一种基于序列化图生成模型的高级持续威胁预测方法

本发明属于网络安全和深度学习，具体涉及一种基于序列化图生成模型的高级持续威胁预测方法。

背景技术：

1、近年来，apt攻击成为世界各国网络空间安全治理的焦点，其是一种利用先进的攻击手段对特定目标进行长期、隐蔽、持续攻击的攻击形式。目前在真实网络发生的过程中，攻击方通常掌握着主动权，并尝试利用0-day漏洞、新型恶意软件来发动攻击。面对先进的攻击技术，检测能力与攻击手段之间存在间隙，攻防技术不对称性使得攻击在被发觉时已经造成了巨大损失。

2、目前，随着apt攻击手段呈现出阶段化、多样化的特点，攻击者往往通过组合多个战术来构建一次完整的攻击，并且攻击中一个战术的实现也往往包含了多种技术及其变体，想要精准的预测攻击者后续的攻击行为难度极高。一方面，攻击者会在组织内部长期潜伏并等待时机，以完成致命一击，分析人员很难自动化地根据早期行为信息提前或实时地预测攻击方的下一步行动以对系统进行有效加固。另一方面，防御方对于攻击者下一步操作或者其目标的判断往往过度依赖于安全从业人员等经验知识。因此，缺乏一种结合人工智能手段的方法，在入侵过程中对潜在的后续攻击行为进行主动预测，全方位感知预警未来可能出现的威胁，进而协助分析人员提前进行防御决策，帮助企业防患于未然。

3、针对上述问题，如何在攻击发生的过程中对攻击者下一步的攻击手法进行主动实时预测，为安全人员提供预警指导，是亟待解决的一个问题。

技术实现思路

1、本发明的目的在于提供一种基于序列化图生成模型的高级持续威胁预测方法，实现在入侵过程中对潜在的后续攻击行为进行主动预测。

2、为实现上述目的，本发明所采取的技术方案为：

3、一种基于序列化图生成模型的高级持续威胁预测方法，所述基于序列化图生成模型的高级持续威胁预测方法，包括：

4、步骤1、基于系统审计日志构建攻击异构图；

5、步骤1-1、捕获系统审计日志，收集内核级系统事件排列成一个起源图；

6、步骤1-2、采用节点类型定义和动词依赖关系定义分别对起源图的节点和边进行建模，构建具有抽象攻击上下文关系的攻击异构图；

7、步骤2、基于邻接矩阵对攻击异构图进行表征；

8、步骤2-1、将攻击异构图定义为g＝(v,e)，其中，节点集合为v＝(v1,…,vn)，节点间的边集合为e＝(vi,vj|vi,vj∈v)；

9、步骤2-2、在节点顺序π下，邻接矩阵定义为为邻接元素；

10、步骤2-3、定义一个映射函数fs将图g映射至邻接矩阵，将图g中的节点顺序以及节点之间的依赖关系以序列的形式表示，得到序列化图；

11、步骤3、基于序列化图生成攻击预测图；

12、步骤3-1、将序列化图中的序列张量拼接后输入节点预测网络，得到新节点的实体类型；

13、步骤3-2、将序列化图和步骤3-1输出的新节点的实体类型输入依赖关系预测网络，得到新节点与前置节点之间的依赖关系；

14、步骤3-3、根据新节点的实体类型和其与前置节点之间的依赖关系更新攻击异构图，并返回步骤2继续预测，直至预测节点为空或者达到设置的预测长度后输出最终的攻击异构图作为攻击预测图。

15、以下还提供了若干可选方式，但并不作为对上述总体方案的额外限定，仅仅是进一步的增补或优选，在没有技术或逻辑矛盾的前提下，各可选方式可单独针对上述总体方案进行组合，还可以是多个可选方式之间进行组合。

16、作为优选，所述起源图中，取内核级系统事件的实体对象中的主体与客体作为起源图中的节点，取实体之间的关系作为起源图中的边，边的方向表示两个实体之间数据内容或控制信息的流动方向。

17、作为优选，所述节点类型定义包括的实体类型有process、file、registry和socket，其中实体类型process的描述为系统已运行的程序，实体类型file分为四类，分别描述为包含配置信息的敏感文件、库文件、可执行文件和其他类型的文件，实体类型registry的描述为统一管理软硬件配置，实体类型socket的描述为套接字；

18、所述动词依赖关系定义中将动词依赖关系read,write,exec,load,unlink定义为process to file的事件关系，将动词依赖关系send,receive定义为process to socket的事件关系，将动词依赖关系fork,clone,start,exit定义为process to process的事件关系。

19、作为优选，所述采用节点类型定义和动词依赖关系定义分别对起源图的节点和边进行建模，构建具有抽象攻击上下文关系的攻击异构图，包括：

20、根据节点类型定义，将起源图中符合描述的节点替换为对应的实体类型；根据动词依赖关系定义，将起源图中节点之间的事件关系替换为该事件关系下节点之间命令执行功能对应的动词依赖关系。

21、作为优选，所述映射函数fs如下：

22、

23、式中，为邻接向量，表示节点vi在π顺序下与前置节点之间的动词依赖关系，邻接元素表示节点vi在π顺序下与节点vj之间的动词依赖关系，p表示动词依赖关系定义中动词依赖关系的编号，为节点类型，表示节点vi所属的实体类型，k表示节点类型定义中实体类型的编号，所有节点的节点序列为所有边的边序列为

24、作为优选，所述攻击异构图的分布p(g)可以表示为p(sπ,cπ)，且：

25、p(sπ,cπ)＝fs(g,π)

26、将分布p(g)拆解为似然函数如下：

27、

28、对于终止节点n+1，则表示为：

29、作为优选，所述节点预测网络和依赖关系预测网络均为门控循环神经网络。

30、本发明提供的一种基于序列化图生成模型的高级持续威胁预测方法，基于邻接矩阵的图结构定义，捕获攻击图中的节点属性、边属性与边的时序性等特征。基于序列化图生成网络的模型构建，通过学习攻击图中的攻击规律和分布，在高级持续威胁攻击发生的过程中对攻击者下一步的攻击手法进行主动实时预测。

技术特征：

1.一种基于序列化图生成模型的高级持续威胁预测方法，其特征在于，所述基于序列化图生成模型的高级持续威胁预测方法，包括：

2.如权利要求1所述的基于序列化图生成模型的高级持续威胁预测方法，其特征在于，所述起源图中，取内核级系统事件的实体对象中的主体与客体作为起源图中的节点，取实体之间的关系作为起源图中的边，边的方向表示两个实体之间数据内容或控制信息的流动方向。

3.如权利要求1所述的基于序列化图生成模型的高级持续威胁预测方法，其特征在于，所述节点类型定义包括的实体类型有process、file、registry和socket，其中实体类型process的描述为系统已运行的程序，实体类型file分为四类，分别描述为包含配置信息的敏感文件、库文件、可执行文件和其他类型的文件，实体类型registry的描述为统一管理软硬件配置，实体类型socket的描述为套接字；

4.如权利要求3所述的基于序列化图生成模型的高级持续威胁预测方法，其特征在于，所述采用节点类型定义和动词依赖关系定义分别对起源图的节点和边进行建模，构建具有抽象攻击上下文关系的攻击异构图，包括：

5.如权利要求1所述的基于序列化图生成模型的高级持续威胁预测方法，其特征在于，所述映射函数fs如下：

6.如权利要求5所述的基于序列化图生成模型的高级持续威胁预测方法，其特征在于，所述攻击异构图的分布p(g)可以表示为p(sπ，cπ)，且：

7.如权利要求1所述的基于序列化图生成模型的高级持续威胁预测方法，其特征在于，所述节点预测网络和依赖关系预测网络均为门控循环神经网络。

技术总结
本发明公开了一种基于序列化图生成模型的高级持续威胁预测方法，包括如下步骤：从系统审计内核日志中构建起源图，并将该图建模为有多种类型的节点和边的攻击异构图；将代表攻击者上下文攻击行为的攻击异构图以邻接矩阵的形式进行表征；构建自回归深度神经网络，序列化地生成攻击预测图，以预测下一个节点的类型和该节点与已有节点之间的依赖关系。该方法的优势在于：利用序列化图生成模型，同时捕获攻击图中的节点属性、边属性与边的时序性等特征。在高级持续威胁攻击发生的过程中对攻击者下一步的攻击手法进行主动实时预测。

技术研发人员：程雯睿,朱添田,应杰,袁淇萱,陈铁明,吕明琪
受保护的技术使用者：浙江工业大学
技术研发日：
技术公布日：2024/1/11