CN116074092A - 一种基于异构图注意力网络的攻击场景重构系统 - Google Patents

Abstract

本发明公开了一种基于异构图注意力网络的攻击场景重构系统，属于攻击检测技术领域，主旨在于解决攻击检测系统缺乏对多步攻击的关联分析问题。主要方案包括：先收集系统审计日志数据，以系统实体(如进程、文件)为顶点，以系统事件为边构建溯源图，并在保留语义信息的基础上对溯源图进行缩减；然后输入到训练好的异构图注意力网络中得到进程节点的语义特征，之后通过余弦相似计算方法与数据库中已经学习到的进程特征对比，得到相似度，若相似度低于阈值则判断其为异常节点；接着以异常节点为基点，通过改进后的DFS算法提取攻击路径，若有多条路径则通过设置的判别条件如时间跨度等对其进行排序，最终得到威胁度最高得攻击路径。

Description

一种基于异构图注意力网络的攻击场景重构系统

技术领域

本发明涉及网络攻击检测技术领域，提供了一种基于异构图注意力网络的攻击场景重构系统。

背景技术

近年来，信息系统已广泛应用于社会生活生产的各个领域，但以APT攻击为代表的高隐蔽性网络威胁却对其安全性提出了新的挑战。例如利用NSA泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播的WannaCry，入侵主机后对文件进行加密并进行勒索。国内多所高校受到影响，导致校园网内的电脑被入侵、中石油所属部分加油站运行受到波及。而终端系统日志中蕴含着系统运行状态的丰富信息，所以对终端系统日志进行异常检测和追踪溯源已成为网络安全领域的热点问题。

对复杂攻击中的多个阶段检测并关联分析，构建攻击路径，是发现多步复杂攻击的核心方法。之前的研究中有针对单源信息不足的问题，提出融合多源信息进行攻击检测。比如SIEMs，融合了多个IDS信息、防火墙信息、主机信息等。基于IDS等信息的关联分析，需要这些设备检测到某阶段的攻击行为并产生告警信息。如果在一次多步攻击中，除信息收集阶段，其他关键步骤使用了多个未披漏的攻击手段或隐蔽攻击技术，则现有的检测方法有可能遗漏告警信息，影响关联分析和攻击检测的效果，因此，防御者可以利用与系统直接交互的更低维度信息检测网络攻击。此外，绝大多数SIEMs主要用于对单个告警的去噪、融合，从而减少误报，缺乏对于多个攻击步骤之间的关联分析。基于主机系统审计日志信息构建溯源图来进行攻击关联分析检测是一个可行的策略。首先，攻击行为不可避免的要在系统日志中留下痕迹，无论是良性行为还是恶意攻击；其次，溯源图包含完整的系统历史执行信息，并且将离散的日志信息关联在一起，我们可以通过一定的策略，从溯源图中发现恶意行为；最后，虽然攻击所使用的技术手段及策略各不相同，但攻击的前后阶段因果关系紧密相连，防御者可以通过关联分析，重构攻击路径及攻击场景。

为了准确检测出网络攻击并进行关联分析，研究人员提出了一些方法。

在文献《SLEUTH:Real-time Attack Scenario Reconstruction from COTSAudit Data》中基于审计日志信息构建溯源图，并引入标签初始化和标签传播策略为溯源图中的实体赋予标签，再结合特定的规则对溯源图进行分析，从而还原攻击路径。但此方法未解决依赖爆炸问题，标签会传播到每个实体而造成假阳性。

文献《{ATLAS}:A Sequence-based Learning Approach for AttackInvestigation》中将溯源图中的路径转化为语言序列，训练一个LSTM模型将其分类为攻击行为与非攻击行为。在调查阶段，给定溯源图中的一个攻击节点，ATLAS构造一组与攻击症状节点关联的候选序列，使用训练的模型来识别序列中有助于攻击的节点，并将识别出的攻击节点统一起来构建攻击路径，缺点是调查时需要提供一个真正的具有攻击特征的实体并且检测的正确性依赖于收集到的训练日志的质量。

文献《HOLMES:Real-Time APT Detection through Correlation of SuspiciousInformation Flows》基于溯源图检测APT攻击并能实时汇总攻击者的攻击行为及基于kill-chain(攻击链)构建APT攻击场景。HOLMES构建了一个中间层HSG(高级场景图)，中间层HSG是基于MITRE的ATT&CK框架做的一种语义层的抽象，HOLMES利用终端日志数据构建的溯源图和专家规则将审计日志数据提升到这个中间层。虽然HOLMES从一定程度上解决了低级别审计数据与攻击者目标、意图和能力相关高级杀伤链视角之间的巨大语义差距，但是依赖于专家经验，假阳性高。

发明内容

针对上述现有技术问题，本发明的目的在于提供一种基于异构图注意力网络的攻击场景重构系统，该系统能够解决攻击检测系统缺乏对多步攻击的关联分析与现有基于溯源图进行攻击检测依赖专家规则导致假阳性高的问题，利用异构图注意力网络从节点、路径等方面整合节点语义信息，使用相似性学习方法最大化良性节点与攻击节点的距离，从而提高攻击检测的正确率，接着通过改进的DFS算法基于检测出的异常节点提取攻击路径，助力安全分析人员进行攻击调查。

为了达到上述目的，本发明采用如下技术方案：

一种基于异构图注意力网络的攻击场景重构系统，包括以下模块：

溯源图构建与缩减模块：基于系统审计日志，以系统实体为顶点，以系统事件为边构建溯源图，并在保留语义信息的基础上对溯源图进行缩减；

特征提取模块：通过训练好的异构图注意力模型提取溯源图中主要进程节点的语义特征；

异常检测模块：通过余弦相似计算方法计算进程节点语义特征与数据库中相应进程节点的语义特征之间的相似度，若相似度低于设定阈值则判断其为异常节点；

攻击路径提取模块：以识别出的异常节点为基点，通过改进后的DFS算法提取攻击路径，若存在多条路径，则通过判别条件进行排序，最终得到威胁度最高的攻击路径。

2.根据权利要求1所述的一种基于异构图注意力网络的攻击场景重构系统，其中溯源图构建与缩减模块具体实现步骤如下：

S1：解析JSON格式的DARPA TC数据集，数据集将进程抽象为subject，将文件、管道抽象为object，将系统调用抽象为事件；以数据集中的subject与object为顶点，subject和object包含命令行、文件名属性，以数据集中的事件为边，构建溯源图，其中事件包含事件发起者与事件实施者subject或object、事件唯一标识符uuid、事件类型属性，将subject或object两顶点相连，方向为发起者至实施者；

S2：确定并删除不影响全局依赖的冗余事件及系统运行相关事件。

3.根据权利要求1所述的一种基于异构图注意力网络的攻击场景重构系统，其中特征提取模块具体实现步骤如下：

S1：构建异构图注意力模型，包含以下几个部分：

一、通过Random walk算法提取顶点序列作为metapath；

二、对于metapath中的每个顶点，通过par2vec学习属性特征，通过one-hot得到名称特征，并通过BiLSTM将属性特征和名称特征整合在一起构成节点特征；

三、为每个节点特征赋予权重系数，通过MLP将节点特征转换到非线性空间，得到节点级注意力网络；

四、将各个节点的特征concat，通过MLP将所有节点特征整合在一起，得到结构特征；

五、为每个结构特征赋予权重，来学习不同metapath的重要性；

六、最终将每个metapath学习到的权重乘上结构特征累加到一起构成进程节点特征，以上步骤构成了异构图注意力模型；

S2：通过相似性学习的方法对异构图注意力模型进行训练，两个溯源图分别输入到两个相同的异构图注意力模型中，同时取两个相同的进程节点为一对进行训练，若两个节点都是良性或攻击节点，则label为+1，若一个是良性一个是攻击节点则label为-1，然后通过余弦相似性计算两个节点特征的相似度，通过以下损失函数进行训练；

训练阶段，P对进程节点G_i(1)，G_i(2)与数据标签y_i输入到模型中进行训练，sim()表示计算两个进程节点特征的余弦相似度；

S3：训练完成后，将测试数据集输入到网络中得到节点的语义特征并存入数据库；

S4：检测阶段将溯源图输入到训练好的异构图注意力模型中计算进程节点的语义特征。

4.根据权利要求1所述的一种基于异构图注意力网络的攻击场景重构系统，其中异常检测模块具体实现步骤如下：

S1：将进程节点的语义特征与数据库中相应进程节点的语义特征通过余弦相似计算方法计算相似度，若相似度低于设定的阈值，则判断其为异常节点；

S2：将所有进程节点输入到模型中从而检测出所有的异常节点。

5.根据权利要求1所述的一种基于异构图注意力网络的攻击场景重构系统，其中攻击路径提取模块具体实现步骤如下：

S1：以检测出的发生时间最早的异常节点为基点，通过改进的前向DFS算法提取攻击路径；在进行图遍历时，限制每次遍历到的事件的时间戳必须大于之前遍历到事件的时间戳，防止未来事件到过去事件之间的信息流造成错误的依赖；异常节点的祖先节点与攻击事件有较强的因果关系，而普通的前向DFS算法会丢失祖先节点，所以在图编历时，将初始节点的1跳祖先节点包含在内；为了缓和粗粒度系统日志的依赖爆炸问题，将一些特殊的系统实体作为终止条件；最后为了保证没有攻击路径损失，在第一次遍历结束后，将路径中未包含的异常节点筛选出来继续进行遍历；

S2：若有多条攻击路径，则通过设定的判断条件对路径进行排序，选出威胁度最高路径作为攻击路径。

本发明同现有技术相比，其有益效果表现在：

一、基于系统审计日志构建溯源图，以系统实体为顶点，以系统事件为边对日志进行建模，将离散的日志关联在一起，既包含了完整的系统历史执行信息，也有丰富的因果关系；

二、该发明提出了一种简单而有效的攻击路径提取算法，在检测出的异常节点基础上快速并准确的提取出攻击路径，并尽可能包含少量与攻击事件无关的事件

三、该发明通过使用相似性学习的方法学习节点的语义特征，充分利用了溯源图中节点、路径的语义，提高了攻击检测的准确率。

附图说明

图1是本发明的总体架构图。

具体实施方式

下面将结合附图及具体实施方式对本发明作进一步的描述。

一种基于异构图注意力网络的攻击场景重构系统，包括以下模块：

溯源图构建与缩减模块：基于系统审计日志，以系统实体为顶点，以系统事件为边构建溯源图，并在保留语义信息的基础上对溯源图进行缩减；

特征提取模块：通过训练好的异构图注意力模型提取溯源图中主要进程节点的语义特征；

异常检测模块：通过余弦相似计算方法计算进程节点语义特征与数据库中相应进程节点的语义特征之间的相似度，若相似度低于设定阈值则判断其为异常节点；

攻击路径提取模块：以识别出的异常节点为基点，通过改进后的DFS算法提取攻击路径，若存在多条路径，则通过判别条件进行排序，最终得到威胁度最高的攻击路径。

2.根据权利要求1所述的一种基于异构图注意力网络的攻击场景重构系统，其中溯源图构建与缩减模块具体实现步骤如下：

S1：解析JSON格式的DARPA TC数据集，数据集将进程抽象为subject，将文件、管道抽象为object，将系统调用抽象为事件；以数据集中的subject与object为顶点，subject和object包含命令行、文件名属性，以数据集中的事件为边，构建溯源图，其中事件包含事件发起者与事件实施者subject或object、事件唯一标识符uuid、事件类型属性，将subject或object两顶点相连，方向为发起者至实施者；

S2：确定并删除不影响全局依赖的冗余事件及系统运行相关事件。

3.根据权利要求1所述的一种基于异构图注意力网络的攻击场景重构系统，其中特征提取模块具体实现步骤如下：

S1：构建异构图注意力模型，包含以下几个部分：

一、通过Random walk算法提取顶点序列作为metapath；

二、对于metapath中的每个顶点，通过par2vec学习属性特征，通过one-hot得到名称特征，并通过BiLSTM将属性特征和名称特征整合在一起构成节点特征；

三、为每个节点特征赋予权重系数，通过MLP将节点特征转换到非线性空间，得到节点级注意力网络；

四、将各个节点的特征concat，通过MLP将所有节点特征整合在一起，得到结构特征；

五、为每个结构特征赋予权重，来学习不同metapath的重要性；

六、最终将每个metapath学习到的权重乘上结构特征累加到一起构成进程节点特征，以上步骤构成了异构图注意力模型；

S2：通过相似性学习的方法对异构图注意力模型进行训练，两个溯源图分别输入到两个相同的异构图注意力模型中，同时取两个相同的进程节点为一对进行训练，若两个节点都是良性或攻击节点，则label为+1，若一个是良性一个是攻击节点则label为-1，然后通过余弦相似性计算两个节点特征的相似度，通过以下损失函数进行训练；

训练阶段，P对进程节点G_i(1)，G_i(2)与数据标签y_i输入到模型中进行训练，sim()表示计算两个进程节点特征的余弦相似度；

S3：训练完成后，将测试数据集输入到网络中得到节点的语义特征并存入数据库；

S4：检测阶段将溯源图输入到训练好的异构图注意力模型中计算进程节点的语义特征。

4.根据权利要求1所述的一种基于异构图注意力网络的攻击场景重构系统，其中异常检测模块具体实现步骤如下：

S1：将进程节点的语义特征与数据库中相应进程节点的语义特征通过余弦相似计算方法计算相似度，若相似度低于设定的阈值，则判断其为异常节点；

S2：将所有进程节点输入到模型中从而检测出所有的异常节点。

5.根据权利要求1所述的一种基于异构图注意力网络的攻击场景重构系统，其中攻击路径提取模块具体实现步骤如下：

S1：以检测出的发生时间最早的异常节点为基点，通过改进的前向DFS算法提取攻击路径；在进行图遍历时，限制每次遍历到的事件的时间戳必须大于之前遍历到事件的时间戳，防止未来事件到过去事件之间的信息流造成错误的依赖；异常节点的祖先节点与攻击事件有较强的因果关系，而普通的前向DFS算法会丢失祖先节点，所以在图编历时，将初始节点的1跳祖先节点包含在内；为了缓和粗粒度系统日志的依赖爆炸问题，将一些特殊的系统实体作为终止条件；最后为了保证没有攻击路径损失，在第一次遍历结束后，将路径中未包含的异常节点筛选出来继续进行遍历；

S2：若有多条攻击路径，则通过设定的判断条件对路径进行排序，选出威胁度最高路径作为攻击路径。

Claims (5)

1.一种基于异构图注意力网络的攻击场景重构系统，包括以下模块：

溯源图构建与缩减模块：基于系统审计日志，以系统实体为顶点，以系统事件为边构建溯源图，并在保留语义信息的基础上对溯源图进行缩减；

特征提取模块：通过训练好的异构图注意力模型提取溯源图中主要进程节点的语义特征；

异常检测模块：通过余弦相似计算方法计算进程节点语义特征与数据库中相应进程节点的语义特征之间的相似度，若相似度低于设定阈值则判断其为异常节点；

攻击路径提取模块：以识别出的异常节点为基点，通过改进后的DFS算法提取攻击路径，若存在多条路径，则通过判别条件进行排序，最终得到威胁度最高的攻击路径。

2.根据权利要求1所述的一种基于异构图注意力网络的攻击场景重构系统，其中溯源图构建与缩减模块具体实现步骤如下：

S1：解析JSON格式的DARPA TC数据集，数据集将进程抽象为subject，将文件、管道抽象为object，将系统调用抽象为事件；以数据集中的subject与object为顶点，subject和object包含命令行、文件名属性，以数据集中的事件为边，构建溯源图，其中事件包含事件发起者与事件实施者subject或object、事件唯一标识符uuid、事件类型属性，将subject或object两顶点相连，方向为发起者至实施者；

S2：确定并删除不影响全局依赖的冗余事件及系统运行相关事件。

3.根据权利要求1所述的一种基于异构图注意力网络的攻击场景重构系统，其中特征提取模块具体实现步骤如下：

S1：构建异构图注意力模型，包含以下几个部分：

一、通过Random walk算法提取顶点序列作为metapath；

二、对于metapath中的每个顶点，通过par2vec学习属性特征，通过one-hot得到名称特征，并通过BiLSTM将属性特征和名称特征整合在一起构成节点特征；

三、为每个节点特征赋予权重系数，通过MLP将节点特征转换到非线性空间，得到节点级注意力网络；

四、将各个节点的特征concat，通过MLP将所有节点特征整合在一起，得到结构特征；

五、为每个结构特征赋予权重，来学习不同metapath的重要性；

六、最终将每个metapath学习到的权重乘上结构特征累加到一起构成进程节点特征，以上步骤构成了异构图注意力模型；

S2：通过相似性学习的方法对异构图注意力模型进行训练，两个溯源图分别输入到两个相同的异构图注意力模型中，同时取两个相同的进程节点为一对进行训练，若两个节点都是良性或攻击节点，则label为+1，若一个是良性一个是攻击节点则label为-1，然后通过余弦相似性计算两个节点特征的相似度，通过以下损失函数进行训练；

训练阶段，P对进程节点G_i(1)，Gi(2)与数据标签y_i输入到模型中进行训练，sim()表示计算两个进程节点特征的余弦相似度；

S3：训练完成后，将测试数据集输入到网络中得到节点的语义特征并存入数据库；

S4：检测阶段将溯源图输入到训练好的异构图注意力模型中计算进程节点的语义特征。

4.根据权利要求1所述的一种基于异构图注意力网络的攻击场景重构系统，其中异常检测模块具体实现步骤如下：

S1：将进程节点的语义特征与数据库中相应进程节点的语义特征通过余弦相似计算方法计算相似度，若相似度低于设定的阈值，则判断其为异常节点；

S2：将所有进程节点输入到模型中从而检测出所有的异常节点。

5.根据权利要求1所述的一种基于异构图注意力网络的攻击场景重构系统，其中攻击路径提取模块具体实现步骤如下：

S1：以检测出的发生时间最早的异常节点为基点，通过改进的前向DFS算法提取攻击路径；在进行图遍历时，限制每次遍历到的事件的时间戳必须大于之前遍历到事件的时间戳，防止未来事件到过去事件之间的信息流造成错误的依赖；异常节点的祖先节点与攻击事件有较强的因果关系，而普通的前向DFS算法会丢失祖先节点，所以在图编历时，将初始节点的1跳祖先节点包含在内；为了缓和粗粒度系统日志的依赖爆炸问题，将一些特殊的系统实体作为终止条件；最后为了保证没有攻击路径损失，在第一次遍历结束后，将路径中未包含的异常节点筛选出来继续进行遍历；

S2：若有多条攻击路径，则通过设定的判断条件对路径进行排序，选出威胁度最高路径作为攻击路径。

Images