【技术实现步骤摘要】
本专利技术涉及网络安全领域,具体而言,涉及一种横向移动检测方法、存储介质及电子设备。
技术介绍
1、现代信息系统的兴起在促进企业和组织发展的同时也面临着高级持续威胁(advanced persistent threat,apt)。apt是一种隐匿性攻击,攻击者获取内网中计算机的访问权限并长期隐藏在内网中实现对敏感数据的窃取。因此,apt对企业、组织、公共机构等带来巨大的损害。横向移动是apt攻击过程中的一个阶段,存在不易被发现等特性,容易企业带来巨大损失。因此需要尽早发现攻击者在内网中的横向移动的迹象,及早识别威胁,限制攻击者在内网中的活动范围,阻止攻击的扩散,以避免数据泄露造成的危害。
2、相关技术中的横向移动检测工作主要基于签名和异常检测发现当前网络中存在的横向移动事件,但是以上方式难以在横向移动事件出现的早期阶段准确识别横向移动事件,进而导致网络运行安全性低。
3、针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
1、本专利技术实施例提供了一种横向移动检测方法、存储介质及电子设备,以至少解决相关技术中基于签名和异常检测发现当前网络中的横向移动事件,难以在横向移动事件出现的早期阶段准确识别横向移动事件,进而导致网络运行安全性低的技术问题。
2、根据本专利技术实施例的一个方面,提供了一种横向移动检测方法,包括:根据预定时段内的网络连接日志,构建目标网络对应的目标时序连接图,其中,所述目标时序连接图中包括所述目标网络中包括的节点,以及节
3、根据本专利技术实施例的另一方面,还提供了一种非易失性存储介质,所述非易失性存储介质存储有多条指令,所述指令适于由处理器加载并执行任意一项所述的横向移动检测方法。
4、根据本专利技术实施例的另一方面,还提供了一种电子设备,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现任意一项所述的横向移动检测方法。
5、在本专利技术实施例中,通过根据预定时段内的网络连接日志,构建目标网络对应的目标时序连接图,其中,所述目标时序连接图中包括所述目标网络中包括的节点,以及节点之间的连接关系和连接时间,所述目标网络中的一个节点对应一个主机,所述预定时段为当前时刻之前的预定时长的时段;按照预定时间间隔对所述目标时序连接图进行拆分处理,得到多个历史静态连接图;基于所述多个历史静态连接图预测得到多个预测静态连接图;基于所述多个预测静态连接图中查询出的异常节点,对所述当前时刻的静态连接图中的对应节点进行特征增强处理,得到目标静态连接图;对所述目标静态连接图进行横向移动检测,得到所述当前时刻的横向移动检测结果,达到了基于网络的历史时序连接图预测未来时序连接图中的异常节点,基于未来的异常节点对当前网络进行特征增强,以尽早的发现网络中可能存在的横向移动事件的目的,从而实现了准确识别早期横向移动事件,提升网络运行安全性的技术效果,进而解决了相关技术中基于签名和异常检测发现当前网络中的横向移动事件,难以在横向移动事件出现的早期阶段准确识别横向移动事件,进而导致网络运行安全性低的技术问题。
本文档来自技高网...【技术保护点】
1.一种横向移动检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述根据预定时段内的网络连接日志,构建目标网络对应的目标时序连接图,包括:
3.根据权利要求2所述的方法,其特征在于,所述确定所述多个自我中心网络中任意两个自我中心网络之间的结构相似度,包括:
4.根据权利要求1所述的方法,其特征在于,所述基于所述多个历史静态连接图预测得到多个预测静态连接图,包括:
5.根据权利要求4所述的方法,其特征在于,所述图注意力网络包括多个网络层,所述基于所述多个历史静态连接图分别对应的邻接关系矩阵,采用图注意力网络模型,得到所述多个历史静态连接图分别对应的节点特征矩阵,包括:
6.根据权利要求4所述的方法,其特征在于,所述图预测网络模型为长短期记忆网络模型,所述长短期记忆网络模型中包括多个长短期记忆单元,所述多个长短期记忆单元与所述多个历史静态连接图一一对应,所述多个长短期记忆单元分别包括一个输入门,一个遗忘门以及一个输出门,所述基于所述多个历史静态连接图分别对应的节点特征矩阵,采用图预测网络模型,得到所述
7.根据权利要求1至6中任意一项所述的方法,其特征在于,在所述基于所述多个预测静态连接图中查询出的异常节点,对所述当前时刻的静态连接图中的对应节点进行特征增强处理,得到目标静态连接图之前,所述方法还包括:
8.根据权利要求1至6中任意一项所述的方法,其特征在于,所述基于所述多个预测静态连接图中查询出的异常节点,对所述当前时刻的静态连接图中的对应节点进行特征增强处理,得到目标静态连接图,包括:
9.一种非易失性存储介质,其特征在于,所述非易失性存储介质存储有多条指令,所述指令适于由处理器加载并执行权利要求1至8中任意一项所述的横向移动检测方法。
10.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至8中任意一项所述的横向移动检测方法。
...【技术特征摘要】
1.一种横向移动检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述根据预定时段内的网络连接日志,构建目标网络对应的目标时序连接图,包括:
3.根据权利要求2所述的方法,其特征在于,所述确定所述多个自我中心网络中任意两个自我中心网络之间的结构相似度,包括:
4.根据权利要求1所述的方法,其特征在于,所述基于所述多个历史静态连接图预测得到多个预测静态连接图,包括:
5.根据权利要求4所述的方法,其特征在于,所述图注意力网络包括多个网络层,所述基于所述多个历史静态连接图分别对应的邻接关系矩阵,采用图注意力网络模型,得到所述多个历史静态连接图分别对应的节点特征矩阵,包括:
6.根据权利要求4所述的方法,其特征在于,所述图预测网络模型为长短期记忆网络模型,所述长短期记忆网络模型中包括多个长短期记忆单元,所述多个长短期记忆单元与所述多个历史静态连接图一一对应,所述多个长短期记忆单元分别包括一个输入门,一个遗忘门以及一个输出门,所述基于所述多个历史静态...
【专利技术属性】
技术研发人员:周鼎,郝宵荣,韩晓鹏,曹植纲,贺磊,刘波,鄢昕,张盛翔,
申请(专利权)人:网络通信与安全紫金山实验室,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。