[发明专利]一种基于威胁特征融合与元学习的APT攻击检测方法

权利要求书

1.一种基于威胁特征融合与元学习的APT攻击检测方法，其特征在于，包括以下步骤：

步骤1)特征融合：通过时间戳将系统日志syslog与网络流量进行对齐，通过Padding技术将不同维度的数据融合为元任务，并基于元学习将融合后的数据分拆为支持集和查询集；

步骤2)构建APT攻击检测模型；

步骤3)基于元学习预训练APT攻击检测模型：基于支持集训练模型，更新模型参数，用一组支持集学习初始化状态；基于查询集计算局部梯度，优化模型参数，提升模型泛化能力；

步骤4)基于按需微调机制优化预训练的APT攻击检测模型；

步骤5)基于训练完成的APT攻击检测模型进行APT攻击检测。

2.根据权利要求1所述的一种基于威胁特征融合与元学习的APT攻击检测方法，其特征在于，所述基于元学习将融合后的数据分拆为支持集和查询集具体实现方式为：通过数据采样将预定义的5分类问题转换为10个3分类任务，并从3分类任务中挑选相应的任务，组成支持集和查询集。

3.根据权利要求2所述的一种基于威胁特征融合与元学习的APT攻击检测方法，其特征在于，所述5分类任务被定义为用于区分APT攻击的5个关键步骤，包括NT、RN、EF、LM和DE5个类别，其中，NT代表正常流量，RN代表侦察，EF代表建立立足点，LM代表横向移动，DE代表数据外泄。

4.根据权利要求3所述的一种基于威胁特征融合与元学习的APT攻击检测方法，其特征在于，所述3分类任务包括{NT，RN，EF}，{NT，RN，LM}，{NT，RN，DE}，{NT，EF，LM}，{NT，EF，DE}，{NT，LM，DE}，{RN，EF，LM}，{RN，EF，DE}，{RN，LM，DE}，{EF，LM，DE}10种类别。

5.根据权利要求4所述的一种基于威胁特征融合与元学习的APT攻击检测方法，其特征在于，所述支持集包括{NT，RN，EF}，{NT，RN，LM}，{NT，EF，LM}和{RN，EF，LM}，其余类别的任务被添加到查询集。

6.根据权利要求1所述的一种基于威胁特征融合与元学习的APT攻击检测方法，其特征在于，所述按需微调机制具体为在APT攻击检测模型基础上新扩展N个隐藏层，并初始化；在预训练的APT攻击检测模型中冻结前M层的模型权值，然后用本地数据样本训练新扩展的N个隐藏层。

7.根据权利要求1所述的一种基于威胁特征融合与元学习的APT攻击检测方法，其特征在于，在APT攻击检测模型预训练中引入一类均衡损失，即在正常和异常类别上配置不同的代价惩罚项，使损失函数的计算过程更多地关注代价惩罚项较高的类别。

8.根据权利要求7所述的一种基于威胁特征融合与元学习的APT攻击检测方法，其特征在于，每个类别的代价惩罚项定义为所有类别的最大样本数与该类的样本数之比：

其中，λ_c表示c类的代价惩罚项，c∈[0,C]；m_max表示所有类别的最大样本数；m_c表示c类别中的样本数量，则类平衡损失定义如下：

其中，表示类c上的交叉熵损失，表示数据集D上的总熵损失。

9.根据权利要求1所述的一种基于威胁特征融合与元学习的APT攻击检测方法，其特征在于，所述APT攻击检测模型基于多层感知机MLP构建，MLP网络的输入层有80个神经元，两个隐层分别包含64个、32个隐神经元，每个隐藏层后的激活函数采用ReLU函数。

10.根据权利要求1所述的一种基于威胁特征融合与元学习的APT攻击检测方法，其特征在于，所述APT攻击检测模型基于ResNet网络构建，所述ResNet网络包括依次连接的：

1个1×3的二维卷积层，包含一个输入通道和两个输出通道；

1个批处理规范化层；

1个1×3的全局聚合层；

4个ResBlock层，其中，每个ResBlock层由2个残差模块组成，第一个残差模块使用1×1卷积层直接将输入添加到输出中，后三个ResBlocks层的输出通道数是输入通道数的两倍，输出形状是输入形状的一半；

1个1×3全局聚合层；

1个扁平层，用于将数据维度降为一维向量；

3个全连接层，用于输出。