输出重构向量;1
‑
5) 主机内异常检测:采集实时系统日志数据构建关联图rIAG
k
;抽取关联图rIAG
k
中每个进程节点的语义特征向量y
i
,并输入至步骤1
‑
4)训练好的自动编码机,得到输出的重构向量z
i
;当语义特征向量y
i
与重构向量z
i
的差异大于指定阈值,则进程节点是异常节点;1
‑
6) 主机内异常打分:根据公式(1)计算每个异常节点v
i
的异常分数,根据公式(2)计算主机H
k
的异常分数;其中,B(H
k
)代表主机H
k
中异常节点的集合;(1)(2)。3.根据权利要求2所述的一种基于跨主机异常行为识别的复杂网络攻击检测方法,其特征在于,步骤2) 中,主机间异常行为检测的具体步骤如下:2
‑
1) 主机间交互时序图构建:采集主机间网络交互的日志数据构建主机间交互图IRG
t
;在每一个离散的时间点t上,主机间交互图IRG
t
的节点为主机,边为在时间点t
ꢀ–ꢀ
1和t之间不同主机之间的交互;则连续时间点的主机间交互图组织成主机间交互图的序列IRGS = <IRG1, IRG2,
ꢀ…
, IRG
T
>;2
‑
2) 训练集构建:采用窗口大小为w、步长为1的滑动窗口对主机间交互图的序列进行分割,形成训练集SS,SS中每个训练样本S
t = (D
t
, L
t
);其中,D
t
为S
t
的数据部分,L
t 为S
t
的标签部分;2
‑
3) 主机间交互图预测模型训练:基于训练集SS训练一个预测模型,根据连续w个主
机间交互图预测下一个主机间交互图;2
‑
4) 主机间异常检测:根据步骤2
‑
1)生成时间点t之前的w个主机间交互图D
t
= <IRG
t
‑
w
,...
【专利技术属性】
技术研发人员:吕明琪,刘海文,谢海江,朱添田,陈铁明,路晓明,姚一杨,
申请(专利权)人:浙江工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。