CN113094707B - 一种基于异质图网络的横向移动攻击检测方法及*** - Google Patents

一种基于异质图网络的横向移动攻击检测方法及*** Download PDF

Info

Publication number
CN113094707B
CN113094707B CN202110347685.7A CN202110347685A CN113094707B CN 113094707 B CN113094707 B CN 113094707B CN 202110347685 A CN202110347685 A CN 202110347685A CN 113094707 B CN113094707 B CN 113094707B
Authority
CN
China
Prior art keywords
user
login
host
path
graph
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110347685.7A
Other languages
English (en)
Other versions
CN113094707A (zh
Inventor
卢志刚
王天
姜波
刘俊荣
刘松
董璞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN202110347685.7A priority Critical patent/CN113094707B/zh
Publication of CN113094707A publication Critical patent/CN113094707A/zh
Application granted granted Critical
Publication of CN113094707B publication Critical patent/CN113094707B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/088Non-supervised learning, e.g. competitive learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于异质图网络的横向移动攻击检测方法及***。该方法基于内网的认证日志,将用户与主机之间的登录行为图结构化,构建用户登录图和源主机路径图,之后在图上进行两阶段异常检测。第一阶段基于用户登录图,使用互信息最大化的图神经网络算法学习主机的行为模式,再通过局部异常因子算法计算得到部分异常样本;第二阶段基于源主机路径图和第一阶段得到的有标签样本,使用异质图注意力网络算法进行半监督学习,检测横向移动攻击行为。本发明法可以在没有样本标签的情况下简洁有效地检测横向移动攻击行为,效果超过了大部分有监督学习的方法,具有高召回率和低误报率。

Description

一种基于异质图网络的横向移动攻击检测方法及***
技术领域
本发明涉及计算机网络安全领域,用于对抗高级持续性威胁中所实施的横向移动攻击行为,更具体地,是一种基于异质图网络的横向移动攻击检测方法及***。
背景技术
近年来,随着互联网的高速发展,网络环境变得日益复杂,网络攻击愈发呈现出一种高发频发的态势。其中,高级持续性威胁(Advanced Persistent Threat,APT)受益于攻击手法的进步以及攻击组织性的提高,攻击日益频繁。相比于其他攻击,APT攻击具有更长的潜伏周期以及更大的破坏力。其攻击手法也更加全面且能够通过对目标的长期观察开发定制化攻击工具,威胁巨大。因此,对APT攻击的检测和防护已成为当前网络安全中亟待解决的问题。
横向移动作为APT攻击极为重要的一环,是攻击者进入内网后实施攻击的主要过程。根据ATT&CK框架,横向移动由攻击者用来进入和控制网络上的远程***的技术组成。当攻击者成功入侵到网络并建立落脚点后,为了下一步的攻击和收集目标网络的信息,通常都会在网络中进行横向移动,最终获得整个网络的控制权,达成破坏目标网络或基础设施、窃取机密数据或核心知识产权等目的,危害巨大。
目前,横向移动攻击检测仍处于较为初步的阶段,对横向移动攻击检测的研究主要是将其转换为内网中异常用户或主机的检测,通过对用户或主机的行为进行建模,检测超出阈值的异常表现。根据检测目标的不同,可以将其分为移动目标型和移动路径型。移动目标型方法主要检测横向移动攻击中攻击者攻陷的用户或主机;而移动路径型方法则以横向移动攻击中发生的移动路径为检测目标。现有的许多研究工作大都集中于移动目标型横向移动攻击检测,而对横向移动攻击的移动路径研究较少。
综上,横向移动攻击通常通过窃取用户凭证伪装正常用户进行操作,具有高隐蔽性,难以检测。现有的横向移动攻击检测研究方法通常将其转换为内网中异常用户或主机的检测,但仍存在以下几点缺点和不足:其一,海量多源的安全日志使得现有方法的误报率通常较高。其二,实际网络环境中往往不能或者只能观测到很少一部分异常的用户或主机,这部分异常的用户或主机尚未被充分利用;其三,内网本质上是一张由用户和主机组成的关联图,在图上进行横向移动攻击检测还有待研究。
发明内容
为了解决上述问题,本文提出一种基于异质图网络的两阶段横向移动攻击检测方法HGLM(Lateral Movement detection using Heterogeneous Graph)。
本发明的原理是是:基于内网的认证日志,将用户与主机之间的登录行为图结构化,构建用户登录图和源主机路径图,之后在图上进行两阶段异常检测。第一阶段基于用户登录图,使用互信息最大化的图神经网络算法学习主机的行为模式,再通过局部异常因子算法计算得到部分异常样本;第二阶段基于源主机路径图和第一阶段得到的有标签样本,使用异质图注意力网络算法进行半监督学习,检测横向移动攻击行为。
为达到上述目的,本发明采用的具体技术方案是:
一种基于异质图网络的横向移动攻击检测的方法,包括以下步骤:
1)数据集抽取。由于横向移动攻击涉及用户与主机之间的登录认证行为,因此数据集抽取即收集内网设备产生的认证日志,构建数据集。
2)安全日志图结构化。利用抽取的数据集,构建用户登录图和源主机路径图。
3)基于无监督学习的异常登录行为检测:基于用户登录图,进行基于无监督学习的异常登录行为检测。该部分为HGLM两阶段异常检测的第一阶段。
4)基于半监督学习的横向移动攻击检测:基于源主机路径图和第一阶段的少量有标签样本,进行基于半监督学习的横向移动攻击检测。该部分为HGLM两阶段异常检测的第二阶段。
进一步地,所述安全日志图结构化主要包括数据预处理、用户登录图的构建和源主机路径图的构建三部分。
a)日志图结构化的第一步是对内网的认证日志进行预处理。认证日志通常包含认证时间、源用户、目标用户、源主机、目标主机和认证状态等属性。原始日志信息冗余驳杂,因此需要将其处理成符合横向移动攻击场景的格式。首先,由于攻击者通常利用受陷用户从一台主机横向移动到另一台主机,因此我们只需关注源用户和目标用户相同的认证事件。其次,横向移动攻击至少涉及两台主机,因此我们需要对源主机和目标主机相同的认证事件进行过滤。综上,预处理流程如下:给定认证日志数据集D,遍历其中的每一条认证事件,将源用户与目标用户相同且源主机与目标主机不同的事件筛选出来,得到处理后的数据集D1
b)用户登录图(User Authentication Graph,UAG)是一张无向同质图,表示用户一定时间内在主机间的登录行为模式。定义图Gu=(V,E,F),图中节点V表示主机,边E表示用户在主机间的登录连接。通过将滑动窗口下用户在主机上的登录次数作为特征F赋予到图中的节点上,而对图中的边不赋予特征,仅表示连接关系,得到一个带有特征的用户登录图网络。具体地,给定数据集D1、用户u和滑动窗口长度L,首先在D1中筛选出属于用户u的认证事件,得到数据集Du。其次,根据滑动窗口长度L将数据分为多个时间窗口,用于计算不同窗口下用户在主机上的登录次数特征F。最后,遍历Du中的每一条认证事件,将源主机和目标主机添加到图中的节点V,并添加一条源主机与目标主机的连接到图中的边E(节点和边若添加重复则忽略),同时将F中源主机与目标主机在对应窗口下的登录次数加一,遍历结束即得到用户u的带有特征的用户登录图Gu=(V,E,F)。
c)源主机路径图(Host Path Graph,HPG)是一个有向异质图,表示用户到目标主机的登录路径与源主机之间的关联关系。定义图Gp=(V,E,F),图中定义有两种类型的节点,一类表示源主机Vsrc,一类表示用户到目标主机的登录路径Vpath,边也存在两种类型,一类为发送边Esend,从源主机节点指向用户到目标主机的登录路径节点,表示用户从源主机登录到目的主机;另一类为依托边Eon,从用户到目标主机的登录路径节点指向源主机节点,表示用户到目标主机的登录路径发生在源主机上,这两种类型的边是对称的。通过将滑动窗口下登录路径在源主机上的发生次数和统计特征Fstatistic赋予到节点上,边仅表示连接关系,得到一个源主机路径图网络。具体地,给定数据集D1、滑动窗口长度L和统计特征Fstatistic,遍历D1中每一条事件,将源主机添加Vsrc,将用户和目标主机拼接成登录路径path作为节点添加到Vpath,并将由源主机指向登录路径的连接边添加到Esend,对称地将由登录路径指向源主机的连接边添加到Eon,对滑动窗口登录次数特征的计算同用户登录图。最后,对图中登录路径类型的节点Vpath进行遍历,将统计特征Fstatistic追加到节点上,同时对源主机节点Vsrc赋予独热编码特征,得到带有特征的源主机路径图Gp=(V,E,F)。其中,使用的统计特征包括用户到该目标主机认证的成功和失败次数,用户到该目标主机的认证次数占用户总认证次数的比率和用户到该目标主机认证事件发生的时间间隔的最小值、最大值以及平均值。
进一步地,所述基于无监督学***均readout函数获得。之后通过对节点施加随机乱序的扰动得到负样本,使用一个判别器对由h和s组成的“样本对”进行打分,最后得到节点的隐层表示。之后基于DGI学得的样本特征表示,使用局部异常因子算法(Local Outlier Factor,LOF)进行检测,通过设置阈值得到少量有标签主机样本,与其对应的用户组合成用户到目标主机的登录路径,用于第二阶段的半监督学习。
进一步地,所述基于半监督学习的横向移动攻击检测包括:基于源主机路径图和第一阶段的少量有标签样本,使用异质图注意力网络算法(Heterogeneous graphAttention Network,HAN)进行图上的半监督学习,通过学习登录路径节点之间的关联,检测更多的横向移动攻击行为。HAN将注意力机制引入到了异质图中,包括节点级注意力和语义级注意力。通过定义图上的元路径(meta-path),节点级注意力主要学习其元路径上邻接节点的权重,而语义级注意力学习基于不同元路径的权重。最后,通过相应的聚合操作得到最终的节点表示。具体到图中,定义两条元路径:从路径节点到源主机节点的元路径p1(vpath,eon,vsrc)和从路径节点到源主机节点再到路径节点的元路径p2(vpath,eon,vsrc,esend,vpath)。基于这两条元路径,计算节点级注意力和语义级注意力特征,使用第一阶段的有标签样本,以交叉熵损失函数为目标进行半监督学习,检测横向移动攻击行为。
基于同一发明构思,本发明还提供一种基于异质图网络的横向移动攻击检测的***,其包括:
数据采集模块,用于收集内网设备产生的认证日志,构建数据集;
安全日志图结构化模块,用于利用所述数据集构建用户登录图和源主机路径图。
基于无监督学习的异常登录行为检测模块,用于基于所述用户登录图,进行基于无监督学习的异常登录行为检测;
基于半监督学习的横向移动攻击检测模块,用于基于所述源主机路径图和所述基于无监督学习的异常登录行为检测得到的有标签样本,进行基于半监督学习的横向移动攻击检测。
与现有技术相比,本发明的有益效果是:
本发明法可以在没有样本标签的情况下简洁有效地检测横向移动攻击行为,在相关公开数据集CMCS Events上的AUC值超过95%,部分用户的TPR达到100%,FPR为0,效果超过了大部分有监督学习的方法,具有高召回率和低误报率。
附图说明
图1是本发明中基于异质图网络检测横向移动攻击的整体流程图。其中,X表示正样本的初始特征,X’表示经过扰动后负样本的初始特征,H表示经过图卷积后正样本的隐层特征,H’表示经过图卷积后负样本的隐层特征,D表示分类器,R表示平均Readout函数,S表示经平均Readout函数计算得到的全局特征,Z1~Zp表示经过节点级注意力学得的隐层特征,Z表示经过语义级注意力学得的隐层特征。
图2是本发明中用户登录图的构建的流程图。
图3是本发明中源主机路径图的构建的流程图。
图4是本发明中基于无监督学习的异常登录行为检测的流程图。
图5是本发明中基于半监督学习的横向移动攻击检测的流程图。
图6是本发明中所提方法HGLM在公开数据集CMCS Events上针对不同用户的检测性能结果图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的目的、特征和优点能够更加明显易懂,下面结合附图和事例对本发明中技术核心作进一步详细的说明。
在本发明中,公开了一种基于异质图网络的检测横向移动攻击的方法,如图1所示,本方法主要由数据采集、安全日志图结构化、基于无监督学习的异常登录行为检测和基于半监督学习的横向移动攻击检测四部分组成,主要步骤如下:
步骤100为数据集抽取,即收集一段时间内网设备产生的认证日志,构成数据集。
步骤200为安全日志图结构化,主要包括数据预处理、用户登录图的构建和源主机路径图的构建三部分。
用户登录图的构建如图2所示。
步骤210,对于给定数据集D1,首先定义用户u和滑动窗口长度L,用于在D1中筛选出属于用户u的认证事件和计算不同窗口下用户在主机上的登录次数特征F。
步骤220,对数据集D1进行遍历。
步骤230,在D1中筛选出属于用户u的认证事件。
步骤240,将认证事件的源主机和目标主机添加到图中的节点V,并添加一条源主机与目标主机的连接到图中的边E(节点和边若添加重复则忽略)。
步骤250,计算不同窗口下用户在主机上的登录次数特征F,将源主机与目标主机在对应窗口下的登录次数加一。
遍历结束即得到用户u的带有特征的用户登录图Gu=(V,E,F)。
源主机路径图的构建如图3所示。
步骤260,给定数据集D1,首先定义滑动窗口长度L和抽取好的统计特征Fstatistic
步骤270,遍历D1中每一条事件,将源主机添加Vsrc,将用户和目标主机拼接成登录路径path作为节点添加到Vpath,并将由源主机指向登录路径的连接边添加到Esend,对称地将由登录路径指向源主机的连接边添加到Eon
步骤280,计算不同窗口下登录路径的发生次数特征F,将登录路径在对应窗口下的发生次数加一。
步骤290,将对应的统计特征Fstatistic添加到登录路径节点上。
遍历结束后,对图中的源主机节点Vsrc赋予独热编码特征,即得到带有特征的源主机路径图Gp=(V,E,F)。
步骤300为两阶段异常检测,第一阶段为基于无监督学习的异常登录行为检测,第二阶段为基于半监督学习的横向移动攻击检测。
基于无监督学习的异常登录行为检测,如图4所示。
步骤310,基于用户登录图,首先使用DGI学习主机的行为模式,通过使用随机乱序的方法进行节点扰动,得到负样本。
步骤320,图中每一个节点的特征向量就是该节点的局部特征h,通过图卷积核编码器进行训练学***均readout函数获得。以最大化局部特征和全局特征的互信息为目标,使用一个判别器对由h和s组成的正负“样本对”进行打分,得到节点的隐层表示。
步骤330,基于DGI学得的样本特征表示,使用局部异常因子算法进行检测,通过设置阈值得到少量有标签主机样本。
最后,将有标签主机样本与其对应的用户组合成用户到目标主机的登录路径训练样本,用于第二阶段的半监督学习。
基于半监督学习的横向移动攻击检测,如图5所示。
步骤340,基于源主机路径图和第一阶段的少量有标签样本,使用HAN进行图上的半监督学习。首先,定义两条元路径:从路径节点到源主机节点的元路径p1(vpath,eon,vsrc)和从路径节点到源主机节点再到路径节点的元路径p2(vpath,eon,vsrc,esend,vpath)。
步骤350,基于这两条元路径,计算节点级注意力和语义级注意力特征,使用第一阶段的有标签样本,以交叉熵损失函数为目标进行半监督学习,检测横向移动攻击行为。
最后,将第一阶段和第二阶段检测的异常样本组合起来,即HGLM模型检测到的横向移动攻击行为结果。
通过在公开数据集CMCS Events上进行实验,可以发现,本文所提方法HGLM检测结果的AUC值超过95%,部分用户的TPR达到100%,FPR为0,效果超过了大部分有监督学习的方法,具有高召回率和低误报率。实验结果如表1所示,与已有方法对比,本文所提方法HGLM简洁有效,不需要样本标签,并可以超过大部分有监督的检测方法。此外,模型在不同用户上的检测性能表现如图6所示,可以发现对于大部分用户,模型的召回率率可以超过95%,误报率低于5%。
表1.横向移动攻击检测模型的性能比较
基于同一发明构思,本发明的另一个实施例提供一种基于异质图网络的横向移动攻击检测的***,其包括:
数据采集模块,用于收集内网设备产生的认证日志,构建数据集;
安全日志图结构化模块,用于利用所述数据集构建用户登录图和源主机路径图。
基于无监督学习的异常登录行为检测模块,用于基于所述用户登录图,进行基于无监督学习的异常登录行为检测;
基于半监督学习的横向移动攻击检测模块,用于基于所述源主机路径图和所述基于无监督学习的异常登录行为检测得到的有标签样本,进行基于半监督学习的横向移动攻击检测。
基于同一发明构思,本发明的另一实施例提供一种电子装置(计算机、服务器、智能手机等),其包括存储器和处理器,所述存储器存储计算机程序,所述计算机程序被配置为由所述处理器执行,所述计算机程序包括用于执行本发明方法中各步骤的指令。
基于同一发明构思,本发明的另一实施例提供一种计算机可读存储介质(如ROM/RAM、磁盘、光盘),所述计算机可读存储介质存储计算机程序,所述计算机程序被计算机执行时,实现本发明方法的各个步骤。
本发明未详细阐述的部分(如局部异常因子算法)属于本领域技术人员的公知技术。
最后所应说明的是,以上实施案例仅用以说明本发明的技术方案而非限制,尽管使用事例对本发明进行了详细说明,本领域的普通技术人员应当理解,可对本发明的技术方案进行修改或者等价替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (9)

1.一种基于异质图网络的横向移动攻击检测方法,其特征在于,包括以下步骤:
收集内网设备产生的认证日志,构建数据集;
利用所述数据集构建用户登录图和源主机路径图;
基于所述用户登录图,进行基于无监督学习的异常登录行为检测;
基于所述源主机路径图和所述基于无监督学习的异常登录行为检测得到的有标签样本,进行基于半监督学习的横向移动攻击检测;
所述源主机路径图是一个有向异质图,表示用户到目标主机的登录路径与源主机之间的关联关系;所述源主机路径图中定义有两种类型的节点,一类表示源主机Vsrc,一类表示用户到目标主机的登录路径Vpath;边也存在两种类型,一类为发送边Esend,从源主机节点指向用户到目标主机的登录路径节点,表示用户从源主机登录到目的主机;另一类为依托边Eon,从用户到目标主机的登录路径节点指向源主机节点,表示用户到目标主机的登录路径发生在源主机上,这两种类型的边是对称的;通过将滑动窗口下登录路径在源主机上的发生次数和统计特征Fstatistic赋予到节点上,边仅表示连接关系,得到一个源主机路径图网络。
2.根据权利要求1所述的方法,其特征在于,在构建所述用户登录图和所述源主机路径图之前进行数据预处理;所述数据预处理包括:给定认证日志数据集D,遍历其中的每一条认证事件,将源用户与目标用户相同且源主机与目标主机不同的事件筛选出来,得到处理后的数据集D1
3.根据权利要求2所述的方法,其特征在于,所述用户登录图是一张无向同质图,表示用户一定时间内在主机间的登录行为模式;所述用户登录图的构建过程包括:给定数据集D1、用户u和滑动窗口长度L,在D1中筛选出属于用户u的认证事件,得到数据集Du;根据滑动窗口长度L将数据分为多个时间窗口,用于计算不同窗口下用户在主机上的登录次数特征F;遍历Du中的每一条认证事件,将源主机和目标主机添加到图中的节点V,并添加一条源主机与目标主机的连接到图中的边E,同时将F中源主机与目标主机在对应窗口下的登录次数加一,遍历结束即得到用户u的带有特征的用户登录图Gu=(V,E,F)。
4.根据权利要求1所述的方法,其特征在于,所述统计特征Fstatistic包括:用户到该目标主机认证的成功和失败次数,用户到该目标主机的认证次数占用户总认证次数的比率,用户到该目标主机认证事件发生的时间间隔的最小值、最大值以及平均值。
5.根据权利要求1所述的方法,其特征在于,所述基于无监督学习的异常登录行为检测,包括:
基于用户登录图,使用互信息最大化的图神经网络算法学习主机的行为模式,即通过最大化样本的局部特征h和全局特征s的互信息训练得到样本的隐层特征表示;
通过对节点施加随机乱序的扰动得到负样本,使用一个判别器对由h和s组成的样本对进行打分,得到节点的隐层表示;
基于图神经网络算法学得的样本特征表示,使用局部异常因子算法进行检测,通过设置阈值得到少量有标签主机样本,与其对应的用户组合成用户到目标主机的登录路径,用于第二阶段的半监督学习。
6.根据权利要求1所述的方法,其特征在于,所述基于半监督学习的横向移动攻击检测,包括:
定义两条元路径:从路径节点到源主机节点的元路径和从路径节点到源主机节点再到路径节点的元路径;
基于两条元路径,计算节点级注意力和语义级注意力特征,使用所述基于无监督学习的异常登录行为检测得到的有标签样本,以交叉熵损失函数为目标进行半监督学习,检测横向移动攻击行为。
7.一种采用权利要求1~6中任一权利要求所述方法的基于异质图网络的横向移动攻击检测***,其特征在于,包括:
数据采集模块,用于收集内网设备产生的认证日志,构建数据集;
安全日志图结构化模块,用于利用所述数据集构建用户登录图和源主机路径图;
基于无监督学习的异常登录行为检测模块,用于基于所述用户登录图,进行基于无监督学习的异常登录行为检测;
基于半监督学习的横向移动攻击检测模块,用于基于所述源主机路径图和所述基于无监督学习的异常登录行为检测得到的有标签样本,进行基于半监督学习的横向移动攻击检测。
8.一种电子装置,其特征在于,包括存储器和处理器,所述存储器存储计算机程序,所述计算机程序被配置为由所述处理器执行,所述计算机程序包括用于执行权利要求1~6中任一权利要求所述方法的指令。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储计算机程序,所述计算机程序被计算机执行时,实现权利要求1~6中任一权利要求所述的方法。
CN202110347685.7A 2021-03-31 2021-03-31 一种基于异质图网络的横向移动攻击检测方法及*** Active CN113094707B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110347685.7A CN113094707B (zh) 2021-03-31 2021-03-31 一种基于异质图网络的横向移动攻击检测方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110347685.7A CN113094707B (zh) 2021-03-31 2021-03-31 一种基于异质图网络的横向移动攻击检测方法及***

Publications (2)

Publication Number Publication Date
CN113094707A CN113094707A (zh) 2021-07-09
CN113094707B true CN113094707B (zh) 2024-05-14

Family

ID=76671616

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110347685.7A Active CN113094707B (zh) 2021-03-31 2021-03-31 一种基于异质图网络的横向移动攻击检测方法及***

Country Status (1)

Country Link
CN (1) CN113094707B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230088676A1 (en) * 2021-09-20 2023-03-23 International Business Machines Corporation Graph neural network (gnn) training using meta-path neighbor sampling and contrastive learning
CN114020593B (zh) * 2021-11-08 2024-05-14 山东理工大学 一种基于轨迹聚类的异质流程日志采样方法与***
CN114741688B (zh) * 2022-03-14 2024-07-23 北京邮电大学 一种无监督的主机入侵检测方法及***
CN115473718A (zh) * 2022-09-06 2022-12-13 国网智能电网研究院有限公司 一种基于行为关联挖掘的业务数据异常识别方法及装置
CN115913616A (zh) * 2022-09-23 2023-04-04 清华大学 基于异构图异常链路发现的横向移动攻击检测方法及装置
CN115604032B (zh) * 2022-12-01 2023-04-28 南京南瑞信息通信科技有限公司 一种电力***复杂多步攻击检测方法及***

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110519276A (zh) * 2019-08-29 2019-11-29 中国科学院信息工程研究所 一种检测内网横向移动攻击的方法
CN111967271A (zh) * 2020-08-19 2020-11-20 北京大学 分析结果的生成方法、装置、设备及可读存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110519276A (zh) * 2019-08-29 2019-11-29 中国科学院信息工程研究所 一种检测内网横向移动攻击的方法
CN111967271A (zh) * 2020-08-19 2020-11-20 北京大学 分析结果的生成方法、装置、设备及可读存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王天.基于异质图网络的横向移动攻击检测方法.jcs.iie.ac.cn/xxaqxb/ch/reader/view_abstract.aspx?flag=2&file_no=202102010000001&journal_id=xxaqxb.2021,第1页. *

Also Published As

Publication number Publication date
CN113094707A (zh) 2021-07-09

Similar Documents

Publication Publication Date Title
CN113094707B (zh) 一种基于异质图网络的横向移动攻击检测方法及***
Aljawarneh et al. Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
Palmieri et al. A distributed approach to network anomaly detection based on independent component analysis
Peng et al. Network intrusion detection based on deep learning
Catak et al. Distributed denial of service attack detection using autoencoder and deep neural networks
CN111049680B (zh) 一种基于图表示学习的内网横向移动检测***及方法
CN104899513A (zh) 一种工业控制***恶意数据攻击的数据图检测方法
CN117216660A (zh) 基于时序网络流量集成异常点和异常集群检测方法及装置
Hammad et al. T‐SNERF: A novel high accuracy machine learning approach for Intrusion Detection Systems
Jia et al. A novel real‐time ddos attack detection mechanism based on MDRA algorithm in big data
Albahar et al. Deep autoencoders and feedforward networks based on a new regularization for anomaly detection
Niu et al. Uncovering APT malware traffic using deep learning combined with time sequence and association analysis
Al-Fawa'reh et al. Detecting stealth-based attacks in large campus networks
Hong et al. [Retracted] Abnormal Access Behavior Detection of Ideological and Political MOOCs in Colleges and Universities
CN116633682A (zh) 一种基于安全产品风险威胁的智能识别方法及***
Xin et al. Research on feature selection of intrusion detection based on deep learning
CN109063721A (zh) 一种行为特征数据提取的方法及装置
Selim et al. DAE-BILSTM: A Fog-Based Intrusion Detection Model Using Deep Learning for IoT
CN113542222A (zh) 一种基于双域vae的零日多步威胁识别方法
Veena A survey on network intrusion detection
CN117579324B (zh) 基于门控时间卷积网络与图的入侵检测方法
Qian et al. Research on network security situational awareness technology for building multi-element, integrated and highly elastic power grid
Wang Research on Intrusion Detection Method and Strategy of Industrial Internet Based on Big Data Environment
Han et al. Simulation of IPv6 Firewall Threat Response Decision Model Based on Automated Algorithm

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant