[发明专利]一种基于图卷积神经网络的多阶段攻击场景构建方法及系统

说明书

本发明公开了一种基于图卷积神经网络的多步攻击检测和场景构建方法，从网络流量中匹配IDS警报对应的可疑攻击流。利用匹配到的可疑攻击流提取特征并计算流之间的相似度用于构建相似关系矩阵，将流的特征转化为节点属性，相似关系矩阵转换为邻接矩阵构建可疑流图。利用图卷积神经网络对步骤2构建的可疑流图进行半监督分类，将可疑流划分为不同攻击阶段。并对每个攻击阶段建立带权重的阶段通信图，并从阶段通信图中提取高质量场景子图，得到完整攻击场景。本发明对比多个模型的检测效果。实验结果证明，本发明可以提高精度的同时降低误报的出现。还可以准确划分攻击阶段效果并可以构建完整多步攻击场景，方便安全管理员对于检测信息的直接利用。

技术领域

本发明属于网络信息安全技术领域，涉及攻击检测技术及攻击场景构建技术，特别涉及一种基于图卷积神经网络的多步攻击场景构建方法及系统。

背景技术

自从互联网诞生以来，网络攻击一直威胁着用户和组织。伴随着信息社会的高速发展，计算机网络技术在人们的生活中快速普及，逐渐成为人们生活的必需品。在这种发展态势下，网络攻击也变得越来越复杂。现在，攻击者往往需要执行多个攻击阶段来达到他们的最终目的，每个攻击阶段又包含多个攻击步骤，不同步骤可能会间隔很长时间，但具有相关性。这种一个或几个攻击者针对一个特定目标所采取的攻击阶段的集合被称为多阶段攻击。攻击者将攻击分解为多个阶段，一方面由于现在的网络具有复杂的网络拓扑结构和不同的安全层，仅凭单步完成入侵十分困难，另一方面更多的攻击阶段意味着攻击更难以被检测，因为它们的多阶段性质阻碍了入侵检测，不仅要检测出所有阶段的攻击，还要将不同阶段的攻击关联成完整攻击场景。所以一旦多阶段攻击发生，造成的危害会更大。

在传统的检测方法中，警报关联分析和攻击图分析等是常用的解决思路。警报关联分析使用基于相似性的技术对警报进行分类，因为具有相似属性的警报更有可能出现在同一个阶段，但是只依靠警报的属性很难学习到不同攻击阶段之间的关联关系，并且难以检测未知攻击。如果已知系统的脆弱性或攻击之间的因果关系建立攻击图，可以很容易的检测出攻击场景，然而这需要大量的专家知识，同时会有大量的误报出现，这会影响构建攻击场景的准确性。

图卷积神经网络(GCN)是一种深度神经网络模型，在图上有很好的效果并已经在多领域上应用，如社区检测等。它在对图中节点进行学习的同时考虑了和相邻节点的关系，多步攻击既要检测出所有的攻击步骤，还要将不同的攻击步骤关联，这与GCN的特点非常符合。因此，本发明摒弃了传统的机器学习方法，选择使用图卷积神经网络来检测多阶段攻击。从网络流量中匹配IDS警报对应的异常流，并提取流的基本特征。特别的，本发明提取异常流的原始数据构建相似度矩阵，增加了信息量便于更好的学习不同异常流之间关联关系，取代了大量专家知识的参与。之后，使用GCN将异常流分类为不同的攻击阶段。对于不同阶段，本发明提出了高质量攻击子图来挖掘攻击场景，有效的去除了误报。最后，关联所有的攻击子图构建完整的多阶段攻击场景。

发明内容

本发明所要解决的技术问题是提供一种基于图卷积神经网络的多阶段攻击场景构建方法及系统，用于解决传统网络下，检测存在于网络中的多步攻击行为，并还原完整攻击场景，并降低攻击者继续利用中间跳板等持续对网络造成损失的问题。

本发明解决上述技术问题的技术方案如下：一种基于图卷积神经网络的多阶段攻击场景构建方法，包括：

步骤1：从网络流量中匹配IDS警报对应的可疑攻击流。

步骤2：利用步骤1匹配到的可疑攻击流提取特征并计算流之间的相似度用于构建相似关系矩阵，将流的特征转化为节点属性，相似关系矩阵转换为邻接矩阵构建可疑流图。

步骤3：利用图卷积神经网络对步骤2构建的可疑流图进行半监督分类，将可疑流划分为不同攻击阶段。并对每个攻击阶段建立带权重的阶段通信图，并从阶段通信图中提取高质量场景子图，得到完整攻击场景。

进一步，所述步骤1中从网络流量中匹配IDS警报对应的可疑攻击流的过程具体包括：