一种基于多关系感知的异构图嵌入攻击检测方法及装置

本发明属于网络安全，更具体地，涉及一种基于多关系感知的异构图嵌入攻击检测方法及装置。

背景技术：

1、现阶段网络攻击变得越来越复杂、持续、有组织性。大多数基于溯源的检测系统是参考领域知识(如威胁模型、威胁情报)并通过规则匹配来实现。尽管基于规则的检测策略是有效的，并取得了先进的性能，但规则的制订依赖于专家对攻击的了解，基于特定攻击的规则缺乏泛化能力，无法处理复杂的行为模式，特别是先进的高级持续威胁(apt)。apt通常利用零日漏洞来规避这些检测系统。它还忽略了攻击之间的因果关联。

2、基于图的学习方法能从中提取潜在模式，建立检测模型，同时进行微调以适应新环境。常见的图学习方法使用元路径方法来聚合异构图的语义信息，但元路径已经被证明对表征丰富的语义和提取高阶结构的能力有限，且理论上，元路径不计其数，需要领域专家选择有价值的路径。使用元路径捕获节点对时可能会导致节点与边的信息损失。这些就导致了无法产生高效的溯源图的表示，降低了溯源图的精准检测。

技术实现思路

1、针对现有技术的缺陷和改进需求，本发明提供了一种基于多关系感知的异构图嵌入攻击检测方法及装置，旨在解决现有使用基于规则与元路径方法导致的检测效果不佳的问题。

2、为实现上述目的，第一方面，本发明提供了一种基于多关系感知的异构图嵌入攻击检测方法，包括以下步骤：

3、s1，收集系统内核的溯源信息并进行预处理；

4、s2，将预处理后的溯源信息转换成溯源图，所述溯源图为异构图；

5、s3，根据所述溯源图初始化节点特征与关系特征，并将与目标节点相连的不同关系进行分解，得到不同关系下所述目标节点的邻居节点；

6、s4，在特定关系下，计算邻居节点对目标节点的重要性，得到邻居节点对目标节点的节点特征表示，再与所述目标节点本身的节点特征表示进行连接，得到连接特征表示；所述特定关系为所述不同关系中的一种；

7、s5，将不同关系下的连接特征表示与相应的关系特征表示融合，得到所述目标节点的最终节点特征表示；

8、s6，将所述溯源图中所有节点的最终节点特征表示进行聚合得到图的表示；通过对图的分类实现攻击检测。

9、进一步地，所述s4中，在特定关系下，计算邻居节点对目标节点的重要性，得到邻居节点对目标节点的节点特征表示，包括：

10、s401，在特定关系下，计算邻居节点对目标节点的重要程度：

11、

12、式中，表示邻居节点u对目标节点v的重要程度，分别表示目标节点v与邻居节点u的特征，表示特定关系的特征，上标l表示第l层；

13、s402，对所述重要程度进行归一化，得到重要系数

14、

15、式中，表示在特定关系下目标节点v的所有邻居节点；

16、s403，得到邻居节点对目标节点的节点特征表示

17、

18、进一步地，所述s4中，连接特征表示为：

19、

20、式中，为学习到的权重系数，用于平衡连接中两个分量的权重，根据当前层目标节点的特征确定；为对齐权重矩阵，用于调整前一层输入在残差连接中的影响；φ(v)表示目标节点v的类型。

21、进一步地，所述s4还包括：将节点之间的关系特征作为节点特征的一部分，其中：

22、

23、式中，通过线性传播项和偏置项来更新，为可训练的参数。

24、进一步地，根据各层的连接特征表示和特定关系特征通过多层叠加，得到多层节点特征表示和多层关系特征表示

25、所述s5中，所述目标节点的最终节点特征表示hv为：

26、

27、

28、式中，为与目标节点v相连的所有关系，γv,r表示关系r对目标节点v表示的重要程度，vr为的转移矩阵，er为的转移矩阵。

29、进一步地，所述s6中，通过对图的分类实现攻击检测，包括：

30、获得图的表示后，将图的表示与相应的标签一起作为输入，进行图分类训练，使用损失函数计算预测结果与真实标签y之间的误差：

31、

32、通过迭代训练，优化分类模型的参数，实现攻击检测。

33、为实现上述目的，第二方面，本发明提供了一种基于多关系感知的异构图嵌入攻击检测装置，包括：

34、溯源收集与预处理模块，用于收集系统内核的溯源信息并进行预处理；

35、溯源图构造模块，用于将预处理后的溯源信息转换成溯源图，所述溯源图为异构图；

36、特征初始化与关系分解模块，用于根据所述溯源图初始化节点特征与关系特征，并将与目标节点相连的不同关系进行分解，得到不同关系下所述目标节点的邻居节点；

37、节点表示与关系表示模块，用于在特定关系下，计算邻居节点对目标节点的重要性，得到邻居节点对目标节点的节点特征表示，再与所述目标节点本身的节点特征表示进行连接，得到连接特征表示；所述特定关系为所述不同关系中的一种；

38、特征融合模块，用于将不同关系下的连接特征表示与相应的关系特征表示融合，得到所述目标节点的最终节点特征表示；

39、攻击检测模块，用于将所述溯源图中所有节点的最终节点特征表示进行聚合得到图的表示；通过对图的分类实现攻击检测。

40、为实现上述目的，第三方面，本发明提供了一种基于多关系感知的异构图嵌入攻击检测系统，包括：计算机可读存储介质和处理器；

41、所述计算机可读存储介质用于存储可执行指令；

42、所述处理器用于读取所述计算机可读存储介质中存储的可执行指令，执行如第一方面所述的基于多关系感知的异构图嵌入攻击检测方法。

43、为实现上述目的，第四方面，本发明提供了一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行如第一方面所述的基于多关系感知的异构图嵌入攻击检测方法。

44、总体而言，通过本发明所构思的以上技术方案，能够取得以下有益效果：

45、本发明提出一种基于多关系感知的异构图嵌入方法用于攻击检测，在考虑关系感知的节点特征表示的基础上，也考虑关系语义特征，从而更加全面的捕获溯源图的复杂结构；基于特定关系的下的节点表示学习，能够有效考虑邻域重要性与自身特征，能够挖掘准确的节点特征；通过将节点特征与关系特征的融合，使得图表示更加精确，有利于后续的图分类攻击检测。从而，本发明能够高效精准的通过图表示学来识别攻击行为，同时可以拥有较低的时间开销。

技术特征：

1.一种基于多关系感知的异构图嵌入攻击检测方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的基于多关系感知的异构图嵌入攻击检测方法，其特征在于，所述s4中，在特定关系下，计算邻居节点对目标节点的重要性，得到邻居节点对目标节点的节点特征表示，包括：

3.根据权利要求2所述的基于多关系感知的异构图嵌入攻击检测方法，其特征在于，所述s4中，连接特征表示为：

4.根据权利要求3所述的基于多关系感知的异构图嵌入攻击检测方法，其特征在于，所述s4还包括：将节点之间的关系特征作为节点特征的一部分，其中：

5.根据权利要求4所述的基于多关系感知的异构图嵌入攻击检测方法，其特征在于，根据各层的连接特征表示和特定关系特征通过多层叠加，得到多层节点特征表示和多层关系特征表示

6.根据权利要求1所述的基于多关系感知的异构图嵌入攻击检测方法，其特征在于，所述s6中，通过对图的分类实现攻击检测，包括：

7.一种基于多关系感知的异构图嵌入攻击检测装置，其特征在于，包括：

8.一种基于多关系感知的异构图嵌入攻击检测系统，其特征在于，包括：计算机可读存储介质和处理器；

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行如权利要求1-6任一项所述的基于多关系感知的异构图嵌入攻击检测方法。

技术总结
本发明公开了一种基于多关系感知的异构图嵌入攻击检测方法及装置，属于网络安全技术领域，方法包括：收集系统内核的溯源信息，并进行预处理构建溯源图，该溯源图可以看作是异构图；求取溯源图中特定关系下的节点表示，同时获取关系表示；考虑节点之间的连接方式，即节点之间的关系语义特征，优化节点特征表示；将获取的不同关系下的节点表示与相应的关系特征融合起来，得到节点的最终表示；将溯源图中所有节点的特征进行聚合得到图的表示；通过对图的分类实现攻击检测。本发明能够有效挖掘溯源图的节点信息与节点之间的依赖关系信息以产生高效的溯源图的表示，实现对攻击溯源图的精准检测。

技术研发人员：谢雨来,吴林,吴雅锋,冯丹
受保护的技术使用者：华中科技大学
技术研发日：
技术公布日：2024/4/7