【技术实现步骤摘要】
本专利技术属于网络安全的,具体涉及一种基于蜜点情报阈值调整的溯源图异常节点检测方法。
技术介绍
1、现有的基于溯源图学习的异常检测方法大部分是图级别和日志级别的,节点级检测器概念较为新颖,缺少相关的工作。
2、图级检测器的大致流程是:将输入的大规模溯源大图划分成小规模的子图,再对子图的特征进行学习并进行异常检测,返回子图的异常告警情况。现有研究中,manzoor e等人在文献《fast memory-efficient anomaly detection in streaming heterogeneousgraphs》中提出的streamspot通过分析信息流图,利用拆分、相似性计算、映射转换和聚类分析的步骤,实现对图形数据动态处理和异常检测的有效性;但是streamspot系统存在脆弱性,因为其模型容易被攻击者篡改或误导,进而破坏检测准确性;并且其在溯源图的规模上存在一定限制,难以支持大规模溯源图的分析和处理,这可能限制了系统在应对复杂或大规模网络环境下的有效性,从而影响其在实际安全场景中的适用性。而han x等人提出的...
【技术保护点】
1.一种基于蜜点情报阈值调整的溯源图异常节点检测方法,其特征在于,包括离线训练阶段和在线检测两大阶段;
2.根据权利要求1所述的一种基于蜜点情报阈值调整的溯源图异常节点检测方法,其特征在于,所述所述溯源图包括节点和边;所述节点表示系统运行主体;所述边表示系统运行主体间的交互行为;所述节点的类型为系统运行主体的类型,包括进程、文件和套接字;所述边的类型为系统运行主体间交互行为的类型;
3.根据权利要求2所述的一种基于蜜点情报阈值调整的溯源图异常节点检测方法,其特征在于,所述节点特征向量包含附属边的信息;所述附属边包括入边和出边;所述入边表示节点作...
【技术特征摘要】
1.一种基于蜜点情报阈值调整的溯源图异常节点检测方法,其特征在于,包括离线训练阶段和在线检测两大阶段;
2.根据权利要求1所述的一种基于蜜点情报阈值调整的溯源图异常节点检测方法,其特征在于,所述所述溯源图包括节点和边;所述节点表示系统运行主体;所述边表示系统运行主体间的交互行为;所述节点的类型为系统运行主体的类型,包括进程、文件和套接字;所述边的类型为系统运行主体间交互行为的类型;
3.根据权利要求2所述的一种基于蜜点情报阈值调整的溯源图异常节点检测方法,其特征在于,所述节点特征向量包含附属边的信息;所述附属边包括入边和出边;所述入边表示节点作为目的节点与源节点连接的边;所述出边是指节点作为源节点与目的节点连接的边;
4.根据权利要求3所述的一种基于蜜点情报阈值调整的溯源图异常节点检测方法,其特征在于,所述节点特征向量的提取过程为:
5.根据权利要求2所述的一种基于蜜点情报阈值调整的溯源图异常节点检测方法,其特征在于,所述多模型框架网络的训练过程为:
6.根据权利要求5所述的一种基于蜜点情报阈值调整的溯源图异常节点检测方法,...
【专利技术属性】
技术研发人员:仇晶,宗熠,陈荣融,蔡泳信,胡铭浩,田志宏,纪守领,张乐君,刘园,陈玺名,高成亮,安西康,李思颖,肖千龙,汤菲,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。