Nothing Special   »   [go: up one dir, main page]

CN116074092B - 一种基于异构图注意力网络的攻击场景重构系统 - Google Patents

一种基于异构图注意力网络的攻击场景重构系统 Download PDF

Info

Publication number
CN116074092B
CN116074092B CN202310101364.8A CN202310101364A CN116074092B CN 116074092 B CN116074092 B CN 116074092B CN 202310101364 A CN202310101364 A CN 202310101364A CN 116074092 B CN116074092 B CN 116074092B
Authority
CN
China
Prior art keywords
attack
nodes
similarity
node
graph
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310101364.8A
Other languages
English (en)
Other versions
CN116074092A (zh
Inventor
牛伟纳
何朝旭
张小松
刘星宇
段治秦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Electronic Science and Technology of China
Original Assignee
University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Electronic Science and Technology of China filed Critical University of Electronic Science and Technology of China
Priority to CN202310101364.8A priority Critical patent/CN116074092B/zh
Publication of CN116074092A publication Critical patent/CN116074092A/zh
Application granted granted Critical
Publication of CN116074092B publication Critical patent/CN116074092B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于异构图注意力网络的攻击场景重构系统,属于攻击检测技术领域,主旨在于解决攻击检测系统缺乏对多步攻击的关联分析问题。主要方案包括:先收集系统审计日志数据,以系统实体(如进程、文件)为顶点,以系统事件为边构建溯源图,并在保留语义信息的基础上对溯源图进行缩减;然后输入到训练好的异构图注意力网络中得到进程节点的语义特征,之后通过余弦相似计算方法与数据库中已经学习到的进程特征对比,得到相似度,若相似度低于阈值则判断其为异常节点;接着以异常节点为基点,通过改进后的DFS算法提取攻击路径,若有多条路径则通过设置的判别条件如时间跨度等对其进行排序,最终得到威胁度最高得攻击路径。

