CN115086004B - 一种基于异质图的安全事件识别方法及系统 - Google Patents

一种基于异质图的安全事件识别方法及系统 Download PDF

Info

Publication number
CN115086004B
CN115086004B CN202210655671.6A CN202210655671A CN115086004B CN 115086004 B CN115086004 B CN 115086004B CN 202210655671 A CN202210655671 A CN 202210655671A CN 115086004 B CN115086004 B CN 115086004B
Authority
CN
China
Prior art keywords
security event
meta
path
security
domain name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210655671.6A
Other languages
English (en)
Other versions
CN115086004A (zh
Inventor
金舒原
黄依婷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Yat Sen University
Original Assignee
Sun Yat Sen University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Yat Sen University filed Critical Sun Yat Sen University
Priority to CN202210655671.6A priority Critical patent/CN115086004B/zh
Publication of CN115086004A publication Critical patent/CN115086004A/zh
Application granted granted Critical
Publication of CN115086004B publication Critical patent/CN115086004B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及安全事件识别技术领域,提出一种基于异质图的安全事件识别方法及系统,其中包括以下步骤:获取安全风险场景中的安全事件数据并进行预处理,得到安全事件特征;以安全事件数据集中的安全事件及其关联对象作为节点,基于安全事件及其关联对象的关联关系作为无向边,构建得到异质图;从异质图中提取与待识别的安全事件有关联的P条元路径,逐条元路径进行安全事件节点的安全事件特征融合,得到元路径融合特征;对元路径融合特征进行语义信息聚合,得到相应的重要性权重;以重要性权重为系数,对与安全事件关联的P个元路径融合特征进行聚合,得到安全事件的特征表示;将安全事件的特征表示输入分类器,输出识别结果。

Description

一种基于异质图的安全事件识别方法及系统
技术领域
本发明涉及安全事件识别技术领域,更具体地,涉及一种基于异质图的安全事件识别方法及系统。
背景技术
为应对钓鱼攻击、恶意软件攻击等网络安全风险,安全人员往往会对不同安全风险场景下的安全事件进行分析。安全事件是指由于人为原因、软硬件缺陷故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。在一般的安全检测模型中,可将安全事件视为在其对应的网络安全风险场景下的重要分析对象或目标对象,如在钓鱼攻击场景下,安全事件可以是钓鱼网站、钓鱼邮件等,在恶意软件攻击的场景下,安全事件可以是恶意安卓软件等。
为识别安全事件,目前有提出一种恶意行为识别方法,根据基于恶意行为数据集构建的带权异质图、节点的原始特征向量以及在异质图上定义的多个元路径对归纳式图神经网络进行训练,其中归纳式图神经网络根据所述元路径将带权异质图抽取为多个对应的子图,学习子图中节点的潜在向量表示,得到子图对应的多个子图特征向量,然后将多个子图特征向量融合为一个节点特征向量;对多次融合后获得的节点特征向量进行分类学习,输出分类识别结果。现有方法中以软件节点、文件节点以及模块节点,以及打开、删除以及载入作为连接关系构建异质图。但将其应用于安全事件识别时,由于不同元路径上的节点的特征数据不同,在特征数据的分类识别中缺少对特征数据重要程度的考量,容易导致安全事件误识别,存在识别准确率较低的问题。
发明内容
本发明为克服上述现有技术缺少对特征数据重要程度的考量,容易导致安全事件误识别的问题,提供一种基于异质图的安全事件识别方法及系统。
为解决上述技术问题,本发明的技术方案如下:
一种基于异质图的安全事件识别方法,包括以下步骤:
获取安全风险场景中的安全事件数据,并对所述安全事件数据进行预处理,得到安全事件特征;
以所述安全事件数据集中的安全事件及其关联对象作为节点,基于安全事件及其关联对象的关联关系作为无向边,构建得到异质图;
从所述异质图中提取在当前特定安全风险场景中与待识别的安全事件i有关联的P条元路径,逐条元路径进行安全事件节点的安全事件特征融合,得到P个元路径融合特征;
对P个元路径融合特征进行语义信息聚合,得到元路径融合特征相应的重要性权重;以元路径融合特征相应的重要性权重为系数,对与安全事件i关联的P个元路径融合特征进行聚合,得到安全事件i的特征表示;
将安全事件i的特征表示输入分类器中,输出得到安全事件标签作为安全事件i的识别结果。
进一步地,本发明还提出了一种基于异质图的安全事件识别系统,应用于上述的基于异质图的安全事件识别方法。其中,基于异质图的安全事件识别系统包括依次连接的数据采集模块,预处理模块,异质图构建模块,元路径提取模块,元路径融合模块,语义信息聚合模块,特征聚合模块,和分类器。
本技术方案中,数据采集模块用于采集安全风险场景中的安全事件数据;预处理模块用于对采集的安全事件数据进行预处理,得到安全事件特征;异质图构建模块用于以所述安全事件数据集中的安全事件及其关联对象作为节点,基于安全事件及其关联对象的关联关系作为无向边,构建得到异质图;元路径提取模块用于从所述异质图中提取在当前特定安全风险场景中与待识别的安全事件i有关联的P条元路径;元路径融合模块用于逐条元路径进行安全事件节点的安全事件特征融合,得到P个元路径融合特征;语义信息聚合模块用于对P个元路径融合特征进行语义信息聚合,得到元路径融合特征相应的重要性权重;特征聚合模块用于以元路径融合特征相应的重要性权重为系数,对与安全事件i关联的P个元路径融合特征进行聚合,得到安全事件i的特征表示;分类器用于对输入的安全事件i的特征表示进行识别分类,输出安全事件标签作为安全事件i的识别结果。
进一步地,本发明还提出了一种基于异质图的安全事件识别系统,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述的基于异质图的安全事件识别方法的步骤。
与现有技术相比,本发明技术方案的有益效果是:本发明基于异质图特征提取实现捕捉安全事件及其关联对象之间的语义结构特征,同时对融合特征以相应的重要性权重为系数进行聚合,使特征提取更具有效性,有效提高安全事件识别准确率。
附图说明
图1为实施例1的基于异质图的安全事件识别方法的流程图。
图2为在恶意域名攻击场景中构造的恶意域名识别的异质图网络示意图。
图3为在安卓恶意软件攻击场景中构造的安卓恶意软件识别的异质图网络示意图。
图4为实施例2的基于异质图的安全事件识别方法的流程图。
图5为实施例3的基于异质图的安全事件识别系统的架构图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
下面结合附图和实施例对本发明的技术方案做进一步的说明。
实施例1
本实施例提出一种基于异质图的安全事件识别方法,如图1所示,为本实施例的基于异质图的安全事件识别方法的流程图。
本实施例提出的基于异质图的安全事件识别方法中,包括以下步骤:
S1、获取安全风险场景中的安全事件数据,并对所述安全事件数据进行预处理,得到安全事件特征。
S2、以所述安全事件数据集中的安全事件及其关联对象作为节点,基于安全事件及其关联对象的关联关系作为无向边,构建得到异质图。
S3、从所述异质图中提取在当前特定安全风险场景中与待识别的安全事件i有关联的P条元路径,逐条元路径进行安全事件节点的安全事件特征融合,得到P个元路径融合特征。
S4、对P个元路径融合特征进行语义信息聚合,得到元路径融合特征相应的重要性权重;以元路径融合特征相应的重要性权重为系数,对与安全事件i关联的P个元路径融合特征进行聚合,得到安全事件i的特征表示。
S5、将安全事件i的特征表示输入分类器中,输出得到安全事件标签作为安全事件i的识别结果。
本实施例适用于多种安全风险场景下的安全事件的特征提取,如恶意域名攻击场景下对恶意域的名特征提取、安卓恶意软件攻击场景下对安卓恶意软件的特征提取等。在使用基于异质图的安全事件特征提取方法时,须构造相应安全事件的异质图网络。如图2、3所示,分别为在恶意域名攻击场景中构造的恶意域名识别的异质图网络示意图,以及在安卓恶意软件攻击场景中构造的安卓恶意软件识别的异质图网络示意图。
在一具体实施过程中,收集特定安全风险场景中的可带标签分类的安全事件数据集。例如,在恶意域名攻击场景中,需要收集的安全事件数据为域名数据,包括域名白名单数据和域名黑名单数据,并保存好这些域名数据。
同时收集与安全事件数据有价值的关联关系数据,且将与安全事件有关系的其他对象信息以及相应的关联关系信息保存好作为后续操作使用的数据集。例如,在恶意域名攻击场景中,与域名相关联的其他实体对象有请求客户端、ip地址等,请求客户端和域名之间存在请求查询的关系,域名和ip地址之间存在解析关系,保存好请求客户端、ip地址的相关信息以及域名与这些对象的关联关系信息。
对特定安全风险场景中的安全事件数据集按分类类别进行标注。例如,在恶意域名攻击场景下中,将域名数据按黑白名单标注成恶意域名和正常域名。
对安全事件进行特征提取,得到安全事件特征。例如,在恶意域名攻击场景中,提取域名特征,这里的特征提取是将提取对象视为独立对象进行的,其中,域名的特征可能包括域名长度、域名深度等。
将特定安全风险场景中的安全事件及其关联对象关系转换成异质图,将安全事件和其不同关联对象构造为不同类型的节点,基于安全事件和其不同关联对象的关联关系构造不同类型的连边,得到特定安全风险场景的异质图。
从构造好的异质图中提取在此安全风险场景中与安全事件有关联的多条元路径。例如,在如图2所示的恶意域名识别的异质图网络中,可以提取“域名-请求客户端-域名”这条元路径,表示两域名都是由同一客户发出的查询请求的情况,这一定程度体现这两个域名的相似性;还可以提取“域名-ip地址-域名”这条元路径,表示两域名都解析成一个ip地址的情况,这也一定程度体现了两个域名之间的相似性。不同的元路径提供给域名节点不同的交互信息。
以提取的安全事件特征作为初始特征,同时结合提取的元路径对该安全风险场景异质图进行分析,融合安全事件的节点特征和语义结构特征得到安全事件最终的特征表示。
在一可选实施例中,利用标注数据设计损失函数对分类器进行优化。进一步地,采用交叉熵函数作为损失函数进行反向传播优化。
本实施例中,基于异质图特征提取的方法实现捕捉安全事件及其关联对象之间的语义结构特征,同时对融合特征以相应的重要性权重为系数进行聚合,使特征提取更具有效性。本实施例支持不同安全风险场景下的特征提取,且方便理解和实施。
实施例2
本实施例在实施例1提出的基于异质图的安全事件识别方法的基础上作出改进。如图4所示,为本实施例的基于异质图的安全事件识别方法的流程图。
本实施例提出的基于异质图的安全事件识别方法中,包括以下步骤:
S1、获取安全风险场景中的安全事件数据,并对所述安全事件数据进行预处理,得到安全事件特征。
本步骤中,对所述安全事件数据进行预处理的步骤包括:对安全事件数据进行解析,获取域名作为安全事件数据,获取与域名相关联的请求客户端、IP地址数据作为关联对象,以及获取域名与请求客户端、IP地址之间的关联关系。
其中,所述域名与请求客户端、IP地址之间的关联关系包括域名与请求客户端之间的请求查询关系,以及域名与IP地址之间的解析关系。
本步骤中,以域名作为独立对象进行特征提取,得到安全事件特征。
其中,所述安全事件特征包括域名长度和域名深度。
S2、以所述安全事件数据集中的安全事件及其关联对象作为节点,基于安全事件及其关联对象的关联关系作为无向边,构建得到异质图。
S3、从所述异质图中提取在当前特定安全风险场景中与待识别的安全事件i有关联的P条元路径,逐条元路径进行安全事件节点的安全事件特征融合,得到P个元路径融合特征。
本实施例中,从所述异质图中提取在当前特定安全风险场景中与安全事件有关联的元路径包括域名-请求客户端-域名元路径,以及域名-IP地址-域名元路径。
在一可选实施例中,逐条元路径进行安全事件节点的安全事件特征融合的步骤包括:
S3.1、从所述异质图中提取在当前特定安全风险场景中与待识别的安全事件i有关联的P条元路径。
S3.2、对于任一与安全事件i关联的元路径p,计算元路径p上与安全事件i关联的邻居节点相应的节点权重。其中p=1,2,...,P。其表达式如下:
式中,表示元路径p上与安全事件节点i关联的邻居节点j相应的节点权重;hi为安全事件节点i的安全事件特征,hj为邻居节点j的安全事件特征;attnode(·)表示用于计算节点权重的基于节点级注意力机制的深度神经网络。
进一步地,对节点权重进行归一化处理,采用softmax函数将权重值映射到(0,1)区间。
S3.3、根据邻居节点的节点权重,将元路径p上与安全事件i关联的邻居节点相应的安全事件特征进行聚合,得到安全事件i在元路径p上的元路径融合特征。其表达式如下:
式中,为安全事件i在元路径p上的元路径融合特征;Np为安全事件i在元路径p上的邻居节点的集合。
遍历元路径p下的所有节点,即可得到在元路径p的所有节点的特征表示I为节点总数。逐条元路径进行安全事件节点的安全事件特征融合,即可得到每条元路径下的特征表示集合{Z1,Z2,...,Zp,...,ZP}。
本实施例对特征进行基于节点级注意力机制的信息聚合该步骤负责将元路径下相连节点进行信息聚合,分别对提取的元路径进行信息聚合。
例如,在恶意域名识别的异质图网络中,对于“域名-请求客户端-域名”这条元路径,实质上是关于域名节点的同质图表示,有关联关系的域名节点两两相连,每一个域名节点会和不同的邻居节点相连,需使用不同的权重加权求和,对邻居节点特征进行聚合,且以提取的域名特征作为域名节点初始特征进行聚合。
S4、对P个元路径融合特征进行语义信息聚合,得到元路径融合特征相应的重要性权重;以元路径融合特征相应的重要性权重为系数,对与安全事件i关联的P个元路径融合特征进行聚合,得到安全事件i的特征表示。
在一可选实施例中,对P个元路径融合特征进行语义信息聚合的步骤包括:
S4.1、对于任一与安全事件i关联的元路径p,对安全事件i在元路径p上的元路径融合特征进行非线性转换。
S4.2、对转换后的元路径融合特征计算其与元路径注意力向量q的相似度,对相似度取平均后得到每个元路径融合特征相应的重要性权重。其表达式如下:
式中,NI为元路径p上的节点集合,|NI|为元路径p上的节点数量;W为权重矩阵,b为偏差向量,q是语义级别注意力向量。
进一步地,对重要性权重wp进行归一化,基于softmax函数将权重值映射到(0,1)区间。
S4.3、以元路径融合特征相应的重要性权重为系数,对与安全事件i关联的P个元路径融合特征进行聚合,得到安全事件i的特征表示。其表达式如下:
本步骤对元路径融合特征进行基于语义级注意力机制的信息聚合。本实施例为了更全面的提取节点特征,需要将上述中所有不同元路径表达的语义信息进行融合,对于不同的元路径,应赋予不同的权重。
S5、将安全事件i的特征表示输入分类器中,输出得到安全事件标签作为安全事件i的识别结果。
在一可选实施例中,还包括以下步骤:
对完成预处理的安全事件数据进行类别标注,标注为恶意域名和正常域名。
将经过类别标注的安全事件数据随机划分为训练集和测试集。
根据训练集数据构建异质图,并获取训练集数据中各安全事件的特征表示。
将训练集数据中各安全事件的特征表示输入分类器中对分类器进行监督训练,采用分类的交叉熵函数作为损失函数进行反向传播优化。其表达式如下:
式中,YL为具有标签的节点索引集,Yl为节点的真实标签,Zl为节点的特征表示;C为分类器的可学习参数。
本实施例中,对安全事件中的特征考虑更全面,不仅考虑了安全事件的独立特征,还考虑了安全事件及其关联对象的语义结构特征,可以更全面的关注和提出安全事件的潜在特征。本实施例基于异质图进行特征提取,用于捕捉安全事件及其关联对象之间的语义结构特征,同时在异质图特征提取的方法上加入了注意力机制,使特征提取更具有效性。此外,本实施例设计损失函数进行端到端优化,进而实现对整个模型进行优化,确保本实施例的方法支持不同安全风险场景下的安全事件识别。
实施例3
本实施例提出一种基于异质图的安全事件识别系统,应用实施例1或实施例2提出的一种基于异质图的安全事件识别方法。如图5所示,为本实施例的基于异质图的安全事件识别系统的架构图。
本实施例提出的基于异质图的安全事件识别系统中,包括:
数据采集模块100,用于采集安全风险场景中的安全事件数据。
预处理模块200,用于对采集的安全事件数据进行预处理,得到安全事件特征。
异质图构建模块300,用于以所述安全事件数据集中的安全事件及其关联对象作为节点,基于安全事件及其关联对象的关联关系作为无向边,构建得到异质图。
元路径提取模块400,用于从所述异质图中提取在当前特定安全风险场景中与待识别的安全事件i有关联的P条元路径。
元路径融合模块500,用于逐条元路径进行安全事件节点的安全事件特征融合,得到P个元路径融合特征。
语义信息聚合模块600,用于对P个元路径融合特征进行语义信息聚合,得到元路径融合特征相应的重要性权重。
特征聚合模块700,用于以元路径融合特征相应的重要性权重为系数,对与安全事件i关联的P个元路径融合特征进行聚合,得到安全事件i的特征表示。
分类器800,用于对输入的安全事件i的特征表示进行识别分类,输出安全事件标签作为安全事件i的识别结果。
在一可选实施例中,预处理模块200中包括:
解析单元210,用于对安全事件数据进行解析,获取域名作为安全事件数据,获取与域名相关联的请求客户端、IP地址数据作为关联对象,以及获取域名与请求客户端、IP地址之间的关联关系。
特征提取单元220,用于对安全事件数据以域名作为独立对象进行特征提取,得到安全事件特征。
本实施例中的安全事件特征包括域名长度和域名深度。
在一可选实施例中,语义信息聚合模块600中包括执行语义级注意的深度神经网络模型,其中包括依次连接的非线性层,包括元路径注意力向量q的注意力层,池化层和BN层。
其中,所述非线性层用于对安全事件在元路径上的元路径融合特征进行非线性转换。
所述注意力层用于对转换后的元路径融合特征计算其与元路径注意力向量q的相似度。
所述池化层用于对相似度取平均值,得到每个元路径融合特征相应的重要性权重。
所述BN层用于对每个元路径融合特征相应的重要性权重进行归一化。
在具体实施过程中,数据采集模块100获取特定安全风险场景中的可带标签分类的安全事件数据集,包括域名白名单数据和域名黑名单数据。数据采集模块100将完成采集的数据传输至预处理模块200中。
预处理模块200对特定安全风险场景中的安全事件数据集进行预处理,具体地,采用解析单元210对安全事件数据进行解析,获取域名作为安全事件数据,获取与域名相关联的请求客户端、IP地址数据作为关联对象,以及获取域名与请求客户端、IP地址之间的关联关系。采用特征提取单元220对安全事件数据以域名作为独立对象进行特征提取,得到安全事件特征。预处理模块200将安全事件数据、关联对象、关联关系以及安全事件特征传输至异质图构建模块300中。
异质图构建模块300以安全事件数据集中的安全事件及其关联对象作为节点,基于安全事件及其关联对象的关联关系作为无向边,构建得到异质图。
元路径提取模块400调用所述异质图,从所述异质图中提取在当前特定安全风险场景中与待识别的安全事件i有关联的P条元路径,然后传输至元路径融合模块500中。
元路径融合模块500根据提取的P条元路径,逐条元路径进行安全事件节点的安全事件特征融合。具体地,对于任一与安全事件i关联的元路径p,计算元路径p上与安全事件i关联的邻居节点相应的节点权重,然后根据邻居节点的节点权重,将元路径p上与安全事件i关联的邻居节点相应的安全事件特征进行聚合,得到安全事件i在元路径p上的元路径融合特征。元路径融合模块500将相应安全事件i在P条元路径上对应的P个元路径融合特征传输至语义信息聚合模块600中。
语义信息聚合模块600对P个元路径融合特征进行语义信息聚合,得到元路径融合特征相应的重要性权重。具体地,P个元路径融合特征依次输入语义信息聚合模块600中的执行语义级注意的深度神经网络模型中,依次经过非线性层,包括元路径注意力向量q的注意力层,池化层和BN层,对元路径融合特征进行非线性转换后,计算其与元路径注意力向量q的相似度,对相似度取平均后得到每个元路径融合特征相应的重要性权重。语义信息聚合模块600将元路径融合特征相应的重要性权重传输至特征聚合模块700中。
特征聚合模块700以元路径融合特征相应的重要性权重为系数,对与安全事件i关联的P个元路径融合特征进行聚合,得到安全事件i的特征表示,并传输至分类器800中进行分类识别,分类器800对输入的安全事件i的特征表示进行识别分类,输出安全事件标签作为安全事件i的识别结果。
在一可选实施例中,分类器800进行监督学习,采用分类的交叉熵函数作为损失函数对所述分类器800进行反向传播优化。
在具体实施过程中,预处理模块200还对安全事件数据进行类别标注,标注为恶意域名和正常域名,然后将安全事件数据及其标签、关联对象、关联关系以及安全事件特征传输至异质图构建模块300。
经过预处理的安全事件数据依次经过异质图构建模块300、元路径提取模块400、元路径融合模块500、语义信息聚合模块600和特征聚合模块700后,输入分类器800中得到相应的识别结果。
同时,分类器800进行监督学习训练,采用分类的交叉熵函数作为损失函数进行反向传播优化,对分类器800的可学习参数进行优化更新。
实施例4
本实施例提出一种基于异质图的安全事件识别系统,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现实施例1或实施例2提出的基于异质图的安全事件识别方法的步骤。
相同或相似的标号对应相同或相似的部件;
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。

Claims (8)

1.一种基于异质图的安全事件识别方法,其特征在于,包括以下步骤:
获取安全风险场景中的安全事件数据,并对所述安全事件数据进行预处理,得到安全事件特征;
以所述安全事件数据集中的安全事件及其关联对象作为节点,基于安全事件及其关联对象的关联关系作为无向边,构建得到异质图;
从所述异质图中提取在当前特定安全风险场景中与待识别的安全事件i有关联的P条元路径,逐条元路径进行安全事件节点的安全事件特征融合,得到P个元路径融合特征;其中,逐条元路径进行安全事件节点的安全事件特征融合的步骤包括:
对于任一与安全事件i关联的元路径p,计算元路径p上与安全事件i关联的邻居节点相应的节点权重;其中p=1,2,...,P;
根据邻居节点的节点权重,将元路径p上与安全事件i关联的邻居节点相应的安全事件特征进行聚合,得到安全事件i在元路径p上的元路径融合特征;对P个元路径融合特征进行语义信息聚合,得到元路径融合特征相应的重要性权重;以元路径融合特征相应的重要性权重为系数,对与安全事件i关联的P个元路径融合特征进行聚合,得到安全事件i的特征表示;其中,对P个元路径融合特征进行语义信息聚合的步骤包括:
对于任一与安全事件i关联的元路径p,首先对安全事件i在元路径p上的元路径融合特征进行非线性转换,然后对转换后的元路径融合特征计算其与元路径注意力向量q的相似度,对相似度取平均后得到每个元路径融合特征相应的重要性权重;其表达式如下:
式中,NI为元路径p上的节点集合,|NI|为元路径p上的节点数量;W为权重矩阵,b为偏差向量,q是语义级别注意力向量;
将安全事件i的特征表示输入分类器中,输出得到安全事件标签作为安全事件i的识别结果。
2.根据权利要求1所述的基于异质图的安全事件识别方法,其特征在于,对所述安全事件数据进行预处理的步骤包括:
对安全事件数据进行解析,获取域名作为安全事件数据,获取与域名相关联的请求客户端、IP地址数据作为关联对象,以及获取域名与请求客户端、IP地址之间的关联关系;其中,所述域名与请求客户端、IP地址之间的关联关系包括域名与请求客户端之间的请求查询关系,以及域名与IP地址之间的解析关系;
以域名作为独立对象进行特征提取,得到安全事件特征;所述安全事件特征包括域名长度和域名深度。
3.根据权利要求2所述的基于异质图的安全事件识别方法,其特征在于,从所述异质图中提取在当前特定安全风险场景中与安全事件有关联的元路径包括域名-请求客户端-域名元路径,以及域名-IP地址-域名元路径。
4.根据权利要求1~3任一项所述的基于异质图的安全事件识别方法,其特征在于,还包括以下步骤:
对完成预处理的安全事件数据进行类别标注,标注为恶意域名和正常域名;
将经过类别标注的安全事件数据随机划分为训练集和测试集;
根据训练集数据构建异质图,并获取训练集数据中各安全事件的特征表示;
将训练集数据中各安全事件的特征表示输入分类器中对分类器进行监督训练,采用分类的交叉熵函数作为损失函数进行反向传播优化。
5.一种基于异质图的安全事件识别系统,应用权利要求1~4任一项所述的基于异质图的安全事件识别方法,其特征在于,包括:
数据采集模块,用于采集安全风险场景中的安全事件数据;
预处理模块,用于对采集的安全事件数据进行预处理,得到安全事件特征;
异质图构建模块,用于以所述安全事件数据集中的安全事件及其关联对象作为节点,基于安全事件及其关联对象的关联关系作为无向边,构建得到异质图;
元路径提取模块,用于从所述异质图中提取在当前特定安全风险场景中与待识别的安全事件i有关联的P条元路径;
元路径融合模块,用于逐条元路径进行安全事件节点的安全事件特征融合,得到P个元路径融合特征;
语义信息聚合模块,用于对P个元路径融合特征进行语义信息聚合,得到元路径融合特征相应的重要性权重;
特征聚合模块,用于以元路径融合特征相应的重要性权重为系数,对与安全事件i关联的P个元路径融合特征进行聚合,得到安全事件i的特征表示;
分类器,用于对输入的安全事件i的特征表示进行识别分类,输出安全事件标签作为安全事件i的识别结果。
6.根据权利要求5所述的基于异质图的安全事件识别系统,其特征在于,所述预处理模块中包括:
解析单元,用于对安全事件数据进行解析,获取域名作为安全事件数据,获取与域名相关联的请求客户端、IP地址数据作为关联对象,以及获取域名与请求客户端、IP地址之间的关联关系;
特征提取单元,用于对安全事件数据以域名作为独立对象进行特征提取,得到安全事件特征;所述安全事件特征包括域名长度和域名深度。
7.根据权利要求5所述的基于异质图的安全事件识别系统,其特征在于,所述语义信息聚合模块中包括执行语义级注意的深度神经网络模型,其中包括依次连接的非线性层,包括元路径注意力向量q的注意力层,池化层和BN层;
所述非线性层用于对安全事件在元路径上的元路径融合特征进行非线性转换;
所述注意力层用于对转换后的元路径融合特征计算其与元路径注意力向量q的相似度;
所述池化层用于对相似度取平均值,得到每个元路径融合特征相应的重要性权重;
所述BN层用于对每个元路径融合特征相应的重要性权重进行归一化。
8.一种基于异质图的安全事件识别系统,其特征在于,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现权利要求1~4任一项所述的基于异质图的安全事件识别方法的步骤。
CN202210655671.6A 2022-06-10 2022-06-10 一种基于异质图的安全事件识别方法及系统 Active CN115086004B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210655671.6A CN115086004B (zh) 2022-06-10 2022-06-10 一种基于异质图的安全事件识别方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210655671.6A CN115086004B (zh) 2022-06-10 2022-06-10 一种基于异质图的安全事件识别方法及系统

