申请/专利权人:浙江工业大学
申请日:2023-04-20
公开(公告)日:2023-05-23
公开(公告)号:CN116155626A
主分类号:H04L9/40
分类号:H04L9/40;H04L41/16;G06N3/0464;G06N3/08
优先权:
专利状态码:有效-授权
法律状态:2023.07.25#授权;2023.06.09#实质审查的生效;2023.05.23#公开
摘要:本发明公开了一种基于跨主机异常行为识别的复杂网络攻击检测方法,包括如下步骤:1首先采集主机内核日志数据构建主机内关联图,然后采用图卷积网络抽取特征,最后采用自动编码机检测主机内关联图中的异常节点;2首先采用网络流量日志数据构建主机间交互图,然后基于主机间交互图序列训练预测模型,最后根据预测差异检测主机间交互图中的异常边;3首先根据主机内和主机间异常检测结果构建跨主机异常关联图,然后采用PageRank算法对异常分数进行传播,最后基于异常分数确认受攻击主机。本发明通过跨主机联合网络攻击检测,使得主机内的恶意操作事件和主机间的横向移动事件互相验证,可有效降低误报率。
主权项:1.一种基于跨主机异常行为识别的复杂网络攻击检测方法,其特征在于,包括如下步骤:1主机内异常行为检测:首先采集主机内核日志数据构建主机内关联图,然后采用图卷积网络抽取特征,最后采用自动编码机检测主机内关联图中的异常节点;2主机间异常行为检测:首先采用网络流量日志数据构建主机间交互图,然后基于主机间交互图序列训练预测模型,最后根据预测差异检测主机间交互图中的异常边;3跨主机网络攻击检测:首先根据主机内和主机间异常检测结果构建跨主机异常关联图,然后采用PageRank算法对异常分数进行传播,最后基于异常分数确认受攻击主机。
全文数据:
权利要求:
百度查询: 浙江工业大学 一种基于跨主机异常行为识别的复杂网络攻击检测方法
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。