一种基于动态异质图时序链接的横向移动攻击检测方法及装置

本发明涉及apt攻击中横向移动环节的异常检测领域，提供了基于动态异质图时序链接的横向移动攻击检测方法及系统。

背景技术：

1、随着攻击技术的不断成熟和攻击组织的不断扩张，全球范围内连续发生了一系列新型攻击，称为高级持续威胁(advanced persistent threat,apt)，apt攻击者通常掌握复杂技术并具有丰富的攻击工具资源。它们的目的包括篡改目标企业的信息、技术、架构、窃取数据以及执行、停止任务或程序，停止任务或程序，且攻击目标逐渐从党政机关、科研院所向多个重要行业领域扩展。通常，apt攻击将从一台机器连接到另一台机器以获得越来越高的特权帐户，直到他们获得域管理帐户的凭据。这个过程涉及多个攻击步骤，时间跨度很长。

2、横向移动是指攻击者寻找资产，获得额外的特权，利用所窃取的主机上保留的有效凭证，悄悄地从一个系统移动到另一个系统，从一个子网移动到另一个子网，搜索他的最终目标的过程。而在移动过程中通常涉及到使用合法的服务移动到网络中的其他主机，这允许攻击者扩展对系统的控制，并最终到达一组目标机器。横向移动同时涉及时间与空间两个维度，是攻击者花费最多时间的地方，也是最容易被发现的地方。

3、随着图挖掘技术和图神经网络的出现及发展，基于图网络的异常检测逐渐成为研究热点。方法为构建认证图，并通过发现异常链路来发现横向移动，遗憾的是，现有的基于认证图的检测系统在准确性和实用性方面存在如下问题：其一，受同质图或二部图模型的限制，一些系统无法充分利用网络场景，留下大量信息未被探索。其二，现有系统对数据采集和模型部署的要求不现实。具体来说，基于监督学习的系统需要用大量的标签进行训练，这些标签很难获得。另一方面，基于无监督学习的系统则需要纯良性的训练数据集对正常样本进行建模其三，现有的方法或是为静态图设计的，忽路了网络的动态性，或是无法捕捉动态图节点的时序模式。

4、与许多机器学习领域的情况一样，模型的通用性对于训练和推理过程中的准确性和可扩展性至关重要，规则可能在特定场景下无效，导致比较高的误报率。面对一些特定的检测器，其特殊结构也决定了它不得不以串行的方式工作。面对海量的数据，亟需一个分布式、轻量级的横向移动攻击检测方法及装置。

技术实现思路

1、为了解决上述问题，本发明提出了一种基于动态异质图时序链接的横向移动攻击检测方法及装置。

2、本发明的原理是：基于内网审计日志，融合多类内网元素和实体关系构建动态异质图，之后在图上根据节点级和边缘级注意力的分层注意力框架捕获静态快照异质性，再利用无监督的动态时序图链接预测技术，将一个循环层作为主导，多个拓扑编码器作为从属来实现大规模并行运行，最后计算所述异质图的连边出现的对数概率，根据似然分数进行移动路径的检测或预测。

3、为达到上述目的，本发明采用的具体技术方案是：

4、一种基于动态异质图时序链接的横向移动攻击检测方法，包括以下步骤：

5、1)获取主机日志，根据异质网络结构融合多类内网元素和实体关系以构建异质图，所述异质图包括异质信息与网络演化模式；

6、2)根据节点级注意力和边缘级注意力，对所述异质图的静态快照异质信息进行特征聚合，并进行网络拓扑嵌入；

7、3)基于动态图链接预测技术，将循环层作为主导，多个拓扑编码器作为从属，大规模并行式地进行横向移动攻击检测模型预训练；

8、4)利用预训练完成的横向移动攻击检测模型计算所述异质图的连边出现的对数概率，根据似然分数进行移动路径的检测或预测。

9、进一步地，所述步骤1)，包括从日志中提取重要网络元素，构建实体之间的关系，具体包括：

10、a)日志图结构化的重要步骤为日志属性的提取。为了涵盖尽可能多的网络元素与事件，本发明抽取日志条目的5个关键属性：{sub,obj,a,t,h}，其中sub是用户的集合；obj是交互对象的集合，如文件、进程或网站；a是操作类型集合，如文件操作和网页利用；t表示时间；h表示主机，即计算机或服务器。

11、b)异质图的连边基于时间上的关联性与交互对象逻辑性构成异质图节点(即日志条目)连接规则。日志条目连接规则反应实体之间的关系，从时间上的关联性与交互对象逻辑性两个维度考虑，对所述的日志条目提出如下10条连接规则：

12、e1：一天内同一用户的日志条目按时间顺序连接。

13、e2：同一个用户一天内在同一台设备上的操作按照时间顺序连接。

14、e3：一天内同一用户和相同操作类型的日志条目按时间顺序连接。

15、e4：每日日志序列连接，权重与日志条目的数量呈正相关。

16、e5：同一主机每日日志序列相互连接，权重与日志条目的数量的相似度呈正相关。

17、e6：相同操作类型和相同主机的每日日志序列相互连接，权重与所述日志条目数量的相似度呈正相关。

18、e7：同一源主机使用相同的认证协议访问同一目的主机的日志节点按时间顺序连接。

19、e8：不同认证协议的同一目的主机和源主机、不同目的主机但具有相同认证协议的源主机的日志序列相互连接，权重与日志条目的相似度呈正相关。

20、e9：同一主机访问同一域名的日志按时间顺序连接。同一主机、不同域名的日志序列相互连接，且权重与访问方式的相似性与所述日志条目的数量呈正相关。

21、e10：同一主机、不同域名的日志序列相互连接，且权重与访问方式的相似性与所述日志条目的数量呈正相关。

22、进一步地，所述步骤2)采用融合所述节点级与边缘级注意力的分层注意力框架，捕获静态快照的异质信息，克服动态异质网络嵌入时信息丢失的问题，更精准关注潜在的横向移动目标及其交互。所述步骤2)包括如下两个阶段：

23、a)节点级注意力：节点级注意力学习每个节点邻域的重要性权重，通过聚合重要邻域的特征来生成新的潜在表征；采用具有多头机制的节点级注意力模型，并行运行κ独立的节点级注意力模型；将学习到的特征串联作为输出嵌入。边类型r在第t个快照处的节点i的多头注意力表示(即节点级嵌入向量)可以描述为：

24、

25、其中为的简化符号，是κ独立的节点级注意力模型的输出。

26、b)边缘级注意力：边缘级注意力学习异质图不同类型边的重要性权重，聚合不同的特定类型的信息生成新的嵌入。具体地，将特定边的嵌入输入到非线性变换函数中，映射到相同的特征空间；计算映射的边特定嵌入和注意力的参数化向量q之间的相似度，测量输入边特定嵌入的重要性系数；聚合这些特定边的嵌入，生成节点i在t时刻快照的最终表示特征(即边缘级嵌入向量)：

27、

28、其中σ为激活函数。在聚合所有特定边的嵌入后，最终节点嵌入表示为图注意力向量集其中f＜＜|vt|为边缘级注意力模型输出的嵌入维数。

29、进一步地，步骤3)所述动态图链接预测技术包括：将上一步骤的图注意力向量{h1,h2,…,ht}应用于图神经网络(graph neural network,gnn)，与循环神经网络(recurrent neural network,rnn)等序列编码器相结合。

30、1)将一个循环层作为主导(master)，多个拓扑编码器作为从属(slave)来实现大规模的、并行的模型训练环节，以提升消息传递阶段的性能。多个gnn可以在多个从属上复制并独立执行，允许不相关的快照集并发处理。

31、2)通过训练找到一个编码函数f(·)和一个解码函数g(·)。编码函数将具有t个快照的时序图中的节点映射到t个低维嵌入向量。解码函数确保在编码过程中损失最小的信息，并旨在从潜在的z向量重建输入快照。通过上述分层注意模型可以获得所有快照的节点嵌入随后编码器执行：

32、z＝f({z1,z2,…,zt})＝rnn(z1,z2,…,zt)

33、zt是图快照在t时刻的嵌入向量，在经过时序编码后，所有t时刻的嵌入向量被表示为z。向量z被优化以包含关于图的结构信息和时序信息，产生最终嵌入。解码器会在给定嵌入的情况下重建原始图结构：

34、

35、其中σ(·)表示logistic sigmoid函数，表示t+n时刻的重构邻接矩阵。

36、3)作为使用内积解码的结果，向量z的点积zt[u]和zt[v]表示在t+n时刻存在一条边(u，v)的对数概率，由此，解码函数g(·)被用来检测异常边缘。

37、进一步地，所述横向移动攻击检测模型包括两方面：链接检测器和链接预测器。这两种模式的区别在于训练过程的反向传播步骤。

38、链接检测器是归纳式的：使用部分观测快照生成zt，并利用g(zt)重构完整的邻接矩阵其中zt表示图快照在t时刻的嵌入向量，g表示解码函数。在横向移动攻击检测中，链接检测器将用于取证任务，即执行链路检测以识别已经发生的异常连接。

39、链接预测器是直推式的：使用快照g1,g2,…,gt生成zt来预测未来的状态其中n>0。在横向移动攻击检测中，链接预测器将用作实时入侵检测工具，链接预测器可以根据观察到的边进行评分，例如，当n＝1时，给定在t-1时间之前观察到的关于网络的情况，链接预测器对t时间观察到的边进行评分，这样的模型可以使用从网络之前的状态学习到的嵌入来处理发生的连接。

40、综上所述，动态图链接预测方法可表示给定一个时间图g，找到一个函数：

41、f(u,v,t|{g1,…,gt})≈p[(u,v)∈et+ns]

42、其中，f表示概率函数，即边u与边v在时间t时刻出现连边的概率，et+ns表示异质图边的集合。

43、当n＝0时称之为动态链路检测，当n>0时称之为动态链路预测。

44、基于同一发明构思，本发明还提供一种基于动态异质图时序链接的横向移动攻击检测装置，其包括：

45、日志图结构化模块，用于融合多类内网元素和实体关系，既考虑异质信息又考虑网络演化模式构建异质图；

46、异质网络嵌入模块，用于捕获静态快照异质性的包含节点级和边缘级注意力的分层注意力框架；

47、动态图链接预测模块，用于基于无监督的动态图链接预测技术并行式进行横向移动攻击检测模型训练；

48、攻击检测与预测模块，用于横向移动攻击的检测与预测。

49、与现有技术相比，本发明的有益效果是：

50、本发明能够高效、高精度地识别实体之间的异常连接，在相关公开数据集lanl上进行横向移动攻击检测的性能优于其他无监督技术。本发明具有轻量级的消息传递过程，引入井行分布式的结构使得模型的消息传递阶段只受具有最多边的图快照约束。