CN116192477A - 一种基于掩码图自编码器的apt攻击检测方法及装置 - Google Patents
一种基于掩码图自编码器的apt攻击检测方法及装置 Download PDFInfo
- Publication number
- CN116192477A CN116192477A CN202310068592.XA CN202310068592A CN116192477A CN 116192477 A CN116192477 A CN 116192477A CN 202310068592 A CN202310068592 A CN 202310068592A CN 116192477 A CN116192477 A CN 116192477A
- Authority
- CN
- China
- Prior art keywords
- graph
- layer
- encoder
- nodes
- self
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Image Analysis (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本发明属于机器学习技术领域,具体为一种基于掩码图自编码器的APT攻击检测方法和装置。本发明方法包括:待检测安全日志数据进行预处理,构建网络攻击溯源图并提取节点和边的原始类别;构建并训练基于掩码节点特征重建和结构重建的图注意力自编码器,作为特征提取模型;将待检测溯源图输入特征提取模型,得到溯源图中节点的特征向量;根据节点或溯源图自身的特征向量,使用无监督离群点检测算法检测异常节点并识别出APT攻击。本发明可大大降低APT攻击检测对于稀缺的攻击数据的依赖,可降低结构重建的计算量且提高掩码图自编码器对图结构的表示能力。本发明的APT攻击检测精度显著高于、且计算开销显著低于现有APT攻击检测方法。
Description
技术领域
本发明属于机器学习技术领域,具体涉及APT攻击检测方法及装置。
背景技术
高级可持续攻击(Advanced Persistent Threat,APT)是一种近年来持续不断增多的网络攻击模式。它通过隐蔽、欺骗性的手段渗透进入系统内部,使用一系列的操作获取敏感数据、夺取系统权限或引入外部程序。APT攻击检测技术是基于日志采集设备和软件获得的安全日志数据,利用异常检测技术,识别出其中可能包含的APT攻击痕迹。APT攻击检测技术在网络安全领域具有重大意义,同时具有重要的应用场景和潜力。
早期的APT攻击检测技术通过人工收集和分析APT攻击模式,利用启发式规则或统计学方法进行端到端的检测;或是基于APT攻击的常见流程,总结并抽取APT攻击阶段,采用溯源图上的匹配算法实现攻击检测。但这些方法无法全面、深层次地提取安全日志中的特征,同时泛化能力较差,在应对隐蔽攻击、检测新攻击模式等方面表现不够理想。
近年来随着深度学习方法和图神经网络的出现和流行,相应的很多方法被应用于APT攻击检测的研究中,并在检测准确性和泛化能力上均取得了一定的进展。其主要流程为利用训练日志数据构造溯源图,输入图神经网络进行训练,并使用训练完成的图神经网络对待检测日志构建的溯源图进行特征提取,获取溯源图或图中节点的特征表示向量,再通过分类器或异常检测方法,实现APT攻击检测。
溯源图中包含的特征维度较高,传统的深度神经网络难以应对图结构所包含的信息。图神经网络可以有效的提取图结构及其相应特征。有科研人员利用图神经网络在多个APT攻击数据集上都取得了较高的识别率。
然而常见基于图神经网络的APT检测方法需要大量训练数据,特别是攻击数据用于图神经网络模型的学习。因此,这些有监督的检测方法难以应对缺乏攻击数据的场景,也无法识别出未经学习过的APT攻击模式。同时,常见的自监督图自编码器方法由于引入了结构重建损失,随着溯源图体量的不断增大,面临计算量和内存开销快速膨胀的问题。应用于大规模的日志数据攻击检测时(例如构建的溯源图庞大且原始特征多时)则更容易产生计算时间长、内存占用过高的问题,这不仅提升了完成APT攻击检测所需的硬件要求,还将增加模型训练所需的计算开销甚至使得训练过程几乎无法完成。
发明内容
本发明的目的在于提供一种能在缺乏训练用攻击数据的场景下实现APT攻击检测且计算开销小的APT攻击检测方法及装置。
本发明提出的APT攻击检测方法,是基于掩码图自编码器技术的,通过图自编码器得到网络攻击溯源图中节点的特征向量,并基于特征向量寻找离群点并检测APT攻击,具体步骤如下:
步骤S1:对已确定为待检查的安全日志数据进行预处理,获得相应的网络攻击溯源图,提取节点和边的原始类别;
步骤S2:构建带有结构重建的掩码图自编码器,并采用完全非攻击的安全日志数据,对该掩码图自编码器进行量化训练;将训练后的掩码图自编码器模型作为特征提取模型,并保存该模型在训练日志上的输出;
步骤S3:将预处理得到的溯源图输入所述特征提取模型,分别得到与溯源图中节点的特征向量和与溯源图本身所对应的特征向量;
步骤S4:根据溯源图中节点的特征向量和溯源图的特征向量,应用自适应离群点检测算法检测异常节点或异常溯源图并识别出APT攻击。
其中:
步骤S1中,包含下列子步骤:
步骤S1-1,根据溯源日志的数据格式,构建日志解析器,提取出安全日志数据中的实体、实体类型、实体间交互、交互类型和交互时间戳等信息;
步骤S1-2,对实体进行裁剪,删除不参与任何交互的实体。对交互按照时间戳从小到大进行排序并进行裁剪,删除同一实体对之间的重复关系,仅保留时间戳最小的单次交互;
步骤S1-3,进行网络攻击溯源图的构建。每一个实体对应溯源图中的一个节点。每一个交互对应溯源图中一条有向边;
步骤S1-4,对网络攻击溯源图进行补充。图中节点和边的原始特征向量使用该节点或边对应类型的独热编码填充。
步骤S2中,包含下列子步骤:步骤S2-1,构建带有结构重建的掩码图自编码器模型,该图自编码器模型含有嵌入层、图注意力层、结构重建模块、全连接层和平均池化层;各模块主要功能为:嵌入层输入节点和边的原始类别,提取节点和边的原始特征向量;图注意力层输入待检测溯源图以及节点、边的特征向量,进行基于图注意力机制的图卷积操作,获得节点的输出特征向量;结构重建模块基于提取出的节点特征,对溯源图中的节点对进行采样,并重建节点对之间的边;各部分的参数矩阵中的参数为随机设置;其结构参见图2。其中,图注意力层分为2类,记为:图注意力编码层和图注意力解码层,其中:
嵌入层后是2个依次连接的图注意力编码层;图注意力编码层共有4个注意力头;
图注意力编码层之后为平行配置的1个平均池化层、1个全连接层和1个结构重建模块;全连接层连接图注意力编码层和图注意力解码层,并将编码层的输出特征向量转换为解码层的输入特征向量;
全连接层之后是1个图注意力解码层,图注意力解码层共有4个注意力头;
上述各层中均含有用于计算向下一层传递的数据的计算权重数值(即参数)。下面进行掩码图自编码器模型训练:
步骤S2-2,将预处理过后的网络攻击溯源图作为训练集,对溯源图中的节点进行随机掩码并记录掩码节点后输入图自编码器模型;
步骤S2-3,将掩码图自编码器模型进行向前传递并基于结构重建模块和图注意力解码层的结果计算误差;
步骤S2-4,采用反向传播方法传递误差更新参数;
步骤S2-5,重复步骤S2-2至步骤S2-4,直至达到训练要求条件,得到训练后的掩码图自编码器,作为特征提取模型;
步骤S2-6,使用步骤S2-5得到的特征提取模型,以无掩码的训练集作为输入,并保存模型中图注意力编码层和平均池化层的输出。
其中,步骤S4中,包含下列子步骤:
步骤S4-1,基于应用场景的不同,从选择步骤S2-6所保存的训练集输出和步骤S3中得到的带检测溯源图输出中,选择不同模块的输出作为离群点检测方法的输入:
需要对日志中主体和客体进行细粒度检测,选择图注意力编码层的输出;
需要对日志进行整体检测,选择平均池化层的输出;
步骤S4-2,基于步骤S4-1所选择的训练集输入,训练K-近邻离群点检测模型;
步骤S4-3,基于步骤S4-1所选择的待检测溯源图输出,基于步骤S4-2得到的离群点检测模型,检测异常节点或异常溯源图,并识别出APT攻击。
本发明中,所述预处理方法具有这样的技术特征,对于安全日志条目,只需具备交互主体、客体和交互本身的类型数据,即可适用于本发明,扩展了本发明的适用范围。
本发明中,所述掩码图自编码器具有这样的技术特征,在利用图注意力解码层进行掩码节点原始特征重建的同时,采用结构重建模块学习溯源图的结构特征,提高了掩码图自编码器对图结构的表示能力。
本发明中,所述掩码图自编码器还具有这样的技术特征,结构重建模块采用基于节点对的负采样重建实现,替代了常用的邻接矩阵重建方法,在效果不变的同时显著降低了计算量和内存开销。
本发明中,所述图注意力层还具有这样的技术特征,在进行图卷积时,采用基于源节点特征、边特征和目标节点特征的加型注意力机制计算注意力权重,在不增加计算量的同时学习到了图中边的特征,增加了模型的表示能力。
本发明中,所述掩码图自编码器模型和K-近邻离群点检测算法均为自监督模型,只需要非攻击安全日志数据进行训练,扩展了本发明的适用范围,降低了本发明对于攻击数据的依赖。
本发明中,在步骤S2的每一层图注意力编码层的输出都进行批标准化,将每一层的输出都规范化到一个N(0,1)的正态分布,防止反向传播过程中出现梯度消失问题。
本发明中,在步骤S2中的嵌入层的输出进行随机丢弃,降低模型对于输入节点原始特征的依赖。
本发明中,步骤S2-5中的训练完成条件为:完成了预定的循环次数、参数已经收敛或消除了训练误差。
本发明还包括基于上述方法的APT攻击检测装置,其包括:安全日志预处理模块,掩码图自编码器模型构建、训练模块,特征提取模块,以及离群点检测模块。这四个模块执行功能依次对于APT攻击检测方法中步骤S1、步骤S2、步骤S3、步骤S4的操作。
本发明方法采用掩码图自编码器模型和普适的溯源图构造方法,扩展了模型的适用范围、降低了对于攻击数据的依赖;同时引入基于负采样的结构重建损失,降低了计算量和内存开销,使模型计算可以较快完成、允许更低的硬件要求。本方法在多个数据集上得到的APT攻击检测精度高于现有的多种APT攻击检测方法,同时大幅减少了计算量、计算时间和内存开销。
附图说明
图1是本发明实施例的基于掩码图自编码器的APT攻击检测方法的流程图。
图2是本发明实施例的掩码图自编码器模型结构图示。
图3是本发明实施例的图注意力编码层图示。
图4是本发明实施例的结构重建模块图示。
图5是本发明实施例的图注意力解码层图示。
实施方式
以下结合附图以及实施例来说明本发明的具体实施方式。
本实施例中的模型构建等均在Linux平台上实现,该平台具有至少一张图形处理单元GPU卡的支持。
图1是本发明实施例的基于掩码图自编码器的APT攻击检测方法的流程图。基于掩码图自编码器的APT攻击检测方法,包括如下步骤:
步骤S1:对已确定为待检查的安全日志数据进行预处理,获得相应的网络攻击溯源图,并提取节点和边的原始类别;
本实施例中,作为训练集的安全日志来自于数据集Unicorn Wget,数据集共有150份安全日志,其中包含100份不包含APT攻击的训练日志和不包含APT攻击、包含APT攻击的待检测日志各25份,用于训练的100份日志中,每份日志平均包含968502个日志条目,每个条目提供交互主体、交互客体、主体类型、客体类型和交互类型的信息,其中主体和客体类型共有14种,交互类型共有4种,该数据集上的检测任务是针对单份日志数据的整体检测。预处理包含以下步骤:
步骤S1-1,根据溯源日志的数据格式,构建日志解析器,提取出安全日志数据中的实体、实体类型、实体间交互、交互类型和交互时间戳等信息。本实施例中,采用现有开源数据格式Prov-json构建日志解析器;
步骤S1-2,对步骤S1-1得到的实体进行裁剪,删除不参与任何交互的实体。对步骤S1-1得到的交互按照时间戳从小到大进行排序。接着对排序后的交互信息进行裁剪,删除同一实体对之间的重复关系,仅保留时间戳最小的单次交互;
步骤S1-3,根据步骤S1-2得到的实体和交互信息,进行网络攻击溯源图的构建。每一个实体对应溯源图中的一个节点。每一个交互对应溯源图中一条由交互主体对应节点至交互客体对应节点的有向边;
步骤S1-4,对步骤S1-3得到的网络攻击溯源图进行补充。图中节点的原始特征向量使用该节点对应实体类型的独热编码(即One-hot编码)填充。图中边的原始特征向量使用该边对应交互类型的独热编码(即One-hot编码)填充。
步骤S2,掩码图自编码器模型的训练,即构建带有结构重建的掩码图自编码器,并采用完全非攻击的安全日志数据,对该掩码图自编码器进行量化训练,将训练后的掩码图自编码器模型作为特征提取模型,并保存该模型在训练日志上的输出。该模型构建及训练包含下列步骤:
步骤S2-1,构建模型。本实施例中所采用的模型为带有结构重建的掩码图自编码器模型,该图自编码器模型含有嵌入层、图注意力层、结构重建模块、全连接层和平均池化层。其结构参见图2。其中,图注意力层分为2类,记为:图注意力编码层和图注意力解码层。
掩码图自编码器先将溯源图输入嵌入层,嵌入层后是2个依次连接的图注意力编码层。每一层图注意力编码层中依次是三个全连接层,记为FC_S、FC_E和FC_D,一个三路加型注意力层和一个输出层。其中,FC_S的输入为源节点的特征,FC_E的输入为边的特征,FC_D的输入为目标节点的特征。三路加型注意力层的输入为FC_S、FC_E和FC_D三者的输出。第2个图注意力编码层的输出即为模型节点级别的输出。
图注意力编码层之后为平行配置的1个平均池化层、1个全连接层和1个结构重建模块;平均池化层用于对图注意力编码层的输出进行平均池化,作为模型日志级别的输出。全连接层连接图注意力编码层和解码层,将编码层的输出特征向量转换为解码层的输入特征向量。
结构重建模块由采样模块和重建模块构成。采样模块从溯源图中随机对节点对进行正负平衡采样,使得存在边的节点对和不存在边的节点对数量相同,从而降低结构重建的计算量和内存开销。当溯源图中边的数量少于采样阈值时,采样总数即为边的总数;当溯源图中边的数量大于采样阈值时,采样总数即为采样阈值。重建模块依次由连接层和前馈神经网络分类器构成。连接层拼接节点对中两个节点的特征,前馈神经网络分类器输入拼接特征,输出该节点对是否存在边的概率。
全连接层后是一个图注意力解码层,该解码层相比于图注意力编码层,不对输出进行批标准化和激活,但是使用解码层替代输出层,该解码层将三路加型注意力层转换到与节点原始类别相同的维数,用于节点特征重建误差的计算。且输入的特征向量维度与最后一层图注意力编码层的输出相同,输出的特征向量维度与第一层图注意力编码器的输入相同。上述各层和各模块中均含有用于计算向下一层传递的数据的计算权重数值(即参数)。
本实施例中掩码图自编码器模型各层参数如下表1所示。
表1
| 层名 | 参数 |
| 嵌入层 | 14×256+4×256 |
| Dropout | 随机丢弃比例0.1 |
| FC_S | 256×256 |
| FC_E | 256×256 |
| FC_D | 256×256 |
| ATT | 64×3,注意力头数4 |
| ACT | 激活函数为Leaky ReLU,α为0.2 |
| TRANS | 256×256 |
| 采样 | 采样阈值取32768 |
| MLP | 512×256+256 |
| DECODE | 256×14 |
从表1中可看出,本实施例模型构建完成后,即可采用训练集对其进行训练。
步骤S2-2,将预处理过后的网络攻击溯源图作为训练集,对溯源图中的节点进行随机掩码并记录掩码节点后输入图自编码器模型;
步骤S2-3,将掩码图自编码器模型进行向前传递并基于结构重建模块和图注意力解码层的结果计算误差;
步骤S2-4,采用反向传播方法传递误差更新参数;
步骤S2-5,重复步骤S2-2至步骤S2-4,直至达到训练要求条件,得到训练后的掩码图自编码器,作为特征提取模型;
步骤S2-6,使用步骤S2-5得到的特征提取模型,以无掩码的训练集作为输入,并保存模型中图注意力编码层和平均池化层的输出。
为了加快模型训练速度并充分利用计算资源,本实施例的上述训练过程采用了分批输入处理的方式。即,将训练集日志分为30个批次、每批次输入5份日志,然后每批次分别进行步骤S2-2~步骤S2-4的处理;全部批次均完成输入及处理后,一次循环就完成了,随后即可进行下一个循环的分批次输入处理过程。
本实施例中,循环总次数为10次。另外,模型的学习率设置为0.005,并在训练过程中对模型权重实施权重衰减系数为0.0005的L2正则化。模型采用结构重建的交叉熵损失函数以及节点特征重建的放缩余弦损失进行监督,通过步骤S1-5的设置进行反向传播更新参数。
过上述步骤,本实施例的掩码图自编码器模型就完成了构建及训练,可以用于进行APT攻击检测了。本实施例中,训练后的上述掩码图自编码器模型作为一种特征提取模型,用于进行待检测溯源图及图中节点的特征向量提取,得到的特征向量即可用于判断溯源图或图中节点的异常情况,从而检测安全日志中潜在的APT攻击。
步骤S3:将预处理得到的待检测溯源图输入特征提取模型,分别得到与溯源图中节点的特征向量和与溯源图本身所对应的特征向量;其中,溯源图中节点的特征向量由掩码图自编码器模型的图注意力编码层输出得到,溯源图本身所对应的特征向量由掩码图自编码器模型的平均池化层输出得到。
步骤S4:根据溯源图中节点的特征向量和溯源图的特征向量,应用自适应离群点检测算法检测异常节点或异常溯源图并识别出APT攻击。
其中,步骤S4中,包含下列子步骤:
步骤S4-1,基于应用场景的不同,从选择步骤S2-6所保存的训练集输出和步骤S3中得到的带检测溯源图输出中,选择不同模块的输出作为离群点检测方法的输入:
需要对日志中主体和客体进行细粒度检测,选择图注意力编码层的输出;
需要对日志进行整体检测,选择平均池化层的输出;
步骤S4-2,基于步骤S4-1所选择的训练集输入,训练K-近邻离群点检测模型;
步骤S4-3,基于步骤S4-1所选择的待检测溯源图输出,基于步骤S4-2得到的离群点检测模型,检测异常节点或异常溯源图,并识别出APT攻击。
本实施例中,为了降低模型偏见,对于K-近邻离群点检测模型的输入进行基于训练输入的归一化。在对待检测目标的特征向量进行归一化后,计算目标与它的K-近邻的平均欧式距离,当该距离大于离群点距离阈值时,则判断该待检测目标属于离群点,检测到潜在的APT攻击。
本实施例中,K-近邻离群点检测模型具有如下的特点:近邻数K取为10;离群点距离阈值设置为训练集平均近邻距离的10倍。
表2是本发明实施例的基于掩码图自编码器的APT攻击检测方法的判定测试结果,以及与现有相关方法模型精度的对比。其中,“ProvDetector”,“Unicorn”,“Prov-Gem”,“ThreaTrace”均是相关的APT攻击检测方法。且APT攻击检测方法“Prov-Gem”,“ThreaTrace”均需要攻击日志完成训练,属于有监督方法,“ProvDetector”,“Unicorn”和本发明均不需要攻击日志完成训练,属于无监督或自监督方法。
表2
| 方法名 | F1分数 |
| ProvDetector | 0.68 |
| Unicorn | 0.90 |
| Prov-Gem | 0.90 |
| ThreaTrace | 0.95 |
| 本发明 | 0.97 |
本实施例的基于掩码图自编码器的APT攻击检测方法识别精度较高,超过了现有技术中其他APT攻击检测方法的精度,且不需要稀缺的攻击日志即可完成模型的训练。
根据本实施例,通过采用掩码图自编码器模型和普适的溯源图构造方法,降低了对于攻击数据的依赖;同时引入基于负采样的结构重建损失,且使用三路加型注意力机制提取溯源图中边的特征,大幅减少了计算量、计算时间和内存开销,使模型计算可以较快完成、允许更低的硬件要求,并且采用训练后的模型进行的特征向量提取也能够更快完成,从而让APT攻击检测的模型训练速度和日志检测速度均得到加快。
上述实施例仅用于举例说明本发明的具体实施方式,并非对本发明的限定。
根据该方法,本发明也可以提供相应的APT攻击检测装置,包括:用于对待检测安全日志进行预处理的预处理模块,经过上述构建及训练得到的掩码图自编码器模型进行封装形成的APT攻击检测模型构建及训练模块,用于特征提取的特征提取模块,以及根据特征提取模块提取出的待检测目标特征向量进行攻击检测的离群点检测模块。这四个模块的功能依次对于执行APT攻击检测方法的步骤S1、步骤S2、步骤S3、步骤S4的操作。
实施例中,K-近邻离群点检测模型使用欧式距离度量待检测目标与它的K-近邻之间的相似度。在本发明中,也可以利用其他的相似度度量方式计算待检测目标与它的K-近邻之间的相似度
实施例中,为了加快模型训练速度并充分利用计算资源,训练过程采用了分批输入处理的方式。但在采用日志或日志中条目数量不多的其他训练集时,也可以不采用分批输入处理的方式,而是直接将训练集全部一次性输入,然后进行步骤S2-2~步骤S2-4的处理过程。
Claims (5)
1.一种基于掩码图自编码器的APT攻击检测方法,其特征在于,通过图自编码器得到网络攻击溯源图中节点的特征向量,并基于特征向量寻找离群点并检测APT攻击,具体步骤如下:
步骤S1:对确定为待检查的安全日志数据进行预处理,获得相应的网络攻击溯源图,提取节点和边的原始类别;
步骤S2:构建带有结构重建的掩码图自编码器,并采用完全非攻击的安全日志数据,对该掩码图自编码器进行量化训练;将训练后的掩码图自编码器模型作为特征提取模型,并保存该模型在训练日志上的输出;
步骤S3:将预处理得到的溯源图输入所述特征提取模型,分别得到与溯源图中节点的特征向量和与溯源图本身所对应的特征向量;
步骤S4:根据溯源图中节点的特征向量和溯源图的特征向量,应用自适应离群点检测算法检测异常节点或异常溯源图并识别出APT攻击。
2.根据权利要求1所述的APT攻击检测方法,其特征在于,步骤S1包含如下子步骤:
步骤S1-1,根据溯源日志的数据格式,构建日志解析器,提取出安全日志数据中的实体、实体类型、实体间交互、交互类型和交互时间戳信息;
步骤S1-2,对实体进行裁剪,删除不参与任何交互的实体;对交互按照时间戳从小到大进行排序并进行裁剪,删除同一实体对之间的重复关系,仅保留时间戳最小的单次交互;
步骤S1-3,进行网络攻击溯源图的构建;每一个实体对应溯源图中的一个节点;每一个交互对应溯源图中一条有向边;
步骤S1-4,对网络攻击溯源图进行补充;图中节点和边的原始特征向量使用该节点或边对应类型的独热编码填充。
3.根据权利要求2所述的APT攻击检测方法,其特征在于,步骤S2包含如下子步骤:
步骤S2-1,构建带有结构重建的掩码图自编码器模型,该图自编码器模型含有嵌入层、图注意力层、结构重建模块、全连接层和平均池化层;各模块功能为:嵌入层输入节点和边的原始类别,提取节点和边的原始特征向量;图注意力层输入待检测溯源图以及节点、边的特征向量,进行基于图注意力机制的图卷积操作,获得节点的输出特征向量;结构重建模块基于提取出的节点特征,对溯源图中的节点对进行采样,并重建节点对之间的边;各部分的参数矩阵中的参数为随机设置;其中,图注意力层分为2类,记为:图注意力编码层和图注意力解码层,其中:
嵌入层后是2个依次连接的图注意力编码层;图注意力编码层共有4个注意力头;
图注意力编码层之后为平行配置的1个平均池化层、1个全连接层和1个结构重建模块;全连接层连接图注意力编码层和图注意力解码层,并将编码层的输出特征向量转换为解码层的输入特征向量;
全连接层之后是1个图注意力解码层,图注意力解码层共有4个注意力头;
上述各层中均含有用于计算向下一层传递的数据的计算权重数值(即参数);下面进行掩码图自编码器模型训练:
步骤S2-2,将预处理过后的网络攻击溯源图作为训练集,对溯源图中的节点进行随机掩码并记录掩码节点后输入图自编码器模型;
步骤S2-3,将掩码图自编码器模型进行向前传递并基于结构重建模块和图注意力解码层的结果计算误差;
步骤S2-4,采用反向传播方法传递误差更新参数;
步骤S2-5,重复步骤S2-2至步骤S2-4,直至达到训练要求条件,得到训练后的掩码图自编码器,作为特征提取模型;
步骤S2-6,使用步骤S2-5得到的特征提取模型,以无掩码的训练集作为输入,并保存模型中图注意力编码层和平均池化层的输出。
4.根据权利要求3所述的APT攻击检测方法,其特征在于,步骤S4包含如下子步骤:
步骤S4-1,基于应用场景的不同,从步骤S2-6所保存的训练集输出和步骤S3中得到的带检测溯源图输出中,选择不同模块的输出作为离群点检测方法的输入:
需要对日志中主体和客体进行细粒度检测,选择图注意力编码层的输出;
需要对日志进行整体检测,选择平均池化层的输出;
步骤S4-2,基于步骤S4-1所选择的训练集输入,训练K-近邻离群点检测模型;
步骤S4-3,基于步骤S4-1所选择的待检测溯源图输出,基于步骤S4-2得到的离群点检测模型,检测异常节点或异常溯源图,并识别出APT攻击。
5.一种基于权利要求1-4之一所述方法的APT攻击检测装置,包括:安全日志预处理模块,掩码图自编码器模型构建、训练模块,特征提取模块,以及离群点检测模块;这四个模块依次执行APT攻击检测方法中步骤S1、步骤S2、步骤S3、步骤S4的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310068592.XA CN116192477A (zh) | 2023-02-06 | 2023-02-06 | 一种基于掩码图自编码器的apt攻击检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310068592.XA CN116192477A (zh) | 2023-02-06 | 2023-02-06 | 一种基于掩码图自编码器的apt攻击检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116192477A true CN116192477A (zh) | 2023-05-30 |
Family
ID=86441731
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310068592.XA Pending CN116192477A (zh) | 2023-02-06 | 2023-02-06 | 一种基于掩码图自编码器的apt攻击检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116192477A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116366376A (zh) * | 2023-06-02 | 2023-06-30 | 湖南三湘银行股份有限公司 | 一种apt攻击溯源图分析方法 |
| CN116738413A (zh) * | 2023-06-05 | 2023-09-12 | 广州大学 | 基于溯源图的反向传播攻击调查的方法、系统及装置 |
| CN116760583A (zh) * | 2023-06-02 | 2023-09-15 | 四川大学 | 一种增强图节点行为表征及其异常图节点检测方法 |
-
2023
- 2023-02-06 CN CN202310068592.XA patent/CN116192477A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116366376A (zh) * | 2023-06-02 | 2023-06-30 | 湖南三湘银行股份有限公司 | 一种apt攻击溯源图分析方法 |
| CN116366376B (zh) * | 2023-06-02 | 2023-08-08 | 湖南三湘银行股份有限公司 | 一种apt攻击溯源图分析方法 |
| CN116760583A (zh) * | 2023-06-02 | 2023-09-15 | 四川大学 | 一种增强图节点行为表征及其异常图节点检测方法 |
| CN116760583B (zh) * | 2023-06-02 | 2024-02-13 | 四川大学 | 一种增强图节点行为表征及其异常图节点检测方法 |
| CN116738413A (zh) * | 2023-06-05 | 2023-09-12 | 广州大学 | 基于溯源图的反向传播攻击调查的方法、系统及装置 |
| CN116738413B (zh) * | 2023-06-05 | 2024-02-13 | 广州大学 | 基于溯源图的反向传播攻击调查的方法、系统及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111914873B (zh) | 一种两阶段云服务器无监督异常预测方法 | |
| CN116192477A (zh) | 一种基于掩码图自编码器的apt攻击检测方法及装置 | |
| CN109639739B (zh) | 一种基于自动编码器网络的异常流量检测方法 | |
| CN112491796B (zh) | 一种基于卷积神经网络的入侵检测及语义决策树量化解释方法 | |
| CN112148997B (zh) | 一种用于灾害事件检测的多模态对抗模型的训练方法和装置 | |
| CN111901340A (zh) | 一种面向能源互联网的入侵检测系统及其方法 | |
| CN112035345A (zh) | 一种基于代码片段分析的混合深度缺陷预测方法 | |
| CN114064487B (zh) | 一种代码缺陷检测方法 | |
| CN116074092B (zh) | 一种基于异构图注意力网络的攻击场景重构系统 | |
| CN110011990A (zh) | 内网安全威胁智能分析方法 | |
| CN117375896A (zh) | 基于多尺度时空特征残差融合的入侵检测方法及系统 | |
| Liang et al. | YOLOD: a task decoupled network based on YOLOv5 | |
| CN112882899B (zh) | 一种日志异常检测方法及装置 | |
| CN117938430A (zh) | 基于Bert模型的Webshell检测方法 | |
| CN113269093A (zh) | 视频描述中视觉特征分割语义检测方法及系统 | |
| CN116775425A (zh) | 一种基于并行自动编码器的少样本日志异常检测方法 | |
| CN117056842A (zh) | 构建设备异常监测模型的方法、装置、设备、介质及产品 | |
| CN115048873B (zh) | 一种用于飞机发动机的剩余使用寿命预测系统 | |
| CN116488874A (zh) | 基于自监督掩码上下文重构的网络入侵检测方法和系统 | |
| CN114969761A (zh) | 一种基于lda主题特征的日志异常检测方法 | |
| CN115035455A (zh) | 一种基于对抗多模态领域自适应的跨类别视频时间定位方法、系统和存储介质 | |
| CN114065210A (zh) | 一种基于改进的时间卷积网络的漏洞检测方法 | |
| Ma | Face recognition technology and privacy protection methods based on deep learning | |
| CN114359786A (zh) | 一种基于改进时空卷积网络的唇语识别方法 | |
| Liu et al. | An ensemble learning-based cooperative defensive architecture against adversarial attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |