基于溯源图的APT攻击检测方法、系统、设备及介质

本发明属于网络安全，具体涉及一种基于溯源图的apt攻击检测方法、系统、设备及介质

背景技术：

1、随着信息革命的快速发展，网络空间已然成为现代社会中信息传播的新渠道、人类生产生活的新空间、社会经济发展的新引擎、但其同时也带来了新的安全风险和挑战。针对特定目标开展隐匿而持久的非法入侵活动，其所具有的攻击技术先进性、攻击过程长期性、攻击危害严重性等特点，使得研究对于该类网络威胁的检测方法具有重要的必然性和现实意义。

2、基于网络和主机终端侧的网络流量的入侵检测系统，难以有效适应apt攻击等具有长期潜伏性和针对性的复杂攻击模式，也难以检测到apt攻击常利用的0-day漏洞，同时对未知攻击和实时检测也难以检测。

3、利用溯源图(provenance graph)可以自然地将上下文信息流关联起来，作为警报的依据进而实时重构apt攻击场景，检测攻击。溯源图能够较好还原系统中的各种行为，同时其图结构的表示包含了丰富的语义信息，系统实体之间以及事件之间的关联性也能够得到较为完整的保留，利用溯源图进行威胁发现、攻击检测和攻击溯源具有重要应用价值。但是基于溯源图的攻击检测工作任存在一些问题：如apt攻击通常持续时间长达数个月，过于庞大的审计日志数量不仅会对内外存储造成压力还可能出现依赖爆炸等问题；另外也存在一些基于启发规则的溯源图检测方法，规则的制定高度依赖专家知识，需要大量的领域先验知识，虽然这样可以获得良好的可解释性但是削弱了大数据时代下数据本身的价值，缺乏对于溯源图中数据的语义信息的深度挖掘和使用，且规则的匹配和子图的匹配需要很大的计算开销，可能难以满足检测的时效性的要求。

技术实现思路

1、本发明的主要目的在于克服现有技术的缺点与不足，提供一种基于溯源图的apt攻击检测方法，通过溯源图可以自然地将上下文信息流关联起来，作为警报的依据进而实时重构apt攻击场景，检测攻击。

2、为了达到上述目的，本发明采用以下技术方案：

3、第一方面，本发明提供了一种基于溯源图的apt攻击检测方法，包括下述步骤：

4、通过采集工具采集系统审计日志；

5、在采集得到的系统审计日志中抽取多类系统实体和多种交互关系构造溯源图，并使用三元组描述单条审计日志并组织成知识图谱kg；所述系统实体为溯源图中的节点；所述交互关系为溯源图中的边；

6、对所述知识图谱kg进行降噪，削减图规模；

7、将溯源图中的节点映射到多维向量空间中，得到节点向量表示；利用自适应的广度优先子图采样方法遍历每个节点向量表示，得到聚合知识图谱kg中的上下文语义信息的图像，并将所述图像作为训练集；

8、将所述训练集输入至轻量化神经网络模型进行训练，得到训练好的神经网络模型，将待检测的节点图像输入至训练好的神经网络模型进行预测，并输出结果。

9、作为优选的技术方案，所述系统审计日志是一串按时间顺序排列的事件三元组(subject,relation,object)，表示不同时间下，某进程或线程访问其他系统实体的过程。

10、作为优选的技术方案，对所述知识图谱kg进行降噪，具体为：

11、删除临时文件节点、删除只读链接库、合并被单个process节点重复读写的日志事件以及删除由于删除节点导致孤立的边，缓解内存存储压力。

12、作为优选的技术方案，所述得到节点向量表示；具体为：

13、将知识图谱kg嵌入到transe神经翻译模型中，得到每个节点64维的向量表示。

14、作为优选的技术方案，利用自适应的广度优先子图采样方法遍历每个节点向量表示，得到聚合知识图谱kg中的上下文语义信息的图像，具体为：

15、对溯源图中每一个process节点使用自适应的广度优先子图采样方法进行遍历搜索；在遍历过程中严格限制审计事件发生的事件单调递增并且在访问到指定节点时回溯，包括遍历的根process节点在内共采样64个节点，若采样不足64个节点则使用64维的0向量补充，接着将采样的64个节点的表示向量进行堆叠得到一个64x64的矩阵，并将该矩阵转换成一张64x64的黑白图像用来表示根process节点，同时聚合了知识图谱kg中的上下文语义信息；对每一个process节点重复该操作得到一系列图像作为训练集。

16、作为优选的技术方案，选用基于inception-resnet v1的轻量化神经网络模型进行训练和预测，其中input层的维度需要修改为64x64x1，并且根据需要对后面的结构进行适应化的修改，最后由softmax层输出该process属于良性或恶意的概率，选择概率较大的类别做为预测结果进行输出。

17、作为优选的技术方案，将待检测的节点图像输入至训练好的神经网络模型进行预测，具体为：

18、对于待检测的process节点，通过与该process节点相交互的file、socket节点合并至已有的知识图谱kg中，在input层的节点维度需要修改为64x64x1，因此，同样使用所述自适应的广度优先子图采样方法，将采样得到的63个节点向量表示与一个64维的0向量进行堆叠得到一个64x64的矩阵，并将该矩阵转换成一张64x64的黑白图像用来表示该待检测的process节点，将该图像输入进训练好的模型进行预测，最后在softmax层输出该process节点属于良性或恶意的概率，选择概率大的类别做为预测结果进行输出。

19、第二方面，本发明提供了一种基于溯源图的apt攻击检测系统应用于所述的基于溯源图的apt攻击检测方法，包括数据采集模块、溯源图构造模块、溯源图预处理模块、溯源图表示学习模块以及分类器训练与预测模块；

20、所述数据采集模块，用于通过不同的采集工具采集不同系统的审计日志；

21、所述溯源图构造模块，用于在采集得到的审计日志中抽取多类系统实体和多种交互关系构造溯源图，并使用三元组描述单条审计日志并组织成知识图谱kg；

22、所述溯源图预处理模块，用于对所述知识图谱kg进行降噪，削减图规模；

23、所述溯源图表示学习模块，用于将溯源图中的节点映射到向量空间中，得到节点向量表示；根据所述节点向量表示，利用自适应的广度优先子图采样技术，得到聚合知识图谱kg中的上下文语义信息的图像，并将所述图像作为训练集；

24、所述分类器训练与预测模块，用于将所述训练集输入至神经网络模型进行训练，得到训练好的神经网络模型，将待检测的节点图像输入至训练好的神经网络模型进行预测，并输出结果。

25、第三方面，本发明提供了一种电子设备，所述电子设备包括：

26、至少一个处理器；以及，

27、与所述至少一个处理器通信连接的存储器；其中，

28、所述存储器存储有可被所述至少一个处理器执行的计算机程序指令，所述计算机程序指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如所述的基于溯源图的apt攻击检测方法。

29、第四方面，本发明提供了一种计算机可读存储介质，存储有程序，所述程序被处理器执行时，实现所述的基于溯源图的apt攻击检测方法。

30、本发明与现有技术相比，具有如下优点和有益效果：

31、本发明通过溯源图可以自然地将上下文信息流关联起来，作为警报的依据进而实时重构apt攻击场景，检测攻击；同时，使用自适应的广度优先子图采样技术聚合溯源图中上下文语义信息，确保了系统实体之间以及事件之间的关联性。