买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：西安电子科技大学

摘要：本发明提出了一种面向大规模网络下的攻击行为细粒度行为检测方法，解决了现有技术难以应对大型网络规模以及对网络攻击产生细粒度的报警难题，实现包括，日志获取；构建HST模型；基于HST模型的数据分类；基于KG图的日志处理；基于HST的异常节点检测；基于异常节点的语义提取与行为总结；基于事件的IDF属性的行为语义聚合；基于HCA算法的行为聚合。本发明提出分层事件树结构及知识图结构，使用KG图捕获内嵌于图的深层信息。本发明实现了细粒度的攻击检测、低误报率、适应大规模数据规模检测、能够识别新型网络威胁。本发明帮企业以及网络用户更好的保护数据安全，用于网络安全防护，创建更加良性安全的网络环境。

主权项：1.一种面向大规模网络下的攻击细粒度行为检测方法,其特征在于，在主机端完成审计日志的收集，用HST模型数据分类与分析，用KG图处理审计日志，并完成异常节点的语义提取与行为总结，其中的语义提取使用TransE模型；异常节点的语义提取与行为总结后完成行为语义聚合，在服务器端完成行为签名的提取，服务器端对异常节点信息进行处理生成异常行为签名并发往主机端，主机端与服务器端协同完成异常行为的检测，包含有如下步骤：训练阶段：训练阶段在主机端进行：步骤1日志获取：在每个主机端通过日志的收集工具，收集主机的系统日志，收集的全部系统日志均用于训练；每个主机端均设有全局签名库，用来在行为语义聚合完成后识别异常，开始初始化为空；步骤2构建HST模型：构建的HST模型为树结构模型，纵向主干分为三个分支，分别为进程、文件与网络，三个分支又有各自的新的分支，每一分支代表进行数据分类的一种选择；横向层依次连接有事件类型层、操作层、流程层和属性层；HST模型使用多层树根据审计事件的属性对其进行分类；每一层为关注事件的一组特定属性；HST模型的输入为每个主机端收集的系统日志流，在进行基于HST模型的数据分类前，首先将HST模型设为空树；步骤3基于HST模型的数据分类：给定收集到的系统日志，HST模型根据系统日志信息在树分支处做出选择，在每层中找到一个匹配节点来表示节点事件的相应属性值，如果找到相应属性值，则该匹配节点为良性节点；如果找不到相应属性值，则创建一个新节点，完成该条系统日志的数据分类处理；不断迭代直至处理完全部用来训练的系统日志数据流，完成基于HST模型的数据分类；步骤4基于KG图的日志处理得到三元组的编码：接受来自HST模型分类过的系统日志数据流作为基于KG图的日志处理的输入，KG图初始化为空图，初始化后，KG图对分类过的系统日志数据流开始从头部到尾部进行编码，将分类过的系统日志数据流编码为KG图三元组的形式，基于KG图的日志处理的输出为编码后的系统日志数据流；此时完成主机端的训练阶段，进入检测阶段；检测阶段：首先在主机端通过HST模型进行异常节点检测、异常节点语义聚合、异常行为总结与行为语义聚合；接着在服务器端完成基于HCA算法的行为聚合；主机端：步骤5基于HST模型的异常节点检测：检测阶段，基于HST模型的异常节点检测有两个输入，一个输入为来自主机端的系统日志流，将来自主机端的原始系统日志流基于KG图的日志处理得到三元组形式的编码，另一个输入为训练阶段输出的基于KG图的日志处理的系统日志数据流,将来自主机端经编码为三元组形式的原始系统日志数据流先输入HST树进行基于HST模型的异常节点检测，将训练阶段输出的基于KG图的日志处理的系统日志数据流后输入HST树进行基于HST模型的异常节点检测；基于HST模型的异常节点检测在分支处根据系统日志的属性做选择，将系统日志流中的每个系统日志在HST模型某分支处根据系统日志的属性做出进入某个横向层的选择，如果无法做出选择，该节点将作为异常系统日志，处理完此条系统日志的异常节点检测；如果可以做出选择，选择进入某个横向层，如果该横向层不是最后一层，则继续在该分支处根据系统日志的属性做出选择并进入某横向层；重复上述操作直至在某分支处无法做出选择并将该节点作为异常系统日志或抵达最后一层，标记该节点为良性系统日志，处理完一条原始系统日志的异常节点检测；按顺序迭代处理完所有系统日志数据流，获得所有搜索到的异常系统日志；基于HST模型的异常节点检测输出为检测得到的异常系统日志；步骤6基于异常节点的语义提取与行为总结：在主机端进行:基于异常节点的语义提取与行为总结的输入为检测得到的异常系统日志，针对检测到的异常系统日志，分两路同时执行各自检测，一路为异常节点的语义提取，另一路为异常节点的行为总结，异常节点语义提取接受使用HST检测得到的异常系统日志作为异常语义提取的输入，使用嵌入模型TransE来提取异常系统日志中的语义流，设计了优化TransE模型的损失函数L；异常节点行为总结接收HST模型检测到的异常系统日志流，对异常系统日志流执行自适应的前向深度优先搜索DFS，DFS属于向后遍历，无法获得祖先节点的信息，将遍历得到的DFS系统日志信息编码为符合KG三元组规范的KG子图，将语义提取得到的异常系统日志语义流与行为总结处理得到的KG子图各自作为异常节点语义提取与行为总结的输出，均交由行为语义聚合处理；步骤7基于事件的IDF属性的行为语义聚合：在主机端进行:主机端维护一个全局签名库，用来存储语义聚合后的行为表示，在基于异常节点的行为提取与语义总结之后，接收到行为提取与语义总结获得的异常系统日志的语义流和KG子图作为输入，每一条系统日志代表一个具体的事件，下一步聚合异常行为的语义，利用事件的IDF属性来赋予不太常见的系统日志更多的区分能力，行为语义聚合通过汇集提取到的异常系统日志的语义流来量化异常事件以获得行为实例的语义表示流，再将提取到的语义表示流与全局签名库进行比对，如果比对成功，则识别出异常，得到异常的具体信息；如果比对失败，则说明先前暂无检测到该类异常，将异常行为的语义表示流与KG子图同时发往服务器端进行行为聚合处理；服务器端：步骤8基于HCA算法的行为聚合与签名提取：服务器端的行为聚合接受主机端传来的异常行为的语义表示流与KG子图作为行为聚合模块输入，使用HCA算法来聚类异常行为的语义表示流，即异常信息流相似的行为实例，每个异常行为的有属于自己的集群；HCA迭代计算异常行为的语义表示流之间的余弦相似度，并组合两个最接近的异常行为的语义表示流，直到最大相似度低于合并阈值，完成异常行为聚合；当异常行为聚合完成后，根据行为实例的代表性提取每个集群的行为签名，并将行为签名返回到各个主机端，每个主机端将返回的行为签名储存到签名库，该签名库储存的是一组全局行为签名，下一次主机端完成异常事件的语义提取后，直接与行为签名库进行比对，如果成功比对，即可识别出恶意行为，如果恶意行为在全局签名库还不存在，则将相关异常数据发往server端由服务器进行处理，以上程序循环直至全部待检测数据完成处理。

全文数据：

权利要求：

百度查询： 西安电子科技大学 一种面向大规模网络下的攻击细粒度行为检测方法