申请/专利权人:北京航空航天大学
申请日:2024-03-28
公开(公告)日:2024-05-31
公开(公告)号:CN118118254A
主分类号:H04L9/40
分类号:H04L9/40
优先权:
专利状态码:在审-实质审查的生效
法律状态:2024.06.18#实质审查的生效;2024.05.31#公开
摘要:本发明涉及一种基于溯源图行为序列预测的APT攻击检测方法及系统,其方法包括:S1:根据安全审计日志中实体及其交互关系,抽取节点和行为元路径;S2:对行为元路径按时间排序并去除冗余后构建溯源图;S3:基于近邻采样机制遍历溯源图,构建行为序列;S4:将正常行为序列经过随机掩码后,输入基于注意力机制的序列自编码器模型,训练模型使其学习到正常行为序列的模式;S5:使用少量带标签数据为不同类型节点确定异常检测阈值,将待检测行为序列输入训练好的模型,得到序列重构误差,与阈值进行比较,判断否存在APT攻击。本发明的方法能有效检测出未知APT攻击,降低了APT攻击检测对稀缺攻击样本的依赖,减少人工分析工作量。
主权项:1.一种基于溯源图行为序列预测的APT攻击检测方法,其特征在于,包括:步骤S1:根据安全审计日志中进程、文件和套接字实体及其交互关系,抽取节点和行为元路径;步骤S2:对所述行为元路径按时间排序并去除冗余,基于去除冗余后行为元路径构建溯源图;步骤S3:基于近邻采样机制遍历所述溯源图,捕获节点周围的行为序列;步骤S4:将所述行为序列经过随机掩码后,输入基于注意力机制的序列自编码器模型,模型训练期间仅使用包含正常行为序列的数据进行训练,通过设置正常行为序列的掩码预测任务对模型进行训练,通过训练不断更新模型参数,使模型能学习到正常行为序列的模式;步骤S5:使用少量带标签数据为不同类型节点确定异常检测阈值,将待检测日志按照步骤S1~S3处理得到行为序列后,输入训练好的基于注意力机制的序列自编码器模型,得到序列重构误差,并与所述异常检测阈值进行比较,从而确定是否存在APT攻击。
全文数据:
权利要求:
百度查询: 北京航空航天大学 基于溯源图行为序列预测的APT攻击检测方法及系统
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。