申请/专利权人：中国科学院信息工程研究所

申请日：2022-07-11

公开（公告）日：2024-03-22

公开（公告）号：CN115134160B

主分类号：H04L9/40

分类号：H04L9/40;H04L41/14

优先权：

专利状态码：有效-授权

法律状态：2024.03.22#授权;2022.10.25#实质审查的生效;2022.09.30#公开

摘要：本发明涉及一种基于攻击迁移的攻击检测方法及系统，其方法包括：S1：利用滑动窗口选择审计日志；S2：如果审计日志是从良性环境产生的日志构建良性溯源图，如果审计日志是结合威胁情报从攻击环境中获取，则构建攻击子图；S3：获取攻击子图中入侵点；在良性溯源图寻找是否有与入侵点相同类型和名称的目标进程节点，如果存在，则将攻击子图和良性溯源图在入侵点处进行合并，形成恶意溯源图；S4：将恶意溯源图输入图注意力网络进行训练，通过构建多卷积分类器将节点向量的不同区域的特征相结合，输出攻击检测结果。本发明提供的方法利用攻击迁移构建具有丰富背景的攻击行为用于网络训练，并构建多卷积分类器有效地嵌入了图信息。

主权项：1.一种基于攻击迁移的攻击检测方法，其特征在于，包括：步骤S1：利用滑动窗口选择审计日志；步骤S2：如果所述审计日志是从良性环境产生的日志，则构建良性溯源图，如果审计日志是结合威胁情报从攻击环境获取的，则构建攻击子图；其中，将所述审计日志中进程、文件和Socket节点作为节点，将所述审计日志中事件作为有向边，构建所述良性溯源图和所述攻击子图；步骤S3：获取所述攻击子图中入侵点；在所述良性溯源图寻找是否有与所述入侵点相同类型和名称的目标进程节点，如果存在，则将所述攻击子图和所述良性溯源图在所述入侵点处进行合并，形成恶意溯源图，具体包括：所述攻击子图是按事件的所述审计日志的时间顺序进行构建，因此提取所述攻击子图中第一个进程节点，即恶意行为发生的入侵点；在所述良性溯源图寻找是否有与所述入侵点相同类型和名称的目标进程节点，如果存在，则将所述入侵点和所述目标进程节点进行合并，即将所述攻击子图并入所述良性溯源图，从而形成恶意溯源图；步骤S4：将所述恶意溯源图输入图注意力网络进行训练，通过构建多卷积分类器将节点向量的不同区域的特征相结合，输出攻击检测结果，具体包括：步骤S41：构建图注意力网络，对图中每个节点i的特征向量利用注意力机制计算节点j对节点i的影响的权重αij，即注意力系数，如公式1～4所示，输出节点i的注意力特征向量 其中，是节点i的特征向量；W是权重矩阵；a是向量拼接与映射操作；eij是节点j的特征对节点i的重要性；是图中节点i的邻居节点集合；是权重向量；LeakyReLU是激活函数；σ是激活函数；步骤S42：将输出的输入多卷积分类器，经过一维卷积，对卷积结果分别进行图最大池化和平均池化操作，得到两个图嵌入向量输入多层感知机，最后输出分类结果如公式5～7所示： 其中，y1是图最大池化后输出的图嵌入向量，y2是图平均池化后输出的图嵌入向量；Conv1和Conv2表示卷积操作，ReLu表示激活操作，Concat表示级联操作，MLP表示多层感知机，softmax表示激活函数。

全文数据：

权利要求：

百度查询： 中国科学院信息工程研究所 一种基于攻击迁移的攻击检测方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD