CN115270954A - 基于异常节点识别的无监督的apt攻击检测方法和系统 - Google Patents

基于异常节点识别的无监督的apt攻击检测方法和系统 Download PDF

Info

Publication number
CN115270954A
CN115270954A CN202210876731.7A CN202210876731A CN115270954A CN 115270954 A CN115270954 A CN 115270954A CN 202210876731 A CN202210876731 A CN 202210876731A CN 115270954 A CN115270954 A CN 115270954A
Authority
CN
China
Prior art keywords
node
graph
tracing
abnormal
unsupervised
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210876731.7A
Other languages
English (en)
Inventor
吕明琪
欧阳明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Zhuolianyou Intelligent Technology Co ltd
Original Assignee
Suzhou Zhuolianyou Intelligent Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Zhuolianyou Intelligent Technology Co ltd filed Critical Suzhou Zhuolianyou Intelligent Technology Co ltd
Priority to CN202210876731.7A priority Critical patent/CN115270954A/zh
Publication of CN115270954A publication Critical patent/CN115270954A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/20Ensemble learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了基于异常节点识别的无监督的APT攻击检测方法和系统,步骤为:步骤一、溯源图构建和子图采样:基于操作系统内核事件数据构造全局溯源图,并从中采集子溯源图放入内存中用于训练和检测;步骤二、节点特征抽取:通过聚合节点的邻居节点和边的信息,得到节点的特征向量;步骤三、节点异常检测模型训练:基于集成学习的思想训练多个节点分类子模型;步骤四、节点异常实时检测:基于多个节点分类子模型对节点分类结果的正确性程度,进行节点的异常检测,本方法在进行检测时不需要提供APT攻击样本的标注,模型以无监督的方式训练和检测,从而大大降低了人工标注工作量和系统部署的成本,同时本方法也可大大降低模型的误报率。

