[发明专利]一种电力系统复杂多步攻击检测方法及系统

说明书

本发明公开了一种电力系统复杂多步攻击检测方法及系统，方法包括：采集网络实体交互行为数据；对网络实体交互行为数据进行基于异质图的数据预处理，获得输入数据；将输入数据输入复杂多步攻击检测模块，获得攻击检测结果。基于异质图的数据预处理，从交互行为数据中抽取信息构造异质图的节点和边；将目的节点及其相邻的源节点的时间戳信息输入Time2Vec层获得第一时间嵌入表示；将融合了节点特征信息和第一时间嵌入表示的数据输入Heteformer层，获得第二节点嵌入表示作为输入数据输入复杂多步攻击检测模块，克服了传统神经网络无法为重要的连接关系分配更多权重的缺陷，提高了复杂多步攻击检测的准确性。

技术领域

本发明属于电力系统网络安全技术领域，具体涉及一种电力系统复杂多步攻击检测方法及系统。

背景技术

复杂多步攻击是针对政府、企业等发动的长期的、隐蔽的、破坏性大的网络攻击。随着攻击方式的日新月异，现有的攻击已经不仅仅是单步攻击，而是多个复杂攻击组合的形式。攻击者通过故意攻击非真实意图的目标来分散防御者的注意力，扰乱防御者的注意力，从而乘机对真实目标发动隐蔽性较强的攻击行为。因此，全方位监控电力系统行为是应对复杂多步攻击检测的有效方法之一。

近年来，针对海量异构网络安全数据，基于深度学习的端到端检测方法，无需借助特征工程过程，受到了越来越多的关注。由于这些方法能够以端到端的方式自动学习数据中的潜在特征，因此它们在面对未知的攻击行为时具有一定的泛化能力。然而，APT（Advanced Persistent Threat，高级持续性威胁）类复杂多步攻击的长时间间隔和复杂行为的低调特征使其仍然面临检测成功率低的问题。

发明内容

为解决现有技术中的不足，本发明提供一种电力系统复杂多步攻击检测方法及系统，克服了传统神经网络无法为重要的连接关系分配更多权重的缺陷，提高了复杂多步攻击检测的准确性。

为达到上述目的，本发明所采用的技术方案是：

第一方面，提供一种电力系统复杂多步攻击检测方法，包括：采集网络实体交互行为数据；对网络实体交互行为数据进行基于异质图的数据预处理，获得输入数据；将输入数据输入复杂多步攻击检测模块，获得攻击检测结果。

进一步地，所述采集网络实体交互行为数据，包括：采集系统日志和网络行为日志，将IP地址和主机MAC地址绑定，记录主机与主机间的操作记录以及主机的网络行为；收集网络连接关系和系统内部工作人员信息，将主机和员工信息绑定，记录员工与主机间的操作记录以及员工的上网行为记录。

进一步地，所述基于异质图的数据预处理，包括：以网络实体交互行为数据中的用户、主机、文件、网站作为节点，节点间连接关系作为边建立异质图；将异质图中的目的节点及其相邻的源节点的时间戳信息输入Time2Vec层获得第一时间嵌入表示；将融合了节点特征信息和第一时间嵌入表示的数据输入Heteformer层，根据不同节点类型和边类型分配不同的权重，利用自注意力机制学习到为复杂多步攻击检测任务贡献度最大的邻居信息，聚合邻居信息以获得作为输入数据的第二节点嵌入表示。

进一步地，以网络实体交互行为数据中的用户、主机、文件、网站作为节点，节点间连接关系作为边建立异质图，包括：从网络实体交互行为数据中抽取信息构造节点类型和边类型；其中，边类型包括但不限于用户登录主机、用户登出主机、主机打开文件、主机写文件、文件上传网站、网站下载文件和用户访问网站；从网络实体交互行为数据中抽取信息构造节点特征和边特征；其中，用户节点特征包括用户名、用户所在组和用户邮箱；主机节点特征包括主机ID、主机型号、主机所在区域和主机U盘使用次数；文件节点特征包括文件创建时间、文件修改时间、文件类型和文件名称；用户登录主机边特征和用户登出主机边特征包括身份验证状态码、身份验证事件和身份验证类型。