基于连续时间动态异质图神经网络的APT检测方法及系统技术方案

本发明专利技术公开了基于连续时间动态异质图神经网络的APT检测方法和系统，包括选取指定时间段内的网络交互事件数据，从所述网络交互事件数据中提取实体作为源节点和目标节点，提取源节点和目标节点之间交互事件作为边，确定节点类型和属性、边的类型和属性，以及交互事件发生的时刻，获得连续时间动态异质图；利用连续时间动态异质图网络编码器，将所述连续时间动态异质图的各类型边转化为向量，得到各类型边的嵌入表示；利用连续时间动态异质图网络解码器，对连续时间动态异质图中各类型边的嵌入表示进行解码，获得各类型边是否为异常边的检测结果。本发明专利技术充分利用了实体自身和实体间交互事件的完整的上下文信息，容易识别恶意攻击。击。击。

【技术实现步骤摘要】
基于连续时间动态异质图神经网络的APT检测方法及系统


[0001]本专利技术属于网络安全领域，具体涉及到基于连续时间动态异质图神经网络的APT检测方法及系统。

技术介绍

[0002]近年来以高级持续性威胁（Advanced Persistent Threat, APT）为代表的针对电力系统的网络攻击频发。APT攻击是具有高水平专业知识和丰富资源的组织利用复杂的攻击手段对特定目标进行的长期持续性的网络攻击行为。在APT攻击中，攻击者首先通过各种方式绕过边界防护入侵网络；然后将失陷主机作为“桥梁”，逐步获得更高的网络权限，并不断地窥探目标数据；最后攻击者破坏系统并删除恶意行为痕迹。相较于传统的网络攻击模式，APT攻击具有“时空稀疏”，即“低姿态
‑
低频率”（Low
‑
and
‑
Slow）的特点，使得针对APT攻击的识别非常困难，造成的危害极大。
[0003]针对APT攻击的检测技术总体上可分为特征检测（误用检测）和异常检测。特征检测通过定义网络入侵的特征码，基于模式匹配判断网络系统中的流量、用户操作、系统调用等实体行为是否包含入侵行为。此类方法基于专家知识和经验积累了大量行之有效的规则，对于已知的攻击行为可以实现高效准确地检测，但是无法有效检测出未知攻击行为。基于统计机器学习的异常检测方法，通过收集网络系统中各种实体的行为数据来训练基线模型，当出现偏离基线达到阈值时则被判定为网络攻击行为。此类异常检测方法的主要优点是具有一定的泛化能力，能够检测特征库以外的未知攻击行为。但是，一方面根据下游任务不同，检测结果非常依赖基于人工经验的特征工程的质量。另一方面存在对APT检测误报率高的问题。主要原因是APT攻击具有“时空稀疏”特性，攻击者长期潜伏，并且涉及用户和主机多个维度的行为，各种行为的痕迹少，且不规律，很难在海量正常行为的数据中精准捕获异常行为。
[0004]“图”（Graph）可以在计算机网络的非欧式空间中更自然、更完整地表示主体（例如，用户）和对象（例如，PC）之间的动态关系（例如，登录后退出）。近年基于图神经网络（Graph Neural Networks，GNN）的异常检测方法受到了广泛关注。此类方法首先以“图”的方式对网络中的主体和对象以及它们之间的关系建模，接着输入GNN模型进行图表示学习获得图的嵌入表示（Embedding）信息，然后通过分类算法完成攻击检测乃至溯源和预测任务。当前基于GNN的检测方法通常通过图快照的序列来表示动态图。然而，这种离散动态图的方式不能完全表征计算机网络的属性，因为真实计算机网络的交互事件通常在连续时间动态图下进行（边可以随时出现）和演变（节点属性不断更新）的。
[0005]因此，目前基于图神经网络的方法在APT检测方面的性能仍然有限，本质原因是各种检测模型存在对网络实体自身及其交互事件的嵌入信息提取能力不足的挑战，主要体现在以下三个方面：1）由于APT攻击行为在时间和空间上的稀疏分布，离散图快照序列表示可能导致丢失一些重要的“桥梁”交互事件，从而降低检测性能；2）网络中的实体及其行为是多维异质的，连续发生的，缺乏实体自身和实体间交互事件的完整的上下文信息，恶意攻击
很难被识别；3）基于离散图快照的方法对整个网络拓扑的全图进行检测，不仅需要大的内存空间进行实时流分析，而且会导致粗粒度的结果，缺少上下文信息。

技术实现思路

[0006]为解决上述问题，本专利技术提供了一种基于连续时间动态异质图神经网络（Continuous
‑
time Dynamic Heterogeneous Graph Network, CDHGN）的端到端的APT攻击检测方法及系统。其核心思想是将“点”“边”独立的异质的记忆体和注意力机制融入到了图中节点和边的信息传播过程中，对连续时间动态图中承载的计算机网络实体自身和实体间的交互信息进行时间维度和空间维度的深层关联，进而捕获异常边（异常交互事件）。
[0007]本专利技术采用以下技术方案。
[0008]一方面，本专利技术提供基于连续时间动态异质图神经网络的APT检测方法，包括：选取指定时间段内的网络交互事件数据，从所述网络交互事件数据中提取实体作为源节点和目标节点，提取源节点和目标节点之间交互事件作为边，确定节点类型和属性、边的类型和属性，以及交互事件发生的时刻，获得连续时间动态异质图；利用连续时间动态异质图网络编码器，将所述连续时间动态异质图的各类型边转化为向量，得到各类型边的嵌入表示；利用连续时间动态异质图网络解码器，对连续时间动态异质图中各类型边的嵌入表示进行解码，获得各类型边是否为异常边的检测结果。
[0009]进一步地，所述连续时间动态异质图表示为十元组的集合，表示为：{(src,e,dst,t,src_type,dst_type,edge_type,src_feats,dst_feats,edge_feats)}，其中src表示源节点，dst表示目标节点；e表示连接源节点和目标节点的边；t表示源节点与目标节点发生交互事件的时刻；src_type,dst_type,edge_type分别为源节点的类型、目标节点的类型和边的类型；src_feats,dst_feats,edge_feats分别为源节点的属性、目标节点的属性和边的属性。
[0010]进一步地，利用连续时间动态异质图网络编码器，将所述连续时间动态异质图的各类型边转化为向量，得到各类型边的嵌入表示，包括：针对连续时间动态异质图中每一个边，均利用消息函数，根据交互事件发生的当前时刻和上一时刻的时间间隔、连接源节点和目标节点的边、源节点和目标节点在交互事件发生的当前时刻之前时刻的嵌入表示记忆，分别生成各源节点和目标节点在交互事件发生的当前时刻对应的消息值；利用聚合函数分别将本批次所有源节点和目标节点在各交互事件发生的时刻对应消息值进行消息聚合，分别获得各源节点和目标节点在本批次的嵌入表示记忆；在源节点和目标节点之间发生交互事件后更新节点在本批次各源节点和目标节点的嵌入表示记忆；分别将各源节点和目标节点在本批次更新后的嵌入表示记忆，与上一批次的嵌入表示记忆进行记忆融合，分别获得本批次各源节点和目标节点包含时间上下文信息的嵌入表示；根据各源节点和目标节点包含时间上下文信息的嵌入表示、源节点和目标节点之间的边、预设的节点的注意力权重矩阵和边的注意力权重矩阵，计算各节点的注意力分数；根据预设的边的消息权重矩阵、节点的消息权重矩阵，对目标节点利用消息传递
函数，抽取其对应的各个源节点的多头消息值，并进行拼接，生成各源节点的消息向量；根据各节点的注意力分数，聚合各源节点的消息向量后传递给目标节点，得到各源节点和目标节点包含空间上下文信息的嵌入表示；将边的源节点包含时间上下文信息的嵌入表示和目标节点包含空间上下文信息的嵌入表示进行合并，根据边的类型得到各类型边的包含时间和空间上下文信息的嵌入表示。
[0011]再进一步地，进行消息聚合时分别考虑以下情况：情况一、若同一源节点同时连接到不同的目本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于连续时间动态异质图神经网络的APT检测方法，其特征在于，选取指定时间段内的网络交互事件数据，从所述网络交互事件数据中提取实体作为源节点和目标节点，提取源节点和目标节点之间交互事件作为边，确定节点类型和属性、边的类型和属性，以及交互事件发生的时刻，获得连续时间动态异质图；利用连续时间动态异质图网络编码器，将所述连续时间动态异质图的各类型边转化为向量，得到各类型边的嵌入表示；利用连续时间动态异质图网络解码器，对连续时间动态异质图中各类型边的嵌入表示进行解码，获得各类型边是否为异常边的检测结果。2.根据权利要求1所述的基于连续时间动态异质图神经网络的APT检测方法，其特征在于，所述连续时间动态异质图表示为十元组的集合，表示为：{(src,e,dst,t,src_type,dst_type,edge_type,src_feats,dst_feats,edge_feats)}；其中src表示源节点，dst表示目标节点；e表示连接源节点和目标节点的边；t表示源节点与目标节点发生交互事件的时刻；src_type,dst_type,edge_type分别为源节点的类型、目标节点的类型和边的类型；src_feats,dst_feats,edge_feats分别为源节点的属性、目标节点的属性和边的属性。3.根据权利要求1所述的基于连续时间动态异质图神经网络的APT检测方法，其特征在于，利用连续时间动态异质图网络编码器，将所述连续时间动态异质图的各类型边转化为向量，得到各类型边的嵌入表示，包括：针对连续时间动态异质图中每一个边，均利用消息函数，根据交互事件发生的当前时刻和上一时刻的时间间隔、连接源节点和目标节点的边、源节点和目标节点在交互事件发生的当前时刻之前时刻的嵌入表示记忆，分别生成各源节点和目标节点在交互事件发生的当前时刻对应的消息值；利用聚合函数分别将本批次所有源节点和目标节点在各交互事件发生的时刻对应消息值进行消息聚合，分别获得各源节点和目标节点在本批次的嵌入表示记忆；在源节点和目标节点之间发生交互事件后更新节点在本批次各源节点和目标节点的嵌入表示记忆；分别将各源节点和目标节点在本批次更新后的嵌入表示记忆，与上一批次的嵌入表示记忆进行记忆融合，分别获得本批次各源节点和目标节点包含时间上下文信息的嵌入表示；根据各源节点和目标节点包含时间上下文信息的嵌入表示、源节点和目标节点之间的边、预设的节点的注意力权重矩阵和边的权重矩阵，计算各节点的注意力分数；根据预设的边的消息权重矩阵、节点的消息权重矩阵，对目标节点利用消息传递函数，抽取其对应的各个源节点的多头消息值，并进行拼接，生成各源节点的消息向量；根据各节点的注意力分数，聚合各源节点的消息向量后传递给目标节点，得到各源节点和目标节点包含空间上下文信息的嵌入表示；将边的源节点包含时间上下文信息的嵌入表示和目标节点包含空间上下文信息的嵌入表示进行合并，根据边的类型得到各类型边的包含时间和空间上下文信息的嵌入表示。4.根据权利要求3所述的基于连续时间动态异质图神经网络的APT检测方法，其特征在于，进行消息聚合时分别考虑以下情况：
情况一、若同一源节点同时连接到不同的目标节点，聚合函数取所有消息值的平均值；情况二、若同一个源节点在不同时间连接到同一个目标节点，聚合函数只保留给定节点的最新时刻的消息值；情况三、若同一个源节点在不同的时间连接到不同的节点目标，聚合函数也设置为所有消息值的平均值。5.根据权利要求1所述的基于连续时间动态异质图神经网络的APT检测方法，其特征在于，所述连续时间动态异质图网络解码器的训练方法包括：输入各类型边的嵌入表示，通过对各类型边的嵌入表示进行样本标注获得样本标签，对所述连续时间动态异质图网络编码器和所述连续时间动态异质图网络解码器进行有监督训练，从而确定在某个时间点某源节点和某目标节点之间边的嵌入表示是否存在异常。6.根据权利要求1所述的基于连续时间动态异质图神经网络的APT检测方法，其特征在于，所述连续时间动态异质图网络解码器采用二分类交叉熵损失函数定义如下：；其中，是由所述连续时间动态异质图模型输出的t时刻第
푖
个边异常判定的结果，是对应的样本标签值。7.基于连续时间动态异质图神经网络的APT检测系统，其特征在于，包括：图构建模块、网络编码器和网络解码器；所述图构建模块，用于选取指定时间段内的网络交互事件数据，从所述网络交互事件数据中提取实体作为源节点和目标节点，提取源节点和目标节点之间交互事件作为边，确定节点类型和属性、边的类型和属性，以及交互事件发生的时刻，获得连续时间动态异质图；所述网络编码器，用...

【专利技术属性】
技术研发人员：高鹏，犹锋，杨维永，魏兴慎，张浩天，朱世顺，刘苇，金倩倩，曹永健，马增洲，周剑，田秋涵，王晔，郭靓，吴超，朱溢铭，张付存，俞皓，贾雪，
申请(专利权)人：南京南瑞信息通信科技有限公司，
类型：发明
国别省市：