Description

基于异常节点识别的无监督的APT攻击检测方法和系统
技术领域
本发明涉及一网络安全和深度学习技术,特别涉及基于异常节点识别的无监督的APT攻击检测方法和系统。
背景技术
APT攻击是针对重要基础设施、重要行业等发动的有计划、持续性的网络攻击。与传统的网络攻击相比,APT攻击具有隐蔽性高、潜伏期长、攻击手段多样等特点,导致传统的基于网络流量的检测手段难以应对。
最近的研究表明操作系统内核数据可很好地用于APT攻击检测。操作系统内核数据可表征为一个有向无环图(成为溯源图),表示操作系统中的实体(如进程、文件)之间的交互事件(如文件读写),包含用于APT攻击检测的丰富上下文信息。APT攻击检测分为基于滥用和基于异常两种方法。基于滥用的方法通过学习已知的攻击模式来检测APT攻击行为。基于异常的方法通过学习正常系统行为,并根据实际系统行为与正常系统行为的偏差来检测异常。
另一方面,深度学习催生了许多智能化应用,从图像分类、到语音识别和自然语言处理。然而,现有的深度学习技术与APT攻击检测任务仍然存在诸多不适应的方面。首先,现有深度学习技术主要面向欧式空间中的非结构化数据,而溯源图中节点之间的关系是非欧式的。其次,现有深度学习技术主要面向分类任务,而由于APT攻击的复杂性和稀有性,收集和标注足够用于模型训练的APT攻击样本成本过高。
针对上述问题,如何基于溯源图实现无监督的APT攻击检测,是亟待解决的一个问题。
发明内容
本发明解决的技术问题是提供一种基于异常节点识别的无监督的APT攻击检测方法,其一方面可以大大降低人工标注工作量和系统部署的成本,另一方面可以大大降低模型的误报率。
本发明解决其技术问题所采用的技术方案是:一种基于异常节点识别的无监督的APT攻击检测方法,步骤为:
步骤一、溯源图构建和子图采样:基于操作系统内核事件数据构造全局溯源图,并从中采集子溯源图放入内存中用于训练和检测;
步骤二、节点特征抽取:通过聚合节点的邻居节点和边的信息,得到节点的特征向量;
步骤三、节点异常检测模型训练:通过特征向量,基于集成学习的思想训练获得多个节点分类子模型;
步骤四、节点异常实时检测:基于多个节点分类子模型对节点分类结果的正确性程度,进行节点的异常检测。
进一步的是:所述步骤一中具体为:
1.1、溯源图构建:采用操作系统内核日志采集工具采集系统内核事件数据,根据系统内核事件数据构建全局溯源图,其中,全局溯源图中的节点代表系统实体,全局溯源图中的边代表系统实体之间的交互事件;
1.2、子溯源图采样:将全局溯源图保存,并从全局溯源图中采集能够放入内存的子溯源图,作为训练和检测的单元,
所述子溯源图采样的方法为:首先,从全局溯源图中随机采集一个节点作为活动节点,并采集活动节点2跳内可以达到的邻居节点一同构成子溯源图G,然后,从G中随机采集另一个节点作为活动节点,并采集活动节点2跳内可以达到的邻居节点并入G。重复N次,得到最终的子溯源图G。
进一步的是:所述步骤二中具体为:
2.1、原始特征抽取:假定节点类型的数量为Nn,边类型的数量为Ne,节点v的原始特征向量为
Figure BDA0003762457070000021
其中ai为v在G中的入边集合中第i类边的数量,bj为节点v在G中的出边集合中第j类边的数量;
2.2、语义特征抽取:采用GraphSAGE算法对G进行处理,将每个节点v的2跳可达的邻居节点的信息聚合到v中,得到v的语义特征向量yv
进一步的是:所述步骤三中具体为:
3.1、单一节点异常检测模型构建:首先,以步骤2.2中抽取的节点语义特征向量yv作为输入,采用softmax层构建分类模型,分类目标为每个节点的类型,然后,以节点类型的分类结果作为异常检测的依据,当节点类型分类结果错误,则将该节点作为候选异常节点。
进一步的是:所述步骤三中具体为:
3.2、多层节点异常检测模型训练,具体步骤如下:
3.2.1、构建一个训练样本集X,每个样本为xi=(vi,Gi,Ci),其中vi为一个活动节点,Gi为vi对应的子溯源图,Ci为vi的真实节点类型;
3.2.2、基于步骤2和3.1在X上训练一个节点类型分类子模型M0;
3.2.3、基于X对M0进行测试,具体方法为:对于X中的每个验证样本xi,假定M0对xi的分类结果为
Figure BDA0003762457070000022
分类置信度为λi,如果
Figure BDA0003762457070000023
且λi>δ,说明M0可以较为确信地将xi 正确分类,则将xi从X中删除,其中:δ为指定的置信度阈值,δ=0.7~0.9。
3.2.4、如果X不为空,则返回步骤3.2.2,继续迭代,直到X为空或迭代次数超过指定次数上限,最终得到子模型集合MS={M0,M1,…,MN}。
进一步的是:所述步骤四中,节点异常实时检测的详细步骤如下:
4.1、实时子溯源图维护:在内存中维护一个实时子溯源图G,每当系统内核日志采集工具采集到了一个新的系统内核事件,则将该系统内核事件对应的节点作为活动节点加入G,并将这些活动节点和对应的边,以及其在全局溯源图中的2跳可达的邻居节点和相应的边也加入G。
4.2、节点异常检测:当加入G中的系统内核事件数量达到指定阈值,则对G中的每个活动节点vi进行节点异常检测,检测步骤如下:
4.2.1、使用MS={M0,M1,…,MN}中的每个子模型对vi进行分类,得到一系列的分类结果
Figure BDA0003762457070000031
和分类置信度
Figure BDA0003762457070000032
其中,
Figure BDA0003762457070000033
Figure BDA0003762457070000034
为Mk对vi的分类结果和分类置信度;
4.2.2、只要存在一个子模型Mk满足
Figure BDA0003762457070000035
Figure BDA0003762457070000036
则判定vi为正常节点,反之,则判定vi为异常节点;
其中,Ci为vi的真实节点类型,δ为指定的置信度阈值;
4.2.3、当检测完G中的所有的活动节点之后,删除G中的所有节点,重新开始步骤4.1;
4.3、APT攻击报警:当判定异常的节点的数量超过指定阈值时,则触发APT攻击报警。
本发明还公开了一种基于异常节点识别的无监督的APT攻击检测系统,包括上述所述的基于异常节点识别的无监督的APT攻击检测方法,包括:
数据获取单元,所述数据获取单元用于获取操作系统内核事件数据;
数据处理单元,所述数据处理单元用于根据操作系统内核事件数据进行处理,最终获得多个节点分类子模型并进行节点异常检测。
本发明还公开了一种计算机装置,包括:处理器、存储器、通信接口和通信总线,所述处理器、存储器和通信接口通过所述通信总线完成相互间的通信,所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述的基于异常节点识别的无监督的APT 攻击检测方法对应的操作。
本发明还公开了一种计算机存储介质,所述计算机存储介质中存储有至少一个可执行指令,所述可执行指令使处理器执行如上述所述的基于异常节点识别的无监督的APT攻击检测方法对应的操作。
本发明的有益效果是:
(1)不需要提供APT攻击样本的标注,模型以无监督的方式训练和检测,大大降低了人工标注工作量和系统部署的成本。
(2)通过集成学习和集成检测的思想来实现异常检测,大大降低了模型的误报率。
附图说明
图1为本申请实施例的一种基于异常节点识别的无监督的APT攻击检测方法流程图
图2为本申请实施例的一种基于异常节点识别的无监督的APT攻击检测方法的子溯源图示意图。
图3为本申请实施例的一种基于异常节点识别的无监督的APT攻击检测方法的子模型结构图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明的具体实施方式做详细的说明。在下面的描述中阐述了很多具体细节以便于充分理解本发明。但是本发明能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似改进,因此本发明不受下面公开的具体实施例的限制。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
如图1所示,本申请的实施例公开了一种基于异常节点识别的无监督的APT攻击检测方法,其具体步骤为:
步骤一、溯源图构建和子图采样:基于操作系统内核事件数据构造全局溯源图,并从中采集子溯源图放入内存中用于训练和检测;
步骤二、节点特征抽取:通过聚合节点的邻居节点和边的信息,得到节点的特征向量;
步骤三、节点异常检测模型训练:通过特征向量,基于集成学习的思想训练获得多个节点分类子模型;
步骤四、节点异常实时检测:基于多个节点分类子模型对节点分类结果的正确性程度,进行节点的异常检测。
本实施例中,上述步骤一的具体方法为:
1.1、溯源图构建:采用操作系统内核日志采集工具采集系统内核事件数据,根据系统内核事件数据构建全局溯源图,其中,全局溯源图中的节点代表系统实体,全局溯源图中的边代表系统实体之间的交互事件;
上述采集工具可为ETW(ETW提供了一种对用户层应用程序和内核层驱动创建的事件对象的跟踪记录机制)、Auditd-Linux等,上述系统实体指的是进程、文件等,上述交互事件指的是创建进程、读写文件等;
1.2、子溯源图采样:将全局溯源图保存在硬盘,并从全局溯源图中采集能够放入内存的子溯源图,作为训练和检测的单元,
所述子溯源图采样的方法为:首先,从全局溯源图中随机采集一个节点作为活动节点,并采集活动节点2跳内可以达到的邻居节点一同构成子溯源图G。然后,从G中随机采集另一个节点作为活动节点,并采集活动节点2跳内可以达到的邻居节点并入G。重复N次,得到最终的子溯源图G。
上述所述的活动节点指代的是待检测的系统实体,具体的子溯源图例如图2所示。
本实施例中,上述步骤二中的具体方法为:
2.1、原始特征抽取:假定节点类型的数量为Nn,边类型的数量为Ne,节点v的原始特征向量为
Figure BDA0003762457070000051
其中ai为v在子溯源图G中的入边集合中第i类边的数量,bj为节点v在G中的出边集合中第j类边的数量;
上述所述的节点v的入边指其它节点指向v的边,节点v的出边指v指向其它节点的边。
2.2、语义特征抽取:采用GraphSAGE算法对子溯源图G进行处理,将每个节点v的2跳可达的邻居节点的信息聚合到v中,得到v的语义特征向量yv(yv的维度为Nn)。
本实施例中,所述步骤三中具体的节点异常检测方法为:
3.1、单一节点异常检测模型构建:首先,以步骤2.2中抽取的节点语义特征向量yv作为输入,采用softmax层构建分类模型,分类目标为每个节点的类型,分类模型的网络结构如图3所示,然后,以节点类型的分类结果作为异常检测的依据,当节点类型分类结果错误,则将该节点作为候选异常节点。
具体的,由于单一节点异常检测模型极易产生误报,因此基于集成学习的思想训练多个子模型。具体步骤如下:
3.2、多层节点异常检测模型训练,具体步骤如下:
3.2.1、构建一个训练样本集X,每个样本为xi=(vi,Gi,Ci),其中vi为一个活动节点,Gi为vi对应的子溯源图,Ci为vi的真实节点类型;
3.2.2、基于步骤2和3.1在X上训练一个节点类型分类子模型M0
3.2.3、基于X对M0进行测试,具体方法为:对于X中的每个验证样本xi,假定M0对xi的分类结果为
Figure BDA0003762457070000061
分类置信度为λi,如果
Figure BDA0003762457070000062
且λi>δ,说明M0可以较为确信地将xi正确分类,则将xi从X中删除,其中:δ为指定的置信度阈值,例如:δ可以设置为0.8;
3.2.4、如果X不为空,则返回步骤3.2.2,继续迭代,直到X为空或迭代次数超过指定次数上限,最终得到子模型集合MS={M0,M1,…,MN}。
本实施例中,所述步骤四中,节点异常实时检测的详细步骤如下:
4.1、实时子溯源图维护:在内存中维护一个实时子溯源图G,每当系统内核日志采集工具采集到了一个新的系统内核事件,则将该系统内核事件对应的节点作为活动节点加入G,并将这些活动节点和对应的边,以及其在全局溯源图中的2跳可达的邻居节点和相应的边也加入G。
4.2、节点异常检测:当加入G中的系统内核事件数量达到指定阈值,则对G中的每个活动节点vi进行节点异常检测,检测步骤如下:
4.2.1、使用MS={M0,M1,…,MN}中的每个子模型对vi进行分类,得到一系列的分类结果
Figure BDA0003762457070000063
和分类置信度
Figure BDA0003762457070000064
其中,
Figure BDA0003762457070000065
Figure BDA0003762457070000066
为Mk对vi的分类结果和分类置信度;
4.2.2、只要存在一个子模型Mk满足
Figure BDA0003762457070000067
Figure BDA0003762457070000068
则判定vi为正常节点,反之,则判定vi为异常节点;
其中,Ci为vi的真实节点类型,δ为指定的置信度阈值;
4.2.3、当检测完G中的所有的活动节点之后,删除G中的所有节点,重新开始步骤4.1;
4.3、APT攻击报警:当判定异常的节点的数量超过指定阈值时,则触发APT攻击报警。
本方法在进行检测时不需要提供APT攻击样本的标注,模型以无监督的方式训练和检测,从而大大降低了人工标注工作量和系统部署的成本,同时本方法通过集成学习和集成检测的思想来实现异常检测,大大降低了模型的误报率。
此外,本发明还公开了一种基于异常节点识别的无监督的APT攻击检测系统,包括上述所述的基于异常节点识别的无监督的APT攻击检测方法,包括:
数据获取单元,所述数据获取单元用于获取操作系统内核事件数据;
数据处理单元,所述数据处理单元用于根据操作系统内核事件数据进行处理,最终获得多个节点分类子模型并进行节点异常检测。
本发明还公开了一种计算机装置,包括:处理器、存储器、通信接口和通信总线,所述处理器、存储器和通信接口通过所述通信总线完成相互间的通信,所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述的基于异常节点识别的无监督的APT 攻击检测方法对应的操作。
本发明还公开了一种计算机存储介质,所述计算机存储介质中存储有至少一个可执行指令,所述可执行指令使处理器执行如上述所述的基于异常节点识别的无监督的APT攻击检测方法对应的操作。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种基于异常节点识别的无监督的APT攻击检测方法,其特征在于:
步骤一、溯源图构建和子图采样:基于操作系统内核事件数据构造全局溯源图,并从中采集子溯源图放入内存中用于训练和检测;
步骤二、节点特征抽取:通过聚合节点的邻居节点和边的信息,得到节点的特征向量;
步骤三、节点异常检测模型训练:通过特征向量,基于集成学习的思想训练获得多个节点分类子模型;
步骤四、节点异常实时检测:基于多个节点分类子模型进行节点的异常检测。
2.如权利要求1所述的一种基于异常节点识别的无监督的APT攻击检测方法,其特征在于:所述步骤一中具体为:
1.1、溯源图构建:采用操作系统内核日志采集工具采集系统内核事件数据,根据系统内核事件数据构建全局溯源图,其中,全局溯源图中的节点代表系统实体,全局溯源图中的边代表系统实体之间的交互事件;
1.2、子溯源图采样:将全局溯源图保存,并从全局溯源图中采集能够放入内存的子溯源图,作为训练和检测的单元,
所述子溯源图采样的方法为:首先,从全局溯源图中随机采集一个节点作为活动节点,并采集活动节点2跳内可以达到的邻居节点一同构成子溯源图G,然后,从G中随机采集另一个节点作为活动节点,并采集活动节点2跳内可以达到的邻居节点并入G,重复N次,得到最终的子溯源图G。
3.如权利要求1所述的一种基于异常节点识别的无监督的APT攻击检测方法,其特征在于:所述步骤二中具体为:
2.1、原始特征抽取:假定节点类型的数量为Nn,边类型的数量为Ne,节点v的原始特征向量为
Figure FDA0003762457060000011
其中ai为v在子溯源图G中的入边集合中第i类边的数量,bj为节点v在G中的出边集合中第j类边的数量;
2.2、语义特征抽取:采用GraphSAGE算法对子溯源图G进行处理,将每个节点v的2跳可达的邻居节点的信息聚合到v中,得到v的语义特征向量yv
4.如权利要求1所述的一种基于异常节点识别的无监督的APT攻击检测方法,其特征在于:所述步骤三中具体为:
3.1、单一节点异常检测模型构建:首先,以步骤2.2中抽取的节点语义特征向量yv作为输入,采用softmax层构建分类模型,分类目标为每个节点的类型,然后,以节点类型的分类结果作为异常检测的依据,当节点类型分类结果错误,则将该节点作为候选异常节点。
5.如权利要求4所述的一种基于异常节点识别的无监督的APT攻击检测方法,其特征在于:所述步骤三中具体为:
3.2、多层节点异常检测模型训练,具体步骤如下:
3.2.1、构建一个训练样本集X,每个样本为xi=(vi,Gi,Ci),其中vi为一个活动节点,Gi为vi对应的子溯源图,Ci为vi的真实节点类型;
3.2.2、基于步骤2和3.1在X上训练一个节点类型分类子模型M0
3.2.3、基于X对M0进行测试,具体方法为:对于X中的每个验证样本xi,假定M0对xi的分类结果为
Figure FDA0003762457060000021
分类置信度为λi,如果
Figure FDA0003762457060000022
且λi>δ,说明M0可以较为确信地将xi正确分类,则将xi从X中删除,其中:δ为指定的置信度阈值;
3.2.4、如果X不为空,则返回步骤3.2.2,继续迭代,直到X为空或迭代次数超过指定次数上限,最终得到子模型集合MS={M0,M1,…,MN}。
6.如权利要求5所述的一种基于异常节点识别的无监督的APT攻击检测方法,其特征在于:所述步骤四中,节点异常实时检测的详细步骤如下:
4.1、实时子溯源图维护:在内存中维护一个实时子溯源图G,每当系统内核日志采集工具采集到了一个新的系统内核事件,则将该系统内核事件对应的节点作为活动节点加入G,并将这些活动节点对应的边,以及其在全局溯源图中的2跳可达的邻居节点和相应的边也加入G。
4.2、节点异常检测:当加入G中的系统内核事件数量达到指定阈值,则对G中的每个活动节点vi进行节点异常检测,检测步骤如下:
4.2.1、使用MS={M0,M1,…,MN}中的每个子模型对vi进行分类,得到一系列的分类结果
Figure FDA0003762457060000023
和分类置信度
Figure FDA0003762457060000024
其中,
Figure FDA0003762457060000025
Figure FDA0003762457060000026
为Mk对vi的分类结果和分类置信度;
4.2.2、只要存在一个子模型Mk满足
Figure FDA0003762457060000027
Figure FDA0003762457060000028
则判定vi为正常节点,反之,则判定vi为异常节点;
其中,Ci为vi的真实节点类型,δ为指定的置信度阈值;
4.2.3、当检测完G中的所有的活动节点之后,删除G中的所有节点,重新开始步骤4.1;
4.3、APT攻击报警:当判定异常的节点的数量超过指定阈值时,则触发APT攻击报警。
7.一种基于异常节点识别的无监督的APT攻击检测系统,包括权利要求1至6中任意一项所述的基于异常节点识别的无监督的APT攻击检测方法,其特征在于:包括:
数据获取单元,所述数据获取单元用于获取操作系统内核事件数据;
数据处理单元,所述数据处理单元用于根据操作系统内核事件数据进行处理,最终获得多个节点分类子模型并进行节点异常检测。
8.一种计算机装置,包括:处理器、存储器、通信接口和通信总线,所述处理器、存储器和通信接口通过所述通信总线完成相互间的通信,所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1至6中任意一项所述的基于异常节点识别的无监督的APT攻击检测方法对应的操作。
9.一种计算机存储介质,所述计算机存储介质中存储有至少一个可执行指令,所述可执行指令使处理器执行如权利要求1至6中任意一项所述的基于异常节点识别的无监督的APT攻击检测方法对应的操作。
CN202210876731.7A 2022-07-25 2022-07-25 基于异常节点识别的无监督的apt攻击检测方法和系统 Pending CN115270954A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210876731.7A CN115270954A (zh) 2022-07-25 2022-07-25 基于异常节点识别的无监督的apt攻击检测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210876731.7A CN115270954A (zh) 2022-07-25 2022-07-25 基于异常节点识别的无监督的apt攻击检测方法和系统

