一种基于因果学习的APT攻击异常检测方法技术

技术编号：41499259 阅读：2 留言：0更新日期：2024-05-30 14:42

随着互联网技术的广泛应用，针对高级可持续性网络攻击异常检测技术中的基于图的异常检测技术困难点：序列构建难、攻击特征自动识别难。本发明专利技术提供了一种基于因果图的APT攻击异常检测方法，通过审计日志的事件数据，使用频率统计定义因果图中的路径列表和异常路径，并通过优化因果图以降低日志的复杂性，在优化的因果图基础上抽象出非攻击序列样本和攻击序列(异常)样本并选择性采样，再平衡后的样本输入到基于Highway Network的卷积神经网络模型中学习样本特征。训练后的模型实现APT攻击的异常检测任务。本发明专利技术提供的方法有助于APT攻击的检测，有助于网络攻击取证和推理，且通过构建因果图获得精确的序列和模型不会给正运行的系统带来额外开销。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术属于网络安全与机器学习，具体涉及一种基于因果学习的apt攻击检测方法。

技术介绍

1、随着互联网技术的广泛应用，与之增加了多种多样的网络安全威胁。高级可持续威胁网络攻击(advanced persistent threat,apt)是一种由黑客组织发起的，针对国家重点基础设施、重要政府部门和企业重要资产等关键设施为攻击目标的持续性网络攻击，其特点是攻击步骤多，隐蔽时间较长，破坏性强和防御困难。传统防御手段只能依靠告警系统的被动响应和依赖于网络安全专家的手工分析，并且对攻击者信息获取不明。当前的apt攻击检测技术主要分为两大类：基于签名识别的方法和基于异常检测的方法。前者检测技术根据先验知识将传入信息和已存签名匹配，根据匹配的结果生成告警信息和异常行为，误检率较高；后者是在已定义正常行为的基础上，针对与正常行为存在很大偏差的事件生成警报，漏检率比较严重。

2、基于结构图的异常检测技术广泛用于apt攻击检测领域中。但是，在应用的过程中会面临以下问题：利用因果学习技术得到的因果图通常很大且复杂，这使得序列构建变得困难；为了有效地模拟合法和可疑的活动，对序列构建的精确度要求比较高；以及需要一种自动化方法来根据给定的攻击症状识别攻击事件。为了解决这些问题，利用攻击的因果关系分析可以帮助网络安全人员了解攻击过程并从攻击中安全地恢复系统。

3、为了解决基于图的异常检测技术中序列构建难、攻击特征自动识别的难题，本专利技术提供了一种基于因果图的apt攻击异常检测方法，通过审计日志的事件数据，使用频率统计定义因果图

4、本专利技术提供的检测方法可以处理系统日志并构建自己的优化因果依赖图，通过自然语言处理技术从因果图构建语义增强序列(带时间戳的事件)，学习表示攻击语义的基于序列的模型，有助于对apt攻击进行检测识别并具有一定助力网络攻击取证的推理。这些阶段不会给正在运行的系统带来额外的开销，可以通过构建因果图获得精确的序列和模型。

技术实现思路

1、本文设计了一种基于因果图的apt攻击检测方法，该方法通过对审计日志进行因果图构建，使用基于序列的模型学习并识别序列中可能的攻击节点，以判断序列是攻击或非攻击(即是正常操作序列或异常操作序列)。如果被识别序列为攻击序列，则该框架推断未知实体是攻击实体。最终实现可调查的apt攻击异常检测。

2、为了实现上述目的，本专利技术的apt攻击检测方案如下：

3、步骤1、对采集的审计日志数据进行事件频率统计；

4、步骤2、将经过步骤1得到的日志事件计算事件间的路径列表和异常路径；

5、步骤3、由步骤2得到的路径列表和异常路径定义的基础上根据每条路径的长度计算因果图；

6、步骤4、在步骤3的基础上构建一个优化的因果图，以不牺牲关键语义的情况下降低日志的复杂性；

7、步骤5、在步骤4优化后得到的因果图基础上抽象出提取攻击序列和非攻击序列；

8、步骤6、在步骤5抽象攻击序列和非攻击序列的基础上进行选择性序列采样，使得模型输入的样本分布尽可能均衡；

9、步骤7、通过使用步骤6中的平衡样本输入到基于highway network的卷积神经网络模型在攻击序列和非攻击序列样本中学习模型，最终实现异常检测目标。

10、有益效果

11、当前异常检测系统中存在生成的攻击警报缺乏必要的上下文信息的弊端，使得调查取证变得极其困难，对apt攻击检测的取证成本增加。本专利技术提供的检测方法可以处理系统日志并构建自己的优化因果依赖图，通过自然语言处理技术从因果图构建语义增强序列(带时间戳的事件)，学习表示攻击语义的基于序列的模型，有助于对apt攻击进行检测识别并具有一定助力网络攻击取证的推理。这些阶段不会给正在运行的系统带来额外的开销，可通过构建因果图以获得精确的序列和模型。

本文档来自技高网...

【技术保护点】

1.一种基于因果学习的APT攻击检测方法，其特征在于，包括

2.根据权利要求1所述，其特征在于，步骤1通过Windows或Linux设备收集事件数据，包括：

3.根据权利要求1所述，其特征在于，在所述步骤1之后，使用事件计算事件间的路径列表和异常路径，包括：

4.根据权利要求1所述，其特征在于，结合步骤2通过每条路径的长度计算因果图，包括：

5.根据权利要求1所述，其特征在于，步骤4，优化步骤3得到的因果图，构建一个优化的因果图，以不牺牲关键语义的情况下降低日志的复杂性，包括：

6.根据权利要求1所述，其特征在于，步骤5，从步骤4中提取攻击序列和非攻击序列，包括：

7.根据权利要求1所述，其特征在于，步骤6，对步骤5提取的攻击和非攻击序列实施选择性序列采样，包括：

8.根据权利要求1所述，其特征在于，步骤7，对步骤6的平衡采样后的训练样本进行基于序列的模型学习，包括：

【技术特征摘要】

1.一种基于因果学习的apt攻击检测方法，其特征在于，包括

2.根据权利要求1所述，其特征在于，步骤1通过windows或linux设备收集事件数据，包括：

3.根据权利要求1所述，其特征在于，在所述步骤1之后，使用事件计算事件间的路径列表和异常路径，包括：

4.根据权利要求1所述，其特征在于，结合步骤2通过每条路径的长度计算因果图，包括：

5.根据权利要求1所述，其特征在于，步骤...

【专利技术属性】
技术研发人员：崔磊，龙震岳，沈伍强，骆书剑，梁哲恒，王业超，张金波，姚潮生，
申请(专利权)人：广东电网有限责任公司信息中心，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人