【技术实现步骤摘要】
本专利技术属于网络安全的,具体涉及一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法。
技术介绍
1、现有的基于溯源图学习的异常检测方法大部分是图级别和日志级别的,节点级检测器概念较为新颖,缺少相关的工作。
2、图级检测器的大致流程是:将输入的大规模溯源大图划分成小规模的子图,再对子图的特征进行学习并进行异常检测,返回子图的异常告警情况。现有研究中,manzoor e等人在文献《fast memory-efficient anomaly detection in streaming heterogeneousgraphs》中提出的streamspot通过分析信息流图,利用拆分、相似性计算、映射转换和聚类分析的步骤,实现对图形数据动态处理和异常检测的有效性;但是streamspot系统存在脆弱性,因为其模型容易被攻击者篡改或误导,进而破坏检测准确性;并且其在溯源图的规模上存在一定限制,难以支持大规模溯源图的分析和处理,这可能限制了系统在应对复杂或大规模网络环境下的有效性,从而影响其在实际安全场景中的适用性。而han x等人提出的unicorn(文献《unicorn:runtime provenance-based detector for advancedpersistent threats》)使用基于wl-kernel(图核)的方法来提取整个图的特征,并学习演化模型来检测异常图;尽管unicorn结合上下文的图分析和演化模型在某些方面表现更佳,但受限于图核方法难以捕捉小批量威胁类型,导致了对于某些隐蔽威胁的缺失
3、日志级检测器的输入是主机系统日志或基于主机日志构建的溯源图,通过提取日志或图的特征来训练检测器,然后检测返回出现异常的主机系统日志条目。现有方法中,liu f等人在文献《a heterogeneous graph embedding based approach for detectingcyber threats within enterprise》提出了log2vec方法,使用日志构建异构图,然后基于图嵌入提取日志向量,并基于聚类检测恶意日志;虽然log2vec能够将相关的良性操作和恶意操作分离成不同集群,且对恶意操作进行更精确的检测与诊断,但是在异常日志检测中,对于某些特定恶意行为或变体的识别可能不够灵活;因为其主要依赖于图嵌入和聚类方法,对于某些复杂的、不同于常规模式的恶意行为,可能无法充分捕捉其特征,进而导致检测准确性降低。另一种日志级检测器deeplog(du m等《deeplog:anomaly detection anddiagnosis from system logs through deep learning》)使用长短期记忆网络(lstm)对正常日志模式进行建模,并基于偏差检测异常日志;但由于日志数据的非结构性和多样性,deeplog可能会面临在不同系统或环境下泛化性能不足的挑战,这可能导致模型对于新的日志模式适应速度较慢,需要大量新数据进行重新训练,且对于极端异常情况的检测可能不够灵敏;同时,deeplog在处理并发任务或线程产生的日志信息时,会难以对这些并发信息进行有效的建模和识别,从而影响了整体异常检测的准确性和效率。还有一种基于注意力的双向lstm模型logrobust(zhang x等人《robust log-based anomaly detection onunstable log data》),通过捕捉日志序列中的上下文信息,识别和处理不稳定的日志事件;虽然其利用注意力机制提高了对日志序列上下文的理解,但对于庞大的日志数据集,模型的复杂性可能导致计算资源需求较高或训练时间较长,限制了其在实践中的可扩展性和效率。
4、节点级别检测器的输入是主机侧系统日志构建的溯源图,然后对溯源图中的每个节点(系统实体)的特征向量进行建模学习和异常检测,对异常的节点(系统实体)进行告警,并返回相关信息。基于溯源图的节点级异常检测是一个复杂而具有挑战性的任务,现有的大部分节点级异常检测器设计方案,仅仅将现有的图神经网络模型直接迁移到溯源图数据集上,使用良性数据训练并对未知节点进行分类预测,例如:tgn模型(tgn,emanuelerossi等)、gcn模型(gcn,thomas n.kipf等)、graphsage模型(graphsage williaml.hamilton)等;但直接迁移上述图神经网络模型,从理论上完成对溯源图的节点级别检测,存在很多缺陷。1、由于溯源图数据本质上具有复杂的结构和丰富多样的特征,传统的图神经网络模型在迁移到此类任务时可能无法有效捕捉节点之间的深层次关系和细微属性,导致特征表示的不充分和不准确,无法深入挖掘和利用节点间的拓扑结构以及节点自身的独特信息,使得在解析网络安全事件的真实场景时表现出明显的不足;2、与图级异常检测相比,节点级异常检测需要对每个独立节点的行为进行精确判断,然而现有的图神经网络模型往往缺乏对实时网络环境变化的响应能力,无法有效捕捉到随时间演化的网络安全威胁,从而导致无法及时调整其检测策略来应对新出现的或变化的威胁模式,直接影响检测的准确性和效率,进而影响整个网络安全防御的有效性;3、传统图神经网络模型主要设计用于处理静态或较为简单动态的图结构,往往无法面对溯源图中那些逐渐发展变化或呈现周期性特征的异常模式,使得其在捕捉溯源图中逐渐演化的异常行为或是识别周期性的模式方面表现不足,导致模型不能有效区分正常的动态变化和真正的异常行为,进而引发误判,即错误地将正常行为识别为异常,从而增加了误报率。
技术实现思路
1、本专利技术的主要目的在于克服现有技术的缺点与不足,提供一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法,在图神经网络的基础上对异常检测模型进行改进并构建图注意力模块提升异常检测的准确度,同时基于盾立方的四蜜踩蜜日志作为先验知识,应用于离线训练和实时在线异常检测,提高异常检测器对场景的动态适应性,实现节点级别的异常检测并构建攻击场景图片,有效助力网络安全威胁的识别。
2、为了达到上述目的,本专利技术采用一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法,包括两个阶段;
3、第一阶段为离线训练阶段:
4、采集良性无异常的主机侧日志数据构建溯源图,压缩保存至数组得到训练数据集;
【技术保护点】
1.一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法,其特征在于,包括两个阶段;
2.如权利要求1所述的一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法,其特征在于,所述溯源图包括节点和边;所述节点表示系统运行主体;所述边表示系统运行主体间的交互行为;所述节点的类型为系统运行主体的类型,包括进程、文件和套接字;所述边的类型为系统运行主体间交互行为的类型;
3.如权利要求2所述的一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法,其特征在于,节点的行为特征向量包含附属边的信息;所述附属边包括入边和出边;所述入边表示节点作为目的节点与源节点连接的边;所述出边是指节点作为源节点与目的节点连接的边;
4.如权利要求3所述的一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法,其特征在于,节点的行为特征向量的具体提取过程为:
5.如权利要求2所述的一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法,其特征在于,节点的语义特征向量采用基于节点路径的分层特征哈希法进行提取,具体为:
6.如权利要求5所述
7.如权利要求2所述的一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法,其特征在于,所述使用训练数据集的节点特征向量训练异常检测模型,具体为:
8.如权利要求7所述的一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法,其特征在于,所述节点新表示描述为:
9.如权利要求7所述的一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法,其特征在于,所述注意力系数的优化公式为:
10.如权利要求7所述的一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法,其特征在于,所述全连接层通过softmax函数预测节点的类别,预测公式为:
...【技术特征摘要】
1.一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法,其特征在于,包括两个阶段;
2.如权利要求1所述的一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法,其特征在于,所述溯源图包括节点和边;所述节点表示系统运行主体;所述边表示系统运行主体间的交互行为;所述节点的类型为系统运行主体的类型,包括进程、文件和套接字;所述边的类型为系统运行主体间交互行为的类型;
3.如权利要求2所述的一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法,其特征在于,节点的行为特征向量包含附属边的信息;所述附属边包括入边和出边;所述入边表示节点作为目的节点与源节点连接的边;所述出边是指节点作为源节点与目的节点连接的边;
4.如权利要求3所述的一种基于踩蜜日志及溯源图注意力神经网络的异常节点检测方法,其特征在于,节点的行为特征向量的具体提取过程为:
5.如权利要求2所述的一种基于踩蜜日志及溯源图注意力...
【专利技术属性】
技术研发人员:仇晶,宗熠,陈荣融,蔡泳信,陈玺名,田志宏,纪守领,苏申,徐光侠,胡铭浩,高成亮,李思颖,安西康,倪晓雅,邢家旭,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。