一种基于超图的网络异常行为事件检测方法技术

技术编号：42586753 阅读：6 留言：0更新日期：2024-09-03 18:03

本发明专利技术公开了一种基于超图的网络异常行为事件检测方法，步骤为：使用软件收集系统日志数据，解析并构造溯源图；对溯源图进行预处理，并进行图表示学习得到节点嵌入向量；构建异常行为事件检测模型，包括事件内单节点对比学习子模型、事件内多节点对比学习子模型和事件间对比学习子模型；基于超图从溯源图中提取行为事件输入异常行为事件检测模型进行对比学习，得到训练好的异常行为事件检测模型；使用训练好的异常行为事件检测模型对网络异常行为事件进行检测与预警。本发明专利技术基于超图提取溯源图中的行为事件，再构建检测模型基于对比学习训练学习事件内及事件间节点的交互关系，深度挖掘溯源图中丰富的语义信息，提升异常行为事件的检测准确性。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术属于网络安全及机器学习的，具体涉及一种基于超图的网络异常行为事件检测方法及系统。

技术介绍

1、传统的网络攻击检测方法一般基于网络流量和主机终端，这种入侵检测系统对于普通的网络攻击可以实现有效检测、告警，但是难于有效适应apt攻击这类具有长期潜伏性和强针对性的复杂网络攻击，同时难以检测到apt攻击组织常利用的0-day漏洞。

2、

3、

4、溯源图(provenance graph)是一个包含所有主客体和事件的集合，定义为一个有向图，详细记录、描述不同实体间在不同时间下的交互操作。溯源图可以将上下文信息流关联起来，作为警报的依据进而实时重构apt攻击场景、检测攻击。图结构可以存储丰富的语义信息，并且不同实体之间、事件之间的时空关联性也能得到较完整的保留。但是基于溯源图的检测也存在一些问题：apt攻击通常持续时间长达数月甚至数年，而其中攻击事件是罕见的，庞大的日志数量不仅会对内外存储造成压力还可能出现依赖爆炸的问题，此外在极度不均衡的日志数据集中，使用传统的监督学习模式往往效果不佳；也有一些基于启发规则的溯源图检测方法，但是检测结果好坏与制定的规则直接相关，而规则的制定高度依赖专家知识、大量领域先验知识，溯源图中丰富的语义信息的没有得到深度挖掘和使用。

技术实现思路

1、本专利技术的主要目的在于克服现有技术的缺点与不足，提供一种基于超图的网络异常行为事件检测方法，深度挖掘溯源图中丰富的语义信息，提升异常行为事件的检测准确性。

3、一种基于超图的网络异常行为事件检测方法，包括下述步骤：

4、使用软件收集系统日志数据，解析并构造溯源图；

5、对溯源图进行预处理，并进行图表示学习得到节点嵌入向量；

6、构建异常行为事件检测模型，包括事件内单节点对比学习子模型、事件内多节点对比学习子模型和事件间对比学习子模型；

7、基于超图从溯源图中提取行为事件输入异常行为事件检测模型进行对比学习，得到训练好的异常行为事件检测模型，其中：事件内单节点对比学习子模型用于学习行为事件内节点的交互关系；事件内多节点对比学习子模型用于学习行为事件中两个以上节点的交互关系；事件间对比学习子模型用于学习正常行为事件和异常行为事件；

8、使用训练好的异常行为事件检测模型对网络异常行为事件进行检测与预警。

9、作为优选的技术方案，所述系统日志数据使用etw软件在windows操作系统上或者使用auditd软件在linux操作系统上获取原始系统日志。

10、作为优选的技术方案，所述解析并构造溯源图，具体为：

11、对系统日志数据进行解析，从中抽取3类系统实体和17种交互关系；

12、以3类系统实体为溯源图的节点，17种交互关系为溯源图的边构造溯源图；

13、所述3类系统实体包括进程、文件及套接字，得到的溯源图节点分别为进程节点、文件节点及套接字节点；

14、所述溯源图的边由边类型和边方向描述，用于说明各节点在执行时间内的交互关系，表示为{边类型：边方向}；所述边类型包括执行execve、克隆clone、打开open、连接connect、删除delete、只读read、只写write、收自recvfrom、发至sendto、接收消息recvmsg、发送消息sendmsg、接收recv、发送send、重命名rename、加载load、创建create及更新update；所述边方向由执行系统实体指向被执行系统实体。

15、作为优选的技术方案，所述对溯源图进行预处理是指在保证上下文语义信息基本保留的情况下，删除溯源图中部分节点和边，具体为：

16、对于构造的溯源图，首先删除临时创建及只读链接库的文件节点；

17、合并短时间内被同个进程节点重复操作的边；

18、删除因删除文件节点而导致没有起点或终点的边。

19、作为优选的技术方案，将预处理后的溯源图输入神经翻译模型transe中进行图表示学习，输出每个节点64维的节点嵌入向量。

20、作为优选的技术方案，所述行为事件由一个中心节点和与其相关联的一阶上下文邻居节点构成，一个行为事件由一个进程节点唯一标识；基于超图将一个行为事件中所有涉及的节点视为一个整体进行建模；

21、基于超图从溯源图中提取行为事件进行建模，输入异常行为事件检测模型中进行对比学习，得到训练好的异常行为事件检测模型，其总损失函数为：

22、loss＝α*loss1+β*loss2+γ*loss3

23、其中，α,β,γ为预先定义的超参数，loss1为事件内单节点对比学习子模型的损失函数，loss2为事件内多节点对比学习子模型的损失函数，loss3为事件间对比学习子模型的损失函数。

24、作为优选的技术方案，所述事件内单节点对比学习子模型在一个行为事件内，将该行为事件中每个节点分别与该行为事件中其他节点进行建模，学习正常的匹配模式，若符合正常的匹配模式的两个节点则为正事件对，否则为负事件对；

25、由每一个节点vj及其确立的行为事件qi构建损失函数loss1：

26、

27、其中，t是超参数；sim()为余弦相似度函数，用于评价两个节点的相似性；为由节点vj确立的行为事件中的其他节点集合；是由不属于节点vj确立的行为事件的其他节点随机采样得到的节点集合；ej,ek分别是节点vj和节点vk的节点嵌入向量；n为行为事件总数；viq为行为事件qi中所有涉及的节点。

28、作为优选的技术方案，所述事件内多节点对比学习子模型对确定行为事件的中心节点和其上下文邻居节点进行建模，确定正上下文邻居节点集和负上下文邻居节点集；其中，正上下文邻居节点集为与某节点同一行为事件中的其他节点集合；负上下文邻居节点集是把正上下文邻居节点集中的每个节点提换成其他行为事件中节点类型相同的节点；

29、对于每个给定由中心节点hi确立的行为事件qi及正上下文邻居节点集vic，基于自注意力机制评价两个节点相似性si：

30、

31、其中，为融合节点类型的行为事件qi的中心节点hi的向量表示，hj是融合节点类型的向量表示，max-pooling为最大池化操作，slef-attention为自注意力机制；所述节点类型包括文件节点类型、进程节点类型和套接字节点类型；

32、同理，计算每个给定由中心节点hi确立的行为事件qi及负上下文邻居节点集vic，基于自注意力机制评价两个节点相似性

33、然后构建事件内多节点对比学习子模型的损失函数：

34、

35、作为优选的技术方案，所述事件间对比学习子模型基于注意力机制获取行为事件的向量表示，给定由中心节点hi确立的行为事件qi及其上下文邻居节点集vic，和一个应用于本文档来自技高网...

【技术保护点】

1.一种基于超图的网络异常行为事件检测方法，其特征在于，包括下述步骤：

2.根据权利要求1所述的一种基于超图的网络异常行为事件检测方法，其特征在于，所述系统日志数据使用ETW软件在Windows操作系统上或者使用Auditd软件在Linux操作系统上获取原始系统日志。

3.根据权利要求1所述的一种基于超图的网络异常行为事件检测方法，其特征在于，所述解析并构造溯源图，具体为：

4.根据权利要求3所述的一种基于超图的网络异常行为事件检测方法，其特征在于，所述对溯源图进行预处理是指在保证上下文语义信息基本保留的情况下，删除溯源图中部分节点和边，具体为：

5.根据权利要求1所述的一种基于超图的网络异常行为事件检测方法，其特征在于，将预处理后的溯源图输入神经翻译模型TransE中进行图表示学习，输出每个节点64维的节点嵌入向量。

6.根据权利要求3所述的一种基于超图的网络异常行为事件检测方法，其特征在于，所述行为事件由一个中心节点和与其相关联的一阶上下文邻居节点构成，一个行为事件由一个进程节点唯一标识；基于超图将一个行为事件中所有

7.根据权利要求6所述的一种基于超图的网络异常行为事件检测方法，其特征在于，所述事件内单节点对比学习子模型在一个行为事件内，将该行为事件中每个节点分别与该行为事件中其他节点进行建模，学习正常的匹配模式，若符合正常的匹配模式的两个节点则为正事件对，否则为负事件对；

8.根据权利要求7所述的一种基于超图的网络异常行为事件检测方法，其特征在于，所述事件内多节点对比学习子模型对确定行为事件的中心节点和其上下文邻居节点进行建模，确定正上下文邻居节点集和负上下文邻居节点集；其中，正上下文邻居节点集为与某节点同一行为事件中的其他节点集合；负上下文邻居节点集是把正上下文邻居节点集中的每个节点提换成其他行为事件中节点类型相同的节点；

9.根据权利要求8所述的一种基于超图的网络异常行为事件检测方法，其特征在于，所述事件间对比学习子模型基于注意力机制获取行为事件的向量表示，给定由中心节点hi确立的行为事件Qi及其上下文邻居节点集和一个应用于节点类型φj的上下文邻居节点vj的特定类型参数计算上下文邻居节点vj的注意力权值wj：

10.根据权利要求9所述的一种基于超图的网络异常行为事件检测方法，其特征在于，所述对网络异常行为事件进行检测与预警具体为：

...

【技术特征摘要】

1.一种基于超图的网络异常行为事件检测方法，其特征在于，包括下述步骤：

2.根据权利要求1所述的一种基于超图的网络异常行为事件检测方法，其特征在于，所述系统日志数据使用etw软件在windows操作系统上或者使用auditd软件在linux操作系统上获取原始系统日志。

3.根据权利要求1所述的一种基于超图的网络异常行为事件检测方法，其特征在于，所述解析并构造溯源图，具体为：

5.根据权利要求1所述的一种基于超图的网络异常行为事件检测方法，其特征在于，将预处理后的溯源图输入神经翻译模型transe中进行图表示学习，输出每个节点64维的节点嵌入向量。

6.根据权利要求3所述的一种基于超图的网络异常行为事件检测方法，其特征在于，所述行为事件由一个中心节点和与其相关联的一阶上下文邻居节点构成，一个行为事件由一个进程节点唯一标识；基于超图将一个行为事件中所有涉及的节点视为一个整体进行建模；

7.根据权利要求6...

【专利技术属性】
技术研发人员：李树栋，喻卓成，吴晓波，安琪，朱子枫，吕洋，贾焰，方滨兴，唐可可，张登辉，韩伟红，田志宏，
申请(专利权)人：广州大学，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人