[发明专利]一种基于异构图嵌入的网络空间安全威胁检测方法及系统

说明书

本发明实施例提供一种基于异构图嵌入的网络空间安全威胁检测方法及系统，包括：获取实体行为数据；根据元属性关联关系对所述实体行为数据中所有的数据项进行关联，获取数据项序列，并基于数据项序列构建异构图；基于图嵌入学习方法，将异构图中的每个节点转换成低维向量，获取每个节点的向量化表达；对所述向量化表达的特征进行分析处理，以判断所述向量化表达所对应的所述数据项是否为恶意行为。本实施例通过建立用于威胁检测的异构图，精简并向量化表示实体行为数据项，提供的针对网络空间安全的数据项级威胁检测，无需后期人工修正以及有标签的数据项作为训练样本，有效的提高了检测的精度和检测的可行性。

技术领域

本发明涉及计算机技术领域，尤其涉及一种基于异构图嵌入的网络空间安全威胁检测方法及系统。

背景技术

现代信息系统对于当今的企业和组织而言，已经成为重要且不可替代的组成部分。而该系统始终处于网络空间安全威胁的风险中，其中主要的网络空间安全威胁表现在两个方面，其一为内部攻击威胁，另一种是高级持续威胁(APT攻击)。

内部攻击威胁通常来自于内部恶意雇员，其具有合法访问信息系统的权限，并具有利用访问权限以破坏信息系统的机密性、完整性或可用性的威胁。APT攻击的威胁主体通常先渗透进入目标网络中的主机并窃取合法账号和权限，然后以此为基础，通过内部互联网络隐蔽且持续地入侵更多的主机并窃取机密信息。这两种攻击被认为是现代企业的主要安全威胁。然而，这两种攻击的检测和发现技术存在一定差异。

其中，对于内部攻击威胁的检测和识别一般是通过基于序列的威胁检测方法，通过对用户行为进行建模并以此发现异常行为。通常会将用户的各种操作(即数据项)转换为序列，这些序列基于各数据项之间的时序关系或因果关系，然后使用序列分析技术，例如深度神经网络，从历史事件中学习序列模式并预测接下来的事件，如果实际发生的事件与预测发生的事件存在较大偏离，则认为是异常事件。

本质上，这类方法对用户正常行为模式进行识别和建模，并将偏离正常行为模式的用户行为判断为异常行为。然而，这类检测方法忽略了数据项之间的其它有用关系，例如：整体比较用户单位时间窗口(如一天、一周)内的行为是内部威胁检测的一种常用方法，这类方法基于的前提是，用户在单位时间窗口内的行为在一定时期内具有相对稳定的规律性。而上述基于序列的威胁检测方法忽略了这种重要关系，因此导致检测性能不够理想。此外，这类方法还要求已知的正常行为数据，甚至需要大量有标签日志数据来训练模型。但在现实场景中，攻击行为相对正常行为非常罕见，因此限制了这类方法准确进行行为预测的能力。

另外，现今对于APT攻击的威胁检测技术主要包括：在通过分析实体登录行为来发现异常主机的基于登录结构图的威胁检测方法。虽然该方法通常能够分析主机之间的特定交互关系，然而无法检测前面提到的涉及许多其它操作(例如文件操作、网站浏览)的内部攻击。此外，这类方法发现的可疑主机，不可避免地同时包含许多正常行为和操作，从而需要大量的后期人工修正。

综上所述，现阶段对于网络空间安全威胁的检测面临以下三个问题：

1)如何同时检测内部攻击威胁以及APT攻击；

2)如何细粒度的检测APT攻击，尤其是深入挖掘和分析主机数据项之间的关联关系；

3)如何不依赖攻击样本训练实现威胁检测。

发明内容

本发明实施例提供了一种基于异构图嵌入的网络空间安全威胁检测方法及系统，用以解决现有技术中存在的网络空间安全威胁检测对象单一、精度低以及过度依赖检测样本训练的缺陷，实现对网络空间安全威胁的有效检测的目的。