一种基于异构图的内网横向移动攻击检测方法技术

本发明专利技术针对内网横向移动攻击进行建模，并提出了两种异常检测模型。基于图的相关技术，从内网行为表征、攻击行为检测和攻击路径检测三个关键问题开展研究。核心技术是根据构建的横向移动攻击异构图模型，使用图神经网络提高内网横向移动攻击检测的准确度。本发明专利技术的主要流程为根据攻击活动中涉及元素之间的行为关系设计内网行为异构图。在此基础上，结合自编码器构建攻击行为异常检测模型。最后提出了两种横向移动攻击路径的生成方法，并针对路径长序列设计了基于长短时记忆网络（LSTM，Long Short Term Memory Network）和注意力机制的攻击路径异常检测模型。本发明专利技术通过设计新的图模型并提出检测方法，为内网横向移动攻击检测提供新的解决思路。

【技术实现步骤摘要】

“一种基于异构图的内网横向移动攻击检测方法”主要应用于网络空间安全中高级可持续威胁（apt，advanced persistent threat）攻击的检测领域。本专利技术建立了内网横向移动攻击的行为异构图，提出了待测日志映射到内网行为异构图的无监督异常检测模型。在此基础上，提出了基于行为链的横向移动攻击检测模型，保证了拥有丰富特征信息的攻击路径的检测效果。

技术介绍

1、网络空间在政治、经济和文化等各个领域发挥着越来越重要的作用，无论是传统行业还是新兴行业都借助互联网不断提升自身的效率。伴随而来的是针对网络空间的各式攻击活动，其中通过apt攻击窃取情报和商业机密成为各个国家间对抗的一种方式。apt组织由于地域等因素的不同，活跃在各种不同的政治背景下。用户的核心数据一般储存在本地局域网（内网）的机器中，而内网无法通过互联网直接访问，因此攻击者需要借助跳板机向内网发动攻击，这种内外两层的网络环境是目前攻击检测溯源的基本场景。apt攻击拥有复杂的攻击过程，表现为持续隐秘且多阶段的攻击活动。一些防御手段在apt攻击的初始化入侵阶段检测，但攻击者可以使用特殊手段绕本文档来自技高网...

【技术保护点】

1.一种基于异构图的内网横向移动攻击检测方法，其特征在于，所述方法包括如下方案：

2.根据权利要求1所述的一种基于异构图的内网横向移动攻击检测方法，其特征在于，所述的步骤A中的表征算法包括如下步骤：

3.根据权利要求1所述的一种基于异构图的内网横向移动攻击检测方法，其特征在于，所述的步骤B中的异常检测算法包括如下步骤：

4.根据权利要求1所述的一种基于异构图的内网横向移动攻击检测方法，其特征在于，所述的步骤C中的路径生成器包括如下方法：

5.根据权利要求1所述的一种基于异构图的内网横向移动攻击检测方法，其特征在于，所述的步骤C中的检测算法包...

【技术特征摘要】

1.一种基于异构图的内网横向移动攻击检测方法，其特征在于，所述方法包括如下方案：

2.根据权利要求1所述的一种基于异构图的内网横向移动攻击检测方法，其特征在于，所述的步骤a中的表征算法包括如下步骤：

3.根据权利要求1所述的一种基于异构图的内网横向移动攻击检测方法，其特征在于，所...

【专利技术属性】
技术研发人员：方勇，许益家，徐尧昌，王开阳，王丛双，
申请(专利权)人：四川大学，
类型：发明
国别省市：