一种融合根因分析与图神经网络的节点级入侵检测方法

本发明属于网络安全与入侵检测，具体涉及一种融合根因分析与图神经网络的节点级入侵检测方法。

背景技术：

1、随着信息化和网络化的不断深入，网络安全威胁也呈现出愈发复杂多变的态势。在这种背景下，入侵检测系统(ids)作为预防、检测和响应潜在威胁的关键工具，已经在企业安全战略中占据了举足轻重的地位。尤其是在对抗高级持久性威胁(apt)方面，ids发挥着不可或缺的作用。apt攻击以其高度隐蔽和长期潜伏的特性，对国家和企业的安全造成了极大的威胁。这类攻击通常悄无声息地渗透进系统，长期潜伏并窃取敏感信息，一旦被发现，往往已经造成了难以挽回的损失。

2、为了提升企业系统对复杂入侵行为的应对能力，溯源图分析技术逐渐受到了广泛关注。通过对系统审计日志数据源进行深入挖掘和分析，溯源图能够清晰地呈现出主机事件之间的关联和因果关系，进而帮助安全团队全面理解整个系统的执行过程。然而，在复杂的企业安全环境中，基于溯源的入侵检测系统仍然面临着诸多挑战。

3、一方面，现有的ids系统往往忽视了溯源图中的重要语义信息。这些语义信息包括进程名、命令行参数和ip地址等，它们对于准确判断攻击行为和识别潜在威胁至关重要。然而，由于技术和算法的限制，许多ids系统无法充分利用这些语义信息进行深入分析，导致它们容易错过攻击事件的关键信息，从而延误了响应时机。

4、另一方面，现有的ids系统在识别恶意行为时，往往只关注恶意子图而不是单个恶意节点。这种做法虽然可以在一定程度上简化分析过程，但却忽略了攻击行为的细节和复杂性。由于缺乏对单个恶意节点的精细化分析，ids系统可能无法准确判断攻击的真实性质和意图，给安全团队带来不必要的困扰和误导。

5、针对以上问题，如何设计和实现一种方法，将节点语义信息与图神经网络相结合，利用分类器模型结合gnn生成的嵌入向量进行节点级入侵检测，成为一个迫切需要解决的研究问题。

技术实现思路

1、针对现有技术中存在的上述问题，本发明的目的在于提供一种融合根因分析与图神经网络的节点级入侵检测方法。

2、本发明提供如下技术方案：一种融合根因分析与图神经网络的节点级入侵检测方法，包括以下步骤：

3、(1)采集目标系统内核日志数据，构建系统级溯源图；

4、(2)采用根因分析方法为溯源图中每个根节点创建一个可疑根节点，并将可疑根节点添加到可疑图中，使用图神经网络gnn对可疑图中节点做第一次嵌入操作，得到用于检测节点的因果特征；

5、(3)使用图神经网络gnn对溯源图中节点进行图表示学习，对溯源图做第二次嵌入，捕获节点在溯源图中的k-hop邻域特征；

6、(4)使用分类器模型结合两次图神经网络gnn生成的嵌入向量来实时检测系统异常行为。

7、进一步的，所述(1)中选用spade或kellect采集工具进行内核日志采集，具体过程如下：

8、1.1)在目标系统上部署所选工具，并配置参数以准确捕获内核日志信息；完成参数配置后，工具开始采集系统内核日志；采集完成后，将所采数据传输至指定存储位置；

9、1.2)系统级溯源图构建：解析采集到的内核日志数据，并基于采集的信息建立溯源图；溯源图包含进程节点及对象节点两种节点类型，分别代表执行者和受影响对象；节点间的边带有特定事件类型的标签，并通过时间戳显示了节点和事件之间的因果关系。

10、进一步的，所述(2)中采用根因分析方法为溯源图中每个根节点创建一个可疑根节点，并将可疑根节点添加到可疑图中，使用图神经网络gnn更新可疑图中节点的嵌入函数，得到用于检测节点的因果特征；其具体步骤如下：

11、2.1)将图神经网络gnn应用于溯源图：

12、设{h}＝{h1,h2,…,h|v|}，v表示为溯源图的顶点集合，是g中每个节点对应的一组特征向量，其中d为特征的个数，将溯源图g作为gnn的输入，hi初始化图神经网络gnn中第一层每个节点vi的特征向量为对于后续的每个层l，节点vi的特征向量被表示为是其中间表示与中所有节点的中间表示的聚合，公式为：表示与前l-1层向量进行了聚合更新。其中，k表示节点的k跳邻域，表示节点i的k跳邻域的集合，指从节点i出发，通过最多k次跳跃可以到达的所有节点的集合；

13、2.2)采用根因分析方法为溯源图创建可疑根节点，并将可疑根节点添加到可疑图中，具体如下：

14、2.2.1)构造可疑图假设vf是代表溯源图g中的文件或套接字的节点集，对于任何节点vk∈vf，vi为vk所指向的节点，如果它在g中的第一个动作是一个输出流ek＝(vk,vi,rel)，则把vk确定为一个可疑根节点；

15、2.2.2)对于每个可疑根节点，将其添加到可疑图中，赋予与根节点相同的初始特征向量；

16、2.2.3)追踪根节点的所有后代节点，并在可疑图中直接将每个可疑根节点与其后代节点连接；通过在构建溯源图期间预先计算每个节点的根节点。

17、2.3)更新节点的嵌入函数：在图神经网络gnn中，将节点的本地邻域和可疑根节点的信息结合起来保留根因关系，把可疑图作为附加输入，更新节点的嵌入函数，以直接连接每个节点到其根节点；更新后嵌入函数为：

18、

19、其中，a()为聚合函数，表示节点vi的k-跳邻域集合，表示节点vi所有可疑根节点的集合，c表示一个连接函数，它连接了中所有节点的聚合表示，以及中所有直接连接到由表示的vi的可疑根节点的聚合表示；每个节点的嵌入不仅包括其本地邻域的信息，还包括与其间接连接的所有可疑根路径的信息。

20、2.4)使用图神经网络gnn模型对每个节点的嵌入进行训练，能够为每个进程节点生成一个异常分数，用于后续的异常检测；训练得到的是一个能够区分正常行为和异常行为的嵌入空间，能够得到检测节点的因果特征。

21、进一步的，所述(3)中，使用图神经网络gnn对溯源图中节点进行图表示学习，对溯源图做第二次嵌入，捕获节点在溯源图中的k-hop邻域特征；具体步骤如下：

22、3.1)使用图神经网络gnn对溯源图中节点进行图表示学习：

23、3.1.1)使用图表示学习中的图神经网络gnn对每个节点周围的k跳邻域结构进行编码，以捕获节点的结构信息；

24、3.1.2)采用graphsage框架处理大型溯源图，利用邻域聚合方法学习节点嵌入，提高处理效率；

25、3.1.3)利用半监督节点分类方法训练图神经网络gnn模型，通过节点的输入特征和图结构对节点进行分类，使用加权交叉熵损失函数来解决数据中类别不平衡的问题，以提高模型对少数类别的关注度和分类准确度；

26、3.2)对图表示学习后的结果进行存储：设计键值存储数据库，所述数据库用于存储和检索图神经网络gnn输出向量，其中键是进程名称、文件路径、模块路径或网络流ip地址中的一种，值包含了从gnn派生的嵌入以及与特定节点相关联的一组邻居；通过预先计算和存储具有稳定邻域结构的节点的图神经网络gnn嵌入，能够在实时检测阶段快速地将存储的嵌入分配给具有匹配邻域结构的节点，提高实时检测的性能和效率。

27、进一步的，所述(4)中，使用分类器模型结合两次图神经网络gnn生成的嵌入向量来实时检测系统异常行为；具体步骤如下：

28、4.1)在异常检测中，选择随机森林作为分类器模型，通过加权合并根因分析和图表示学习的特征向量，综合利用不同特征所含信息。

29、4.2)使用合并后的特征向量训练随机森林分类器，训练完成后，模型通过比较预测和实际节点类型来检测异常，能够输出节点的异常概率或标签。

30、通过采用上述技术，与现有技术相比，本发明的有益效果如下：

31、1)本发明通过综合根因分析和图神经网络技术，能够更全面地分析系统内核日志数据，从而提高对入侵行为的检测能力；

32、2)本发明中，利用根因分析方法创建可疑节点和使用gnn对节点进行嵌入操作，有助于提高入侵检测的准确性，减少误报率；

33、3)本发明中，第一次和第二次嵌入操作能够捕获节点的因果特征和k-hop邻域特征，有助于更好地理解节点在溯源图中的关联信息，从而提高检测效果；

34、4)本发明中，通过结合分类器模型和gnn生成的嵌入向量，能够实现对系统异常行为的实时检测，有助于及时发现并应对入侵行为。