本申请涉及网络攻击领域,特别是涉及一种基于标签传递和事件基线学习的实时攻击链检测方法及系统。
背景技术:
1、数字化,尤其是云计算技术的持续推进为社会和经济的发展持续注入新动力,但也引入了新的风险。近年来,网络攻击快速的演变,使得入侵检测变得越来越有挑战,针对复杂攻击检测难题,基于溯源(provenance)概念的主机威胁分析技术在国内外学术界和工业界得到了多年的关注与应用。基于粗粒度信息流,也被称为因果关系(causality)的因果分析/溯源分析可以有效的表征系统中实体间的操作,并广泛关联系统中发生的事件(包括:行为主体s、操作v、行为客体o、时间t四元组),构建全局的系统行为模型,表现出了对上述复杂攻击良好检测分析效果。
2、异常检测和基于规则的检测是网络安全领域攻击检测主要的两种方式。其中,异常检测有无需人工规则配置、支持未知威胁检测、自动化程度高等优点,得到了广发应用。然而在溯源图中进行异常检测需要实时处理海量数据,对算法模型的开销提出很高的要求,当前异常检测系统难以满足该要求。此外,异常检测需要预先构建代表正常行为的基线行为模型,当前主要的正常行为基线构建方式包括基于局部行为子图的图神经网络模型,以及收集正常行为事件的基线事件数据库两种,前者方案将溯源图人为划分为多个子图,导致构建得到的图神经网络模型容易被长时空攻击链绕过,且图神经网络分析开销较高,难以实时应用;后者方案则需要记录大量正常行为事件四元组,占用空间较大,且难以设计通用的泛化策略来兼容新出现的事件(主要是主体和客体),否则处理未被训练的数据容易引发误报。
3、综上所述,目前关于在溯源图中进行异常检测时存在正常行为基线行为模型构建难度大,异常检测实效性和准确度难以兼容的问题。
技术实现思路
1、本申请实施例提供了一种基于标签传递和事件基线学习的实时攻击链检测方法及系统,设计事件基线学习模型取代传统的基于事件概率安全基线判断,并基于流处理和标签传递实现实时且准确的异常路径挖掘和攻击检测。
2、第一方面,本申请实施例提供了一种基于标签传递和事件基线学习的实时攻击链检测方法,包括:实时采集事件并将事件进行嵌入编码得到事件向量,将事件向量输入到预训练得到的事件异常值预测模型中输出事件异常值,其中事件异常值预测模型通过事件及对应的事件异常值训练得到;若事件异常值超过阈值,在事件对应的溯源图节点上初始化设置标签并建立异常路径键值索引结构,其中异常路径键值索引结构缓存以溯源图节点为键、以标签为值的键值对,且每一键值对对应唯一的标签传播索引,其中标签内设置标签id、事件向量、异常路径分数及异常路径;若查询到异常路径键值索引结构已存在标签,则将已存在的标签传播至当前事件对应的溯源图节点上并进行标签的更新,并将更新的标签缓存在异常路径键值索引结构中,其中标签的更新规则为:根据当前事件的事件向量更新标签中的事件向量,计算当前事件的异常路径分数,根据上一次传播的溯源图节点以及当前事件对应的溯源图节点之间的传播路径更新异常路径。
3、第二方面,本申请实施例提供了一种基于标签传递和事件基线学习的实时攻击链检测系统,包括,数据采集系统,用于实时采集事件;事件异常值预测系统,用于将事件进行嵌入编码得到事件向量,将事件向量输入到预训练得到的事件异常值预测模型中输出事件异常值,其中事件异常值预测模型通过事件及对应的事件异常值训练得到;攻击判断系统,用于当事件异常值超过阈值时,在事件对应的溯源图节点上初始化设置标签并建立异常路径键值索引结构,其中异常路径键值索引结构缓存以溯源图节点为键、以标签为值的键值对,且每一键值对对应唯一的标签传播索引,其中标签内设置标签id、事件向量、异常路径分数及异常路径;查询到异常路径键值索引结构已存在标签,则将已存在的标签传播至当前事件对应的溯源图节点上并进行标签的更新,并将更新的标签缓存在异常路径键值索引结构中,其中标签的更新规则为:根据当前事件的事件向量更新标签中的事件向量,计算当前事件的异常路径分数,根据上一次传播的溯源图节点以及当前事件对应的溯源图节点之间的传播路径更新异常路径。
4、第三方面,本申请实施例提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述的基于标签传递和事件基线学习的实时攻击链检测方法。
5、第四方面,本申请实施例提供了一种可读存储介质,所述可读存储介质中存储有计算机程序,所述计算机程序包括用于控制过程以执行过程的程序代码,所述过程包括所述的基于标签传递和事件基线学习的实时攻击链检测方法。
6、本发明的主要贡献和创新点如下:
7、本申请实施例提供了一种基于标签传递和事件基线学习的实时攻击链检测方法及系统,利用事件异常值预测模型对事件异常值进行判断,基于事件异常值结合标签传播实现实时的异常路径的挖掘检测。本方案利用事件异常值预测模型替代传统的数据库实现更好的泛化效果和检测效果,且设计了可进行异常路径以及异常路径分数的标签,其中异常路径分数根据路径的变化而变化进行实现了标签的传播,实现了实时攻击链的异常路径检测;同时,本方案可合并重复告警的路径以降低告警量并丰富告警信息。
8、本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
1.一种基于标签传递和事件基线学习的实时攻击链检测方法,其特征在于,包括:
2.根据权利要求1所述的基于标签传递和事件基线学习的实时攻击链检测方法,其特征在于,以异常事件频率作为事件异常值,并以事件异常值为值,以事件为键组成键值对训练事件异常值预测模型。
3.根据权利要求2所述的基于标签传递和事件基线学习的实时攻击链检测方法,其特征在于,当事件异常值为异常事件频率时,利用异常事件在事件频率数据库中出现的频数和同当前异常事件的主体、操作不变但客体为任意的相同类事件的频数的商值表示。
4.根据权利要求1所述的基于标签传递和事件基线学习的实时攻击链检测方法,其特征在于,异常路径键值索引结构内设置二级索引结构,其中二级索引结构表示为:溯源图节点→标签和异常路径分数→异常路径,其中溯源图节点→标签和异常路径分数以键值映射的形式缓存传播的标签,标签→异常路径记录了异常路径的异常检测结果。
5.根据权利要求1所述的基于标签传递和事件基线学习的实时攻击链检测方法,其特征在于,在“在事件对应的溯源图节点上初始化设置标签”步骤中,设置标签id,获取当前事件的事件向量作为标签的事件向量,设置事件对应的溯源图节点所在的路径为异常路径,将标签id、事件向量、异常路径分数和异常路径缓存在标签内完成标签的初始化。
6.根据权利要求1所述的基于标签传递和事件基线学习的实时攻击链检测方法,其特征在于,根据当前事件的事件异常值计算当前事件的规则分数,取1和规则分数的差值作为异常路径分数,其中每当标签经历一次标签传播,以规则分数都乘以衰减值后的值更新规则分数。
7.根据权利要求1所述的基于标签传递和事件基线学习的实时攻击链检测方法,其特征在于,当标签的异常路径分数达到设定阈值时定义为告警标签,合并不同告警标签中重复的标签,基于剩余的告警标签所在的溯源图节点形成攻击图。
8.一种基于标签传递和事件基线学习的实时攻击链检测系统,其特征在于,包括,
9.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1到7任一所述的基于标签传递和事件基线学习的实时攻击链检测方法。
10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序,所述计算机程序包括用于控制过程以执行过程的程序代码,所述过程包括根据权利要求1到7任一所述的基于标签传递和事件基线学习的实时攻击链检测方法。
