【技术实现步骤摘要】
本专利技术属于apt检测,具体涉及一种基于终身学习和可疑语义传递的apt异常检测方法。
技术介绍
1、apt(advanced persistent threat,高级持续威胁)攻击是一种针对特定目标的隐蔽、技术先进且持续的网络攻击,旨在长期潜伏并获取敏感信息或资源。随着其复杂性不断增加,现有的研究开始利用起源图中丰富的上下文信息来检测复杂的apt攻击。其中,基于起源图的异常入侵检测方法因其不依赖攻击知识且能够对抗零日漏洞(zero-dayvulnerabilities)的特性而日益受到关注,与离线系统的高延迟和成本相比,能够以流式方式处理动态演变的起源图的检测方式更适合当前基于主机的检测的实时和成本效益要求。
2、然而,当前大多数基于起源图的异常入侵检测方法都回避了一个关键问题:概念漂移。概念漂移描述了随时间不可预见的数据流底层部分的变化,这种变化可能导致模型性能下降,产生高误报(因为训练期间学习到的特征和模式在测试期间不再适用)。在实际情况中,这一普遍现象对应于端点的用户行为变化,例如换到不同的生产环境或部署了新的软件。
3、当本文档来自技高网...
【技术保护点】
1.一种基于终身学习和可疑语义传递的APT异常检测方法,其特征在于:所述基于终身学习和可疑语义传递的APT异常检测方法包括如下步骤:
2.如权利要求1所述的基于终身学习和可疑语义传递的APT异常检测方法,其特征在于:所述节点包括进程、文件和网络;所述节点间的关系包括进程与进程间的派生关系、进程与文件间的读取关系、进程与文件间的创建关系、进程与网络间的访问关系;
3.如权利要求1所述的基于终身学习和可疑语义传递的APT异常检测方法,其特征在于:所述预设转移规则,满足如下公式:
4.如权利要求2或3所述的基于终身学习和可疑语义传递的AP...
【技术特征摘要】
1.一种基于终身学习和可疑语义传递的apt异常检测方法,其特征在于:所述基于终身学习和可疑语义传递的apt异常检测方法包括如下步骤:
2.如权利要求1所述的基于终身学习和可疑语义传递的apt异常检测方法,其特征在于:所述节点包括进程、文件和网络;所述节点间的关系包括进程与进程间的派生关系、进程与文件间的读取关系、进程与文件间的创建关系、进程与网络间的访问关系;
3.如权利要求1所述的基于终身学习和可疑语义传递的apt异常检测方法,其特征在于:所述预设转移规则,满足如下公式:
4.如权利要求2或3所述的基于终身学习和可疑语义传递的apt异常检测方法,其特征在于:所述可疑状态的初始状态值为介于0到1之间的实数,并规定所有套接字对象的节点的初始状态值均为1,其他均为0,其中,0表示完全良性,1表示高度可疑。
5.如权利要求1所述的基于终身学习和可疑语义传递的...
【专利技术属性】
技术研发人员:朱添田,郑奥涵,陈铁明,吕明琪,
申请(专利权)人:浙江工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。