买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

摘要：本发明公开了一种基于终身学习和可疑语义传递的APT异常检测方法，包括：S1、采集当前时段的系统日志数据作为当前数据并预处理；S2、建立异常检测模型；S3、将提取的良性系统日志数据的节点和节点间的关系作为异常检测模型的输入，计算重构损失并通过梯度下降法更新模型参数获得训练好的异常检测模型；S4、将下一时段的系统日志数据作为当前数据利用训练好的异常检测模型进行检测，并随着新产生的系统日志数据的输入重复步骤S4进行终身学习，获取对应的APT攻击异常检测结果。该方法能够提高APT异常检测的准确性和效率。

主权项：1.一种基于终身学习和可疑语义传递的APT异常检测方法，其特征在于：所述基于终身学习和可疑语义传递的APT异常检测方法包括如下步骤：S1、采集当前时段的系统日志数据作为当前数据并进行预处理，所述当前时段的系统日志数据为良性系统日志数据，所述预处理包括：S1.1、特征提取及溯源图构建：提取当前数据的节点和节点间的关系，所述节点间的关系即事件，并根据提取的节点和节点间的关系构建溯源图，事件即溯源图中的边；S2、建立异常检测模型，所述异常检测模型执行如下操作：S2.1、初始化嵌入：对在时间t的节点的特征、节点的状态和节点间的关系分别进行编码，对应获得特征编码、状态编码和节点间的关系编码，t为当前数据的时间点；S2.2、节点嵌入：对每个节点分别合成在时间t的特征编码、在时间t-1的状态编码和由GRU模型生成的在时间t-1的记忆向量为对应的节点嵌入向量，记节点i在时间t的节点嵌入向量为，节点i为当前数据中的节点；S2.3、关系嵌入：根据两个节点在时间t的节点嵌入向量、节点间的关系编码和事件的时间特征获得对应的边嵌入向量，记节点i和节点j在时间t的边嵌入向量为，节点j为当前数据中的节点；S2.4、状态传递：按照预设转移规则进行节点间的可疑状态传递，所述可疑状态表示节点与APT攻击相关的可疑程度；S2.5、模型输出：利用GRU模型更新节点的记忆向量，同时将时间t的边嵌入向量和对应的节点嵌入向量输入GNN模型生成对应的最终边向量，然后将时间t的最终边向量和对应的节点嵌入向量输入MLP模型获得对应的预测关系向量；S3、将提取的良性系统日志数据的节点和节点间的关系作为异常检测模型的输入，获得训练好的异常检测模型；S4、将下一时段的系统日志数据作为当前数据利用训练好的异常检测模型进行检测，并随着新产生的系统日志数据的输入重复步骤S4进行终身学习，获取对应的APT攻击异常检测结果。

全文数据：

权利要求：

百度查询： 浙江工业大学 一种基于终身学习和可疑语义传递的APT异常检测方法