CN116155626B - 一种基于跨主机异常行为识别的复杂网络攻击检测方法 - Google Patents
一种基于跨主机异常行为识别的复杂网络攻击检测方法 Download PDFInfo
- Publication number
- CN116155626B CN116155626B CN202310423444.5A CN202310423444A CN116155626B CN 116155626 B CN116155626 B CN 116155626B CN 202310423444 A CN202310423444 A CN 202310423444A CN 116155626 B CN116155626 B CN 116155626B
- Authority
- CN
- China
- Prior art keywords
- host
- hosts
- interaction
- graph
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 40
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 27
- 230000003993 interaction Effects 0.000 claims abstract description 73
- 238000010586 diagram Methods 0.000 claims abstract description 54
- 238000012549 training Methods 0.000 claims abstract description 42
- 230000002159 abnormal effect Effects 0.000 claims abstract description 33
- 238000000034 method Methods 0.000 claims description 45
- 239000013598 vector Substances 0.000 claims description 40
- 239000011159 matrix material Substances 0.000 claims description 24
- 238000010276 construction Methods 0.000 claims description 18
- ZNNLBTZKUZBEKO-UHFFFAOYSA-N glyburide Chemical compound COC1=CC=C(Cl)C=C1C(=O)NCCC1=CC=C(S(=O)(=O)NC(=O)NC2CCCCC2)C=C1 ZNNLBTZKUZBEKO-UHFFFAOYSA-N 0.000 claims description 11
- 238000000605 extraction Methods 0.000 claims description 9
- 238000013528 artificial neural network Methods 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 4
- 238000001210 attenuated total reflectance infrared spectroscopy Methods 0.000 claims description 3
- 238000013527 convolutional neural network Methods 0.000 claims description 3
- 238000013016 damping Methods 0.000 claims description 3
- 230000009191 jumping Effects 0.000 claims description 3
- BULVZWIRKLYCBC-UHFFFAOYSA-N phorate Chemical compound CCOP(=S)(OCC)SCSCC BULVZWIRKLYCBC-UHFFFAOYSA-N 0.000 claims 1
- 238000013135 deep learning Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000011897 real-time detection Methods 0.000 description 5
- 238000005096 rolling process Methods 0.000 description 4
- 241000212977 Andira Species 0.000 description 2
- 238000012098 association analyses Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000003306 harvesting Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000001364 causal effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011838 internal investigation Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- Theoretical Computer Science (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- Biomedical Technology (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Databases & Information Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于跨主机异常行为识别的复杂网络攻击检测方法,包括如下步骤:1)首先采集主机内核日志数据构建主机内关联图,然后采用图卷积网络抽取特征,最后采用自动编码机检测主机内关联图中的异常节点;2)首先采用网络流量日志数据构建主机间交互图,然后基于主机间交互图序列训练预测模型,最后根据预测差异检测主机间交互图中的异常边;3)首先根据主机内和主机间异常检测结果构建跨主机异常关联图,然后采用PageRank算法对异常分数进行传播,最后基于异常分数确认受攻击主机。本发明通过跨主机联合网络攻击检测,使得主机内的恶意操作事件和主机间的横向移动事件互相验证,可有效降低误报率。
Description
技术领域
本发明涉及网络安全和深度学习技术,具体涉及一种基于跨主机异常行为识别的复杂网络攻击检测方法。
背景技术
复杂网络攻击在现代网络中变得日益突出。复杂网络攻击是一种持续时间久、攻击手段多的网络攻击方式。攻击者会采用各种手段渗透进目标网络中的主机,然后从一台主机横向移动到另一台主机,来进行内部侦查和数据窃取。复杂网络攻击的这些特性使得传统的单点网络攻击方法难以应对。
最近的工作表明,溯源图是用于检测复杂网络攻击最有效的工具。溯源图是在系统内核日志数据上构建的一种关联图,其节点代表系统实体(如进程、文件),边代表系统事件(如进程读文件)。溯源图可以很好地捕捉系统实体之间的控制流和数据流,更好地体现了系统事件之间的上下文关联和因果关系,因此对于检测长时间、多步骤的复杂网络攻击具有较好的效果。另一方面,随着深度学习的快速发展,深度学习技术也逐渐被用于复杂网络攻击检测任务,特别是可有效处理溯源图的图神经网络技术。
然而,现有融合溯源图与深度学习的复杂网络攻击检测技术仍存在不足:首先,现有技术仍然以检测单一攻击事件为主,无法对多个主机的攻击事件进行关联分析。其次,现有技术由于缺乏攻击事件的关联分析,导致误报率很高。再次,现有技术依赖大量有标注的训练样本。
发明内容
针对现有技术的不足,本发明提供了一种基于跨主机异常行为识别的复杂网络攻击检测方法。
本发明的技术方案如下:
一种基于跨主机异常行为识别的复杂网络攻击检测方法,包括如下步骤:
1) 主机内异常行为检测:首先采集主机内核日志数据构建主机内关联图,然后采用图卷积网络抽取特征,最后采用自动编码机检测主机内关联图中的异常节点。
2) 主机间异常行为检测:首先采用网络流量日志数据构建主机间交互图,然后基于主机间交互图序列训练预测模型,最后根据预测差异检测主机间交互图中的异常边。
3) 跨主机网络攻击检测:首先根据主机内和主机间异常检测结果构建跨主机异常关联图,然后采用PageRank算法对异常分数进行传播,最后基于异常分数确认受攻击主机。
进一步的,所述步骤1)中,主机内异常行为检测的详细步骤如下:
1.1) 主机内良性关联图构建:针对目标网络中的每一台主机H k ,采用操作系统内核日志采集工具采集主机正常运行过程中的系统日志数据,并组织成一个关联图nIAG k ;其中,nIAG k 的节点为系统实体,边为系统实体之间的交互事件。
1-2) 节点初始特征抽取:对于nIAG k 中的每一个节点v i ,初始特征向量为x i =[a i1, a i2, …, a iN ];其中,a ij 为v i 在nIAG k 中与其一跳邻居节点相连的边的集合中第j种类型边的数量。
1-3) 节点语义特征抽取:采用图卷积神经网络对nIAG k 进行处理,更新nIAG k 每个节点的特征向量,得到每个节点v i 的语义特征向量y i 。
1-4) 自动编码机训练:首先,收集所有主机的nIAG k 中的所有“进程”节点的语义特征向量;然后,将这些语义特征向量输入一个自动编码机进行训练;该自动编码机采用两个多层感知机分别作为编码器和解码器,编码器将输入的语义特征向量y i 编码成一个低维的隐向量,解码器将隐向量解码成一个与输入语义特征向量同维度的重构向量z i ;训练的目标为使得输入的语义特征向量y i 与输出的重构向量z i 的差异最小化。