Publications (2)

Publication Number Publication Date
CN115086004A CN115086004A (zh) 2022-09-20
CN115086004B true CN115086004B (zh) 2023-08-29

Family

ID=83250758

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210655671.6A Active CN115086004B (zh) 2022-06-10 2022-06-10 一种基于异质图的安全事件识别方法及系统

Country Status (1)

Country Link
CN (1) CN115086004B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115438197B (zh) * 2022-11-07 2023-03-24 巢湖学院 一种基于双层异质图的事理知识图谱关系补全方法及系统
CN116738445B (zh) * 2023-08-16 2023-10-31 中国信息通信研究院 数据安全事件检测模型的构建方法及检测方法
CN116935083B (zh) * 2023-09-12 2023-12-12 深圳须弥云图空间科技有限公司 一种图像聚类方法和装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111641621A (zh) * 2020-05-21 2020-09-08 杭州安恒信息技术股份有限公司 物联网安全事件识别方法、装置和计算机设备
CN111832922A (zh) * 2020-06-30 2020-10-27 北方工业大学 基于知识图谱推理的食品安全事件风险研判方法及装置
CN112257066A (zh) * 2020-10-30 2021-01-22 广州大学 面向带权异质图的恶意行为识别方法、系统和存储介质
CN112910929A (zh) * 2021-03-24 2021-06-04 中国科学院信息工程研究所 基于异质图表示学习的恶意域名检测方法及装置
CN113095439A (zh) * 2021-04-30 2021-07-09 东南大学 基于注意力机制的异构图嵌入学习方法
CN113449204A (zh) * 2021-07-13 2021-09-28 中国人民解放军国防科技大学 基于局部聚合图注意力网络的社会事件分类方法、装置
CN114090902A (zh) * 2021-11-22 2022-02-25 中国人民解放军国防科技大学 一种基于异质网络的社交网络影响力预测方法、装置
CN114581250A (zh) * 2022-01-25 2022-06-03 厦门理工学院 一种医保欺诈的识别方法、装置、设备和存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11308211B2 (en) * 2019-06-18 2022-04-19 International Business Machines Corporation Security incident disposition predictions based on cognitive evaluation of security knowledge graphs

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111641621A (zh) * 2020-05-21 2020-09-08 杭州安恒信息技术股份有限公司 物联网安全事件识别方法、装置和计算机设备
CN111832922A (zh) * 2020-06-30 2020-10-27 北方工业大学 基于知识图谱推理的食品安全事件风险研判方法及装置
CN112257066A (zh) * 2020-10-30 2021-01-22 广州大学 面向带权异质图的恶意行为识别方法、系统和存储介质
CN112910929A (zh) * 2021-03-24 2021-06-04 中国科学院信息工程研究所 基于异质图表示学习的恶意域名检测方法及装置
CN113095439A (zh) * 2021-04-30 2021-07-09 东南大学 基于注意力机制的异构图嵌入学习方法
CN113449204A (zh) * 2021-07-13 2021-09-28 中国人民解放军国防科技大学 基于局部聚合图注意力网络的社会事件分类方法、装置
CN114090902A (zh) * 2021-11-22 2022-02-25 中国人民解放军国防科技大学 一种基于异质网络的社交网络影响力预测方法、装置
CN114581250A (zh) * 2022-01-25 2022-06-03 厦门理工学院 一种医保欺诈的识别方法、装置、设备和存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于异构信息网络的恶意软件特征抽取方法研究;范美华;《CNKI硕士电子期刊》;第1-74 *

Also Published As

Publication number Publication date
CN115086004A (zh) 2022-09-20

Similar Documents

Publication Publication Date Title
CN115086004B (zh) 一种基于异质图的安全事件识别方法及系统
Nguyen et al. Automatic image filtering on social networks using deep learning and perceptual hashing during crises
US11212297B2 (en) Access classification device, access classification method, and recording medium
CN111897962B (zh) 一种物联网资产标记方法及装置
US20220197923A1 (en) Apparatus and method for building big data on unstructured cyber threat information and method for analyzing unstructured cyber threat information
CN106534146B (zh) 一种安全监测系统及方法
CN112989348B (zh) 攻击检测方法、模型训练方法、装置、服务器及存储介质
CN112884204B (zh) 网络安全风险事件预测方法及装置
Der et al. Knock it off: profiling the online storefronts of counterfeit merchandise
CN113407886A (zh) 网络犯罪平台识别方法、系统、设备和计算机存储介质
CN116257406A (zh) 用于智慧城市的网关数据管理方法及其系统
Alothman Raw network traffic data preprocessing and preparation for automatic analysis
CN113660210B (zh) 恶意tls加密流量检测模型训练方法、检测方法及终端
CN112949778A (zh) 基于局部敏感哈希的智能合约分类方法、系统及电子设备
CN117014210A (zh) 基于ChebNet图卷积神经网络的邮件蠕虫检测系统
CN111314109A (zh) 一种基于弱密钥的大规模物联网设备固件识别方法
CN116366312A (zh) 一种Web攻击检测方法、装置及存储介质
CN114124448B (zh) 一种基于机器学习的跨站脚本攻击识别方法
CN114638304A (zh) 图像识别模型的训练方法、图像识别方法及装置
KR20230046182A (ko) 네트워크에 대한 침해 공격을 탐지하는 장치, 방법 및 컴퓨터 프로그램
CN113239126A (zh) 一种基于bor方法的业务活动信息标准化方案
CN113688240A (zh) 威胁要素提取方法、装置、设备及存储介质
CN113127640A (zh) 一种基于自然语言处理的恶意垃圾评论攻击识别方法
CN115065518B (zh) 一种基于异质图特征提取的钓鱼网站检测方法及系统
CN116775889B (zh) 基于自然语言处理的威胁情报自动提取方法、系统、设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant