[发明专利]一种基于异质图网络的横向移动攻击检测方法及系统

权利要求书

1.一种基于异质图网络的横向移动攻击检测方法，其特征在于，包括以下步骤：

收集内网设备产生的认证日志，构建数据集；

利用所述数据集构建用户登录图和源主机路径图。

基于所述用户登录图，进行基于无监督学习的异常登录行为检测；

基于所述源主机路径图和所述基于无监督学习的异常登录行为检测得到的有标签样本，进行基于半监督学习的横向移动攻击检测。

2.根据权利要求1所述的方法，其特征在于，在构建所述用户登录图和所述源主机路径图之前进行数据预处理；所述数据预处理包括：给定认证日志数据集D，遍历其中的每一条认证事件，将源用户与目标用户相同且源主机与目标主机不同的事件筛选出来，得到处理后的数据集D₁。

3.根据权利要求2所述的方法，其特征在于，所述用户登录图是一张无向同质图，表示用户一定时间内在主机间的登录行为模式；所述用户登录图的构建过程包括：给定数据集D₁、用户u和滑动窗口长度L，在D₁中筛选出属于用户u的认证事件，得到数据集D_u；根据滑动窗口长度L将数据分为多个时间窗口，用于计算不同窗口下用户在主机上的登录次数特征F；遍历D_u中的每一条认证事件，将源主机和目标主机添加到图中的节点V，并添加一条源主机与目标主机的连接到图中的边E，同时将F中源主机与目标主机在对应窗口下的登录次数加一，遍历结束即得到用户u的带有特征的用户登录图G_u＝(V,E,F)。

4.根据权利要求3所述的方法，其特征在于，所述源主机路径图是一个有向异质图，表示用户到目标主机的登录路径与源主机之间的关联关系；所述源主机路径图中定义有两种类型的节点，一类表示源主机V_src，一类表示用户到目标主机的登录路径V_path；边也存在两种类型，一类为发送边E_send，从源主机节点指向用户到目标主机的登录路径节点，表示用户从源主机登录到目的主机；另一类为依托边E_on，从用户到目标主机的登录路径节点指向源主机节点，表示用户到目标主机的登录路径发生在源主机上，这两种类型的边是对称的；通过将滑动窗口下登录路径在源主机上的发生次数和统计特征F_statistic赋予到节点上，边仅表示连接关系，得到一个源主机路径图网络。

5.根据权利要求4所述的方法，其特征在于，所述统计特征F_statistic包括：用户到该目标主机认证的成功和失败次数，用户到该目标主机的认证次数占用户总认证次数的比率，用户到该目标主机认证事件发生的时间间隔的最小值、最大值以及平均值。

6.根据权利要求1所述的方法，其特征在于，所述基于无监督学习的异常登录行为检测，包括：

基于用户登录图，使用互信息最大化的图神经网络算法学习主机的行为模式，即通过最大化样本的局部特征h和全局特征s的互信息训练得到样本的隐层特征表示；

通过对节点施加随机乱序的扰动得到负样本，使用一个判别器对由h和s组成的样本对进行打分，得到节点的隐层表示；

基于图神经网络算法学得的样本特征表示，使用局部异常因子算法进行检测，通过设置阈值得到少量有标签主机样本，与其对应的用户组合成用户到目标主机的登录路径，用于第二阶段的半监督学习。

7.根据权利要求1所述的方法，其特征在于，所述基于半监督学习的横向移动攻击检测，包括：

定义两条元路径：从路径节点到源主机节点的元路径和从路径节点到源主机节点再到路径节点的元路径；

基于两条元路径，计算节点级注意力和语义级注意力特征，使用所述基于无监督学习的异常登录行为检测得到的有标签样本，以交叉熵损失函数为目标进行半监督学习，检测横向移动攻击行为。