【技術實現步驟摘要】
本專利技術屬于基于主機的攻擊檢測領域,特別涉及一種基于行為模式的攻擊檢測方法。
技術介紹
1、入侵檢測系統與攻擊之間的持久戰不斷發展。及時檢測計算機系統中的異常事件是保護計算機系統免受攻擊的關鍵步驟。系統日志包含有關計算機系統生成的事件的詳細信息,在各種當代異常檢測技術中起著關鍵作用,包括入侵檢測、數字取證和態勢感知。因此,基于日志的異常檢測是確保系統可靠性和服務質量的重要方法。
2、傳統的機器學習模型通常用于從日志中識別入侵事件。這些方法從日志消息中提取有價值的特征,并使用機器學習算法來分析日志數據。然而,由于眾所周知的數據不平衡問題,監督學習方法在訓練二分類器以檢測異常日志序列方面面臨諸多困難。因此,許多無監督學習模型,如主成分分析?(pca)?和單類,已被用于異常檢測。許多基于機器學習的方法需要定制特征。這些方法可能難以準確捕獲離散日志消息的異常模式,特別是在涉及非線性或復雜數據分布的場景中。深度學習?(dl)?在復雜關系建模方面表現出了卓越的能力。其結果可以匹敵甚至超過某些領域的人類專家的表現。因此,出現了大量基于深度學習模型的異常檢測系統。這些系統利用機器學習或深度學習技術來檢測和識別網絡攻擊。通過從包含網絡流量或系統日志的大量數據集中學習,這些系統可以通過辨別正常和惡意行為模式來自主識別潛在的攻擊行為。
3、現有技術主要有如下不足:
4、1、忽略系統實體之間的交互關系。例如,deeplog使用長短期記憶?(lstm)?網絡將系統日志轉換為自然語言序列,該網絡學習良性模式并從系統行為
5、2、過于依賴專家知識。基于規則的方法(例如sleuth和holmes)需要通過專家經驗設置檢測規則,這就需要安全分析人員對攻擊行為有著深刻的理解。另外,在攻擊模式不固定的大規模網絡中應用時,基于已知攻擊知識的有限的檢測規則往往容易產生較多的漏報。
6、3、支持攻擊調查的能力不足。一些方法將系統日志轉換為溯源圖,并檢測整個溯源圖中是否存在攻擊活動。但是,即使對于被確定為包含攻擊的溯源圖,分析人員仍然需要進行手動分析以確定特定的攻擊事件和實體另一方面,其他一些方法主要側重于檢測攻擊實體,但由于對攻擊背景考慮不足,誤報率較高。
技術實現思路
1、為解決上述技術問題,本專利技術提供一種基于行為模式的攻擊檢測方法,包括如下步驟:
2、步驟s1:利用系統審計日志構建溯源圖,從所述溯源圖中提取進程事件并創建行為模式;
3、步驟s2:使用嵌入模型來生成所述行為模式的嵌入向量,再輸入語義重構模塊來學習所述行為模式的內在特征,輸出重構向量;
4、步驟s3:計算所述嵌入向量和所述重構向量的余弦相似度作為重構誤差的度量,高于閾值的行為模式被視為異常行為模式;基于所述異常行為模式構建攻擊子圖,以重構攻擊故事。
5、有益效果:
6、1、本專利技術提出了一種劃分進程行為模式的新方法。該方法不僅考慮了每個進程的自身行為特征,還考慮了進程之間的關聯。通過整合行為和結構信息,該方法增強了全面理解系統運行狀態的能力。
7、2、本專利技術對系統進程在良性環境下的行為進行總結和歸納,為嵌入模型的學習提供了豐富的素材。基于進程間最簡單的行為模式劃分,提取行為模式,使得調查階段可以直接通過關聯行為模式重構攻擊故事。
8、3、本專利技術用預先訓練的?distilbert作為初始模型,并使用對比學習對其進行進一步訓練。?由于在大規模語料進行了預訓練,distilbert模型具有較強的語義嵌入能力。基于dropout的對比學習設計,使得語義向量具有高度的可辨別性,可以捕捉各種行為模式的不同含義。本專利技術通過預訓練模型在大量語料庫學習到的豐富特征表示來比較各種行為模式之間的相似性并優化特征提取過程。
本文檔來自技高網...【技術保護點】
1.一種基于行為模式的攻擊檢測方法,其特征在于,包括:
2.根據權利要求1所述的基于行為模式的攻擊檢測方法,其特征在于,所述步驟S1:利用系統審計日志構建溯源圖,從所述溯源圖中提取進程事件并創建行為模式,具體包括:
3.根據權利要求2所述的基于行為模式的攻擊檢測方法,其特征在于,所述步驟S2:使用嵌入模型來生成所述行為模式的嵌入向量,再輸入語義重構模塊來學習所述行為模式的內在特征,輸出重構向量,具體包括:
【技術特征摘要】
1.一種基于行為模式的攻擊檢測方法,其特征在于,包括:
2.根據權利要求1所述的基于行為模式的攻擊檢測方法,其特征在于,所述步驟s1:利用系統審計日志構建溯源圖,從所述溯源圖中提取進程事件并創建行為模式,...
【專利技術屬性】
技術研發人員:于愛民,潘躍東,趙力欣,蔡利君,孟丹,
申請(專利權)人:中國科學院信息工程研究所,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。