【技术实现步骤摘要】
一种基于掩码图自编码器的APT攻击检测方法及装置
[0001]本专利技术属于机器学习
,具体涉及APT攻击检测方法及装置。
技术介绍
[0002]高级可持续攻击(Advanced Persistent Threat,APT)是一种近年来持续不断增多的网络攻击模式。它通过隐蔽、欺骗性的手段渗透进入系统内部,使用一系列的操作获取敏感数据、夺取系统权限或引入外部程序。APT攻击检测技术是基于日志采集设备和软件获得的安全日志数据,利用异常检测技术,识别出其中可能包含的APT攻击痕迹。APT攻击检测技术在网络安全领域具有重大意义,同时具有重要的应用场景和潜力。
[0003]早期的APT攻击检测技术通过人工收集和分析APT攻击模式,利用启发式规则或统计学方法进行端到端的检测;或是基于APT攻击的常见流程,总结并抽取APT攻击阶段,采用溯源图上的匹配算法实现攻击检测。但这些方法无法全面、深层次地提取安全日志中的特征,同时泛化能力较差,在应对隐蔽攻击、检测新攻击模式等方面表现不够理想。
[0004]近年来随着深度学习方...
【技术保护点】
【技术特征摘要】
1.一种基于掩码图自编码器的APT攻击检测方法,其特征在于,通过图自编码器得到网络攻击溯源图中节点的特征向量,并基于特征向量寻找离群点并检测APT攻击,具体步骤如下:步骤S1:对确定为待检查的安全日志数据进行预处理,获得相应的网络攻击溯源图,提取节点和边的原始类别;步骤S2:构建带有结构重建的掩码图自编码器,并采用完全非攻击的安全日志数据,对该掩码图自编码器进行量化训练;将训练后的掩码图自编码器模型作为特征提取模型,并保存该模型在训练日志上的输出;步骤S3:将预处理得到的溯源图输入所述特征提取模型,分别得到与溯源图中节点的特征向量和与溯源图本身所对应的特征向量;步骤S4:根据溯源图中节点的特征向量和溯源图的特征向量,应用自适应离群点检测算法检测异常节点或异常溯源图并识别出APT攻击。2.根据权利要求1所述的APT攻击检测方法,其特征在于,步骤S1包含如下子步骤:步骤S1
‑
1,根据溯源日志的数据格式,构建日志解析器,提取出安全日志数据中的实体、实体类型、实体间交互、交互类型和交互时间戳信息;步骤S1
‑
2,对实体进行裁剪,删除不参与任何交互的实体;对交互按照时间戳从小到大进行排序并进行裁剪,删除同一实体对之间的重复关系,仅保留时间戳最小的单次交互;步骤S1
‑
3,进行网络攻击溯源图的构建;每一个实体对应溯源图中的一个节点;每一个交互对应溯源图中一条有向边;步骤S1
‑
4,对网络攻击溯源图进行补充;图中节点和边的原始特征向量使用该节点或边对应类型的独热编码填充。3.根据权利要求2所述的APT攻击检测方法,其特征在于,步骤S2包含如下子步骤:步骤S2
‑
1,构建带有结构重建的掩码图自编码器模型,该图自编码器模型含有嵌入层、图注意力层、结构重建模块、全连接层和平均池化层;各模块功能为:嵌入层输入节点和边的原始类别,提取节点和边的原始特征向量;图注意力层输入待检测溯源图以及节点、边的特征向量,进行基于图注意力机制的图卷积操作,获得节点的输出特征向量;结构重建模块基于提取出的节点特征,对溯源图中的节点对进行采样,并重建节点对之间的边;各部分的参数矩阵中的参数为随机设置;其中,图注意力层分为2类,记为:图注意力编码层和图注意力解码层,其中:嵌入层后是2个依次连接的图注意力编码层;图注意力编码层共有4个注意力头;图注意力编码层之后为平行配置的1个平...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。