【技术实现步骤摘要】
本专利技术属于网络安全,具体涉及一种基于溯源图的apt攻击检测方法、系统、设备及介质
技术介绍
1、随着信息革命的快速发展,网络空间已然成为现代社会中信息传播的新渠道、人类生产生活的新空间、社会经济发展的新引擎、但其同时也带来了新的安全风险和挑战。针对特定目标开展隐匿而持久的非法入侵活动,其所具有的攻击技术先进性、攻击过程长期性、攻击危害严重性等特点,使得研究对于该类网络威胁的检测方法具有重要的必然性和现实意义。
2、基于网络和主机终端侧的网络流量的入侵检测系统,难以有效适应apt攻击等具有长期潜伏性和针对性的复杂攻击模式,也难以检测到apt攻击常利用的0-day漏洞,同时对未知攻击和实时检测也难以检测。
3、利用溯源图(provenance graph)可以自然地将上下文信息流关联起来,作为警报的依据进而实时重构apt攻击场景,检测攻击。溯源图能够较好还原系统中的各种行为,同时其图结构的表示包含了丰富的语义信息,系统实体之间以及事件之间的关联性也能够得到较为完整的保留,利用溯源图进行威胁发现、攻击检测和攻击溯源...
【技术保护点】
1.基于溯源图的APT攻击检测方法,其特征在于,包括下述步骤:
2.根据权利要求1所述基于溯源图的APT攻击检测方法,其特征在于,所述系统审计日志是一串按时间顺序排列的事件三元组(Subject,Relation,Object),表示不同时间下,某进程或线程访问其他系统实体的过程。
3.根据权利要求1所述基于溯源图的APT攻击检测方法,其特征在于,对所述知识图谱KG进行降噪,具体为:
4.根据权利要求1所述基于溯源图的APT攻击检测方法,其特征在于,所述得到节点向量表示;具体为:
5.根据权利要求1所述基于溯源图的APT...
【技术特征摘要】
1.基于溯源图的apt攻击检测方法,其特征在于,包括下述步骤:
2.根据权利要求1所述基于溯源图的apt攻击检测方法,其特征在于,所述系统审计日志是一串按时间顺序排列的事件三元组(subject,relation,object),表示不同时间下,某进程或线程访问其他系统实体的过程。
3.根据权利要求1所述基于溯源图的apt攻击检测方法,其特征在于,对所述知识图谱kg进行降噪,具体为:
4.根据权利要求1所述基于溯源图的apt攻击检测方法,其特征在于,所述得到节点向量表示;具体为:
5.根据权利要求1所述基于溯源图的apt攻击检测方法,其特征在于,利用自适应的广度优先子图采样方法遍历每个节点向量表示,得到聚合知识图谱kg中的上下文语义信息的图像,具体为:
6.根据权利要求1所述基于溯源图的apt攻击检测方法,其特征在于,选用基于inception-resn...
【专利技术属性】
技术研发人员:李树栋,喻卓成,吴晓波,安琪,朱子枫,吕洋,贾焰,方滨兴,唐可可,张登辉,韩伟红,田志宏,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。