[发明专利]一种基于异构图嵌入的网络空间安全威胁检测方法及系统

权利要求书

1.一种基于异构图嵌入的网络空间安全威胁检测方法，其特征在于，包括：

获取实体行为数据；

根据元属性关联关系对所述实体行为数据中所有的数据项进行关联，获取数据项序列，并基于所述数据项序列构建异构图；

基于图嵌入学习方法，将所述异构图中的每个节点转换成低维向量，获取每个所述节点的向量化表达；

对所述向量化表达的特征进行分析处理，以判断所述向量化表达所对应的所述数据项是否为恶意行为；

所述根据元属性关联关系对所述实体行为数据中所有的数据项进行关联，获取数据项序列，并基于所述数据项序列构建异构图，包括：

设定多个所述元属性，根据所述元属性关联关系，对每类所述实体行为数据中的所述数据项进行关联，获取所述数据项序列；

以每个所述数据项为节点，以所述数据项序列为边类型映射构建所述异构图。

2.根据权利要求1所述的基于异构图嵌入的网络空间安全威胁检测方法，其特征在于，所述根据所述元属性关联关系，对每类所述实体行为数据中的所述数据项进行关联，包括：

根据每个元属性之间的单位时间窗口内实体行为的因果关系和顺序关系、单位时间窗口内实体行为之间的相似性逻辑关系、操作对象之间的相似性逻辑关系中的一个或多个对每类所述实体行为数据中的所述数据项进行关联。

3.根据权利要求1所述的基于异构图嵌入的网络空间安全威胁检测方法，其特征在于，所述设定多个所述元属性，包括：

设定数据主体、操作对象、操作类型、操作时间以及对象主机中的至少两个为所述元属性。

4.根据权利要求1所述的基于异构图嵌入的网络空间安全威胁检测方法，其特征在于，在所述根据所述元属性关联关系，对每类所述实体行为数据中的所述数据项进行关联之前，还包括：

根据网络空间安全威胁场景，确定每个所述元属性关联关系的重要性，并根据所述重要性的大小，确定对所述实体行为数据中所有的数据项进行关联的程度。

5.根据权利要求1所述的基于异构图嵌入的网络空间安全威胁检测方法，其特征在于，所述基于图嵌入学习方法，将所述异构图中的每个节点转换成低维向量，获取每个所述节点的向量化表达，包括：

基于随机行走图遍历算法，根据所述异构图中的每条边的权重和类型，确定每个所述节点的节点序列；

基于word2vec算法，根据每个所述节点的节点序列，计算每个所述节点的向量化表达。

6.根据权利要求1所述的基于异构图嵌入的网络空间安全威胁检测方法，其特征在于，所述对所述向量化表达的特征进行分析处理，以判断所述向量化表达所对应的所述数据项是否为恶意行为，包括：

根据每个所述向量化表达的特征，基于异常检测对所述向量化表达进行分析，发现异常的所述向量化表达，则其所对应的所述数据项为所述恶意行为。

7.根据权利要求6所述的基于异构图嵌入的网络空间安全威胁检测方法，其特征在于，所述基于异常检测对所述向量化表达进行分析，发现异常的所述向量化表达，则其所对应的所述数据项为所述恶意行为，包括：

若所述向量化表达不属于期望的分类，则为异常；

或者，若所述向量化表达不属于任何聚类集群或不属于期望的分布，则为异常；

或者，若所述向量化表达所属的聚类集群的项数目小于异常阈值，则所述聚类集群中所有所述向量化表达为异常；

或者，若所述向量化表达所属的分布包含的所述向量化表达数目小于异常阈值，则所述分布中所有所述向量化表达为异常。

8.根据权利要求1所述的基于异构图嵌入的网络空间安全威胁检测方法，其特征在于，所述实体行为数据包括用户行为数据以及软件行为数据。