【技术实现步骤摘要】
主机日志数据威胁检测模型训练方法、检测方法及装置
[0001]本申请涉及信息安全领域,尤其涉及一种主机日志数据威胁检测模型训练方法、检测方法及装置。
技术介绍
[0002]审计日志通常被应用于威胁检测。研究人员根据主机日志中的访问记录,判定是否可能发生攻击。在网络安全防护中,可以弥补病毒检测、告警分析等技术的不足,由于近年来,操作系统不断升级,大多数主机都可以实时记录运行日志,基于审计日志的威胁检测也得到了越来越多的重视。
[0003]现有审计日志的威胁检测技术主要分为两类:基于误用与基于异常。
[0004]基于误用的威胁检测主要通过预定义攻击模型对日志事件进行攻击行为的匹配。但是,基于误用的检测方法,由于低级审计事件和高级系统行为之间存在语义差距,因此十分依赖于专家知识预定义攻击行为匹配规则,并且只能检测已知的攻击行为,无法检测0
‑
day攻击。
[0005]基于异常的威胁检测,主要是通过计算目标日志事件与正常日志事件的差异,判断目标日志事件是否异常。传统的基于异常的检测方法,在检...
【技术保护点】
【技术特征摘要】
1.一种主机日志数据威胁检测模型训练方法,其特征在于,包括:根据预先获取的历史主机日志数据集中的不同时间段分别对应的日志数据,构建多个原始特征图,所述原始特征图包括多条原始边及各个所述原始边对应的操作类型;根据各个所述原始特征图得到各自对应的边融合特征图,其中,该边融合特征图包括多个聚合操作边;根据各个所述原始特征图得到各个所述聚合操作边中的各个所述操作类型的存在概率;根据所述历史主机日志数据集中各个日志数据及各自对应的多个存在概率标签训练预设的机器学习网络架构,得到对应的主机日志数据威胁检测模型。2.根据权利要求1所述的主机日志数据威胁检测模型训练方法,其特征在于,所述根据预先获取的历史主机日志数据集中的不同时间段分别对应的日志数据,构建多个原始特征图,包括:根据预设的时间窗口将所述主机日志数据集中的各个日志数据划分为多个时间窗口日志数据集;根据各个所述时间窗口日志数据集构建各自对应的所述原始特征图。3.根据权利要求1所述的主机日志数据威胁检测模型训练方法,其特征在于,所述根据各个所述原始特征图得到各自对应的边融合特征图,包括:将各个所述原始特征图中的各个节点到另一个任意节点之间的单个或多个所述操作类型各自对应的出边融合为聚合操作边;根据各个所述原始特征图各自对应的多个所述聚合操作边和多个节点分别构建各个所述原始特征图各自对应的边融合特征图。4.根据权利要求1所述的主机日志数据威胁检测模型训练方法,其特征在于,所述根据各个所述原始特征图得到各个所述聚合操作边中的各个所述操作类型的存在概率,包括:提取各个所述原始特征图中的多个节点特征;将各个所述原始特征图中的各个所述节点特征和各自对应的所述边融合特征图输入图神经网络以更新各个所述边融合特征图中的各个节点,其中,该节点包括源节点和目的节点;提取各个所述聚合操作边的特征并为各个所述聚合操作边设定各自对应的融合边标签;将各个所述边融合特征图中的各个所述聚合操作边中的经更新的所述源节点、所述目的节点和该聚合操作边的所述特征进行拼接以得到表示向量;将各个所述边融合特征图中的各个所述聚合操作边各自对应的所述表示向量和所述融合边标签输入全连接层模型以输出各个所述聚合操作边中的各个所述操作类型的存在概率。5.根据权利要求1所述的主机日志数据威胁检测模型训练方法,其特征在于,所述根据所述历史主机日志数据集中各个日志数据及各自对应的存在概率标签训练预设的机器学习网络架构,得到对应的主机日志数据威胁检测模型,包括:根据所述历史主机日志数据集中各个日志数据及各自对应的各个所述存在概率标签训练预设的机器学习网络架构,并基于预设的损失函数在训...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。