申请/专利权人：北京工业大学

申请日：2023-12-25

公开（公告）日：2024-04-19

公开（公告）号：CN117914545A

主分类号：H04L9/40

分类号：H04L9/40;G06N3/0442

优先权：

专利状态码：在审-实质审查的生效

法律状态：2024.05.07#实质审查的生效;2024.04.19#公开

摘要：本发明公开了基于攻击路径的小样本学习APT攻击检测方法，该方法的步骤如下：根据审计日志数据构造溯源图；优化溯源图中的冗余节点和边；从溯源图中寻找候补恶意实体补全攻击路径；基于候补恶意实体挖掘潜在攻击行为，丰富攻击活动邻域图；将前面两个步骤得到的攻击实体集和攻击活动邻域图作为输入，运行序列构建模块进行序列构建；将构建得到的序列进行词形化；根据词形化得到的序列进行模型训练和攻击实体检测。本方法解决了难以通过小样本学习实现准确攻击检测的问题。基于攻击路径的小样本学习APT攻击检测方法检测性能比原有的攻击检测方法性能显著提升。

主权项：1.基于攻击路径的小样本学习APT攻击检测方法，其特征在于步骤如下：步骤1获取APT活动的详细报告生成的公开审计数据；其中，攻击S-1和S-2是基于一个主机产生的，而攻击M-1到M-3是基于多个主机产生的；针对基于多个主机产生的攻击，在两个主机上模拟执行攻击和非攻击行为，同时为了模拟横向移动，将第二个主机作为移动目标；步骤2溯源图构建；溯源图定义为G＝E,R,T，其中G是有向多重图，E和R是实体和关系的集合T表示操作的时间戳，|E|和|R|分别表示集合E和R中的元素个数；溯源图通常以三元组entity,relation,entity'的形式表示，图中的每条边及其相邻实体可以定义为三元组形式{e,r,e'|e,e'∈E,r∈R}，表示实体e和实体e'之间存在关系r；在溯源图构建中，首先需要从结构化审计日志数据中提取实体集E、实体相关属性ea及关系集R；提取完所需数据之后，可以通过实体集E之间的交互显示系统的执行，将其中的实体集E作为节点，实体集E之间的关系集R作为边构建溯源图G；步骤3溯源图优化；优化溯源图G中的冗余节点和边目的是其降低审计日志复杂度并保留攻击相关信息；在溯源图优化中，删除了攻击实体无法到达的所有实体和边，删除了实体之间的所有重复边，并合并了一些相同类型的事件实体和边；步骤4候补恶意实体提取；为了更好地捕获攻击相关信息，设计了候补恶意实体ec来补全溯源图G中缺失的攻击路径；由于不同攻击路径上的缺失实体是不同的，所以需要针对不同的攻击路径提取相应的候补恶意实体ec，填补缺失的攻击路径；首先根据审计日志中分析的攻击实体集Ea搜索处于同一攻击路径的实体；然后，从寻找到的处于同一攻击路径的攻击实体集Ea′中选择两个实体形成实体对，并根据实体对搜索当前攻击路径中被忽略的候补恶意实体ec，将寻找到的候补恶意实体ec添加到攻击实体集Ea中；步骤5潜在攻击行为挖掘；针对攻击活动中潜在的攻击行为，可以通过将攻击实体ea和候补恶意实体ec之间更精细的关系映射到溯源图中；在攻击行为挖掘中，在溯源图中连接攻击实体ea和寻找到的候补恶意实体集Ec，并添加“related”关系r；这是由于攻击路径中存在不同的攻击行为，不同攻击行为的含义不同；关系r考虑了攻击行为间的相似性，避免了攻击行为含义的混淆，因此能很好地挖掘实体间潜在的攻击行为；利用挖掘到的攻击行为，可以在后续序列构建中识别攻击实体的各个特征，最终达到准确识别攻击实体与非攻击实体之间的界限的目的；步骤6序列构建；序列S由实体集E的邻域图中的所有事件组成，按事件时间排序；因此，S{E}＝{∈1,∈2,...,∈n}，其中∈表示涉及实体集E的事件，用三元组e,r,e'表示；通过提取攻击实体集Ea的邻域图，可以捕获与攻击实体集Ea具有关系的所有实体；之后从构建的邻域图中获得按时间戳T排序事件∈，并根据排序事件∈构建序列；为利用挖掘的潜在攻击行为构建额外序列；潜在攻击行为挖掘基于有序的候补恶意实体集Ec，构建的序列符合时间戳T排序；步骤7序列词形化；将序列内实体的不同形式分组为单个术语，这个过程保留了序列的原始语义；不同的实体被划分为进程、文件、网络和操作四种类型；步骤8LSTM模块；利用LSTMLongShort-TermMemory神经网络训练词形化的序列。

全文数据：

权利要求：

百度查询： 北京工业大学 基于攻击路径的小样本学习APT攻击检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD