工业物联网中基于图神经网络的威胁检测方法

本发明涉及工业物联网系统安全的，尤其涉及一种工业物联网中基于图神经网络的威胁检测方法。背景技术：：：1、iiot(工业物联网)是连接工业应用的传感器和仪器设备的网络，该网络收集工业应用数据，并对数据进行分析，从而优化生产过程提高生产效率并降低制造成本。目前，iiot已经成为工业体系智能化变革的重要推手。然而随着iiot互联程度的不断提高，越来越多的行业加入其中，网络结构变得更加复杂。同时，由于iiot中存储了大量数据，因此它被网络攻击的风险大大增加，这对企业的管理和生产构成了很大的威胁。为了应对这些网络安全风险，应用于iiot的威胁检测技术研究成为了当前的热点。2、iiot系统日志是用于捕获工业物联网环境中系统状态和事件的重要工具，它记录了机器系统的控制命令、计算机程序运行状态，以及iiot中可能存在的攻击痕迹和潜在威胁等信息。通过分析日志，可以发现系统中存在的故障和潜在漏洞，及时采取补救措施，防止产生更加严重的问题。因此，系统日志已被证明是在学术研究和工业应用中威胁检测的宝贵资源。但是，由于日志通常是半结构化文本，利用传统的日志异常检测方法来对iiot进行异常识别具有一定的挑战性。3、目前，基于gnn(图神经网络)的日志异常检测方法由于其良好的关系模式学习能力，能够充分利用日志事件之间的语义信息和结构信息，从而变的越来越受欢迎。gnn是一种针对图结构数据的机器学习模型，能够有效地捕捉节点之间的关系和拓扑信息。在工业物联网中，设备、传感器和网络节点等可以被表示为图结构，将gnn应用于工业互联网的日志数据，对数据进行建模和分析，可以及时高效的发现工业物联网环境中的漏洞和威胁。然而，大多数基于图的威胁检测方法在iiot日志中的应用面临着一些问题：4、1)日志存储着海量的数据信息，以图的方式处理这些大规模、高维度的数据会导致计算和存储成本的增加。5、2)日志数据中，恶意行为的记录往往是少数，正常样本和异常样本类别的不平衡会影响威胁检测算法的性能6、3)工业物联网面临着越来越多的高级可持续性攻击，采用静态图的视角对日志进行处理，会忽略事件之间重要的时序特征。7、申请号为202310904787.3的发明专利公开了一种基于区块链和深度学习的工业物联网威胁情报检测与识别系统，包括情报获取模块、区块链模块、深度变分自动编码器和检测识别模块，情报获取模块用于获取工业物联网威胁情报数据；区块链模块用于将工业物联网威胁情报数据上传到区块链进行存储；深度变分自动编码器用于将区块链上待检测的工业物联网威胁情报数据进行重编码，保护数据免受推理攻击；检测识别模块用于根据经过深度变分自动编码器处理后的工业物联网威胁情报数据对工业物联网环境中的恶意入侵进行检测和识别，输出入侵检测识别结果。上述发明可以进一步提高数据安全性，相较于传统机器学习方法，对恶意入侵识别准确率更高。但是，上述发明计算较复杂。技术实现思路1、针对物联网攻击技术的不断升级以及物联网生态系统变得愈加复杂，现有的iiot安全机制难以应对日益增长的安全需求的技术问题，本发明提出一种工业物联网中基于图神经网络的威胁检测方法，将基于tgn(时序图神经网络)的边级异常检测与deep-svdd(深度支持向量数据描述)相结合，从而提高工业物联网威胁检测的效率和准确性。2、为了达到上述目的，本发明的技术方案是这样实现的：一种工业物联网中基于图神经网络的威胁检测方法，其步骤如下：3、步骤s1.图构建与数据编码：利用领域化日志本体识别日志中的关键数据，随后提取数据，构建日志图，并对日志图中的节点和边进行数据编码；4、步骤s2.异常检测：使用基于tgn的编码器—解码器对日志图中边的异常程度进行量化，根据节点稀有度、边的初始特征和量化后的边得分，利用deep-svdd识别图中存在的异常边(异常事件)。5、步骤s3.合并异常边：将异常边按时序进行合并，形成异常路径。6、步骤s4.攻击技术发现：利用sigma规则库中的规则对异常路径进行规则匹配，将异常路径链接到攻击技术中，帮助安全人员识别和评估高水平的攻击情景。7、优选地，所述日志本体的实现方法为：将process类、file类和socket类作为systemobject的子类，将host作为asset的子类，子类和其父类之间的关系为subclassof；每个对象类别都是一个顶点，顶点之间存在不同的关系；其中process类代表日志记录中的进程，file类代表文件，socket类代表网络连接，用户表示user类；还包括：表示ip地址的ipaddress类、表示主机的host类、表示时间戳的timestamp类和表示可执行文件的executable类，ipaddress类与host类存在hashostip关系，ipaddress类与socket类存在contain关系；process类与socket类存在send和received关系，process类与file类存在write、read、mmap的关系，process类与user类存在hasuser关系，process类与executable类存在hasexe关系，process类与host类存在from关系，process类之间存在fork关系；timestamp类与process类和file类之间分别存在hasexetime关系和hasoperattime关系；8、所述关键数据包括进程交互信息、文件操作信息，考虑进程、文件、套接字三类实体对象和与它们相关的八种系统事件；参考iiot日志本体，利用正则表达式从日志中提取与进程、文件和套接字相关的系统事件的数据。9、优选地，构建日志图的方法为：将每个事件的数据转换为带有时间戳的有向边，源节点是事件的主体，目标节点是事件的客体，事件的操作类型作为边的属性，节点的属性作为节点的特征；根据日志中事件的时间戳，时间戳在同一时间段内的事件被构建到同一个初始的日志图g＝(v,e,x,y,t)中，其中，v＝{v1,v2,…}表示节点集合，由事件的客体或主体组成；e＝{e1,e2,…}表示边的集合，如果(vi,vj)∈e，则表示存在一条从节点vi到节点vj的有向边；x表示节点的属性集合；y表示边的属性集合；t是边的时间戳集合；10、将日志构建成一系列固定时间窗口的日志图。11、优选地，所述数据编码的实现方法为：使用编码器对节点属性进行初始编码，将高维的节点属性数据映射到低维向量空间中，同时保留数据之间的分层相似性；12、使用分隔符‘/’或‘.’将节点的属性分解为一系列子字符串，统计非空子字符串的数量m，根据子字符串所处的不同层次结构级别对子字符串进行复制操作；对于一个节点属性的子字符串，最高层次结构级别的子字符串的复制次数为m-1，下一层次结构级别的子字符串的复制次数为m-2，依次类推，实现对所有子字符串的复制操作；将这些子字符串拼接成新的字符串，新的字符串输入到编码器进行编码。13、优选地，所述编码器采用两层神经网络结构，每层神经网络后跟一个relu激活函数，编码器编码后的向量作为节点的初始特征向量；14、参照iiot日志本体，总结了8种主要的边属性包括：write、read、delete、execute、send、received和create、execute；使用one-hot编码方式对边的属性进行编码，编码后的向量作为边的初始特征向量。15、优选地，使用基于tgn的编码器—解码器架构学习节点的邻域结构和边的时序关系，基于tgn的编码器—解码器采用数据流的方式获取数据，即以时间窗口为单位，逐张的将初始的日志图输入到基于tgn的编码器—解码器中；16、所述基于tgn的编码器—解码器架构包括依次连接的tgn编码器和mlp解码器，17、tgn编码器根据边包含的节点的邻域结构、邻域中节点的状态和边的时序特征学习到一个边嵌入向量，mlp解码器根据tgn编码器输出的边嵌入向量对边进行重建，得到重建边；原始边与重建边之间的差异作为边的异常得分；18、在基于tgn的编码器—解码器的训练阶段，仅使用包含系统良性行为的初始的日志图进行训练，并保留学习到的行为特征；在测试阶段，tgn编码器为输入的边学习到一个边嵌入向量，得到边的图结构特征，如果边的图结构与类似时间上下文中正常边的图结构相似，那么mlp解码器为边分配一个较小的重建误差，否则，为边分配一个大的重建误差。19、优选地，所述tgn编码器将日志图中边的源节点和目标节点的初始特征向量与边属性的初始特征向量串联作为每条边的向量表示，当一个新的边eij加入到tgn编码器时，tgn编码器为边eij生成边嵌入向量：z(eij)＝tgn(t,si(t-),sj(t-),eij)；其中，t是时间戳向量，si(t-)表示的是在t-1时刻边eij的源节点的内存状态，sj(t-)表示的是在t-1时刻边eij的目标节点的内存状态，tgn(·)是时序图神经网络；20、获得边嵌入向量z(eij)后，tgn编码器使用了gru模型来实现边eij对应的节点的状态更新：21、si(t)＝gru(si(t-),eij)22、sj(t)＝gru(sj(t-),eij)23、其中，si(t)是节点i在t时刻的内存状态向量，sj(t)是节点j在t时刻的内存状态向量，si(t-)是节点i在t-1时刻的内存状态向量，sj(t-)是节点j在t-1时刻的内存状态向量，gru(·)是门控循环单元；24、在节点的内存状态更新过程中，tgn编码器中的memory模块负责记录节点的历史信息，message function计算节点所连边的信息生成消息；memory模块计算当前时刻每个节点向量的内存，当发生涉及节点的事件时，节点的内存状态在事件发生后更新；对于涉及节点的每个事件，message function计算一条消息来对节点内存状态更新：25、mi(t)＝msg(si(t-),sj(t-),eij,t)26、mj(t)＝msg(sj(t-),si(t-),eij,t)27、其中，mi(t)和mj(t)分别表示当边eij在时刻t出现后，message function为相应的两个节点i和j产生的消息；msg(·)为消息函数；si(t-)和sj(t-)分别表示在t-1时刻，边eij的起始节点i和目标节点j在内存中的状态向量；t为时间戳向量；28、mlp解码器的输出是一个维度为8的向量，每一个维度表示8种边属性中每一种属性的概率；利用交叉熵损失函数计算边的初始特征向量与mlp解码器预测的向量之间的差异，得到边的异常得分。29、优选地，将节点的稀有度作为deep-svdd模型识别异常边的一个指标：节点稀有度的计算方法采用的是idf，且其中，idf(v)表示节点v的逆文档频率，n是时间窗口的数量，nv表示包含节点v的时间窗口的数量，如果节点v在基于tgn的编码器—解码器的训练过程中不存在，则nv＝0，表示节点v是稀有的；30、将边的异常得分、节点稀有度、边的初始特征向量进行串联，串联后的向量作为deep-svdd模型的输入，deep-svdd模型通过训练神经网络提取数据分布变化的公因子，将网络输出拟合到最小体积的超球体中，根据球心和测试样本点间的距离来判定样本点是否异常；31、所述deep-svdd模型的目标函数为：32、33、其中，φ(·)表示神经网络的特征映射函数，x表示输入数据，w表示神经网络的权重参数，wl是第l层神经网络层的权重参数，λ是权重衰减超参数，o是超球体的中心，||·||2是欧几里得范数，||·||f是弗罗贝尼乌斯范数，n表示输入数据的数量。34、所述deep-svdd模型具有两个神经网络层，每神经网络层后跟一个relu激活函数，使用adam优化器对参数进行优化，损失函数为均方误差，选择距离的第99百分位作为超球体的半径；deep-svdd模型将输入数据映射为向量空间中的样本点，超出超球体半径的样本点被标记为异常，异常样本点对应的边是异常边。35、优选地，所述步骤s3的实现方法为：将处于同一个时间窗口中的异常边进行合并，如果异常边之间存在相同的节点，则将异常边进行合并，否则保留孤立的异常边；按时序合并不同时间窗口中的异常边，在合并异常边的过程中，如果异常边之间只有时间戳不同，则仅保留最新时间戳的异常边；孤立的和合并后的异常边被存放到异常路径集合中。36、优选地，所述sigma规则库为att&ck矩阵中的大部分攻击技术设计了相应的检测规则；选择sigma规则库中应用于日志的部分检测规则，主要研究进程、文件和套接字这三类实体对象的相关事件中存在的威胁；37、通过分析sigma规则，将规则中的detection字段对应的信息构建成正则表达式，利用这些正则表达式遍历异常路径中的节点属性，发现对应的攻击技术；38、需要构建多个正则表达式并且有前提条件的检测规则的匹配过程为：根据异常路径所含节点的属性，判断是否满足规则的前提条件，然后分别对源节点和目标节点进行正则匹配，只有都匹配成功时，规则才算匹配成功。39、与现有技术相比，本发明的有益效果在于：40、1、本发明综合考虑了iiot日志具有的数据量大、信息内容繁杂的特点，参考通用的日志本体，使用owl(web本体语言)构建了领域化的iiot日志本体关系。iiot日志本体可以应用到iiot的异构日志源中，帮助安全人员识别日志中有价值的数据。41、2、本发明将tgn与deep-svdd相结合。tgn将节点的属性、邻域结构和时间戳等数据作为学习的特征，通过对日志图的无监督学习，为日志图中的每条边学习一个异常得分。deep-svdd根据边的异常得分、节点稀有度和边的属性的学习，可以有效的发现图中存在的异常边(异常事件)。在日志异常检测任务中，模型的性能优于传统的gnn算法。42、3、本发明进一步将检测到的异常事件进行处理，合并不同时间窗口中的异常事件，形成异常路径；安全人员无需手动的对每一个异常事件进行溯源分析，提升了安全人员分析和处理攻击事件的效率。本发明能够自动化地分析日志中的低级攻击证据，根据这些攻击证据推断攻击者所采用的攻击技术，帮助安全人员快速采取积极措施。当前第1页12当前第1页12