1-5) 主机内异常检测:首先,对于目标网络中的每台主机H k ,采集实时系统日志数据并构建关联图rIAG k ;然后,基于步骤1-2)和1-3)的方法抽取rIAG k 中每个节点的语义特征向量;最后,将rIAG k 中的每个“进程”节点v i 的语义特征向量y i 输入步骤1-4)训练好的自动编码机,得到输出的重构向量z i 。如果y i 与z i 的差异大于指定阈值,则认为v i 是异常节点。
1-6) 主机内异常打分:首先根据公式(1)计算每个异常节点v i 的异常分数,然后根据公式(2)计算主机H k 的异常分数;其中,B(H k )代表主机H k 中异常节点的集合;
(1)
(2)
进一步的,所述步骤2)中,主机间异常行为检测的详细步骤如下:
2-1) 主机间交互时序图构建:针对目标网络中的所有主机,采用网络流量抓取工具采集正常运行过程中主机间网络交互的日志数据;在每一个离散的时间点t上,主机间交互图IRG t 的节点为主机,边为在时间点t – 1和t之间不同主机之间的交互;则连续时间点的主机间交互图可组织成一个主机间交互图的序列IRGS =<IRG 1, IRG 2, …, IRG T >。
2-2) 训练集构建:采用窗口大小为w、步长为1的滑动窗口对主机间交互图的历史序列进行分割,得到大量训练样本,形成训练集SS,SS中每个训练样本S t = (D t , L t )。其中,D t =<IRG t-w , IRG t-w+1, …, IRG t-1>为S t 的数据部分,L t = IRG t 为S t 的标签部分。
2-3) 主机间交互图预测模型训练:基于训练集SS训练一个预测模型,根据连续w个主机间交互图预测下一个主机间交互图;假设输入样本为S t ,则预测模型的结构分成如下4层:
输入层:由于不同主机间交互图的节点集合是相同的,因此仅采用主机间交互图的边集合的邻接矩阵作为输入,即输入为<IRA t-w , IRA t-w+1, …, IRA t-1>,其中IRA k 为IRG k 的边集合的邻接矩阵。
卷积层:将每个IRA k 输入一个卷积神经网络,生成特征矩阵CM k 。
循环层:将连续的t个特征矩阵<CM t-w , CM t-w+1, …, CM t-1>输入一个LSTM,生成特征矩阵RM。
输出层:将RM输入一个全连接神经网络,生成预测的时间点t的邻接矩阵pIRA t 。
2-4) 主机间异常检测:首先,根据步骤2-1)生成当前时间点t之前的w个主机间交互图D t =<IRG t-w , IRG t-w+1, …, IRG t-1>;然后,将D t 输入步骤2-3)训练好的预测模型,预测得到时间点t的邻接矩阵pIRA t ;最后,将pIRA t 与时间点t的真实邻接矩阵IRA t 进行比较,如果pIRA t [i][j] = 0,而IRA t [i][j] = 1,代表模型预测主机H i 和H j 间在时间点t应该没有交互而实际上它们间有交互,则认为主机H i 和H j 间在时间点t的交互是异常的。
进一步的,所述步骤3)中,跨主机复杂网络攻击检测的详细步骤如下:
3-1) 跨主机异常关联图构建:给定时间点t、主机内数据采集时间跨度w、以及目标网络中的主机集合HS = {H 1, H 2, …, H M },跨主机异常关联图构建步骤如下:
3-1-1) 根据步骤1-1)采集HS中每台主机在时间点t – w到t之间的系统日志数据,并为每台主机H k 构建一个实时主机内关联图rIAG k 。
3-1-2) 基于每台主机H k 的实时主机内关联图rIAG k ,根据步骤1-5)检测rIAG k 中的异常节点,并根据步骤1-6)为每台主机H k 进行异常打分。
3-1-3) 根据步骤2-1)采集时间点t – w到t之间的主机间交互图,形成主机间交互图序列D t =<IRG t-w , IRG t-w+1, …, IRG t-1>。
3-1-4) 根据步骤2-4)检测时间点t的主机间的交互异常。
3-1-5) 构建跨主机异常关联图CG;其中,每个节点p k 代表一台主机H k ;如果主机H i 和H j 间在时间点t的交互是异常的,则节点p i 和p j 间存在一条边。
3-2) 异常分数传播:采用PageRank算法对CG中每个节点的权重进行迭代式更新,步骤如下:
3-2-1) 设置CG中每个节点p k 的初始权重PR(p k )为H k 的异常分数s k 。
3-2-2) 对CG中的每个节点p k ,根据公式(3)更新其权重。其中,d为阻尼系数,N CG 为CG中节点的数量,I(p k )为节点p k 的所有入边对应的节点的集合,L(p i )为节点p i 的出度。
(3)
3-2-3) 如果本次迭代之后所有节点的权重变化量小于指定阈值,或迭代次数达到指定上限,则停止迭代,否则跳转到步骤3-2-2)重新开始迭代。
3-3) 受攻击主机检测:将CG中权重高于指定阈值的节点所代表的主机确认为受攻击主机,将一对有边相连的受攻击主机确认为攻击者的横向移动。
相比与现有技术,本发明的优势在于:
(1) 通过跨主机联合网络攻击检测,使得主机内的恶意操作事件和主机间的横向移动事件互相验证,可有效降低误报率;
(2) 采用自监督的深度学习技术,无需任何实际的网络攻击训练样本。
附图说明
图1为本发明方法流程图;
图2为本发明主机内关联图节点初始特征抽取实例图;
图3为本发明主机间交互图序列实例图;
图4为本发明主机间交互图预测模型网络结构图;
图5为本发明实施例1主机内良性关联图;
图6为本发明实施例1主机间交互图序列图;
图7为本发明实施例1实时检测输入图;
图8为本发明实施例1跨主机异常关联图。
具体实施方式
下面将结合附图对本发明作进一步描述。
参考图1,一种基于跨主机异常行为识别的复杂网络攻击检测方法,包括如下步骤:
1) 主机内异常行为检测:首先采集主机内核日志数据构建主机内关联图,然后采用图卷积网络抽取特征,最后采用自动编码机检测主机内关联图中的异常节点。
主机内异常行为检测的详细步骤如下:
1-1) 主机内良性关联图构建:针对目标网络中的每一台主机H k ,采用操作系统内核日志采集工具(如Windows系统的ETW、Linux系统的Auditd)采集主机正常运行过程中的系统日志数据,并组织成一个关联图nIAG k (称为正常主机内关联图);其中,nIAG k 的节点为系统实体(如进程、文件),边为系统实体之间的交互事件(如进程读文件)。
1-2) 节点初始特征抽取:对于nIAG k 中的每一个节点v i ,初始特征向量为x i =[a i1, a i2, …, a iN ];其中,a ij 为v i 在nIAG k 中与其一跳邻居节点相连的边的集合中第j种类型边的数量(边的类型一共N种);图2给出了一个实施例,假设边的类型一共有8种,中心节点v 0与其一跳邻居节点相连的边一共有6条(边上的数字为类型编号),则v 0的初始特征向量为[2, 1, 1, 1, 0, 0, 0, 1]。
1-3) 节点语义特征抽取:采用图卷积神经网络对nIAG k 进行处理,更新nIAG k 每个节点的特征向量,得到每个节点v i 的语义特征向量y i 。
1-4) 自动编码机训练:首先,收集所有主机的nIAG k 中的所有“进程”节点的语义特征向量;然后,将这些语义特征向量输入一个自动编码机进行训练;该自动编码机采用两个多层感知机分别作为编码器和解码器,编码器将输入的语义特征向量y i 编码成一个低维的隐向量,解码器将隐向量解码成一个与输入语义特征向量同维度的重构向量z i ;训练的目标为使得输入的语义特征向量y i 与输出的重构向量z i 的差异最小化。
1-5) 主机内异常检测:首先,对于目标网络中的每台主机H k ,采集实时系统日志数据并构建关联图rIAG k (称为实时主机内关联图);然后,基于步骤1-2)和1-3)的方法抽取rIAG k 中每个节点的语义特征向量;最后,将rIAG k 中的每个“进程”节点v i 的语义特征向量y i 输入步骤1-4)训练好的自动编码机,得到输出的重构向量z i ;如果y i 与z i 的差异大于指定阈值,则认为v i 是异常节点。
1-6) 主机内异常打分:首先根据公式(1)计算每个异常节点v i 的异常分数,然后根据公式(2)计算主机H k 的异常分数;其中,B(H k )代表主机H k 中异常节点的集合。
(1)
(2)
2) 主机间异常行为检测:首先采用网络流量日志数据构建主机间交互图,然后基于主机间交互图序列训练预测模型,最后根据预测差异检测主机间交互图中的异常边。
主机间异常行为检测的详细步骤如下:
2-1) 主机间交互时序图构建:针对目标网络中的所有主机,采用网络流量抓取工具采集正常运行过程中主机间网络交互的日志数据;在每一个离散的时间点t上,主机间交互图IRG t 的节点为主机,边为在时间点t – 1和t之间不同主机之间的交互。则连续时间点的主机间交互图可组织成一个主机间交互图的序列IRGS =<IRG 1, IRG 2, …, IRG T >。图3给出了一个实例,时间点t 1,用户A的主机访问域控制器主机进行身份验证;时间点t 2,用户A的主机访问文件服务器主机。可见,不同时间点的主机间交互图的节点集合是相同的,而边集合不同。
2-2) 训练集构建:采用窗口大小为w、步长为1的滑动窗口对主机间交互图的历史序列进行分割,得到大量训练样本,形成训练集SS,SS中每个训练样本S t = (D t , L t )。其中,D t =<IRG t-w , IRG t-w+1, …, IRG t-1>为S t 的数据部分,L t = IRG t 为S t 的标签部分。
2-3) 主机间交互图预测模型训练:基于训练集SS训练一个预测模型,根据连续w个主机间交互图预测下一个主机间交互图。
假设输入样本为S t ,则预测模型的结构如图4所示,分成如下4层:
输入层:由于不同主机间交互图的节点集合是相同的,因此仅采用主机间交互图的边集合的邻接矩阵作为输入,即输入为<IRA t-w , IRA t-w+1, …, IRA t-1>,其中IRA k 为IRG k 的边集合的邻接矩阵。
卷积层:将每个IRA k 输入一个卷积神经网络,生成特征矩阵CM k 。
循环层:将连续的t个特征矩阵<CM t-w , CM t-w+1, …, CM t-1>输入一个LSTM,生成特征矩阵RM。
输出层:将RM输入一个全连接神经网络,生成预测的时间点t的邻接矩阵pIRA t 。
2-4) 主机间异常检测:首先,根据步骤2-1)生成当前时间点t之前的w个主机间交互图D t =<IRG t-w , IRG t-w+1, …, IRG t-1>。然后,将D t 输入步骤2-3)训练好的预测模型,预测得到时间点t的邻接矩阵pIRA t 。最后,将pIRA t 与时间点t的真实邻接矩阵IRA t 进行比较,如果pIRA t [i][j] = 0,而IRA t [i][j] = 1,代表模型预测主机H i 和H j 间在时间点t应该没有交互而实际上它们间有交互,则认为主机H i 和H j 间在时间点t的交互是异常的。
3) 跨主机复杂网络攻击检测:首先根据主机内和主机间异常检测结果构建跨主机异常关联图,然后采用PageRank算法对异常分数进行传播,最后基于异常分数确认受攻击主机。
跨主机复杂网络攻击检测的详细步骤如下:
3-1) 跨主机异常关联图构建:给定时间点t、主机内数据采集时间跨度w、以及目标网络中的主机集合HS = {H 1, H 2, …, H M },跨主机异常关联图构建步骤如下:
3-1-1) 根据步骤1-1)采集HS中每台主机在时间点t – w到t之间的系统日志数据,并为每台主机H k 构建一个实时主机内关联图rIAG k 。
3-1-2) 基于每台主机H k 的实时主机内关联图rIAG k ,根据步骤1-5)检测rIAG k 中的异常节点,并根据步骤1-6)为每台主机H k 进行异常打分(H k 的异常分数记为s k )。
3-1-3) 根据步骤2-1)采集时间点t – w到t之间的主机间交互图,形成主机间交互图序列D t =<IRG t-w , IRG t-w+1, …, IRG t-1>。
3-1-4) 根据步骤2-4)检测时间点t的主机间的交互异常。
3-1-5) 构建跨主机异常关联图CG。其中,每个节点p k 代表一台主机H k ;如果主机H i 和H j 间在时间点t的交互是异常的,则节点p i 和p j 间存在一条边。
3-2) 异常分数传播:采用PageRank算法对CG中每个节点的权重进行迭代式更新,步骤如下:
3-2-1) 设置CG中每个节点p k 的初始权重PR(p k )为H k 的异常分数s k 。
3-2-2) 对CG中的每个节点p k ,根据公式(3)更新其权重。其中,d为阻尼系数,N CG 为CG中节点的数量,I(p k )为节点p k 的所有入边对应的节点的集合,L(p i )为节点p i 的出度。
(3)
3-2-3) 如果本次迭代之后所有节点的权重变化量小于指定阈值,或迭代次数达到指定上限,则停止迭代,否则跳转到步骤3-2-2)重新开始迭代。
3-3) 受攻击主机检测:将CG中权重高于指定阈值的节点所代表的主机确认为受攻击主机,将一对有边相连的受攻击主机确认为攻击者的横向移动。
实施例1
给定一个包含多台主机和一个域控制器的小型网络系统,在每台主机中安装系统内核日志采集工具,在域控制器中安装网络流量抓取工具。在此基础上,本实施案例包括模型训练和实时检测两个部分,模型训练包括主机内异常行为检测模型训练和主机间异常行为检测模型训练两个部分。
1、主机内异常行为检测模型训练
(1) 使用系统内核日志采集工具采集每台主机正常工作过程中的日志数据,并根据步骤1-1)构建主机内良性关联图,如图5所示给出了一个主机内良性关联图的实例。
(2) 根据步骤1-2)抽取主机内良性关联图中节点的初始特征,假定主机内良性关联图总共有7种类型的边,即[读取, 打开, 写入, 接受, 创建, 执行, 发送],则winword.exe节点的初始特征为[3, 1, 2, 0, 0, 0, 0];然后,根据步骤1-3)更新所有节点的特征向量;最后,根据步骤1-4)输入所有节点的特征向量,训练一个自动编码机M 1。
2、主机间异常行为检测模型训练
(1) 使用网络流量抓取工具采集网络系统中主机之间的交互数据,并根据步骤2-1)构建主机间交互图序列,如图6所示给出了一个主机间交互图序列的实例(图中每条边代表在该时间段内主机间发生的交互)。
(2) 根据步骤2-2)构建训练集,然后根据步骤2-3)训练一个主机间交互图预测模型M 2。
3、实时检测
(1) 给定当前时刻t,采集[t-w, t)时间范围内每台主机的主机内关联图,以及网络系统的主机间交互图序列,作为实时检测的输入;如图7所示给出了一个实时检测输入的实例。
(2) 采用模型M 1,根据步骤1-5)检测主机内异常,并根据步骤1-6)计算异常分数;采用模型M 2,根据步骤2-3)检测主机间异常。假设检测到的异常交互为e 4、e 5、e 6,主机3、主机4、主机5的异常分数分别为98、6、13,则根据步骤3-1-5)构建跨主机异常关联图(如图8所示)。然后,根据步骤3-2)计算得到主机3、主机4、主机5的最终异常分数,假设分别为102、18、21,则最终判定主机3为受攻击主机。
Claims (4)
1.一种基于跨主机异常行为识别的复杂网络攻击检测方法,其特征在于,包括如下步骤:
1) 主机内异常行为检测:首先采集主机内核日志数据构建主机内关联图,然后采用图卷积网络抽取特征,最后采用自动编码机检测主机内关联图中的异常节点;
2) 主机间异常行为检测:首先采用网络流量日志数据构建主机间交互图,然后基于主机间交互图序列训练预测模型,最后根据预测差异检测主机间交互图中的异常边;
3) 跨主机网络攻击检测:首先根据主机内和主机间异常检测结果构建跨主机异常关联图,然后采用PageRank算法对异常分数进行传播,最后基于异常分数确认受攻击主机;
步骤3)中,跨主机复杂网络攻击检测的具体步骤如下:
3-1) 跨主机异常关联图构建:给定时间点t、主机内数据采集时间跨度w、以及目标网络中的主机集合HS,构建跨主机异常关联图CG;
步骤3-1)中跨主机异常关联图构建步骤如下:
3-1-1) 根据每台主机在时间点t –w到t之间的系统日志数据,构建关联图rIAG k ;
3-1-2) 基于步骤3-1-1) 中的关联图rIAG k ,根据步骤1-5)检测关联图rIAG k 中的异常节点,并根据步骤1-6)为每台主机进行异常打分,异常分数记为s k ;
3-1-3) 采集时间点t – w到t之间的主机间交互图,形成主机间交互图序列D t = <IRG t-w , IRG t-w+1, …, IRG t-1>;
3-1-4) 根据步骤2-4)检测时间点t的主机间的交互异常;
3-1-5) 构建跨主机异常关联图CG;
3-2) 异常分数传播:采用PageRank算法对跨主机异常关联图CG中每个节点的权重进行迭代式更新;
步骤3-2)具体步骤如下:
3-2-1) 设置跨主机异常关联图CG中每个节点p k 的初始权重PR(p k )为主机H k 的异常分数s k ;
3-2-2) 对跨主机异常关联图CG中的每个节点p k ,根据公式(3)更新其权重;其中,d为阻尼系数,N CG 为CG中节点的数量,I(p k )为节点p k 的所有入边对应的节点的集合,L(p i )为节点p i 的出度;
(3)
3-2-3) 当本次迭代之后所有节点的权重变化量小于指定阈值,或迭代次数达到指定上限,则停止迭代,否则跳转到步骤3-2-2)重新开始迭代;
3-3) 受攻击主机检测:将跨主机异常关联图CG中权重高于指定阈值的节点所代表的主机确认为受攻击主机,将一对有边相连的受攻击主机确认为攻击者的横向移动。
2.根据权利要求1所述的一种基于跨主机异常行为识别的复杂网络攻击检测方法,其特征在于,步骤1)中,主机内异常行为检测的具体步骤如下:
1-1) 主机内良性关联图构建:采集主机正常运行过程中系统日志数据,构建关联图nIAG k ;其中,关联图nIAG k 的节点为系统实体,边为系统实体之间的交互事件;
1-2) 节点初始特征抽取:对于关联图nIAG k 中的每一个节点,初始特征向量为x i =[a i1, a i2, …, a iN ];其中,a ij 为节点在关联图nIAG k 中与其一跳邻居节点相连的边的集合中第j种类型边的数量;
1-3) 节点语义特征抽取:采用图卷积神经网络对关联图nIAG k 进行处理,更新关联图nIAG k 每个节点的特征向量,得到每个节点的语义特征向量;
1-4) 自动编码机训练:收集所有主机的关联图nIAG k 中所有进程节点的语义特征向量,将上述语义特征向量输入自动编码机进行训练,输出重构向量;
1-5) 主机内异常检测:采集实时系统日志数据构建关联图rIAG k ;抽取关联图rIAG k 中每个进程节点的语义特征向量y i ,并输入至步骤1-4)训练好的自动编码机,得到输出的重构向量z i ;当语义特征向量y i 与重构向量z i 的差异大于指定阈值,则进程节点是异常节点;
1-6) 主机内异常打分:根据公式(1)计算每个异常节点v i 的异常分数,根据公式(2)计算主机H k 的异常分数;其中,B(H k )代表主机H k 中异常节点的集合;
(1)
(2)
3.根据权利要求2所述的一种基于跨主机异常行为识别的复杂网络攻击检测方法,其特征在于,步骤2) 中,主机间异常行为检测的具体步骤如下:
2-1) 主机间交互时序图构建:采集主机间网络交互的日志数据构建主机间交互图IRG t ;在每一个离散的时间点t上,主机间交互图IRG t 的节点为主机,边为在时间点t – 1和t之间不同主机之间的交互;则连续时间点的主机间交互图组织成主机间交互图的序列IRGS= <IRG 1, IRG 2, …, IRG T >;
2-2) 训练集构建:采用窗口大小为w、步长为1的滑动窗口对主机间交互图的序列进行分割,形成训练集SS,SS中每个训练样本S t = (D t , L t );其中,D t 为S t 的数据部分,L t 为S t 的标签部分;
2-3) 主机间交互图预测模型训练:基于训练集SS训练一个预测模型,根据连续w个主机间交互图预测下一个主机间交互图;
2-4) 主机间异常检测:根据步骤2-1)生成时间点t之前的w个主机间交互图D t = <IRG t-w , IRG t-w+1, …, IRG t-1>;将D t 输入步骤2-3)训练好的预测模型,预测得到时间点t的邻接矩阵pIRA t ;将邻接矩阵pIRA t 与时间点t的真实邻接矩阵IRA t 进行比较,判断主机H i 和主机H j 间在时间点t的交互是否异常。
4.根据权利要求3所述的一种基于跨主机异常行为识别的复杂网络攻击检测方法,其特征在于,步骤2-3)中预测模型的结构包括如下4层:
输入层:采用主机间交互图的边集合的邻接矩阵IRA k 作为输入;
卷积层:将每个IRA k 输入一个卷积神经网络,生成特征矩阵CM k ;
循环层:将连续的t个特征矩阵CM k 输入一个LSTM,生成特征矩阵RM;
输出层:将RM输入一个全连接神经网络,生成预测的时间点t的邻接矩阵pIRA t 。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310423444.5A CN116155626B (zh) | 2023-04-20 | 2023-04-20 | 一种基于跨主机异常行为识别的复杂网络攻击检测方法 |
| US18/545,960 US12015628B1 (en) | 2023-04-20 | 2023-12-19 | Complex network attack detection method based on cross-host abnormal behavior recognition |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310423444.5A CN116155626B (zh) | 2023-04-20 | 2023-04-20 | 一种基于跨主机异常行为识别的复杂网络攻击检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116155626A CN116155626A (zh) | 2023-05-23 |
| CN116155626B true CN116155626B (zh) | 2023-07-25 |
Family
ID=86351006
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310423444.5A Active CN116155626B (zh) | 2023-04-20 | 2023-04-20 | 一种基于跨主机异常行为识别的复杂网络攻击检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116155626B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111343136A (zh) * | 2018-12-19 | 2020-06-26 | 福建雷盾信息安全有限公司 | 一种基于流量行为特征的网络异常行为分析检测方法 |
| CN115270954A (zh) * | 2022-07-25 | 2022-11-01 | 苏州卓联优智能科技有限公司 | 基于异常节点识别的无监督的apt攻击检测方法和系统 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753377B (zh) * | 2009-12-29 | 2011-11-09 | 吉林大学 | 一种p2p_botnet实时检测方法及系统 |
| US10560364B1 (en) * | 2017-03-15 | 2020-02-11 | Pivotal Software, Inc. | Detecting network anomalies using node scoring |
| US10547632B2 (en) * | 2017-10-27 | 2020-01-28 | Verizon Patent And Licensing Inc. | Brokered communication protocol using information theoretic coding for security |
| CN112738015B (zh) * | 2020-10-28 | 2023-05-02 | 北京工业大学 | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 |
| CN112822151A (zh) * | 2020-11-06 | 2021-05-18 | 浙江中烟工业有限责任公司 | 面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统 |
| CN112528275B (zh) * | 2020-11-23 | 2021-11-23 | 浙江工业大学 | 基于元路径学习与子图采样的apt网络攻击检测方法 |