Publications (1)

Publication Number Publication Date
CN115270954A true CN115270954A (zh) 2022-11-01

Family

ID=83769153

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210876731.7A Pending CN115270954A (zh) 2022-07-25 2022-07-25 基于异常节点识别的无监督的apt攻击检测方法和系统

Country Status (1)

Country Link
CN (1) CN115270954A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115604032A (zh) * 2022-12-01 2023-01-13 南京南瑞信息通信科技有限公司(Cn) 一种电力系统复杂多步攻击检测方法及系统
CN116155626A (zh) * 2023-04-20 2023-05-23 浙江工业大学 一种基于跨主机异常行为识别的复杂网络攻击检测方法
CN117454299A (zh) * 2023-12-21 2024-01-26 深圳市研盛芯控电子技术有限公司 异常节点的监测方法及系统

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115604032A (zh) * 2022-12-01 2023-01-13 南京南瑞信息通信科技有限公司(Cn) 一种电力系统复杂多步攻击检测方法及系统
CN115604032B (zh) * 2022-12-01 2023-04-28 南京南瑞信息通信科技有限公司 一种电力系统复杂多步攻击检测方法及系统
CN116155626A (zh) * 2023-04-20 2023-05-23 浙江工业大学 一种基于跨主机异常行为识别的复杂网络攻击检测方法
CN116155626B (zh) * 2023-04-20 2023-07-25 浙江工业大学 一种基于跨主机异常行为识别的复杂网络攻击检测方法
CN117454299A (zh) * 2023-12-21 2024-01-26 深圳市研盛芯控电子技术有限公司 异常节点的监测方法及系统
CN117454299B (zh) * 2023-12-21 2024-03-26 深圳市研盛芯控电子技术有限公司 异常节点的监测方法及系统

Similar Documents

Publication Publication Date Title
Huang et al. Graphlime: Local interpretable model explanations for graph neural networks
Ma et al. Detect rumors on twitter by promoting information campaigns with generative adversarial learning
CN115270954A (zh) 基于异常节点识别的无监督的apt攻击检测方法和系统
CN112765603B (zh) 一种结合系统日志与起源图的异常溯源方法
Hoang et al. An efficient hidden Markov model training scheme for anomaly intrusion detection of server applications based on system calls
CN109547423B (zh) 一种基于机器学习的web恶意请求深度检测系统及方法
CN113961922A (zh) 一种基于深度学习的恶意软件行为检测与分类系统
Dong et al. Towards interpreting recurrent neural networks through probabilistic abstraction
CN110602120B (zh) 一种面向网络的入侵数据检测方法
Han et al. A survey of active and passive concept drift handling methods
Priya et al. Community Detection in Networks: A Comparative study
Hassaoui et al. Domain generated algorithms detection applying a combination of a deep feature selection and traditional machine learning models
CN113821630B (zh) 一种数据聚类的方法和装置
CN111079145B (zh) 基于图处理的恶意程序检测方法
CN115567306A (zh) 基于双向长短时记忆网络的apt攻击溯源分析方法
CN114969761A (zh) 一种基于lda主题特征的日志异常检测方法
CN111310176B (zh) 一种基于特征选择的入侵检测方法和装置
Zhang et al. A high performance intrusion detection system using lightgbm based on oversampling and undersampling
CN111125699B (zh) 基于深度学习的恶意程序可视化检测方法
Afnan et al. LogShield: A Transformer-based APT Detection System Leveraging Self-Attention
Pan et al. RAGLog: Log Anomaly Detection using Retrieval Augmented Generation
Bau et al. Machine learning approaches to intrusion detection system using bo-tpe
CN116055224B (zh) 基于时空超图卷积的加密应用程序行为流量检测方法
CN117708821B (zh) 基于异构图嵌入的勒索软件检测方法、系统、设备及介质
Flores et al. Hybrid network anomaly detection–learning hmms through evolutionary computation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20221101