CN115604032B - 一种电力***复杂多步攻击检测方法及*** - Google Patents

一种电力***复杂多步攻击检测方法及*** Download PDF

Info

Publication number
CN115604032B
CN115604032B CN202211526232.1A CN202211526232A CN115604032B CN 115604032 B CN115604032 B CN 115604032B CN 202211526232 A CN202211526232 A CN 202211526232A CN 115604032 B CN115604032 B CN 115604032B
Authority
CN
China
Prior art keywords
node
attention
edge
layer
representation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211526232.1A
Other languages
English (en)
Other versions
CN115604032A (zh
Inventor
张浩天
魏兴慎
高鹏
犹锋
杨维永
曹永健
朱世顺
吴超
田秋涵
刘苇
周剑
朱溢铭
祁龙云
黄益彬
马增洲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nari Information and Communication Technology Co
Original Assignee
Nari Information and Communication Technology Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nari Information and Communication Technology Co filed Critical Nari Information and Communication Technology Co
Priority to CN202211526232.1A priority Critical patent/CN115604032B/zh
Publication of CN115604032A publication Critical patent/CN115604032A/zh
Application granted granted Critical
Publication of CN115604032B publication Critical patent/CN115604032B/zh
Priority to PCT/CN2023/110080 priority patent/WO2024113927A1/zh
Priority to US18/391,756 priority patent/US20240187446A1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种电力***复杂多步攻击检测方法及***,方法包括:采集网络实体交互行为数据;对网络实体交互行为数据进行基于异质图的数据预处理,获得输入数据;将输入数据输入复杂多步攻击检测模块,获得攻击检测结果。基于异质图的数据预处理,从交互行为数据中抽取信息构造异质图的节点和边;将目的节点及其相邻的源节点的时间戳信息输入Time2Vec层获得第一时间嵌入表示;将融合了节点特征信息和第一时间嵌入表示的数据输入Heteformer层,获得第二节点嵌入表示作为输入数据输入复杂多步攻击检测模块,克服了传统神经网络无法为重要的连接关系分配更多权重的缺陷,提高了复杂多步攻击检测的准确性。

Description

一种电力***复杂多步攻击检测方法及***
技术领域
本发明属于电力***网络安全技术领域,具体涉及一种电力***复杂多步攻击检测方法及***。
背景技术
复杂多步攻击是针对政府、企业等发动的长期的、隐蔽的、破坏性大的网络攻击。随着攻击方式的日新月异,现有的攻击已经不仅仅是单步攻击,而是多个复杂攻击组合的形式。攻击者通过故意攻击非真实意图的目标来分散防御者的注意力,扰乱防御者的注意力,从而乘机对真实目标发动隐蔽性较强的攻击行为。因此,全方位监控电力***行为是应对复杂多步攻击检测的有效方法之一。
近年来,针对海量异构网络安全数据,基于深度学习的端到端检测方法,无需借助特征工程过程,受到了越来越多的关注。由于这些方法能够以端到端的方式自动学习数据中的潜在特征,因此它们在面对未知的攻击行为时具有一定的泛化能力。然而,APT(Advanced Persistent Threat,高级持续性威胁)类复杂多步攻击的长时间间隔和复杂行为的低调特征使其仍然面临检测成功率低的问题。
发明内容
为解决现有技术中的不足,本发明提供一种电力***复杂多步攻击检测方法及***,克服了传统神经网络无法为重要的连接关系分配更多权重的缺陷,提高了复杂多步攻击检测的准确性。
为达到上述目的,本发明所采用的技术方案是:
第一方面,提供一种电力***复杂多步攻击检测方法,包括:采集网络实体交互行为数据;对网络实体交互行为数据进行基于异质图的数据预处理,获得输入数据;将输入数据输入复杂多步攻击检测模块,获得攻击检测结果。
进一步地,所述采集网络实体交互行为数据,包括:采集***日志和网络行为日志,将IP地址和主机MAC地址绑定,记录主机与主机间的操作记录以及主机的网络行为;收集网络连接关系和***内部工作人员信息,将主机和员工信息绑定,记录员工与主机间的操作记录以及员工的上网行为记录。
进一步地,所述基于异质图的数据预处理,包括:以网络实体交互行为数据中的用户、主机、文件、网站作为节点,节点间连接关系作为边建立异质图;将异质图中的目的节点及其相邻的源节点的时间戳信息输入Time2Vec层获得第一时间嵌入表示;将融合了节点特征信息和第一时间嵌入表示的数据输入Heteformer层,根据不同节点类型和边类型分配不同的权重,利用自注意力机制学习到为复杂多步攻击检测任务贡献度最大的邻居信息,聚合邻居信息以获得作为输入数据的第二节点嵌入表示。
进一步地,以网络实体交互行为数据中的用户、主机、文件、网站作为节点,节点间连接关系作为边建立异质图,包括:从网络实体交互行为数据中抽取信息构造节点类型和边类型;其中,边类型包括但不限于用户登录主机、用户登出主机、主机打开文件、主机写文件、文件上传网站、网站下载文件和用户访问网站;从网络实体交互行为数据中抽取信息构造节点特征和边特征;其中,用户节点特征包括用户名、用户所在组和用户邮箱;主机节点特征包括主机ID、主机型号、主机所在区域和主机U盘使用次数;文件节点特征包括文件创建时间、文件修改时间、文件类型和文件名称;用户登录主机边特征和用户登出主机边特征包括身份验证状态码、身份验证事件和身份验证类型。
进一步地,将异质图中的目的节点及其相邻的源节点的时间戳信息输入Time2Vec层获得第一时间嵌入表示,包括:将网络行为日志中的目的IP地址作为目的节点,源IP地址作为源节点,目的节点的时间戳信息分别与其相连的源节点的时间戳信息相减获得时间差序列;将时间差序列输入Time2Vec层获得嵌入向量形式的时间表示;将嵌入向量形式的时间表示输入线性层进行线性映射,将其映射回原来的维度,作为目的节点的时间特征,即第一时间嵌入表示。
进一步地,将融合了节点特征信息和第一时间嵌入表示的数据输入Heteformer层,获取注意力分数,包括:
其中, d为节点特征维度, src为源节点, dst为目的节点, e为边, i为第 i个注意力头数,m为注意力头数总个数,表示与目的节点相连的所有源节点,表示第 i个注意力头的注意力分数,表示键-节点向量,表示查询向量,表示键-边向量,表示用于映射源节点特征的线性层,表示用于映射目的节点特征的线性层,表示用于映射边特征的线性层,表示源节点在 l-1层的嵌入表示,表示目的节点在 l-1层的嵌入表示,表示边在 l-1层的嵌入表示,表示为不同的边类型分配不同的权重矩阵,表示多个注意力头拼接后经softmax归一化后的节点注意力分数,表示多个注意力头拼接后经softmax归一化后的边注意力分数;
按照公式(4),将目的节点在 l-1层的嵌入表示通过线性映射为查询向量;按照公式(3),将源节点在 l-1层的嵌入表示通过线性映射为键-节点向量;按照公式(2),计算的点积并除以节点特征维度 d的开根,获得每个注意力头的节点注意力分数;按照公式(1),最终将所有注意力头的注意力分数进行拼接并进行softmax计算,获得节点的注意力分数;同理,获得边的注意力分数
进一步地,利用自注意力机制学习到为复杂多步攻击检测任务贡献度最大的邻居信息,包括:
其中,为节点特征第 i个注意力头的值-节点向量,为边特征第 i个注意力头的值-边向量,表示用于映射源节点特征的线性层,表示用于映射源边特征的线性层,表示节点特征值-节点向量的权重矩阵,表示边特征边-节点向量的权重矩阵,为m个注意力头的值-节点向量拼接表示,为m个注意力头的值-边向量拼接表示,表示源节点在 l-1层的嵌入表示,表示边在 l-1层的嵌入表示;
按照公式(9),将源节点特征通过线性映射,并为不同类型的源节点分配不同的权重矩阵,得到注意力头的值-节点向量
按照公式(8),将所有注意力头值-节点向量进行拼接,得到注意力头的值-节点向量拼接表示;同理获得注意力头的值-边向量拼接表示
进一步地,聚合邻居信息以获得作为输入数据的第二节点嵌入表示,具体计算过程为:
其中,表示目标节点在 l层的第二节点嵌入表示,表示多个注意力头拼接后经softmax归一化后的节点注意力分数,表示多个注意力头拼接后经softmax归一化后的边注意力分数,为m个注意力头的值-节点向量拼接表示,为m个注意力头的值-边向量拼接表示;
按照公式(12),通过注意力权重系数来聚合目的节点的邻居信息,将节点注意力分数与注意力头值-节点向量拼接表示做点积运算;将节点注意力分数与注意力头值-节点向量拼接表示做点积运算;再将所有乘积结果进行累加;获得目的节点的第二节点嵌入表示。
进一步地,所述复杂多步攻击检测模块将第二节点嵌入表示作为输入,通过线性层和softmax层以二分类形式获得攻击检测结果。
第二方面,提供一种电力***复杂多步攻击检测***,包括:数据采集模块,用于采集网络实体交互行为数据;数据处理模块,用于对网络实体交互行为数据进行基于异质图的数据预处理,获得输入数据;攻击检测模块,用于将输入数据输入复杂多步攻击检测模块,获得攻击检测结果。
与现有技术相比,本发明所达到的有益效果:本发明通过采集网络实体交互行为数据;对网络实体交互行为数据进行基于异质图的数据预处理,从交互行为数据中抽取信息构造异质图的节点和边;将目的节点及其相邻的源节点的时间戳信息输入Time2Vec层获得第一时间嵌入表示;将融合了节点特征信息和第一时间嵌入表示的数据输入Heteformer层,获得第二节点嵌入表示;将第二节点嵌入表示作为输入数据输入复杂多步攻击检测模块,获得攻击检测结果,克服了传统神经网络无法为重要的连接关系分配更多权重的缺陷,提高了复杂多步攻击检测的准确性。
附图说明
图1是本发明实施例提供的一种电力***复杂多步攻击检测方法的流程示意图;
图2是本发明实施例中异质图的构建方法示意图;
图3是使用本发明实施例提供的一种电力***复杂多步攻击检测方法进行检测时第一种模型参数实验结果;
图4是使用本发明实施例提供的一种电力***复杂多步攻击检测方法进行检测时第二种模型参数实验结果;
图5是使用本发明实施例提供的一种电力***复杂多步攻击检测方法进行检测时第三种模型参数实验结果。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
实施例一:
如图1~图5所示,一种电力***复杂多步攻击检测方法,包括:采集网络实体交互行为数据;对网络实体交互行为数据进行基于异质图的数据预处理,获得输入数据;将输入数据输入复杂多步攻击检测模块,获得攻击检测结果。
采集网络实体交互行为数据。
步骤1:采集网络实体交互行为数据包括:采集***日志和网络行为日志,将IP地址和主机MAC地址绑定,记录主机与主机间的操作记录以及主机的网络行为;收集网络连接关系和***内部工作人员信息,将主机和员工信息绑定,记录员工与主机间的操作记录以及员工的上网行为记录。
对网络实体交互行为数据进行基于异质图的数据预处理,获得输入数据。
步骤2:从网络实体交互行为数据中抽取信息构造节点和边,包括以网络实体交互行为数据中的用户、主机、文件、网站作为节点,节点间连接关系作为边建立异质图。
如图2所示,首先定义异质图概念,将源IP地址作为源节点,目的IP地址作为目的节点,源节点和目的节点的连接关系作为边。因此,元关系可由形如<源节点,边,目的节点>的三元组表示。其中源节点、目的节点和边均包含多种类型。为体现动态特性,为每个三元组分配事件发生时刻的时间戳,形成<源节点,边,目的节点,时间戳>的四元组表示。具体包含以下内容:
(2-1)从网络实体交互行为数据中抽取信息构造节点类型和边类型。其中,节点类型包括用户、主机、文件和网站;边类型包括但不限于用户登录主机、用户登出主机、主机打开文件、主机写文件、文件上传网站、网站下载文件、用户访问网站等;
(2-2)从网络实体交互行为数据中抽取信息构造节点特征和边特征。用户节点特征包括用户名、用户所在组、用户邮箱等;主机节点特征包括主机设备ID、主机设备型号、主机所在区域、主机U盘使用次数等。文件节点特征包括文件创建时间、文件修改时间、文件类型、文件名称等;用户登录主机边特征和用户登出主机边特征包括身份验证状态码、身份验证事件、身份验证类型等;
最终输入数据是目的节点及其相邻的源节点的时间戳信息,形式为<源节点ID,目标节点ID,源节点类型,目的节点类型,源节点特征,目的节点特征,边类型,边特征,时间戳>。
步骤3:将异质图中的目的节点及其相邻的源节点的时间戳信息输入Time2Vec层获得第一时间嵌入表示。
(3-1)将网络行为日志中的目的IP地址作为目的节点,源IP地址作为源节点,目的节点的时间戳信息分别与其相连的源节点的时间戳信息相减获得时间差序列。对于源节点 src及其对应的时间戳 ts和目的节点 dst及其对应的时间戳 td,分别用 T(src@ts)T(dst@ td)表示。计算相对时间间隔 ΔT(dst@ts, src@td) =  T(dst@ts) - T(src@td),为方便描述,后文皆用 ΔT(时间差序列)表示。
(3-2)将时间差序列输入Time2Vec层获得嵌入向量形式的时间表示。将 ΔT输入Time2Vec层获得源节点和目的节点在此时刻的第一时间嵌入表示,将所述的嵌入向量输入线性层进行线性映射,将其映射回原来的维度,作为目的节点的时间特征,即第一时间嵌入表示。
步骤4:将融合了节点特征信息和第一时间嵌入表示的数据输入Heteformer层。Heteformer是本申请中提出的一种新的处理异质图的深度学习模型,Heteformer层的作用是更好的将异质图中的异质节点和异质边所包含的语义信息抽取出来,为每个节点形成节点嵌入表示,为下游任务提供输入。Heteformer层具体计算过程包括根据不同节点类型和边类型分配不同的权重,利用自注意力机制学习到为复杂多步攻击检测任务贡献度最大的邻居信息,聚合邻居信息以获得作为输入数据的第二节点嵌入表示。
(4-1)将融合了节点特征信息和第一时间嵌入表示的数据输入Heteformer层,根据不同节点类型和边类型分配不同的权重。通过注意力分数计算,获得与目的节点相连的不同边类型的源节点的重要性。将目的节点特征通过线性层线性映射为查询向量,将源节点特征通过线性层线性映射为键-节点向量,将边特征通过线性层线性映射为键-边向量;为不同类型的源节点和不同类型的边分配不同的权重矩阵;计算查询向量、权重矩阵与键-节点向量的点积和查询向量、权重矩阵与键-边向量的点积,输入softmax层归一化,获取注意力分数。
所述通过注意力分数计算,获得与目的节点相连的不同边类型的源节点的重要性,具体计算过程为:
其中, d为节点特征维度, src为源节点, dst为目的节点, e为边, i为第 i个注意力头数,m为注意力头数总个数,表示与目的节点相连的所有源节点,表示第 i个注意力头的注意力分数,表示键-节点向量,表示查询向量,表示键-边向量,表示用于映射源节点特征的线性层,表示用于映射目的节点特征的线性层,表示用于映射边特征的线性层,表示源节点在 l-1层的嵌入表示,表示目的节点在 l-1层的嵌入表示,表示边在 l-1层的嵌入表示,表示为不同的边类型分配不同的权重矩阵,表示多个注意力头拼接后经softmax归一化后的节点注意力分数,表示多个注意力头拼接后经softmax归一化后的边注意力分数。
(4-2)利用自注意力机制学习到为复杂多步攻击检测任务贡献度最大的邻居信息。节点信息传递,抽取出源节点特征和边特征。将源节点特征通过线性映射为值-节点向量,将边特征通过线性映射为值-边向量;为不同类型的源节点和不同类型的边分配不同的权重矩阵;
所述利用自注意力机制学习到为复杂多步攻击检测任务贡献度最大的邻居信息,具体计算过程为:
其中,为节点特征第 i个注意力头的值-节点向量,为边特征第 i个注意力头的值-边向量,表示用于映射源节点特征的线性层,表示用于映射源边特征的线性层,表示节点特征值-节点向量的权重矩阵,表示边特征边-节点向量的权重矩阵,为m个注意力头的值-节点向量拼接表示,为m个注意力头的值-边向量拼接表示,表示源节点在 l-1层的嵌入表示,表示边在 l-1层的嵌入表示。
(4-3)聚合邻居信息以获得最佳的节点嵌入表示。节点信息聚合,通过注意力权重系数来聚合目的节点的邻居信息。计算注意力分数与值-节点向量的乘积和注意力分数与值-边向量的乘积,将所有源节点的乘积结果进行累加,获得目的节点的第二节点嵌入表示作为输入数据。
所述聚合邻居信息以获得最佳的节点嵌入表示,具体计算过程为:
其中,表示目标节点在 l层的嵌入表示,表示多个注意力头拼接后经softmax归一化后的节点注意力分数,表示多个注意力头拼接后经softmax归一化后的边注意力分数,为m个注意力头的值-节点向量拼接表示,为m个注意力头的值-边向量拼接表示。
将输入数据输入复杂多步攻击检测模块,获得攻击检测结果。
步骤5:攻击检测步骤,在训练阶段,编码器利用交叉熵损失函数反向传播以更新模型参数获得最优嵌入表示。在测试阶段,将嵌入表示输入线性层和softmax层以二分类形式获得攻击检测结果。
如图3~图5所示,图3是使用本发明实施例提供的一种电力***复杂多步攻击检测方法进行检测时第一种模型参数实验结果,加入LayerNorm层对层数据进行归一化处理后,消除了数据之间维数的影响,识别效果可有效提高约2.8个百分点;图4是使用本发明实施例提供的一种电力***复杂多步攻击检测方法进行检测时第二种模型参数实验结果,当注意头的数目增加时,识别结果会略有波动。基本上2个注意力头便能够提取数据的有效特征;图5是使用本发明实施例提供的一种电力***复杂多步攻击检测方法进行检测时第三种模型参数实验结果,当Heteformer卷积层数目增加时,检测效果影响不大,说明浅层网络结构已经能够学习到有效的特征。
实施例二:
基于实施例一所述的一种电力***复杂多步攻击检测方法,本实施例提供一种电力***复杂多步攻击检测***,包括:数据采集模块,用于采集网络实体交互行为数据;数据处理模块,用于对网络实体交互行为数据进行基于异质图的数据预处理,获得输入数据;攻击检测模块,用于将输入数据输入复杂多步攻击检测模块,获得攻击检测结果。
本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请实施例中的方案可以采用各种计算机语言实现,例如,面向对象的程序设计语言Java和直译式脚本语言JavaScript等。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (7)

1.一种电力***复杂多步攻击检测方法,其特征在于,包括:
采集网络实体交互行为数据;
对网络实体交互行为数据进行基于异质图的数据预处理,获得输入数据;
将输入数据输入复杂多步攻击检测模块,获得攻击检测结果;
其中,对网络实体交互行为数据进行基于异质图的数据预处理,包括:
从网络实体交互行为数据中抽取信息构造节点和边,包括以网络实体交互行为数据中的用户、主机、文件、网站作为节点,节点间连接关系作为边建立异质图;
首先定义异质图概念,将源IP地址作为源节点,目的IP地址作为目的节点,源节点和目的节点的连接关系作为边;因此,元关系由<源节点,边,目的节点>的三元组表示;其中源节点、目的节点和边均包含多种类型;为体现动态特性,为每个三元组分配事件发生时刻的时间戳,形成<源节点,边,目的节点,时间戳>的四元组表示;具体包含以下内容:
从网络实体交互行为数据中抽取信息构造节点类型和边类型;其中,节点类型包括用户、主机、文件和网站;边类型包括用户登录主机、用户登出主机、主机打开文件、主机写文件、文件上传网站、网站下载文件、用户访问网站;
从网络实体交互行为数据中抽取信息构造节点特征和边特征;用户节点特征包括用户名、用户所在组、用户邮箱;主机节点特征包括主机设备ID、主机设备型号、主机所在区域、主机U盘使用次数;文件节点特征包括文件创建时间、文件修改时间、文件类型、文件名称;用户登录主机边特征和用户登出主机边特征包括身份验证状态码、身份验证事件、身份验证类型;
最终输入数据是目的节点及其相邻的源节点的时间戳信息,形式为<源节点ID,目标节点ID,源节点类型,目的节点类型,源节点特征,目的节点特征,边类型,边特征,时间戳>;
将异质图中的目的节点及其相邻的源节点的时间戳信息输入Time2Vec层获得第一时间嵌入表示;
将网络行为日志中的目的IP地址作为目的节点,源IP地址作为源节点,目的节点的时间戳信息分别与其相连的源节点的时间戳信息相减获得时间差序列;对于源节点src及其对应的时间戳ts和目的节点dst及其对应的时间戳td,分别用T(src@ts)T(dst@td)表示;计算相对时间间隔ΔT(dst@ts, src@td) = T(dst@ts) - T(src@td),用时间差序列ΔT表示;
将时间差序列输入Time2Vec层获得嵌入向量形式的时间表示;将ΔT输入Time2Vec层获得源节点和目的节点在此时刻的第一时间嵌入表示,将嵌入向量输入线性层进行线性映射,将其映射回原来的维度,作为目的节点的时间特征,即第一时间嵌入表示;
将融合了节点特征信息和第一时间嵌入表示的数据输入Heteformer层;Heteformer是一种处理异质图的深度学习模型,Heteformer层的作用是将异质图中的异质节点和异质边所包含的语义信息抽取出来,为每个节点形成节点嵌入表示,为下游任务提供输入;Heteformer层具体计算过程包括根据不同节点类型和边类型分配不同的权重,利用自注意力机制学习到为复杂多步攻击检测任务贡献度最大的邻居信息,聚合邻居信息以获得作为输入数据的第二节点嵌入表示。
2.根据权利要求1所述的电力***复杂多步攻击检测方法,其特征在于,所述采集网络实体交互行为数据,包括:采集***日志和网络行为日志,将IP地址和主机MAC地址绑定,记录主机与主机间的操作记录以及主机的网络行为;收集网络连接关系和***内部工作人员信息,将主机和员工信息绑定,记录员工与主机间的操作记录以及员工的上网行为记录。
3.根据权利要求1所述的电力***复杂多步攻击检测方法,其特征在于,将融合了节点特征信息和第一时间嵌入表示的数据输入Heteformer层,获取注意力分数,包括:
其中,d为节点特征维度,src为源节点,dst为目的节点,e为边,i为第i个注意力头数,m为注意力头数总个数,表示与目的节点相连的所有源节点,表示第i个注意力头的注意力分数,表示键-节点向量,表示查询向量,表示键-边向量,表示用于映射源节点特征的线性层,表示用于映射目的节点特征的线性层,表示用于映射边特征的线性层,表示源节点在l-1层的嵌入表示,表示目的节点在l-1层的嵌入表示,表示边在l-1层的嵌入表示,表示为不同的边类型分配不同的权重矩阵,表示多个注意力头拼接后经softmax归一化后的节点注意力分数,表示多个注意力头拼接后经softmax归一化后的边注意力分数;
按照公式(4),将目的节点在l-1层的嵌入表示通过线性映射为查询向量;按照公式(3),将源节点在l-1层的嵌入表示通过线性映射为键-节点向量;按照公式(2),计算的点积并除以节点特征维度d的开根,获得每个注意力头的节点注意力分数;按照公式(1),最终将所有注意力头的注意力分数进行拼接并进行softmax计算,获得节点的注意力分数;同理,获得边的注意力分数
4.根据权利要求3所述的电力***复杂多步攻击检测方法,其特征在于,利用自注意力机制学习到为复杂多步攻击检测任务贡献度最大的邻居信息,包括:
其中,为节点特征第i个注意力头的值-节点向量,为边特征第i个注意力头的值-边向量,表示用于映射源节点特征的线性层,表示用于映射源边特征的线性层,表示节点特征值-节点向量的权重矩阵,表示边特征边-节点向量的权重矩阵,为m个注意力头的值-节点向量拼接表示,为m个注意力头的值-边向量拼接表示,表示源节点在l-1层的嵌入表示,表示边在l-1层的嵌入表示;
按照公式(9),将源节点特征通过线性映射,并为不同类型的源节点分配不同的权重矩阵,得到注意力头的值-节点向量
按照公式(8),将所有注意力头值-节点向量进行拼接,得到注意力头的值-节点向量拼接表示;同理获得注意力头的值-边向量拼接表示
5.根据权利要求4所述的电力***复杂多步攻击检测方法,其特征在于,聚合邻居信息以获得作为输入数据的第二节点嵌入表示,具体计算过程为:
其中,表示目标节点在l层的第二节点嵌入表示,表示多个注意力头拼接后经softmax归一化后的节点注意力分数,表示多个注意力头拼接后经softmax归一化后的边注意力分数,为m个注意力头的值-节点向量拼接表示,为m个注意力头的值-边向量拼接表示;
按照公式(12),通过注意力权重系数来聚合目的节点的邻居信息,将节点注意力分数与注意力头值-节点向量拼接表示做点积运算;将节点注意力分数与注意力头值-节点向量拼接表示做点积运算;再将所有乘积结果进行累加;获得目的节点的第二节点嵌入表示。
6.根据权利要求5所述的电力***复杂多步攻击检测方法,其特征在于,所述复杂多步攻击检测模块将第二节点嵌入表示作为输入,通过线性层和softmax层以二分类形式获得攻击检测结果。
7.一种电力***复杂多步攻击检测***,其特征在于,包括:
数据采集模块,用于采集网络实体交互行为数据;
数据处理模块,用于对网络实体交互行为数据进行基于异质图的数据预处理,获得输入数据;
攻击检测模块,用于将输入数据输入复杂多步攻击检测模块,获得攻击检测结果;
其中,对网络实体交互行为数据进行基于异质图的数据预处理,包括:
从网络实体交互行为数据中抽取信息构造节点和边,包括以网络实体交互行为数据中的用户、主机、文件、网站作为节点,节点间连接关系作为边建立异质图;
首先定义异质图概念,将源IP地址作为源节点,目的IP地址作为目的节点,源节点和目的节点的连接关系作为边;因此,元关系由<源节点,边,目的节点>的三元组表示;其中源节点、目的节点和边均包含多种类型;为体现动态特性,为每个三元组分配事件发生时刻的时间戳,形成<源节点,边,目的节点,时间戳>的四元组表示;具体包含以下内容:
从网络实体交互行为数据中抽取信息构造节点类型和边类型;其中,节点类型包括用户、主机、文件和网站;边类型包括用户登录主机、用户登出主机、主机打开文件、主机写文件、文件上传网站、网站下载文件、用户访问网站;
从网络实体交互行为数据中抽取信息构造节点特征和边特征;用户节点特征包括用户名、用户所在组、用户邮箱;主机节点特征包括主机设备ID、主机设备型号、主机所在区域、主机U盘使用次数;文件节点特征包括文件创建时间、文件修改时间、文件类型、文件名称;用户登录主机边特征和用户登出主机边特征包括身份验证状态码、身份验证事件、身份验证类型;
最终输入数据是目的节点及其相邻的源节点的时间戳信息,形式为<源节点ID,目标节点ID,源节点类型,目的节点类型,源节点特征,目的节点特征,边类型,边特征,时间戳>;
将异质图中的目的节点及其相邻的源节点的时间戳信息输入Time2Vec层获得第一时间嵌入表示;
将网络行为日志中的目的IP地址作为目的节点,源IP地址作为源节点,目的节点的时间戳信息分别与其相连的源节点的时间戳信息相减获得时间差序列;对于源节点src及其对应的时间戳ts和目的节点dst及其对应的时间戳td,分别用T(src@ts)T(dst@td)表示;计算相对时间间隔ΔT(dst@ts, src@td) = T(dst@ts) - T(src@td),用时间差序列ΔT表示;
将时间差序列输入Time2Vec层获得嵌入向量形式的时间表示;将ΔT输入Time2Vec层获得源节点和目的节点在此时刻的第一时间嵌入表示,将嵌入向量输入线性层进行线性映射,将其映射回原来的维度,作为目的节点的时间特征,即第一时间嵌入表示;
将融合了节点特征信息和第一时间嵌入表示的数据输入Heteformer层;Heteformer是一种处理异质图的深度学习模型,Heteformer层的作用是将异质图中的异质节点和异质边所包含的语义信息抽取出来,为每个节点形成节点嵌入表示,为下游任务提供输入;Heteformer层具体计算过程包括根据不同节点类型和边类型分配不同的权重,利用自注意力机制学习到为复杂多步攻击检测任务贡献度最大的邻居信息,聚合邻居信息以获得作为输入数据的第二节点嵌入表示。
CN202211526232.1A 2022-12-01 2022-12-01 一种电力***复杂多步攻击检测方法及*** Active CN115604032B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202211526232.1A CN115604032B (zh) 2022-12-01 2022-12-01 一种电力***复杂多步攻击检测方法及***
PCT/CN2023/110080 WO2024113927A1 (zh) 2022-12-01 2023-07-31 一种电力***复杂多步攻击检测方法及***
US18/391,756 US20240187446A1 (en) 2022-12-01 2023-12-21 Method and system for detecting complex multi-step attack in electric power system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211526232.1A CN115604032B (zh) 2022-12-01 2022-12-01 一种电力***复杂多步攻击检测方法及***

Publications (2)

Publication Number Publication Date
CN115604032A CN115604032A (zh) 2023-01-13
CN115604032B true CN115604032B (zh) 2023-04-28

Family

ID=84852402

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211526232.1A Active CN115604032B (zh) 2022-12-01 2022-12-01 一种电力***复杂多步攻击检测方法及***

Country Status (2)

Country Link
CN (1) CN115604032B (zh)
WO (1) WO2024113927A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115604032B (zh) * 2022-12-01 2023-04-28 南京南瑞信息通信科技有限公司 一种电力***复杂多步攻击检测方法及***

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112910929A (zh) * 2021-03-24 2021-06-04 中国科学院信息工程研究所 基于异质图表示学习的恶意域名检测方法及装置
CN114741688A (zh) * 2022-03-14 2022-07-12 北京邮电大学 一种无监督的主机入侵检测方法及***
CN115270954A (zh) * 2022-07-25 2022-11-01 苏州卓联优智能科技有限公司 基于异常节点识别的无监督的apt攻击检测方法和***

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110958220B (zh) * 2019-10-24 2020-12-29 中国科学院信息工程研究所 一种基于异构图嵌入的网络空间安全威胁检测方法及***
CN112995110A (zh) * 2019-12-17 2021-06-18 深信服科技股份有限公司 一种恶意事件信息的获取方法、装置及电子设备
CN113094707B (zh) * 2021-03-31 2024-05-14 中国科学院信息工程研究所 一种基于异质图网络的横向移动攻击检测方法及***
CN113505855B (zh) * 2021-07-30 2023-09-08 中国科学院计算技术研究所 一种对抗攻击模型的训练方法
CN114884703B (zh) * 2022-04-19 2023-02-28 南京航空航天大学 基于威胁情报和消息传递模型的高级持续性威胁检测方法
CN115168743A (zh) * 2022-07-27 2022-10-11 天津大学 一种基于异质图神经网络的众智主体转发行为预测***
CN115604032B (zh) * 2022-12-01 2023-04-28 南京南瑞信息通信科技有限公司 一种电力***复杂多步攻击检测方法及***

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112910929A (zh) * 2021-03-24 2021-06-04 中国科学院信息工程研究所 基于异质图表示学习的恶意域名检测方法及装置
CN114741688A (zh) * 2022-03-14 2022-07-12 北京邮电大学 一种无监督的主机入侵检测方法及***
CN115270954A (zh) * 2022-07-25 2022-11-01 苏州卓联优智能科技有限公司 基于异常节点识别的无监督的apt攻击检测方法和***

Also Published As

Publication number Publication date
WO2024113927A1 (zh) 2024-06-06
CN115604032A (zh) 2023-01-13

Similar Documents

Publication Publication Date Title
EP3651043B1 (en) Url attack detection method and apparatus, and electronic device
CN107623697B (zh) 一种基于攻防随机博弈模型的网络安全态势评估方法
CN108768883B (zh) 一种网络流量识别方法及装置
CN108156131B (zh) Webshell检测方法、电子设备和计算机存储介质
CN107707545B (zh) 一种异常网页访问片段检测方法、装置、设备及存储介质
CN109889538B (zh) 用户异常行为检测方法及***
CN106899440B (zh) 一种面向云计算的网络入侵检测方法及***
CN111614599B (zh) 基于人工智能的webshell检测方法和装置
EP3343869A1 (en) A method for modeling attack patterns in honeypots
CN110557382A (zh) 一种利用域名共现关系的恶意域名检测方法及***
CN108491714A (zh) 验证码的人机识别方法
US10187412B2 (en) Robust representation of network traffic for detecting malware variations
CN108881250B (zh) 电力通信网络安全态势预测方法、装置、设备及存储介质
CN115604032B (zh) 一种电力***复杂多步攻击检测方法及***
CN110351303B (zh) 一种DDoS特征提取方法及装置
CN116915450A (zh) 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法
CN114338064A (zh) 识别网络流量类型的方法、装置、设备和存储介质
CN108833348A (zh) 一种基于日志图建模的异常检测方法和装置
CN107231383A (zh) Cc攻击的检测方法及装置
CN117220968A (zh) 一种蜜点域名优化部署方法、***、设备及存储介质
CN115580547A (zh) 基于网络数据流间时空相关性的网站指纹识别方法和***
CN110197066B (zh) 一种云计算环境下的虚拟机监控方法及监控***
CN114581086A (zh) 基于动态时序网络的钓鱼账户检测方法及***
US20240187446A1 (en) Method and system for detecting complex multi-step attack in electric power system
Khattak et al. D3TAC: Utilizing distributed computing for DDoS attack traffic analysis on the cloud

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant