融合日志溯源图实体语义信息的APT检测方法技术

本发明专利技术涉及融合日志溯源图实体语义信息的APT检测方法。本发明专利技术首先使用BERT嵌入日志实体语义信息，并结合日志数据以时间顺序生成日志溯源图子图序列；然后使用改进的图嵌入算法，结合子图结构和日志实体语义信息得到子图向量，通过补充语义信息扩大良性与恶意样本在特征空间中的表征距离；最后优化攻击节点定位方法，依据历史时间段的子图向量序列得到当前时间段的预测子图向量，计算其与实际子图向量的欧式距离，大于阈值便排序节点差异得到可疑节点，并排查得到攻击节点。本发明专利技术针对现有方法未考虑日志实体语义信息、需人工排查的可疑节点范围过大的问题，提出融合日志溯源图实体语义信息的APT检测方法，提升APT检测准确率并减少人工排查工作量。

【技术实现步骤摘要】

本专利技术涉及融合日志溯源图实体语义信息的apt检测方法，属于网络空间安全领域。

技术介绍

1、随着信息技术的发展，企业信息系统遭受到的网络攻击也日益频繁。高级持续性威胁(advanced persistent threats，apt)是一类典型的多步网络攻击行为，其隐蔽性强、持续时间久的特点影响了传统攻击检测方法的性能。研究者发现，以系统实体为节点，实体之间的操作为边构建的日志溯源图，能够关联系统中时间跨度大的多步攻击事件，因此结合日志溯源图进行apt检测具有重要的研究价值。当前结合日志溯源图的apt检测主要分为基于异常的检测方式和基于混合的检测方式。

2、1.基于规则的检测方式

3、基于规则的检测方式在日志溯源图的基础上，增加人为预设的规则来实现apt检测。虽然基于规则的检测方式能够实现较为准确的apt检测，但是规则的制定需要深厚的领域知识，并且规则会随着系统环境变化而失效，难以应用于实际场景。

4、2.基于异常的检测方式

5、基于异常的检测方式以良性样本作为检测模型训练数据，能够针对系统良性样本建模，当本文档来自技高网...

【技术保护点】

1.融合日志溯源图实体语义信息的APT检测方法，其特征在于所述方法包括如下步骤：

2.根据权利要求1所述的融合日志溯源图实体语义信息的APT检测方法，其特征在于：步骤3中，将实体节点语义特征向量赋给对应的实体节点，将实体间边的语义特征向量赋给对应的边，改进Weisfeiler-Lehman(WL)算法，使其在深度探索过程中，能够融合节点邻域结构信息和实体语义信息。

3.根据权利要求1所述的融合日志溯源图实体语义信息的APT检测方法，其特征在于：步骤5中通过分别得到节点有根子图表示向量与嵌入向量、预测向量的共现概率，计算二者之间的差异并排序，以此得到可疑节点，能够有...

【技术特征摘要】

1.融合日志溯源图实体语义信息的apt检测方法，其特征在于所述方法包括如下步骤：

2.根据权利要求1所述的融合日志溯源图实体语义信息的apt检测方法，其特征在于：步骤3中，将实体节点语义特征向量赋给对应的实体节点，将实体间边的语义特征向量赋给对应的边，改进weisfeiler-lehman(wl)算法，使其在...

【专利技术属性】
技术研发人员：罗森林，皮佳伟，潘丽敏，邢凤桐，夏志豪，
申请(专利权)人：北京理工大学，
类型：发明
国别省市：