| CN112765603B (zh) * | 2021-01-28 | 2022-04-05 | 电子科技大学 | 一种结合系统日志与起源图的异常溯源方法 |
| CN113627479B (zh) * | 2021-07-09 | 2024-02-20 | 中国科学院信息工程研究所 | 一种基于半监督学习的图数据异常检测方法 |
| CN114915485A (zh) * | 2022-05-31 | 2022-08-16 | 阿里云计算有限公司 | 基于ueba的异常行为分析方法及装置 |
-
2023
- 2023-04-20 CN CN202310423444.5A patent/CN116155626B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111343136A (zh) * | 2018-12-19 | 2020-06-26 | 福建雷盾信息安全有限公司 | 一种基于流量行为特征的网络异常行为分析检测方法 |
| CN115270954A (zh) * | 2022-07-25 | 2022-11-01 | 苏州卓联优智能科技有限公司 | 基于异常节点识别的无监督的apt攻击检测方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116155626A (zh) | 2023-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108718310B (zh) | 基于深度学习的多层次攻击特征提取及恶意行为识别方法 | |
| CN112069485B (zh) | 基于用户行为的安全处理方法、装置及设备 | |
| CN110266647B (zh) | 一种命令和控制通信检测方法及系统 | |
| CN111784348B (zh) | 账户风险识别方法及装置 | |
| Kim et al. | Genetic algorithm to improve SVM based network intrusion detection system | |
| CN110084610B (zh) | 一种基于孪生神经网络的网络交易欺诈检测系统 | |
| CN111107102A (zh) | 基于大数据实时网络流量异常检测方法 | |
| Kim et al. | Fusions of GA and SVM for anomaly detection in intrusion detection system | |
| CN113204745B (zh) | 基于模型剪枝和逆向工程的深度学习后门防御方法 | |
| JP4940220B2 (ja) | 異常動作検出装置及びプログラム | |
| US20240028744A1 (en) | Dynamic network risk predicting method based on a graph neural network | |
| CN110120064A (zh) | 一种基于互强化与多注意机制学习的深度相关目标跟踪算法 | |
| CN113486337B (zh) | 一种基于粒子群算法的网络安全态势要素识别系统和方法 | |
| CN115270954A (zh) | 基于异常节点识别的无监督的apt攻击检测方法和系统 | |
| CN113011322A (zh) | 监控视频特定异常行为的检测模型训练方法及检测方法 | |
| CN114124734B (zh) | 一种基于GCN-Transformer集成模型的网络流量预测方法 | |
| CN116244647A (zh) | 一种无人机集群的运行状态估计方法 | |
| CN111898129A (zh) | 基于Two-Head异常检测模型的恶意代码样本筛选器及方法 | |
| CN116155626B (zh) | 一种基于跨主机异常行为识别的复杂网络攻击检测方法 | |
| CN113938290A (zh) | 一种用户侧流量数据分析的网站去匿名方法和系统 | |
| CN112422546A (zh) | 一种基于变邻域算法和模糊聚类的网络异常检测方法 | |
| CN112653680A (zh) | 模型训练方法、网络态势预测方法、装置、设备及介质 | |
| CN117009900A (zh) | 一种基于图神经网络的物联网信号异常检测方法和系统 | |
| US12015628B1 (en) | Complex network attack detection method based on cross-host abnormal behavior recognition | |
| CN113472515B (zh) | 一种用于检验用户防御侧信道攻击能力的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |