本发明属于面向内核日志分析的数据挖掘和网络安全,具体涉及一种基于超图表征学习的apt恶意行为发现方法。
背景技术:
1、数字化技术的发展,便利的同时也带来高级持续性威胁等网络安全问题,给企业、公共机构和个人的信息安全带来了极大的挑战。传统的安全防护技术在应对apt攻击时存在诸多局限性。传统的检测手段主要依赖于已知的攻击特征和模式,对于采用零日漏洞、定制化恶意软件和多阶段攻击策略的apt攻击,往往难以有效识别。此外,基于规则的检测方法需要实时更新规则库,面对新型攻击存在滞后性。
2、基于内核日志构建溯源图,进行apt分析已经成为主流。然而,传统的溯源图模型在表示复杂的系统行为和关系时存在一定的局限性。例如,在处理多对多关系、嵌套关系和复杂层次结构的系统行为时,传统溯源图难以准确、全面地描述这些关系。此外,传统的基于溯源图的分析方法在处理大规模数据时,往往面临计算复杂度高、效率低下等问题。
3、超图(hypergraph)作为一种广义的图结构,能够更好地表示复杂的多实体关系和层次结构。与传统的图结构不同,超图中的一条超边可以连接多个顶点,从而能够更自然、更灵活地描述复杂的系统行为和关系。将溯源图转化为超图,并基于超图进行表征学习,有望突破传统溯源图模型的局限性,提高 apt 检测中恶意行为发现的准确性和效率。
4、目前在基于图的apt攻击分析方法中,大量工作通过将系统审计日志转化成具备系统上下文语义的溯源图作为apt攻击发现的数据来源,但是溯源图是异构图,无法有效的挖掘多跳行为,也无法表示更高阶的行为,因此细粒度的审计日志在apt攻击行为的发现上存在局限。
技术实现思路
1、本发明的目的在于解决现有技术的问题,并提出一种基于超图表征学习的apt恶意行为发现方法,利用采集到的日志构建起源图,通过对日志构建基于操作对象的进程网络,并转化成超图,通过基于超图的表征学习进行apt恶意行为的发现。
2、为了达到上述目的,本发明提供的技术方案为:
3、一种基于超图表征学习的apt恶意行为发现方法,包括:
4、收集内核事件日志得到溯源图,对溯源图进行压缩;
5、基于压缩后的溯源图构建基于进程的操作行为网络图,所述操作行为网络图包括进程、事件、时间段和操作对象;
6、利用重叠社区发现算法得到操作行为网络图中所有进程的子社区,每个子社区形成一个超边;
7、根据操作行为网络图提取进程的操作对象,将操作对象分配给相应的超边,形成超图结构,其中进程为超图结构的节点;
8、基于超图结构将时间段、事件和操作对象嵌入到进程中,得到超边的特征矩阵;
9、基于超边的特征矩阵形成超边的度矩阵、节点的度矩阵和权重矩阵训练超图神经网络,得到超图分类器;
10、利用超图分类器进行apt恶意行为发现。
11、进一步的,所述利用重叠社区发现算法得到操作行为网络图中所有进程的子社区,每个子社区形成一个超边,包括:
12、从操作行为网络图中提取进程网络,其中进程为进程网络的节点,利用重叠社区发现算法对进程网络中的每个进程进行划分,得到进程网络的子社区,每个子社区形成一个超边。
13、进一步的,所述重叠社区发现算法为基于lfm的重叠社区发现算法,所述基于lfm的重叠社区发现算法对进程网络中的每个进程进行划分的步骤如下:
14、将每个节点都视为一个独立的子社区;
15、遍历每个节点,计算当前节点加入邻居节点所在子社区时的模块度增益,若模块度增益为正,则将当前节点加入对应的子社区,若模块度增益为负,则不将当前节点加入到对应的子社区中,直至模块度增益为0;
16、其中,模块度增益的计算公式如下:
17、;
18、其中,表示模块度增益,是节点 i的度数,是当前子社区内部的节点度数之和,是与当前子社区相连的节点的度数之和,是节点 i与相邻子社区内部节点之间的度数之和, m是子社区的总度数。
19、进一步的,所述将操作对象分配给相应的超边,包括:
20、若当前操作对象被一个进程以及所述进程的子进程都访问过,则将当前操作对象分配给所述进程对应的超边;
21、若当前操作对象与当前操作对象对应的进程在一个超边的已分配操作对象存在时序关系,则将当前操作对象分配给所述超边;
22、若当前操作对象未匹配到超边,则将当前操作对象分配给对应的进程所在的超边。
23、进一步的,所述基于超图结构将时间段、事件和操作对象嵌入到进程中,包括:
24、将进程、事件、时间段和操作对象的属性排列成文本,并通过word2vec进行编码形成表征向量;
25、将表征向量通过时间属性聚合形成超边的特征矩阵。
26、进一步的,所述超图神经网络的更新公式如下所示:
27、;
28、其中,表示第 l+1层的超图神经网络输入特征,表示第 l层的超图神经网络输入特征, h表示超图的邻接矩阵,表示 h的转置,表示超边的度矩阵,表示节点的度矩阵,和表示待训练的参数,表示权重矩阵。
29、本发明与现有技术相比,其显著优点为:1、针对采集的细粒度语义日志,通过进程操作网络实现进程行为的高阶交互捕捉。2、基于构建的超图实现进程交互之间的深层次行为模式挖掘。3、通过对隐藏的行为模式的学习,基于超图的神经网络能对行为进行有效识别分类,具备更高的准确率。
1.一种基于超图表征学习的apt恶意行为发现方法,其特征在于,所述基于超图表征学习的apt恶意行为发现方法,包括:
2.根据权利要求1所述的基于超图表征学习的apt恶意行为发现方法,其特征在于,所述利用重叠社区发现算法得到操作行为网络图中所有进程的子社区,每个子社区形成一个超边,包括:
3.根据权利要求2所述的基于超图表征学习的apt恶意行为发现方法,其特征在于,所述重叠社区发现算法为基于lfm的重叠社区发现算法,所述基于lfm的重叠社区发现算法对进程网络中的每个进程进行划分的步骤如下:
4.根据权利要求1所述的基于超图表征学习的apt恶意行为发现方法,其特征在于,所述将操作对象分配给相应的超边,包括:
5.根据权利要求1所述的基于超图表征学习的apt恶意行为发现方法,其特征在于,所述基于超图结构将时间段、事件和操作对象嵌入到进程中,包括:
6.根据权利要求1所述的基于超图表征学习的apt恶意行为发现方法,其特征在于,所述超图神经网络的更新公式如下所示:
