【技术实现步骤摘要】
本专利技术属于深度学习与网络安全,具体涉及一种基于孪生图注意力网络的att&ck攻击技术识别方法和和装置。
技术介绍
1、att&ck(adversarial tactics,techniques and common knowledge),即对抗战术、技术和常识,是一个站在攻击者的视角来描述攻击各阶段用到技术的模型,常见的应用场景主要有网络对抗模拟、网络安全渗透测试、网络防御差距评估以及网络威胁情报收集等。
2、att&ck框架可以理解为攻击者在攻击一个目标系统,比如首先通过邮件发送一个附件,客户端那边去执行,来实现持久化和权限,窃取目标系统的账号和密码,通过网络环境发现、横向移动,来对整个网络实现漫游,最后窃取对方的网络数据。att&ck框架的基础元素为战术、技术和程序框架,也就是ttps(tactics,techniques and procedures),其中战术回答了攻击者想要实现的目标,技术展示攻击者实际的攻击方式以及目标如何实现,程序框架解决了威胁行为者与攻击组织为达到目标所使用技术的特定应用功能。
3、主机入侵攻击是apt攻击在特定ttp之后的单步攻击,具有隐蔽性强且攻击类别和攻击手段多样的特点,传统的基于专家知识和网络流量分析的手段无法有效检测这种攻击。因此,需要从最底层的系统行为出发,对其进行攻击检测。
4、当前基于机器学习的技术已应用于网络安全领域的入侵检测、恶意软件检测和欺诈检测,与传统的基于规则的检测手段相比,基于机器学习的技术可以在几
5、然而,原子攻击对应的系统行为复杂,直接从系统行为中提取特征较难且容易丢失大量信息,并且由于原子攻击行为搜集代价高昂,获取数据难度大,无法满足深度学习大量数据的要求。因此迫切需要找到一种合理的方式获取入侵攻击系统行为的特征表示且不丢失系统行为中的重要信息,同时需要解决在攻击样本少的情况下如何实现对att&ck攻击技术的有效识别。
技术实现思路
1、鉴于上述,本专利技术的目的是提供一种基于孪生图注意力网络的att&ck攻击技术识别方法和装置,在低攻击样本下实现对tt&ck攻击技术的识别。
2、为实现上述专利技术目的,本专利技术实施例提供了一种基于孪生图注意力网络的att&ck攻击技术识别方法,包括以下步骤:
3、对att&ck攻击模型中每类攻击技术进行模拟攻击,并采集模拟攻击过程中的系统事件数据作为有标签的攻击技术样本,为有标签的攻击技术样本构建攻击子图;
4、构建孪生图注意力网络,包括输入层、特征层以及交互层,其中,输入层用于输入两个攻击子图,特征层采用异构图注意力网络用于表征两个攻击子图的子图表征向量,交互层用于计算两个子图表征向量之间的相似度,基于相似度构建损失函数并优化孪生图注意力网络参数,得到攻击技术分类模型;
5、利用参数优化的攻击技术分类模型中特征层提取实时攻击技术样本的实时子图表征向量,并通过交互层计算实时子图表征向量与每个有标签的攻击技术样本的子图表征向量相似度对实时攻击技术样本进行攻击类型识别。
6、优选地,所述为有标签的攻击技术样本构建攻击子图,包括:
7、将每次模拟攻击过程中采集的系统事件数据组织成一个攻击子图g=(v,e),g为有向图,v为节点集合,节点代表攻击过程中涉及的系统实体,e为边的集合,边代表攻击过程中涉及的系统事件,即系统实体之间的关系类型,每个攻击子图g还被标注上att&ck的攻击技术种类(a,r),其中,a为v中节点类型的集合,r为e中关系类型的集合。
8、其中,所述系统实体包括进程、注册表、文件、网络端口,即对应的节点类型包括进程、注册表、文件、网络端口;
9、所述关系类型包括进程-进程之间的创建类型,进程-文件之间的创建、读取、写入、关闭、删除以及统计类型,进程-注册表之间的打开、查询、枚举、修改、关闭以及删除类型,进程-网络端口之间的发送消息、接收消息、重发消息、复制、发送/断开连接以及接受/重新连接类型。
10、优选地,所述攻击子图输入输入层之前,经过节点表征初始化,包括:
11、除进程节点外每个节点vk被初始化为固定维度的向量ek,其中,向量ek中的元素值ek[i]代表节点vk连接的所有边中属于第i种关系类型的个数,而进程节点被初始化为所有边关系类型的总数和关联边数量的多项式扩展。
12、优选地,特征层采用异构图注意力网络表征两个攻击子图的特征,包括:
13、定义元路径,并基于定义的元路径为攻击子图生成元路径集合;
14、基于节点初始表征向量对每个节点在单个元路径内进行节点级的注意力融合,得到节点表征向量;
15、基于节点表征向量对每节点在所有元路径内进行路径点级的注意力融合,得到节点综合表征向量;
16、基于节点综合表征向量对所有节点进行图级的注意力融合,得到每个攻击子图的子图表征向量。
17、优选地,所述基于节点初始表征向量对每个节点在单个元路径内进行节点级的注意力融合,得到节点表征向量,包括:
18、针对元路径φi对应节点集合中的节点u和其邻居节点v,元路径φi中邻居节点v对节点u的重要性权重为:
19、
20、
21、依据重要性权重聚合所有邻居节点得到节点u基于单个元路径φi的节点表征向量
22、
23、其中,hu和hv为节点u和邻居节点v的初始表征向量,αφi为元路径φi的节点级注意力参数矩阵,上表t为转置,σ为激活函数,为中间变量,||为连接操作,k为多头注意机制的头数,k为注意力头索引,softmaxv为对邻居节点v做softmax激活,为拼接所有注意力头的输出。
24、优选地,所述基于节点表征向量对每节点在所有元路径内进行路径点级的注意力融合,得到节点综合表征向量,包括:
25、根据节点u在元路径集上得到的所有节点表征向量计算每条元路径φi对节点u的注意力权重为:
26、
27、
28、依据注意力权重对所有节点表征向量聚合得到节点u基于所有元路径的节点综合表征向量su:
29、
30、其中,为节点u在元路径φi上的节点表征向量,ws为权重矩阵,bs为偏置向量,p为路径级注意力参数矩阵,tanh为tanh函数,|v|为节点集合v的节点数量,为元路径集合,为中间变量,softmaxi为元路径φi做softmax激活。
31、优选地,所述基于节点综合表征向量对所有节点进行图级的注意力融合,得到每个攻击子图的子图表征向量,包括:
32、依据节点综合表征向量su计算每个节点本文档来自技高网...
【技术保护点】
1.一种基于孪生图注意力网络的ATT&CK攻击技术识别方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的基于孪生图注意力网络的ATT&CK攻击技术识别方法,其特征在于,所述为有标签的攻击技术样本构建攻击子图,包括:
3.根据权利要求2所述的基于孪生图注意力网络的ATT&CK攻击技术识别方法,其特征在于,所述攻击子图输入输入层之前,经过节点表征初始化,包括:
4.根据权利要求1所述的基于孪生图注意力网络的ATT&CK攻击技术识别方法,其特征在于,特征层采用异构图注意力网络表征两个攻击子图的特征,包括:
5.根据权利要求4所述的基于孪生图注意力网络的ATT&CK攻击技术识别方法,其特征在于,所述基于节点初始表征向量对每个节点在单个元路径内进行节点级的注意力融合,得到节点表征向量,包括:
6.根据权利要求4所述的基于孪生图注意力网络的ATT&CK攻击技术识别方法,其特征在于,所述基于节点表征向量对每节点在所有元路径内进行路径点级的注意力融合,得到节点综合表征向量,包括:<...
【技术特征摘要】
1.一种基于孪生图注意力网络的att&ck攻击技术识别方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的基于孪生图注意力网络的att&ck攻击技术识别方法,其特征在于,所述为有标签的攻击技术样本构建攻击子图,包括:
3.根据权利要求2所述的基于孪生图注意力网络的att&ck攻击技术识别方法,其特征在于,所述攻击子图输入输入层之前,经过节点表征初始化,包括:
4.根据权利要求1所述的基于孪生图注意力网络的att&ck攻击技术识别方法,其特征在于,特征层采用异构图注意力网络表征两个攻击子图的特征,包括:
5.根据权利要求4所述的基于孪生图注意力网络的att&ck攻击技术识别方法,其特征在于,所述基于节点初始表征向量对每个节点在单个元路径内进行节点级的注意力融合,得到节点表征向量,包括:
6.根据权利要求4所述的基于孪生图注意力网络的att&am...
【专利技术属性】
技术研发人员:吕明琪,高宏哲,
申请(专利权)人:杭州市滨江区浙工大网络空间安全创新研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。