【技术实现步骤摘要】
本专利技术涉及网络安全,尤其涉及一种网络威胁检测方法、装置、介质及电子设备。
技术介绍
1、apt(advanced persistent threat,高级持久性威胁)是一种复杂的网络攻击形式,apt攻击往往针对特定的目标,且可以较为轻松绕过传统失陷指标构建起来的信誉系统。并且,apt攻击往往活动频率低,可以长期潜伏,两次关联攻击时间间隔相对较长。网络攻击防御的基础设置如入侵检测系统、防火墙检测的数据源主要是流量数据,依靠现有规则对预设的攻击进行响应。其结果要么由于规则设置归于苛刻造成大量的误报;要么由于检测规则过于宽松出现大量的漏报,难以应对越来越复杂的攻击活动。
2、可以看出,如果仅仅依靠固有防火墙或者入侵检测系统的规则或者基于底层失陷指标的信誉系统,难以应对当前apt攻击的严峻挑战。因此近年来研究逐渐转向利用审计日志来构建溯源图,用系统中细粒度的事件记录来挖掘潜在的威胁。现有基于溯源图的研究主要分为误用检测和异常检测两大类,其中,基于误用检测的代表性工作是sleuth系统,基于异常检测的代表性工作是unicorn。
3、尽管现有的系统对于高隐蔽未知威胁有一定的防御能力,但存在明显的短板,容易被攻击者针对性绕过。以基于误用检测sleuth的系统为例,虽然能实现对攻击的相对高速的检测,但是检测规则使用了代码层硬编码的规则,缺乏可扩展性,并且不具备能够防御较为新颖的攻击的检测能力。而对于unicorn为代表的异常检测系统,虽然具备了一定的防御未知威胁的能力,但由于使用的采样的直方图来表征当时的图的特征,
4、在底层攻击失陷指标逐渐崩溃且防御基础设施逐渐无法有效发挥作用大背景下,如何从攻击活动中挖掘出高层特征来识别高隐蔽未知威胁是当前工业界和学术界的研究热点,现实中迫切需要有一种能够有效利用攻击模式等特征检测复杂攻击的技术手段以解决对未知威胁和细微的攻击活动检测能力无法兼具的问题。
技术实现思路
1、本专利技术的目的在于提供一种网络威胁检测方法、装置、介质及电子设备,用以改善对未知威胁和细微的攻击活动的检测能力无法兼具的问题。
2、第一方面,本专利技术提供的网络威胁检测方法包括:构建系统溯源图,所述系统溯源图包括m个节点,其中,m为正整数;通过图卷积神经网络学习所述系统溯源图的特征表示,得到所述节点的表示构成系统活动子图;根据预设的时间窗口划分n张所述系统活动子图得到目标活动子图,其中,n为正整数;通过局部-全局互信息最大化学习所述目标活动子图中的样本表示,优化所述样本表示得到所述目标活动子图的合理表示;学习所述目标活动子图的图向量重建模型得到重建的图向量表示;根据所述目标活动子图的合理表示和所述重建的图向量表示计算重建误差;根据所述重建误差检测异常活动子图,以实现威胁检测。
3、本专利技术提供的网络威胁检测方法的有益效果在于:创新地应用了互信息最大化方法,和通过重建误差来检测异常攻击场景,既能高效检测细微的攻击活动,保证对未知威胁的检查能力,并且具备在溯源图上的细微活动的敏感性,相比现有方法有明显的优势。
4、一种可能的实施例中,通过局部-全局互信息最大化学习所述目标活动子图中的样本表示,优化所述样本表示得到所述目标活动子图的合理表示,包括:训练嵌入函数,根据所述嵌入函数生成每张所述目标活动子图中的正样本对;设置破坏函数,根据所述破坏函数生成每张所述目标活动子图中的负样本对;训练判别器函数,根据所述判别器函数得到所述正样本对的概率得分和所述负样本对的概率得分;设置损失函数,根据所述损失函数优化所述嵌入函数和所述判别器函数的参数,得到所述目标活动子图的合理表示。
5、示例性地,所述正样本对为每张所述目标活动子图中单个节点嵌入后的隐特征与全局特征的配对;所述负样本对为每张所述目标活动子图中经破坏函数改变后的节点局部特征与全局特征的配对。
6、其它可能的实施例中,根据所述重建误差检测异常活动子图,包括:进行威胁检测时,判断每张系统活动子图的重建误差是否大于设定的重建误差阈值;当系统活动子图的重建误差大于所述重建误差阈值时,判定为异常活动子图。
7、第二方面,本专利技术还提供了一种网络威胁检测装置,所述装置包括:构建单元,用于构建系统溯源图,所述系统溯源图包括m个节点,其中,m为正整数;
8、第一学习单元,用于通过图卷积神经网络学习所述系统溯源图的特征表示,得到所述节点的表示构成系统活动子图;
9、划分单元,用于根据预设的时间窗口划分n张所述系统活动子图得到目标活动子图,其中,n为正整数;
10、第二学习单元,用于通过局部-全局互信息最大化学习所述目标活动子图中的样本表示,优化所述样本表示得到所述目标活动子图的合理表示;
11、第三学习单元,用于学习所述目标活动子图的图向量重建模型得到重建的图向量表示;
12、计算单元,用于根据所述目标活动子图的合理表示和所述重建的图向量表示计算重建误差;
13、检测单元,用于根据所述重建误差检测异常活动子图,以实现威胁检测。
14、所述第二学习单元通过局部-全局互信息最大化学习所述目标活动子图中的样本表示,优化所述样本表示得到所述目标活动子图的合理表示,具体用于:训练嵌入函数,根据所述嵌入函数生成每张所述目标活动子图中的正样本对;设置破坏函数,根据所述破坏函数生成每张所述目标活动子图中的负样本对;训练判别器函数,根据所述判别器函数得到所述正样本对的概率得分和所述负样本对的概率得分;设置损失函数,根据所述损失函数优化所述嵌入函数和所述判别器函数的参数,得到所述目标活动子图的合理表示。
15、所述正样本对为每张所述目标活动子图中单个节点嵌入后的隐特征与全局特征的配对;所述负样本对为每张所述目标活动子图中经破坏函数改变后的节点局部特征与全局特征的配对。
16、所述检测单元根据所述重建误差检测异常活动子图,具体用于:进行威胁检测时,判断每张系统活动子图的重建误差是否大于设定的重建误差阈值;当系统活动子图的重建误差大于所述重建误差阈值时,判定为异常活动子图。
17、第三方面,本专利技术还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述网络威胁检测方法。
18、第四方面,本专利技术还提供了一种电子设备,包括:处理器及存储器;所述存储器用于存储计算机程序;所述处理器用于执行所述存储器存储的计算机程序,以使所述电子设备执行上述网络威胁检测方法。
19、关于上述第二方面至第四方面的有益效果可以参见上述第一方面的描述。
本文档来自技高网...【技术保护点】
1.一种网络威胁检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,通过局部-全局互信息最大化学习所述目标活动子图中的样本表示,优化所述样本表示得到所述目标活动子图的合理表示,包括:
3.根据权利要求2所述的方法,其特征在于,所述正样本对为每张所述目标活动子图中单个节点嵌入后的隐特征与全局特征的配对;
4.根据权利要求1所述的方法,其特征在于,根据所述重建误差检测异常活动子图,包括:
5.一种网络威胁检测装置,其特征在于,所述装置包括:
6.根据权利要求5所述的装置,其特征在于,所述第二学习单元通过局部-全局互信息最大化学习所述目标活动子图中的样本表示,优化所述样本表示得到所述目标活动子图的合理表示,具体用于:
7.根据权利要求6所述的装置,其特征在于,所述正样本对为每张所述目标活动子图中单个节点嵌入后的隐特征与全局特征的配对;
8.根据权利要求5所述的装置,其特征在于,所述检测单元根据所述重建误差检测异常活动子图,具体用于:
9.一种计算机可读存储介质,所述计算机
10.一种电子设备,其特征在于,包括:处理器及存储器;
...【技术特征摘要】
1.一种网络威胁检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,通过局部-全局互信息最大化学习所述目标活动子图中的样本表示,优化所述样本表示得到所述目标活动子图的合理表示,包括:
3.根据权利要求2所述的方法,其特征在于,所述正样本对为每张所述目标活动子图中单个节点嵌入后的隐特征与全局特征的配对;
4.根据权利要求1所述的方法,其特征在于,根据所述重建误差检测异常活动子图,包括:
5.一种网络威胁检测装置,其特征在于,所述装置包括:
6.根据权利要求5所述的装置,其特征在于,所述第二学习单元通过局部-全...
【专利技术属性】
技术研发人员:田志宏,吴未,仇晶,戚吴祺,鲁辉,孙彦斌,刘园,苏申,李默涵,徐天福,何群,邱日轩,郑志彬,崔宇,王昊,欧露,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。