一种基于异构图表示学习的APT攻击检测方法技术

技术编号：44694975 阅读：1 留言：0更新日期：2025-03-19 20:44

本发明专利技术公开了一种基于异构图表示学习的APT攻击检测方法，包括：溯源图构建阶段、异构图表示学习阶段、攻击检测阶段和攻击溯源阶段。溯源图构造阶段从系统审计日志中提取实体交互关系得到实体交互特征；异构图表示学习阶段从溯源图结构的同态性和异构性角度学习节点嵌入表示，将相同类型节点之间的信息聚合得到同态表示，不同类型节点之间的信息聚合得到异构表示。攻击检测阶段实现了节点级别和图级别恶意检测；攻击溯源阶段通过连通恶意节点构建恶意子图，还原攻击过程。这种方法更有效的捕获溯源图结构特征来学习系统行为模式，避免了预定义规则，降低了模型对语义数据的依赖。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及网络安全领域，尤其涉及一种基于异构图表示学习的apt攻击检测方法。

技术介绍

1、apt(advanced persistent threats，高级持续性威胁)作为一种隐蔽、复杂、长期的网络攻击活动，常常潜伏在重要的内部网络当中，可能造成秘密泄露、设施瘫痪等严重后果。因此高效地检测并防护apt攻击对于保护网络安全具有重要意义。

2、现有基溯源图的apt攻击溯源方法分为基于规则的方法、基于异常的方法和基于序列的方法。(1)基于规则的方法根据典型的apt攻击模式和先验知识构建规则以检测潜在的威胁。这种方法依赖于专家知识，需要花费大量人力物力来构建规则。(2)基于异常方法需要大量的良性历史数据学习良心系统行为模式，通过分析语义数据强化模型效果，导致其依赖高质量的数据，在实际检测场景中并不适用。(3)基于序列的方法从起源图中提取事件序列，然后将每个序列分类为恶意或良性，这种方法无法捕获整个攻击的上下文信息，并且难以捕捉复杂的攻击模式。这些方法因为难以捕获溯源图中完整的结构特征，而需要外部知识和高质量的语义数据来学习系统中的行为模式，这大大限制了其在复杂的检测环境中的应用。

3、因此，现有技术在检测apt攻击方面仍存在诸多不足，亟需新的高效准确的apt检测技术来满足网络安全防护的需求。

技术实现思路

1、本专利技术的目的在于提供一种基于异构图表示学习的apt攻击检测方法，打破了传统基于溯源图的apt检测方法无法学习丰富的图结构特征的弊端，而且解决了传统

2、本专利技术采用的技术方案是：

3、一种基于异构图表示学习的apt攻击检测方法，其包括以下步骤：

4、溯源图构建阶段：收集系统审计日志，根据审计日志的实体交互关系和事件流构建溯源图；

5、具体地，溯源图构建阶段从操作系统的内核审计日志中提取原始系统调用事件数据，根据审计日志中实体之间的交互关系将实体按照事件发生顺序相互关联成为有向无环图，实体作为节点，事件作为边；遍历每个节点，获取其邻居节点的类型和数量进行独热编码，将其作为节点的特征向量。再对有向无环图进行降噪和划分子图处理。

6、异构图表示学习阶段：利用异构图表示学习对溯源图节点的同态性和异构性进行学习捕捉并融合溯源图结构的同态和异构信息，获得低嵌入表示；

7、具体地，异构图表示学习阶段分为两个部分，分别是同态表示学习和异构表示学习。同态表述学习使用多层感知计算节点的特征向量节点的表示h(l+1)，并构造一个自表达矩阵s∈rn×n来线性表述每一个节点。然后，计算子空间内所有节点的特征距离矩阵d∈rn×n，根据式(α和β作为非负参数)计算得到自表达矩阵的封闭解s*，由z＝s*h(l+1)得到同态表示。异构表示学习针对目标节点vi采用异构编码器，对其相关的一跳邻居的信息进行聚合，然后得到基于边的表示形式进一步融合所有基于边的表示得到异构表示最后，将同态表示和异构表示在横向维度拼接得到溯源图节点的最终的嵌入表示

8、攻击检测阶段：将溯源图节点的低维嵌入表示输入轻量化分类进二分类检测；

9、具体地，攻击检测阶段利用异构图表示学习阶段得到的节点嵌入表示训练轻量级分类器xgboost。然后，将待检测节点的节点嵌入表示输入分类器进行检测，检测器将待检测节点分类为良性节点或恶意节点；

10、攻击溯源阶段：利用社区检测算法对溯源图进行社区划分，将恶意节点根据交互关系和时间关系映射到相应社区还原恶意子图。

11、具体地，攻击溯源阶段在溯源图中利用社区检测算法得到相互联通的局部空间，针对攻击检测阶段得到的恶意节点，根据其交互关系和时间关系建立恶意节点到局部空间的映射还原恶意子图，实现攻击溯源。

12、本专利技术采用以上技术方案，具有如下有益效果：1、利用异构图表示学习和轻量级分类器实现了粒度可调的恶意检测和攻击溯源，能够在信息有限的检测环境下达到高精度的检测效果和较小的事件开销。2、从溯源图结构的同态性和异构性角度学习节点嵌入表示，将相同类型节点之间的信息聚合得到同态表示，不同类型节点之间的信息聚合得到异构表示。这种方法更有效的捕获溯源图结构特征来学习系统行为模式，避免了预定义规则，降低了模型对语义数据的依赖。

本文档来自技高网...

【技术保护点】

1.一种基于异构图表示学习的APT攻击检测方法，其特征在于：其包括以下步骤：

2.根据权利要求1所述的一种基于异构图表示学习的APT攻击检测方法，其特征在于：溯源图构建阶段具体包括以下步骤：

3.根据权利要求2所述的一种基于异构图表示学习的APT攻击检测方法，其特征在于：原始系统调用事件数据包括事件发生时间、进程ID、线程ID、操作类型、操作对象和操作结果。

4.根据权利要求1所述的一种基于异构图表示学习的APT攻击检测方法，其特征在于：异构图表示学习阶段具体包括以下步骤：

5.根据权利要求1所述的一种基于异构图表示学习的APT攻击检测方法，其特征在于：攻击检测阶段具体包括以下步骤：

6.根据权利要求1所述的一种基于异构图表示学习的APT攻击检测方法，其特征在于：攻击溯源阶段具体包括以下步骤：

7.根据权利要求1所述的一种基于异构图表示学习的APT攻击检测方法，其特征在于：在溯源图构建阶段中通过遍历目标节点的邻居节点，统计其相邻节点的类型和数量进行独热编码得到目标节点的局部交互特征。

8.根据权利

...

【技术特征摘要】

1.一种基于异构图表示学习的apt攻击检测方法，其特征在于：其包括以下步骤：

2.根据权利要求1所述的一种基于异构图表示学习的apt攻击检测方法，其特征在于：溯源图构建阶段具体包括以下步骤：

3.根据权利要求2所述的一种基于异构图表示学习的apt攻击检测方法，其特征在于：原始系统调用事件数据包括事件发生时间、进程id、线程id、操作类型、操作对象和操作结果。

4.根据权利要求1所述的一种基于异构图表示学习的apt攻击检测方法，其特征在于：异构图表示学习阶段具体包括以下步骤：

5.根据权利要求1所述的一种基于异构图表示学习的apt攻击检测方法，其特征在于：攻击检测阶段具体包...

【专利技术属性】
技术研发人员：叶阿勇，刘元煌，黄川，
申请(专利权)人：福建师范大学，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人