Description

一种基于异构图注意力网络的攻击场景重构系统
技术领域
本发明涉及网络攻击检测技术领域,提供了一种基于异构图注意力网络的攻击场景重构系统。
背景技术
近年来,信息系统已广泛应用于社会生活生产的各个领域,但以APT攻击为代表的高隐蔽性网络威胁却对其安全性提出了新的挑战。而终端系统日志中蕴含着系统运行状态的丰富信息,所以对终端系统日志进行异常检测和追踪溯源已成为网络安全领域的热点问题。
对复杂攻击中的多个阶段检测并关联分析,构建攻击路径,是发现多步复杂攻击的核心方法。之前的研究中有针对单源信息不足的问题,提出融合多源信息进行攻击检测。比如SIEMs,融合了多个IDS信息、防火墙信息、主机信息等。基于IDS等信息的关联分析,需要这些设备检测到某阶段的攻击行为并产生告警信息。如果在一次多步攻击中,除信息收集阶段,其他关键步骤使用了多个未披漏的攻击手段或隐蔽攻击技术,则现有的检测方法有可能遗漏告警信息,影响关联分析和攻击检测的效果,因此,防御者可以利用与系统直接交互的更低维度信息检测网络攻击。此外,绝大多数SIEMs主要用于对单个告警的去噪、融合,从而减少误报,缺乏对于多个攻击步骤之间的关联分析。基于主机系统审计日志信息构建溯源图来进行攻击关联分析检测是一个可行的策略。首先,攻击行为不可避免的要在系统日志中留下痕迹,无论是良性行为还是恶意攻击;其次,溯源图包含完整的系统历史执行信息,并且将离散的日志信息关联在一起,我们可以通过一定的策略,从溯源图中发现恶意行为;最后,虽然攻击所使用的技术手段及策略各不相同,但攻击的前后阶段因果关系紧密相连,防御者可以通过关联分析,重构攻击路径及攻击场景。
为了准确检测出网络攻击并进行关联分析,研究人员提出了一些方法。
在文献《SLEUTH: Real-time Attack Scenario Reconstruction from COTSAudit Data》中基于审计日志信息构建溯源图,并引入标签初始化和标签传播策略为溯源图中的实体赋予标签,再结合特定的规则对溯源图进行分析,从而还原攻击路径。但此方法未解决依赖爆炸问题,标签会传播到每个实体而造成假阳性。
文献《{ATLAS}: A Sequence-based Learning Approach for AttackInvestigation》中将溯源图中的路径转化为语言序列,训练一个LSTM模型将其分类为攻击行为与非攻击行为。在调查阶段,给定溯源图中的一个攻击节点,ATLAS构造一组与攻击症状节点关联的候选序列,使用训练的模型来识别序列中有助于攻击的节点,并将识别出的攻击节点统一起来构建攻击路径,缺点是调查时需要提供一个真正的具有攻击特征的实体并且检测的正确性依赖于收集到的训练日志的质量。
文献《HOLMES: Real-Time APT Detection through Correlation ofSuspicious Information Flows》基于溯源图检测APT攻击并能实时汇总攻击者的攻击行为及基于kill-chain(攻击链)构建APT攻击场景。HOLMES构建了一个中间层HSG(高级场景图),中间层HSG是基于MITRE的ATT&CK框架做的一种语义层的抽象,HOLMES利用终端日志数据构建的溯源图和专家规则将审计日志数据提升到这个中间层。虽然HOLMES从一定程度上解决了低级别审计数据与攻击者目标、意图和能力相关高级杀伤链视角之间的巨大语义差距,但是依赖于专家经验,假阳性高。
发明内容
针对上述现有技术问题,本发明的目的在于提供一种基于异构图注意力网络的攻击场景重构系统,该系统能够解决攻击检测系统缺乏对多步攻击的关联分析与现有基于溯源图进行攻击检测依赖专家规则导致假阳性高的问题,利用异构图注意力网络从节点、路径等方面整合节点语义信息,使用相似性学习方法最大化良性节点与攻击节点的距离,从而提高攻击检测的正确率,接着通过改进的DFS算法基于检测出的异常节点提取攻击路径,助力安全分析人员进行攻击调查。
为了达到上述目的,本发明采用如下技术方案:
一种基于异构图注意力网络的攻击场景重构系统,包括以下模块:
溯源图构建与缩减模块:基于系统审计日志,以系统实体为顶点,以系统事件为边构建溯源图,并在保留语义信息的基础上对溯源图进行缩减;
特征提取模块:通过训练好的异构图注意力模型提取溯源图中主要进程节点的语义特征;
异常检测模块:通过余弦相似计算方法计算进程节点语义特征与数据库中相应进程节点的语义特征之间的相似度,若相似度低于设定阈值则判断其为异常节点;
攻击路径提取模块:以识别出的异常节点为基点,通过改进后的DFS算法提取攻击路径,若存在多条路径,则通过判别条件进行排序,最终得到威胁度最高的攻击路径。
其中溯源图构建与缩减模块具体实现步骤如下:
S1:解析JSON格式的DARPA TC数据集,数据集将进程抽象为subject,将文件、管道抽象为object,将系统调用抽象为事件;以数据集中的subject与object为顶点,subject和object包含命令行、文件名属性,以数据集中的事件为边,构建溯源图,其中事件包含事件发起者与事件实施者subject或object、事件唯一标识符uuid、事件类型属性,将subject或object两顶点相连,方向为发起者至实施者;
S2:确定并删除不影响全局依赖的冗余事件及系统运行相关事件。
其中特征提取模块具体实现步骤如下:
S1:构建异构图注意力模型,包含以下几个部分:
一、通过Random walk算法提取顶点序列作为metapath;
二、对于metapath中的每个顶点,通过par2vec学习属性特征,通过one-hot得到名称特征,并通过BiLSTM将属性特征和名称特征整合在一起构成节点特征;
三、为每个节点特征赋予权重系数,通过MLP将节点特征转换到非线性空间,得到节点级注意力网络;
四、将各个节点的特征concat,通过MLP将所有节点特征整合在一起,得到结构特征;
五、为每个结构特征赋予权重,来学习不同metapath的重要性;
六、最终将每个metapath学习到的权重乘上结构特征累加到一起构成进程节点特征,以上步骤构成了异构图注意力模型;
S2:通过相似性学习的方法对异构图注意力模型进行训练,两个溯源图分别输入到两个相同的异构图注意力模型中,同时取两个相同的进程节点为一对进行训练,若两个节点都是良性或攻击节点,则label为+1,若一个是良性一个是攻击节点则label为-1,然后通过余弦相似性计算两个节点特征的相似度,通过以下损失函数进行训练;
训练阶段,P对进程节点Gi(1),Gi(2)与数据标签yi输入到模型中进行训练,sim()表示计算两个进程节点特征的余弦相似度;
S3:训练完成后,将测试数据集输入到网络中得到节点的语义特征并存入数据库;
S4:检测阶段将溯源图输入到训练好的异构图注意力模型中计算进程节点的语义特征。
其中异常检测模块具体实现步骤如下:
S1:将进程节点的语义特征与数据库中相应进程节点的语义特征通过余弦相似计算方法计算相似度,若相似度低于设定的阈值,则判断其为异常节点;
S2:将所有进程节点输入到模型中从而检测出所有的异常节点。
5.根据权利要求1所述的一种基于异构图注意力网络的攻击场景重构系统,其中攻击路径提取模块具体实现步骤如下:
S1:以检测出的发生时间最早的异常节点为基点,通过改进的前向DFS算法提取攻击路径;在进行图遍历时,限制每次遍历到的事件的时间戳必须大于之前遍历到事件的时间戳,防止未来事件到过去事件之间的信息流造成错误的依赖;异常节点的祖先节点与攻击事件有较强的因果关系,而普通的前向DFS算法会丢失祖先节点,所以在图编历时,将初始节点的1跳祖先节点包含在内;为了缓和粗粒度系统日志的依赖爆炸问题,将一些特殊的系统实体作为终止条件;最后为了保证没有攻击路径损失,在第一次遍历结束后,将路径中未包含的异常节点筛选出来继续进行遍历;
S2:若有多条攻击路径,则通过设定的判断条件对路径进行排序,选出威胁度最高路径作为攻击路径。
本发明同现有技术相比,其有益效果表现在:
一、基于系统审计日志构建溯源图,以系统实体为顶点,以系统事件为边对日志进行建模,将离散的日志关联在一起,既包含了完整的系统历史执行信息,也有丰富的因果关系;
二、该发明提出了一种简单而有效的攻击路径提取算法,在检测出的异常节点基础上快速并准确的提取出攻击路径,并尽可能包含少量与攻击事件无关的事件
三、该发明通过使用相似性学习的方法学习节点的语义特征,充分利用了溯源图中节点、路径的语义,提高了攻击检测的准确率。
附图说明
图1是本发明的总体架构图。
具体实施方式
下面将结合附图及具体实施方式对本发明作进一步的描述。
一种基于异构图注意力网络的攻击场景重构系统,包括以下模块:
溯源图构建与缩减模块:基于系统审计日志,以系统实体为顶点,以系统事件为边构建溯源图,并在保留语义信息的基础上对溯源图进行缩减;
特征提取模块:通过训练好的异构图注意力模型提取溯源图中主要进程节点的语义特征;
异常检测模块:通过余弦相似计算方法计算进程节点语义特征与数据库中相应进程节点的语义特征之间的相似度,若相似度低于设定阈值则判断其为异常节点;
攻击路径提取模块:以识别出的异常节点为基点,通过改进后的DFS算法提取攻击路径,若存在多条路径,则通过判别条件进行排序,最终得到威胁度最高的攻击路径。
其中溯源图构建与缩减模块具体实现步骤如下:
S1:解析JSON格式的DARPA TC数据集,数据集将进程抽象为subject,将文件、管道抽象为object,将系统调用抽象为事件;以数据集中的subject与object为顶点,subject和object包含命令行、文件名属性,以数据集中的事件为边,构建溯源图,其中事件包含事件发起者与事件实施者subject或object、事件唯一标识符uuid、事件类型属性,将subject或object两顶点相连,方向为发起者至实施者;
S2:确定并删除不影响全局依赖的冗余事件及系统运行相关事件。
其中特征提取模块具体实现步骤如下:
S1:构建异构图注意力模型,包含以下几个部分:
一、通过Random walk算法提取顶点序列作为metapath;
二、对于metapath中的每个顶点,通过par2vec学习属性特征,通过one-hot得到名称特征,并通过BiLSTM将属性特征和名称特征整合在一起构成节点特征;
三、为每个节点特征赋予权重系数,通过MLP将节点特征转换到非线性空间,得到节点级注意力网络;
四、将各个节点的特征concat,通过MLP将所有节点特征整合在一起,得到结构特征;
五、为每个结构特征赋予权重,来学习不同metapath的重要性;
六、最终将每个metapath学习到的权重乘上结构特征累加到一起构成进程节点特征,以上步骤构成了异构图注意力模型;
S2:通过相似性学习的方法对异构图注意力模型进行训练,两个溯源图分别输入到两个相同的异构图注意力模型中,同时取两个相同的进程节点为一对进行训练,若两个节点都是良性或攻击节点,则label为+1,若一个是良性一个是攻击节点则label为-1,然后通过余弦相似性计算两个节点特征的相似度,通过以下损失函数进行训练;
训练阶段,P对进程节点Gi(1),Gi(2)与数据标签yi输入到模型中进行训练,sim()表示计算两个进程节点特征的余弦相似度;
S3:训练完成后,将测试数据集输入到网络中得到节点的语义特征并存入数据库;
S4:检测阶段将溯源图输入到训练好的异构图注意力模型中计算进程节点的语义特征。
其中异常检测模块具体实现步骤如下:
S1:将进程节点的语义特征与数据库中相应进程节点的语义特征通过余弦相似计算方法计算相似度,若相似度低于设定的阈值,则判断其为异常节点;
S2:将所有进程节点输入到模型中从而检测出所有的异常节点。
其中攻击路径提取模块具体实现步骤如下:
S1:以检测出的发生时间最早的异常节点为基点,通过改进的前向DFS算法提取攻击路径;在进行图遍历时,限制每次遍历到的事件的时间戳必须大于之前遍历到事件的时间戳,防止未来事件到过去事件之间的信息流造成错误的依赖;异常节点的祖先节点与攻击事件有较强的因果关系,而普通的前向DFS算法会丢失祖先节点,所以在图编历时,将初始节点的1跳祖先节点包含在内;为了缓和粗粒度系统日志的依赖爆炸问题,将一些特殊的系统实体作为终止条件;最后为了保证没有攻击路径损失,在第一次遍历结束后,将路径中未包含的异常节点筛选出来继续进行遍历;
S2:若有多条攻击路径,则通过设定的判断条件对路径进行排序,选出威胁度最高路径作为攻击路径。

Claims (4)

1.一种基于异构图注意力网络的攻击场景重构系统,包括以下模块:
溯源图构建与缩减模块:基于系统审计日志,以系统实体为顶点,以系统事件为边构建溯源图,并在保留语义信息的基础上对溯源图进行缩减;
特征提取模块:通过训练好的异构图注意力模型提取溯源图中主要进程节点的语义特征;
异常检测模块:通过余弦相似计算方法计算进程节点语义特征与数据库中相应进程节点的语义特征之间的相似度,若相似度低于设定阈值则判断其为异常节点;
攻击路径提取模块:以识别出的异常节点为基点,通过改进后的前向DFS算法提取攻击路径,若存在多条路径,则通过判别条件进行排序,最终得到威胁度最高的攻击路径;
在改进后的前向DFS算法中在进行图遍历时,限制每次遍历到的事件的时间戳必须大于之前遍历到事件的时间戳;
其中特征提取模块具体实现步骤如下:
S1:构建异构图注意力模型,包含以下几个部分:
一、通过Random walk算法提取顶点序列作为metapath;
二、对于metapath中的每个顶点,通过par2vec学习属性特征,通过one-hot得到名称特征,并通过BiLSTM将属性特征和名称特征整合在一起构成节点特征;
三、为每个节点特征赋予权重系数,通过MLP将节点特征转换到非线性空间,得到节点级注意力网络;
四、将各个节点的特征concat,通过MLP将所有节点特征整合在一起,得到结构特征;
五、为每个结构特征赋予权重,来学习不同metapath的重要性;
六、最终将每个metapath学习到的权重乘上结构特征累加到一起构成进程节点特征,以上步骤构成了异构图注意力模型;
S2:通过相似性学习的方法对异构图注意力模型进行训练,两个溯源图分别输入到两个相同的异构图注意力模型中,同时取两个相同的进程节点为一对进行训练,若两个节点都是良性或攻击节点,则label为+1,若一个是良性一个是攻击节点则label为-1,然后通过余弦相似性计算两个节点特征的相似度,通过以下损失函数进行训练;
训练阶段,P对进程节点(Gi(1),Gi(2))与数据标签yi输入到模型中进行训练,sim()表示计算两个进程节点特征的余弦相似度;
S3:训练完成后,将测试数据集输入到网络中得到节点的语义特征并存入数据库;
S4:检测阶段将溯源图输入到训练好的异构图注意力模型中计算进程节点的语义特征。
2.根据权利要求1所述的一种基于异构图注意力网络的攻击场景重构系统,其中溯源图构建与缩减模块具体实现步骤如下:
S1:解析JSON格式的DARPA TC数据集,数据集将进程抽象为subject,将文件、管道抽象为object,将系统调用抽象为事件;以数据集中的subject与object为顶点,subject和object包含命令行、文件名属性,以数据集中的事件为边,构建溯源图,其中事件包含事件发起者与事件实施者subject或object、事件唯一标识符uuid、事件类型属性,将subject或object两顶点相连,方向为发起者至实施者;
S2:确定并删除不影响全局依赖的冗余事件及系统运行相关事件。
3.根据权利要求1所述的一种基于异构图注意力网络的攻击场景重构系统,其中异常检测模块具体实现步骤如下:
S1:将进程节点的语义特征与数据库中相应进程节点的语义特征通过余弦相似计算方法计算相似度,若相似度低于设定的阈值,则判断其为异常节点;
S2:将所有进程节点输入到模型中从而检测出所有的异常节点。
4.根据权利要求1所述的一种基于异构图注意力网络的攻击场景重构系统,其中攻击路径提取模块具体实现步骤如下:
S1:以检测出的发生时间最早的异常节点为基点,通过改进的前向DFS算法提取攻击路径,在进行图遍历时,限制每次遍历到的事件的时间戳必须大于之前遍历到事件的时间戳,在图编历时,将初始节点的1跳祖先节点包含在内;最后为了保证没有攻击路径损失,在第一次遍历结束后,将路径中未包含的异常节点筛选出来继续进行遍历;
S2:若有多条攻击路径,则通过设定的判断条件对路径进行排序,选出威胁度最高路径作为攻击路径。
CN202310101364.8A 2023-02-07 2023-02-07 一种基于异构图注意力网络的攻击场景重构系统 Active CN116074092B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310101364.8A CN116074092B (zh) 2023-02-07 2023-02-07 一种基于异构图注意力网络的攻击场景重构系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310101364.8A CN116074092B (zh) 2023-02-07 2023-02-07 一种基于异构图注意力网络的攻击场景重构系统

Publications (2)

Publication Number Publication Date
CN116074092A CN116074092A (zh) 2023-05-05
CN116074092B true CN116074092B (zh) 2024-02-20

Family

ID=86178316

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310101364.8A Active CN116074092B (zh) 2023-02-07 2023-02-07 一种基于异构图注意力网络的攻击场景重构系统

Country Status (1)

Country Link
CN (1) CN116074092B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117592061B (zh) * 2024-01-19 2024-04-12 北京中科卓信软件测评技术中心 融合代码漏洞特征及属性图的源代码安全检测方法与装置
CN118536093B (zh) * 2024-07-25 2024-10-18 大数据安全工程研究中心(贵州)有限公司 一种基于人工智能的数据安全溯源方法、系统及装置

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3340567A1 (en) * 2016-12-21 2018-06-27 Deutsche Telekom AG Model for identifying attack propagation patterns in a monitored sensor-based system
US10326796B1 (en) * 2016-04-26 2019-06-18 Acalvio Technologies, Inc. Dynamic security mechanisms for mixed networks
CN111787017A (zh) * 2020-07-02 2020-10-16 电子科技大学 一种区块链攻击溯源系统及方法
CN112269316A (zh) * 2020-10-28 2021-01-26 中国科学院信息工程研究所 一种基于图神经网络的高鲁棒性威胁狩猎系统与方法
CN112417760A (zh) * 2020-11-20 2021-02-26 哈尔滨工程大学 基于竞争混合网络的舰船控制方法
CN112765603A (zh) * 2021-01-28 2021-05-07 电子科技大学 一种结合系统日志与起源图的异常溯源方法
CN113328987A (zh) * 2021-04-09 2021-08-31 国网浙江省电力有限公司金华供电公司 基于深度学习的增量学习流量异常检测方法
CN114254655A (zh) * 2022-02-28 2022-03-29 南京众智维信息科技有限公司 一种基于提示自监督学习网络安全溯源语义识别方法
CN114741688A (zh) * 2022-03-14 2022-07-12 北京邮电大学 一种无监督的主机入侵检测方法及系统
CN114900364A (zh) * 2022-05-18 2022-08-12 桂林电子科技大学 基于溯源图和异构图神经网络的高级持续威胁检测方法
CN115037532A (zh) * 2022-05-27 2022-09-09 中国科学院信息工程研究所 基于异构图神经网络的恶意域名检测方法及装置
CN115134160A (zh) * 2022-07-11 2022-09-30 中国科学院信息工程研究所 一种基于攻击迁移的攻击检测方法及系统
CN115277180A (zh) * 2022-07-26 2022-11-01 电子科技大学 一种区块链日志异常检测与溯源系统
CN115391778A (zh) * 2022-08-16 2022-11-25 广东工业大学 基于异构图注意力网络的安卓恶意程序检测方法和装置

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10326796B1 (en) * 2016-04-26 2019-06-18 Acalvio Technologies, Inc. Dynamic security mechanisms for mixed networks
EP3340567A1 (en) * 2016-12-21 2018-06-27 Deutsche Telekom AG Model for identifying attack propagation patterns in a monitored sensor-based system
CN111787017A (zh) * 2020-07-02 2020-10-16 电子科技大学 一种区块链攻击溯源系统及方法
CN112269316A (zh) * 2020-10-28 2021-01-26 中国科学院信息工程研究所 一种基于图神经网络的高鲁棒性威胁狩猎系统与方法
CN112417760A (zh) * 2020-11-20 2021-02-26 哈尔滨工程大学 基于竞争混合网络的舰船控制方法
CN112765603A (zh) * 2021-01-28 2021-05-07 电子科技大学 一种结合系统日志与起源图的异常溯源方法
CN113328987A (zh) * 2021-04-09 2021-08-31 国网浙江省电力有限公司金华供电公司 基于深度学习的增量学习流量异常检测方法
CN114254655A (zh) * 2022-02-28 2022-03-29 南京众智维信息科技有限公司 一种基于提示自监督学习网络安全溯源语义识别方法
CN114741688A (zh) * 2022-03-14 2022-07-12 北京邮电大学 一种无监督的主机入侵检测方法及系统
CN114900364A (zh) * 2022-05-18 2022-08-12 桂林电子科技大学 基于溯源图和异构图神经网络的高级持续威胁检测方法
CN115037532A (zh) * 2022-05-27 2022-09-09 中国科学院信息工程研究所 基于异构图神经网络的恶意域名检测方法及装置
CN115134160A (zh) * 2022-07-11 2022-09-30 中国科学院信息工程研究所 一种基于攻击迁移的攻击检测方法及系统
CN115277180A (zh) * 2022-07-26 2022-11-01 电子科技大学 一种区块链日志异常检测与溯源系统
CN115391778A (zh) * 2022-08-16 2022-11-25 广东工业大学 基于异构图注意力网络的安卓恶意程序检测方法和装置

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
Sadegh M. Milajerdi ; Rigel Gjomemo ; Birhanu Eshete ; R. Sekar ; V.N. Venkatakrishnan.HOLMES:Real-Time APT Detection through Correlation of Suspicious Information Flows.《IEEE》.2019,全文. *
Weina Niu,Xiaosong Zhang,Guowu YANG ,Ruidong Chen,Dong Wang.Modeling Attack process of advanced persistent threat using network evolution.《IEICE》.2017,全文. *
基于多维数据关联的APT攻击检测与调查技术;杨丰羽,房晶,樊川,韩言妮;《第十届中国指挥控制大会论文集》;20220817;全文 *
日志异常检测技术研究;杨瑞朋;屈丹;朱少卫;黄浩;;信息工程大学学报;20191015(05);全文 *

Also Published As

Publication number Publication date
CN116074092A (zh) 2023-05-05

Similar Documents

Publication Publication Date Title
CN116074092B (zh) 一种基于异构图注意力网络的攻击场景重构系统
CN117473571B (zh) 一种数据信息安全处理方法及系统
CN109670306A (zh) 基于人工智能的电力恶意代码检测方法、服务器及系统
CN115134160B (zh) 一种基于攻击迁移的攻击检测方法及系统
CN116405246A (zh) 一种基于攻防结合的漏洞利用链构建技术
Muslihi et al. Detecting SQL injection on web application using deep learning techniques: a systematic literature review
CN116827656A (zh) 网络信息安全防护系统及其方法
Mamun et al. DeepTaskAPT: insider apt detection using task-tree based deep learning
Luktarhan et al. Multi-stage attack detection algorithm based on hidden markov model
CN117220961B (zh) 一种基于关联规则图谱的入侵检测方法、装置及存储介质
CN118337469A (zh) 应用于节点时序交互的动态网络入侵检测方法
CN109508544B (zh) 一种基于mlp的入侵检测方法
CN117240522A (zh) 基于攻击事件模型的漏洞智能挖掘方法
Chen et al. Research on automatic vulnerability mining model based on knowledge graph
CN117938430A (zh) 基于Bert模型的Webshell检测方法
CN117728995A (zh) 一种xss攻击检测方法、装置、计算机设备及存储介质
CN117155677A (zh) 基于日志提取抽象事件的攻击溯源方法及系统
CN116467720A (zh) 一种基于图神经网络的智能合约漏洞检测方法及电子设备
CN115473667A (zh) 一种基于子图匹配的apt攻击序列检测方法
CN114862588A (zh) 一种面向区块链交易行为的异常检测方法
CN115643153A (zh) 基于图神经网络的报警关联分析方法
CN115396137A (zh) 基于日志关联分析的攻击溯源方法及装置
Li et al. A Real-time APT Attack Detection Scheme Based on Fusion Provenance Graph in Private Clouds
CN118070281A (zh) 一种基于日志信息和图神经网络的恶意代码检测方法
Ding et al. A Cyber-Attack Behavior Detection Model Based on Log Activity Graph

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant