【技术实现步骤摘要】
本专利技术涉及网络攻击,尤其涉及一种基于知识图推荐模型的攻击检测方法。
技术介绍
1、根据审计记录的使用方式,现有的基于溯源图的攻击检测可分为三类:基于统计的检测、基于规则的检测和基于学习的检测。
2、基于统计的检测通过审计记录在溯源图中的稀缺性来量化审计记录的可疑程度,这种检测方法容易对罕见但正常的系统活动产生大量假警报,而且统计分析只考虑溯源图中的直接(因果)联系,而不是系统实体之间的微妙(语义)关系。基于规则的检测将审计记录与已知攻击模式相关的安全策略知识库相匹配,将攻击语义定义为安全策略来保持低误报率,但这种启发式方法的开发既耗时又容易出错。基于学习的检测扩展了机器学习技术,以模拟良性行为并检测偏离行为,尽管检测精度很高,但目前的学习方法产生的检测信号是在粗粒度级别,例如行为级别。
技术实现思路
1、基于现有技术检测结果准确率不佳,无法适应日益复杂的apt攻击这一问题,本专利技术所要解决的技术问题是如何实现更为有效的apt攻击检测。
2、本申请提供一种基于知识图推荐模型的攻击检测方法,方法包括如下步骤:
3、步骤1,采集系统日志:采集不同来源的系统日志数据,并统一处理为标准格式;
4、步骤2,构建溯源图:将收集到的原始溯源图转化为有向无环图(directedacyclic graph,dag),并存储在数据库中;
5、步骤3,压缩溯源图:使用溯源图数据压缩算法,对原有溯源图的边和节点在不改变语义前提下进行压缩;p>
6、步骤4,提取实体交互:将溯源图中实体和实体间的交互关系提取,使用注意力机制创建意图嵌入,得到交互图;
7、步骤5,构建知识图:将溯源图与交互图进行系统实体对齐并融合,得到新的知识图表示;
8、步骤6,攻击检测:采用推荐模型方法,在知识图中使用不同顺序的连接模拟系统实体交互的可能性,如果概率超过预定义的阈值,将系统执行中的异常识别为网络威胁。
9、可选的,步骤1采集系统日志,包括:
10、将开源工具spade布置在目标主机中,收集目标主机的系统日志,或直接使用用户手动输入的日志数据,转化为符合要求的节点-边格式。
11、可选的,步骤2构建溯源图,包括:
12、步骤21,,构建节点集合v和边集合e,两者初始化为空集,解析每条节点-边格式的系统审计日志(h,r,t),其中h为源节点,t为目标节点,r表示源节点和目标节点间的操作关系及数据流向(h→t),将两实体解析为hi和tj,i和j表示不同的版本号;
13、步骤22,当一个新的日志需要被解析时,如果源节点hi未被创建过,提取源节点加入集合v=v∪{hi},i=1;否则设置hi为h的最新版本号;
14、步骤23,如果属于实体集合v,且j≥1,则设置j=jmax+1,并创建新版本的实体tj,否则设置j=1,v=v∪{tj},e=e∪r,然后将关系边r上的时间戳设置为本条审计日志的时间。
15、可选的,步骤3压缩溯源图,包括:
16、步骤31,子图合并,将溯源图划分为多个子图,每个子图描述一个行为;首先识别溯源图中的所有数据对象,然后对单个数据对象执行前向深度优先搜索以提取子图,最后如果一个子图是另一个子图的子集,则合并两个子图;
17、步骤32,冗余删减,图中产生重复关系边及因关系边创建的新版本实体、因交互而产生的冗余版本和关系边这两种冗余情况产生的实体和边进行删除。
18、可选的,步骤4提取实体交互,包括:
19、意图反映行为的共性,不同的意图抽象了不同的系统行为模式;通过更细粒度的假设来增强效果——由相似意图驱动的行为主体将对客体有相似的偏好;使用注意力策略来创建意图嵌入为:
20、
21、其中,er为关系r的嵌入,α(r,p)是r的关注分数;提取隐含于系统行为中的交互关系和行为意图,显示表示于交互图。
22、可选的,步骤5构建知识图,包括:
23、基于溯源图和实体交互提取的交互图都被表述为实体-关系元组的集合;对齐系统实体,进行合并,得到新的知识图。
24、可选的,步骤6检测攻击,包括:
25、步骤61,单步信息建模,使用上下文感知将系统实体参数化为嵌入,即向量化表示;将每个系统实体h或t,每个交互关系r对应一个投影矩阵wr∈rd×k,通过矩阵投影将实体交互映射到k维关系空间,得到表示和
26、步骤62,多步信息建模,通过递归地传播来自多跳相邻实体的信息来更新系统实体表示;
27、采用图神经网络将多跳路径集成到系统实体表示中:给定一个系统实体h,一个gnn模块通过传播和聚合来自邻居的消息来递归地更新表示;
28、信息传播方面,采用注意力机制来区分系统实体邻居的重要性:
29、
30、其中,是第(l-1)跳邻居传播的信息,α(h,r,t)是控制在一定关系r条件下信息从t传播到h的注意函数;
31、更新系统实体用以下方法进行信息聚合:
32、
33、
34、其中,g是聚合函数,||是两向量间的连接运算符,⊙是元素积运算符;
35、得系统实体经过图神经网络递归更新后的表示:
36、
37、步骤63,攻击检测模块,通过聚合来自所有传播迭代的嵌入,确定实体-实体交互为对抗性的概率,以完成对apt攻击的检测;
38、经过l次信息传播和聚合迭代,得到了实体h的一系列表示在一个知识图中编码了不同阶的信息;然后将它们相加合并为最终表示:
39、任何交互(h,interaction,t),对系统实体表示应用内积来预测系统实体h不与另一个实体t交互的可能性概率:如果概率大于预定义的阈值,将交互标记为潜在的网络威胁。
40、本专利技术采用基于知识图的推荐模型攻击检测技术,与现有技术相比,其显著优点为:(1)使用意图交互揭示系统日志中隐含的行为意图,以更细粒度的意图和关系交互考虑系统实体间的关系,以交互图显式表示,以此为基础构建新知识图。与现有其他基于系统日志的图表示方法相比,本专利技术构建的新知识图含有更多的辅助语义信息,更能显式展示系统实体间的因果关系;(2)应用推荐模型思想,捕捉日志中的上下文关系,提出基于推荐模型的攻击检测方法,利用图神经网络对知识图中隐含的多步信息,通过预测系统实体对其交互实体的偏好来识别攻击手段,对攻击检测分析产生积极影响。
本文档来自技高网...【技术保护点】
1.一种基于知识图推荐模型的攻击检测方法,其特征在于,所述方法包括如下步骤:
2.根据权利要求1所述的基于知识图推荐模型的攻击检测方法,其特征在于,步骤1采集系统日志,包括:
3.根据权利要求1所述的基于知识图推荐模型的攻击检测方法,其特征在于,步骤2构建溯源图,包括:
4.根据权利要求1所述的基于知识图推荐模型的攻击检测方法,其特征在于,步骤3压缩溯源图,包括:
5.根据权利要求1所述的基于知识图推荐模型的攻击检测方法,其特征在于,步骤4提取实体交互,包括:
6.根据权利要求1所述的基于知识图推荐模型的攻击检测方法,其特征在于,步骤5构建知识图,包括:
7.根据权利要求1所述的基于知识图推荐模型的攻击检测方法,其特征在于,步骤6检测攻击,包括:
【技术特征摘要】
1.一种基于知识图推荐模型的攻击检测方法,其特征在于,所述方法包括如下步骤:
2.根据权利要求1所述的基于知识图推荐模型的攻击检测方法,其特征在于,步骤1采集系统日志,包括:
3.根据权利要求1所述的基于知识图推荐模型的攻击检测方法,其特征在于,步骤2构建溯源图,包括:
4.根据权利要求1所述的基于知识图推荐模型的攻击检测方法...
【专利技术属性】
技术研发人员:俞研,孙铠,狄芳,黄河,徐建,
申请(专利权)人:南京理工大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。