CN114884703B

CN114884703B - 基于威胁情报和消息传递模型的高级持续性威胁检测方法

Info

Publication number: CN114884703B
Application number: CN202210412622.XA
Authority: CN
Inventors: 陈兵; 孙黎晓
Original assignee: Nanjing University of Aeronautics and Astronautics
Current assignee: Nanjing University of Aeronautics and Astronautics
Priority date: 2022-04-19
Filing date: 2022-04-19
Publication date: 2023-02-28
Anticipated expiration: 2042-04-19
Also published as: CN114884703A

Abstract

本发明公开了一种基于威胁情报和消息传递模型的高级持续性威胁检测方法，包括：在目标网络系统内收集主机的网络行为数据并存储至网络行为数据库中；利用开源网络情报OSINT对所述网络行为数据进行扩充，得到网络信息数据；根据所述网络信息数据构建网络实体异质图；利用所述异质图节点的特征对所述异质图节点进行嵌入得到网络实体特征向量；根据所述网络实体特征向量构建消息传递模型，以更新每个异质图节点的自身特征，并根据更新后的异质图节点特征判断所述异质图节点是否为恶意网络实体；若是，将所述恶意网络实体补充至威胁情报库。该方法能够识别出恶意网络实体又可以进一步补充APT组织的威胁情报信息，为后续的攻击检测提供更多的先验标签信息。

Description

基于威胁情报和消息传递模型的高级持续性威胁检测方法

技术领域

本发明是关于威胁检测领域，特别是关于一种基于威胁情报和消息传递模型的高级持续性威胁检测方法。

背景技术

在信息全球化的背景下，网络空间成为国家主权的新疆域，国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临严峻风险与挑战。目前出现了一种具有高级性、针对性、持续性以及阶段性的网络攻击形式，称之为APT(Advanced PersistentThreat)攻击。通过对近年来已报告的APT攻击事件的分析，可以看出，APT攻击的数量逐年增加，其攻击手段也不断变化，涉及的领域越来越广。然而，抵抗APT攻击的防御技术却升级缓慢，防御重点仍在被动防御的层面上。APT攻击具有针对性强、攻击技术高级、隐蔽且潜伏时间长的特点，通常不会在单个时间段内产生异常行为，从而传统的被动检测方法难以实时发掘其隐藏的攻击行为。

近年来，网络威胁情报(Cyber Threat Intelligence，CTI)的出现为主动防御技术的研究带来了新思路。网络威胁情报是一种基于证据的知识，其涉及针对资产的已有的或潜在的威胁信息，包括与威胁相关的背景、机制、指标、含义和可采取行动的建议等。威胁情报作为针对特定攻击者建立的知识库，能提供多种情报数据用于对APT攻击者的主动式针对性检测。其中，威胁情报数据中的威胁指示器(Indicator of Compromise，IOC)中包含可用于检测可疑或恶意主机活动、网络活动的模式，例如，一个IOC可用于表示一系列的恶意域名。研究表明，网络日志是进行IOC匹配比较理想的类型，因为一些远控服务器在攻击发生时或许无法解析，因此不会产生其它类型的应用层日志，但通过网络活动就可以推断对应的主机上已经运行了一个木马或者蠕虫病毒，甚或是APT攻击。

目前，在大数据技术的支持之下，将IP、域名等IOC信息推送到IPS、SIEM等安全设备中对攻击进行检测发现，甚至实时阻截已成为了威胁情报的主流应用方式。然而，这种利用方式往往仅应用IOC进行简单的匹配，难以发掘APT组织首次利用的未知基础设施。此外，研究者们同时应用机器学习以及大数据分析技术，对域名等威胁情报信息进行特征分析，提取特征用于区分恶意的以及正常的网络实体。Bilge等人设计了EXPOSURE，一种大规模的应用被动DNS数据来检测恶意域名的系统，应用的特征包括每一个域名对应的不同IP地址的数目、平均TLL、不同字符的占比等。而有研究表明，这类特征只涉及单个网络实体，是易被攻击者改变的特征，而与之相对应，网络实体之间的关联关系则是不易被改变的全局特征。例如，域名到IP地址的解析或者自治系统编号(ASN)到IP范围的映射关系等。由于恶意网络实体之间往往存在一定的关联，因此由单个恶意网络实体可进一步推理发掘更多恶意实体。应用此类全局特征进行攻击检测的主要方法为，将网络实体的关联关系构建为图结构，应用基于图的推理算法，在图中进行节点标签或者特征的传播，从而完成恶意域名的检测与识别等任务。Oprea等人提出了基于信念传播(Belief Propagation)算法的框架，通过分析DNS日志和Web代理日志，尝试在APT活动的早期阶段识别攻击行为。Nabeel等人基于被动DNS数据，利用基于路径的推理算法，实现了域名的检测，它们构建了一种新的域名-IP二部图，同时实现了IP分类器以及域名分类器。然而大多数之前的工作集中于单类型关系的图构建，未能充分的利用网络实体之间复杂的连接关系，在识别的恶意实体类型方面受到了限制，同时在基于图的推理算法以及消息传递模型方面，仍有提升的空间。

公开于该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。

发明内容

本发明的目的在于提供一种基于威胁情报和消息传递模型的高级持续性威胁检测的方法及应用，解决现有技术未能充分的利用网络实体之间复杂的连接关系，在识别的恶意实体类型方面受到了限制的问题。

为实现上述目的，本发明的实施例提供了一种基于威胁情报和消息传递模型的高级持续性威胁检测的方法。

在本发明的一个或多个实施方式中，所述方法包括：在目标网络系统内收集主机的网络行为数据并存储至网络行为数据库中，其中，所述网络行为数据包括但不限于主机的网络请求数据、域名解析数据、网络响应数据；利用开源网络情报OSINT对所述网络行为数据进行扩充，得到网络信息数据，其中，所述开源网络情报OSINT包括但不限于PassiveDNS、Whois记录、X.509证书记录；根据所述网络信息数据构建网络实体异质图，其中，异质图节点为所述网络信息数据中的网络实体，异质图边为实体关联关系；利用所述异质图节点的特征对所述异质图节点进行嵌入得到网络实体特征向量，其中，所述网络实体特征向量包括由威胁情报得到的实体标签特征和实体局部特征；根据所述网络实体特征向量构建消息传递模型，以更新每个异质图节点的自身特征，并根据更新后的异质图节点特征判断所述异质图节点是否为恶意网络实体；若是，将所述恶意网络实体补充至威胁情报库。

在本发明的一个或多个实施方式中，利用所述异质图节点的特征对所述异质图节点进行嵌入得到网络实体特征向量，包括：将所述实体标签特征嵌入到与所述实体局部特征相同的空间中；以及将嵌入后的实体标签特征与所述实体局部特征相加得到所述网络实体特征向量。

在本发明的一个或多个实施方式中，根据所述网络实体特征向量构建消息传递模型，包括：根据标签传播算法和添加了注意力机制的图神经网络算法构建消息传递模型，以更新每个异质图节点的自身特征；其中，通过标签传播算法传播所述实体标签特征，通过添加了注意力机制的图神经网络算法传播所述实体局部特征。

在本发明的一个或多个实施方式中，所述方法还包括：将预设比例带标签的异质图节点的实体标签特征转化为零向量；以及通过所述网络实体局部特征、未转化的带标签的异质图节点的实体标签特征和注意力矩阵构建标签预测模型，以预测无标签网络实体的实体标签特征。

在本发明的一个或多个实施方式中，所述方法还包括：所述实体标签特征包括良性实体标签特征和恶意实体标签特征，其中，在威胁情报库中出现的网络实体的标签特征被标记为恶意实体标签特征，在网络中公开的白名单中出现的网络实体的标签特征被标记为良性实体标签特征；以及所述实体局部特征包括但不限于域名类实体的字符分布特征、域名长度特征、域名与通用域名之间的最大Levenshtein距离特征。

在本发明的一个或多个实施方式中，根据所述网络信息数据构建网络实体异质图，包括：根据所述网络信息数据构建网络实体异质图：G_h＝(V,E,T,X)，其中，V表示网络实体集合，E表示网络实体关联边的集合，X＝{x_i|v_i∈V}表示所有网络实体的特征集合，T＝<T_v,T_e>表示网络实体异质图的网络模式，T_v为网络实体的类型集合，T_e为网络实体关联边的类型集合，满足|T_v|+|T_e|>2。

在本发明的一个或多个实施方式中，所述方法还包括：所述网络实体的类型集合包括但不限于主机、域名、IP地址，所述网络实体关联边的类型集合包括但不限于IP与域名的映射、主机查询域名。

在本发明的另一个方面当中，提供了一种基于威胁情报和消息传递模型的高级持续性威胁检测的装置，其包括收集模块、扩充模块、构建模块、嵌入模块和判断模块。

收集模块，用于在目标网络系统内收集主机的网络行为数据并存储至网络行为数据库中，其中，所述网络行为数据包括但不限于主机的网络请求数据、域名解析数据、网络响应数据。

扩充模块，用于利用开源网络情报OSINT对所述网络行为数据进行扩充，得到网络信息数据，其中，所述开源网络情报OSINT包括但不限于Passive DNS、Whois记录、X.509证书记录。

构建模块，用于根据所述网络信息数据构建网络实体异质图，其中，异质图节点为所述网络信息数据中的网络实体，异质图边为实体关联关系。

嵌入模块，用于利用所述异质图节点的特征对所述异质图节点进行嵌入得到网络实体特征向量，其中，所述网络实体特征向量包括由威胁情报得到的实体标签特征和实体局部特征。

判断模块，用于根据所述网络实体特征向量构建消息传递模型，以更新每个异质图节点的自身特征，并根据更新后的异质图节点特征判断所述异质图节点是否为恶意网络实体；若是，将所述恶意网络实体补充至威胁情报库。

在本发明的一个或多个实施方式中，所述嵌入模块还用于：将所述实体标签特征嵌入到与所述实体局部特征相同的空间中；以及将嵌入后的实体标签特征与所述实体局部特征相加得到所述网络实体特征向量。

在本发明的一个或多个实施方式中，所述判断模块还用于：根据标签传播算法和添加了注意力机制的图神经网络算法构建消息传递模型，以更新每个异质图节点的自身特征；其中，通过标签传播算法传播所述实体标签特征，通过添加了注意力机制的图神经网络算法传播所述实体局部特征。

在本发明的一个或多个实施方式中，所述判断模块还用于：将预设比例带标签的异质图节点的实体标签特征转化为零向量；以及通过所述网络实体局部特征、未转化的带标签的异质图节点的实体标签特征和注意力矩阵构建标签预测模型，以预测无标签网络实体的实体标签特征。

在本发明的一个或多个实施方式中，所述构建模块还用于：G_h＝(V,E,T,X)，其中，V表示网络实体集合，E表示网络实体关联边的集合，X＝{x_i|v_i∈V}表示所有网络实体的特征集合，T＝<T_v,T_e>表示网络实体异质图的网络模式，T_v为网络实体的类型集合，T_e为网络实体关联边的类型集合，满足|T_v|+|T_e|>2。

在本发明的另一个方面当中，提供了一种电子设备，包括：至少一个处理器；以及存储器，所述存储器存储指令，当所述指令被所述至少一个处理器执行时，使得所述至少一个处理器执行如上所述的基于威胁情报和消息传递模型的高级持续性威胁检测的方法。

在本发明的另一个方面当中，提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如所述的基于威胁情报和消息传递模型的高级持续性威胁检测的方法的步骤。

与现有技术相比，根据本发明实施方式的基于威胁情报和消息传递模型的高级持续性威胁检测的方法及应用，其能够通过应用开源网络情报OSINT对收集到的网络行为数据进行补充，并根据补充后的数据构建网络实体异质图，在不同实体之间建立连接，充分利用了不易被攻击者改变的实体关联这一全局特征，提高了攻击者重用攻击资源的难度并扩大了攻击检测的范围；对特征进行嵌入得到节点的特征向量，这些特征被送入到消息传递模型中进行训练，每个节点通过标签信息的传播以及局部特征信息的传播可以聚合邻居节点的特征信息，最终完成对节点特征的更新，从而消息传递模型可完成对所有节点的恶意性与非恶意性判断，识别出所有当前网络环境中的恶意节点。基于消息传递模型，节点可自动化的更新自身特征并完成节点分类任务，提升了攻击检测的效率和恶意实体识别的准确率。

根据本发明实施方式的基于威胁情报和消息传递模型的高级持续性威胁检测的方法及应用，其还能够通过利用威胁情报作为先验知识，获取网络实体的标签信息作为节点标签特征；通过对于网络实体自身特征的分析，获取网络实体的特征信息作为局部特征，同时利用节点的标签特征以及节点局部特征，有利于充分利用安全人员已掌握的攻击者信息进行主动地攻击检测，并且有助于发掘先前未知的恶意网络实体。

附图说明

图1是根据本发明一实施方式的基于威胁情报和消息传递模型的高级持续性威胁检测的方法的总流程图；

图2是根据本发明一实施方式的基于威胁情报和消息传递模型的高级持续性威胁检测的方法的具体流程图；

图3是根据本发明一实施方式的基于威胁情报和消息传递模型的高级持续性威胁检测的方法的整体框架图；

图4是根据本发明一实施方式的基于威胁情报和消息传递模型的高级持续性威胁检测的装置的结构图；

图5是根据本发明一实施方式的基于威胁情报和消息传递模型的高级持续性威胁检测的计算设备的硬件结构图。

具体实施方式

下面结合附图，对本发明的具体实施方式进行详细描述，但应当理解本发明的保护范围并不受具体实施方式的限制。

除非另有其它明确表示，否则在整个说明书和权利要求书中，术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分，而并未排除其它元件或其它组成部分。

以下结合附图，详细说明本发明各实施例提供的技术方案。

实施例1

如图1至图3所示，介绍本发明的一个实施例中基于威胁情报和消息传递模型的高级持续性威胁检测的方法，该方法包括如下步骤。

在步骤S101中，在目标网络系统内收集主机的网络行为数据并存储至网络行为数据库中。

在目标网络系统内收集主机的网络行为数据并存储到数据库中，在主机内记录网络行为的形式主要为网络行为日志，包括DNS查询日志、DNS解析日志等，其中，网络行为数据包括但不限于主机的网络请求数据、域名解析数据以及网络响应数据。

主机的网络请求数据，即主机对于域名或者IP的查询行为，通常记录在域名服务器中，可通过Sysmon等日志记录工具直接获得。域名解析数据以及网络响应数据等DNS RR记录，可通过开源工具Gieben DNS library获得。对于获取的网络行为数据，从中提取主机名、域名以及IP地址三类网络实体，同时提取主机查询域名、域名解析IP地址两类实体间关联关系。

在步骤S102中，利用开源网络情报OSINT对网络行为数据进行扩充，得到网络信息数据。

利用开源网络情报OSINT对网络行为数据进行扩充，得到网络信息数据。在本实施例中，应用的开源网络情报包括Passive DNS记录、Whois记录以及X.509证书记录，其中Passive DNS记录补充域名与IP之间的映射关系，IP地址与IP范围之间的关系以及域名与子域名之间的关系；Whois记录提供注册者相关的信息，包括注册用户注册的域名以及注册用户注册的IP地址，同一攻击者会注册多个域名或IP作为进行网络攻击的基础设施资源；X.509证书通常被攻击者重用，此记录提供X.509证书的信息，包括X.509证书关联的域名，或者X.509证书关联的IP地址。此外，可以根据实际攻击检测需求更改或者添加其他类型的开源网络情报OSINT作为补充内容。

在步骤S103中，根据网络信息数据构建网络实体异质图。

根据开源网络情报OSINT扩充后的网络信息数据构建网络实体异质图G_h＝(V,E,T,X)，其中，V表示网络实体集合，即网络实体异质图中的节点，E表示节点之间的关系，在本实施例中表示网络实体关联边的集合。T＝<T_v,T_e>，为网络实体异质图的网络模式，其中，T_v为网络实体的类型集合，T_e为网络实体关联边的类型集合，网络实体类型T_v包括但不限于主机、域名、IP地址、IP范围、X.509证书以及注册账户，网络关系类型T_e包括但不限于域名映射IP、主机查询域名、IP属于IP范围、注册用户注册域名、注册用户注册IP、X.509证书关联域名以及X.509证书关联IP地址。

在步骤S104中，利用异质图节点的特征对异质图节点进行嵌入得到网络实体特征向量。

对于构建的网络实体异质图，提取其中的网络实体特征信息，网络实体特征分为实体标签特征以及实体局部特征，即网络实体本身的特征。实体标签特征分为良性实体标签特征和恶意实体标签特征：恶意实体标签通过网络威胁情报获得，即若某网络实体出现在公开可信的威胁情报中，则代表攻击组织曾使用过该网络实体，因此将该实体标记为恶意实体；良性实体标签通过公开的白名单获得，即若某实体出现在公开可信的白名单中，则将该实体标记为良性实体。此外，其余的网络实体均为无标签实体，后续将对此类实体的标签进行预测。实体本身的特征即实体局部特征，主要考虑域名的3类特征：域名类实体的字符分布特征、域名长度特征、域名与通用域名之间的最大Levenshtein距离特征。

威胁情报的来源可以是：APTnotes等开源项目的提供的APT威胁报告，MITRE ATT&CK公司等提供的可信威胁情报信息。白名单的来源可以是：Cisco公司的top 100万的域名等。

进一步地，网络实体局部特征表示为X∈R^n×m，n为节点数目，网络实体标签特征表示为Y∈R^n×c，c为标签类别数目，即恶意实体标签特征与良性实体标签特征，由于存在网络实体无标签，因此将带标签节点表示为one-hot向量，无标签节点表示为零向量。进而将网络实体标签特征嵌入到网络实体局部特征相同的空间中：Y∈R^n×c→Y_d∈R^n×m，并将网络实体标签特征与网络实体局部特征相加得到网络实体特征向量，作为传播信息：(H⁰＝X+Y_d)∈Rⁿ ^×m。

在步骤S105中，根据所述网络实体特征向量构建消息传递模型，以更新每个异质图节点的自身特征，并根据更新后的异质图节点特征判断所述异质图节点是否为恶意网络实体。

利用网络实体特征向量(H⁰＝X+Y_d)作为消息传递模型的输入训练模型，通过消息传递模型的迭代处理，使每个异质图节点学习邻居节点的特征并更新自身特征，从而根据更新后的节点特征自动判断节点是否为恶意网络实体并完成检测高级持续性威胁的目标。

在本实施例中，消息传递模型由标签传播算法LPA和添加了注意力机制的图神经网络算法GCN组成，标签传播算法在网络实体异质图中传播节点的标签信息，添加了注意力机制的图神经网络算法传播在网络实体异质图中节点的特征信息，消息传递模型为：

H^(l+1)＝σ(AH^(l)W^(l))

即：

H^(l+1)＝σ(A^l(X+Y_d)W⁽¹⁾W⁽²⁾…W^(l))

＝σ(A^lXW+A^lY_dW)

其中，W＝W⁽¹⁾W⁽²⁾…W^(l)，A为注意力矩阵，A^lXW进行特征传播，A^lY_dW进行标签传播。消息传递模型中的图神经网络可以使用传统的图卷积网络GCN。实验表明，在GCN基础上增加注意力机制可以取得更好的效果。

为了防止标签泄漏问题，采用屏蔽标签预测的方法对模型进行训练：随机的将预设比例带标签的节点的标签特征向量转化为零向量表示为

将保留的带标签节点的标签特征表示为

通过实体局部特征X、未转化的带标签的异质图节点的实体标签特征

和注意力矩阵A构建标签预测模型预测

标签预测模型如下：

其中，

代表转化为零向量的节点，θ为训练参数。

在实际的预测阶段，将所有带标签节点的标签特征作为标签预测模型的输入，预测其余无标签的节点标签，从而可以识别出网络环境中的所有恶意网络实体，完成对APT攻击的检测，此外，通过预测得到的恶意网络实体可以进一步补充攻击组织的威胁情报信息。

在步骤S106中，将恶意网络实体补充至威胁情报库。

根据本发明实施方式的基于威胁情报和消息传递模型的高级持续性威胁检测的方法及应用，其能够通过应用开源网络情报OSINT对收集到的网络行为数据进行补充，并根据补充后的数据构建网络实体异质图，在不同实体之间建立连接，充分利用了不易被攻击者改变的实体关联这一全局特征，提高了攻击者重用攻击资源的难度并扩大了攻击检测的范围；对特征进行嵌入得到节点的特征向量，这些特征被送入到消息传递模型中进行训练，每个节点通过标签信息的传播以及局部特征信息的传播可以聚合邻居节点的特征信息，最终完成对节点特征的更新，从而消息传递模型可完成对所有节点的恶意性与非恶意性判断，识别出所有当前网络环境中的恶意节点。基于消息传递模型，节点可自动化的更新自身特征并完成节点分类任务，提升了攻击检测的效率和恶意实体识别的准确率。

如图4所示，介绍根据本发明具体实施方式的基于威胁情报和消息传递模型的高级持续性威胁检测的装置。

在本发明的实施方式中，基于威胁情报和消息传递模型的高级持续性威胁检测的装置包括收集模块401、扩充模块402、构建模块403、嵌入模块404和判断模块405。

收集模块401，用于在目标网络系统内收集主机的网络行为数据并存储至网络行为数据库中，其中，网络行为数据包括但不限于主机的网络请求数据、域名解析数据、网络响应数据。

扩充模块402，用于利用开源网络情报OSINT对网络行为数据进行扩充，得到网络信息数据，其中，开源网络情报OSINT包括但不限于Passive DNS、Whois记录、X.509证书记录。

构建模块403，用于根据网络信息数据构建网络实体异质图，其中，异质图节点为网络信息数据中的网络实体，异质图边为实体关联关系。

嵌入模块404，用于利用异质图节点的特征对异质图节点进行嵌入得到网络实体特征向量，其中，网络实体特征向量包括由威胁情报得到的实体标签特征和实体局部特征。

判断模块405，用于根据网络实体特征向量构建消息传递模型，以更新每个异质图节点的自身特征，并根据更新后的异质图节点特征判断异质图节点是否为恶意网络实体；若是，将恶意网络实体补充至威胁情报库。

嵌入模块404还用于：将实体标签特征嵌入到与实体局部特征相同的空间中；以及将嵌入后的实体标签特征与实体局部特征相加得到网络实体特征向量。

判断模块405还用于：根据标签传播算法和添加了注意力机制的图神经网络算法构建消息传递模型，以更新每个异质图节点的自身特征；其中，通过标签传播算法传播实体标签特征，通过添加了注意力机制的图神经网络算法传播实体局部特征。

判断模块405还用于：将预设比例带标签的异质图节点的实体标签特征转化为零向量；以及通过网络实体局部特征、未转化的带标签的异质图节点的实体标签特征和注意力矩阵构建标签预测模型，以预测无标签网络实体的实体标签特征。

构建模块403还用于：G_h＝(V,E,T,X)，其中，V表示网络实体集合，E表示网络实体关联边的集合，X＝{x_i|v_i∈V}表示所有网络实体的特征集合，T＝<T_v,T_e>表示网络实体异质图的网络模式，T_v为网络实体的类型集合，T_e为网络实体关联边的类型集合，满足|T_v|+|T_e|>2。

在本实施例中，实体标签特征包括良性实体标签特征和恶意实体标签特征，其中，在威胁情报库中出现的网络实体的标签特征被标记为恶意实体标签特征，在网络中公开的白名单中出现的网络实体的标签特征被标记为良性实体标签特征；以及实体局部特征包括但不限于域名类实体的字符分布特征、域名长度特征、域名与通用域名之间的最大Levenshtein距离特征。网络实体的类型集合包括但不限于主机、域名、IP地址，所述网络实体关联边的类型集合包括但不限于IP与域名的映射、主机查询域名。

图5示出了根据本说明书的实施例的用于基于威胁情报和消息传递模型的高级持续性威胁检测的计算设备50的硬件结构图。如图5所示，计算设备50可以包括至少一个处理器501、存储器502(例如非易失性存储器)、内存503和通信接口504，并且至少一个处理器501、存储器502、内存503和通信接口504经由总线505连接在一起。至少一个处理器501执行在存储器502中存储或编码的至少一个计算机可读指令。

应该理解，在存储器502中存储的计算机可执行指令当执行时使得至少一个处理器501进行本说明书的各个实施例中以上结合图1-5描述的各种操作和功能。

在本说明书的实施例中，计算设备50可以包括但不限于：个人计算机、服务器计算机、工作站、桌面型计算机、膝上型计算机、笔记本计算机、移动计算设备、智能电话、平板计算机、蜂窝电话、个人数字助理(PDA)、手持装置、消息收发设备、可佩戴计算设备、消费电子设备等等。

根据一个实施例，提供了一种比如机器可读介质的程序产品。机器可读介质可以具有指令(即，上述以软件形式实现的元素)，该指令当被机器执行时，使得机器执行本说明书的各个实施例中以上结合图1-5描述的各种操作和功能。具体地，可以提供配有可读存储介质的系统或者装置，在该可读存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码，且使该系统或者装置的计算机或处理器读出并执行存储在该可读存储介质中的指令。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

前述对本发明的具体示例性实施方案的描述是为了说明和例证的目的。这些描述并非想将本发明限定为所公开的精确形式，并且很显然，根据上述教导，可以进行很多改变和变化。对示例性实施例进行选择和描述的目的在于解释本发明的特定原理及其实际应用，从而使得本领域的技术人员能够实现并利用本发明的各种不同的示例性实施方案以及各种不同的选择和改变。本发明的范围意在由权利要求书及其等同形式所限定。

Claims

1.一种基于威胁情报和消息传递模型的高级持续性威胁检测的方法，其特征在于，所述方法包括：

在目标网络系统内收集主机的网络行为数据并存储至网络行为数据库中，其中，所述网络行为数据包括但不限于主机的网络请求数据、域名解析数据、网络响应数据；

利用开源网络情报OSINT对所述网络行为数据进行扩充，得到网络信息数据，其中，所述开源网络情报OSINT包括但不限于Passive DNS、Whois记录、X.509证书记录；

根据所述网络信息数据构建网络实体异质图，其中，异质图节点为所述网络信息数据中的网络实体，异质图边为实体关联关系；

利用所述异质图节点的特征对所述异质图节点进行嵌入得到网络实体特征向量，其中，所述网络实体特征向量包括由威胁情报得到的实体标签特征和实体局部特征，所述实体标签特征包括良性实体标签特征和恶意实体标签特征，所述实体局部特征为实体本身的特征，包括但不限于域名类实体的字符分布特征、域名长度特征、域名与通用域名之间的最大Levenshtein距离特征；

根据所述网络实体特征向量构建消息传递模型，以更新每个异质图节点的自身特征，并根据更新后的异质图节点特征判断所述异质图节点是否为恶意网络实体；若是，将所述恶意网络实体补充至威胁情报库，

其中利用所述异质图节点的特征对所述异质图节点进行嵌入得到网络实体特征向量，包括：将所述实体标签特征嵌入到与所述实体局部特征相同的空间中；以及将嵌入后的实体标签特征与所述实体局部特征相加得到所述网络实体特征向量。

2.如权利要求1所述的基于威胁情报和消息传递模型的高级持续性威胁检测的方法，其特征在于，根据所述网络实体特征向量构建消息传递模型，包括：

根据标签传播算法和添加了注意力机制的图神经网络算法构建消息传递模型，以更新每个异质图节点的自身特征；

其中，通过标签传播算法传播所述实体标签特征，通过添加了注意力机制的图神经网络算法传播所述实体局部特征。

3.如权利要求1所述的基于威胁情报和消息传递模型的高级持续性威胁检测的方法，其特征在于，所述方法还包括：

将预设比例带标签的异质图节点的实体标签特征转化为零向量；以及

通过所述网络实体局部特征、未转化的带标签的异质图节点的实体标签特征和注意力矩阵构建标签预测模型，以预测无标签网络实体的实体标签特征。

4.如权利要求1所述的基于威胁情报和消息传递模型的高级持续性威胁检测的方法，其特征在于，所述方法还包括：

在威胁情报库中出现的网络实体的标签特征被标记为恶意实体标签特征，在网络中公开的白名单中出现的网络实体的标签特征被标记为良性实体标签特征。

5.如权利要求1所述的基于威胁情报和消息传递模型的高级持续性威胁检测的方法，其特征在于，根据所述网络信息数据构建网络实体异质图，包括：

根据所述网络信息数据构建网络实体异质图：G_h＝(V,E,T,X)，其中，V表示网络实体集合，E表示网络实体关联边的集合，X＝{x_i|v_i∈V}表示所有网络实体的特征集合，T＝<T_v,T_e>表示网络实体异质图的网络模式，T_v为网络实体的类型集合，T_e为网络实体关联边的类型集合，满足|T_v|+|T_e|>2。

6.如权利要求5所述的基于威胁情报和消息传递模型的高级持续性威胁检测的方法，其特征在于，所述方法还包括：

所述网络实体的类型集合包括但不限于主机、域名、IP地址，所述网络实体关联边的类型集合包括但不限于IP与域名的映射、主机查询域名。

7.一种基于威胁情报和消息传递模型的高级持续性威胁检测的装置，其特征在于，所述装置包括：

收集模块，用于在目标网络系统内收集主机的网络行为数据并存储至网络行为数据库中，其中，所述网络行为数据包括但不限于主机的网络请求数据、域名解析数据、网络响应数据；

扩充模块，用于利用开源网络情报OSINT对所述网络行为数据进行扩充，得到网络信息数据，其中，所述开源网络情报OSINT包括但不限于Passive DNS、Whois记录、X.509证书记录；

构建模块，用于根据所述网络信息数据构建网络实体异质图，其中，异质图节点为所述网络信息数据中的网络实体，异质图边为实体关联关系；

嵌入模块，用于利用所述异质图节点的特征对所述异质图节点进行嵌入得到网络实体特征向量，其中，所述网络实体特征向量包括由威胁情报得到的实体标签特征和实体局部特征，所述实体标签特征包括良性实体标签特征和恶意实体标签特征，所述实体局部特征为实体本身的特征，包括但不限于域名类实体的字符分布特征、域名长度特征、域名与通用域名之间的最大Levenshtein距离特征；

判断模块，用于根据所述网络实体特征向量构建消息传递模型，以更新每个异质图节点的自身特征，并根据更新后的异质图节点特征判断所述异质图节点是否为恶意网络实体；若是，将所述恶意网络实体补充至威胁情报库，

8.一种电子设备，其特征在于，包括：

至少一个处理器；以及

存储器，所述存储器存储指令，当所述指令被所述至少一个处理器执行时，使得所述至少一个处理器执行如权利要求1至6中任一项所述的基于威胁情报和消息传递模型的高级持续性威胁检测的方法。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的基于威胁情报和消息传递模型的高级持续性威胁检测的方法的步骤。