基于圖神經(jīng)網(wǎng)絡(luò)進(jìn)程行為嵌入表示的入侵檢測
信息技術(shù)與網(wǎng)絡(luò)安全 12期
胡啟宬,何樹果,朱 震
(北京升鑫網(wǎng)絡(luò)科技有限公司 青藤云安全人工智能實驗室,北京101111)
摘要: 入侵檢測是保障網(wǎng)絡(luò)空間安全的一項重要技術(shù)。隨著入侵者技術(shù)手段的升級,新一代的入侵檢測系統(tǒng)中需要融入人工智能技術(shù)以提升檢測效果。提出一種基于圖神經(jīng)網(wǎng)絡(luò)進(jìn)程行為嵌入表示的入侵檢測方法,該方法將計算機(jī)事件日志轉(zhuǎn)化為系統(tǒng)日志對象連接圖結(jié)構(gòu),并在該圖上使用圖神經(jīng)網(wǎng)絡(luò)框架進(jìn)行頂點嵌入,從而得到計算機(jī)內(nèi)進(jìn)程行為的向量表達(dá);在此基礎(chǔ)上,建立多階轉(zhuǎn)移模型,為計算機(jī)描述整體的進(jìn)程行為基線,并以偏離該基線的程度作為入侵行為檢測的依據(jù)。經(jīng)過多個攻擊場景的驗證,本文方法能夠有效地檢測出多種入侵行為。
中圖分類號: TP309
文獻(xiàn)標(biāo)識碼: A
DOI: 10.19358/j.issn.2096-5133.2021.12.001
引用格式: 胡啟宬,何樹果,朱震. 基于圖神經(jīng)網(wǎng)絡(luò)進(jìn)程行為嵌入表示的入侵檢測[J].信息技術(shù)與網(wǎng)絡(luò)安全,2021,40(12):1-7.
文獻(xiàn)標(biāo)識碼: A
DOI: 10.19358/j.issn.2096-5133.2021.12.001
引用格式: 胡啟宬,何樹果,朱震. 基于圖神經(jīng)網(wǎng)絡(luò)進(jìn)程行為嵌入表示的入侵檢測[J].信息技術(shù)與網(wǎng)絡(luò)安全,2021,40(12):1-7.
Intrusion detection with Graph Neural Network-based process behavior embedding
Hu Qicheng,He Shuguo,Zhu Zhen
(Qingteng AI Lab,Shengxin Network Technology Co.,Ltd.,Beijing 101111,China)
Abstract: Intrusion detection is important in ensuring the security of cyberspace. With the evolution of intrusion techniques, intrusion detection system of new generation is in need of an integration of artificial intelligence technology. In this paper, a method of intrusion detection with Graph Neural Network-based process behavior embedding is introduced. This method converts event log of computer systems into the system log object connection graph, and uses framework of Graph Neural Network to embed the vertices of the graph, so as to obtain the vector representation of the process behavior; on this basis, it establishes a multi-stage transition model that describes the overall process behavior baseline for the system, and uses the degree of deviation from this baseline as the basis for intrusion behavior detection. With verification of multiple attack scenarios, the method can detect intrusions effectively.
Key words : intrusion detection;Graph Neural Network;graph representation learning;anomaly detection
0 引言
政府和企業(yè)日益采用復(fù)雜和龐大的信息系統(tǒng),如何確保其自身的網(wǎng)絡(luò)空間安全成為重要課題。入侵檢測是一類通過事件分析,對可疑或具有潛在威脅的行為進(jìn)行檢測,并及時主動地發(fā)出警告的安全保障技術(shù)。傳統(tǒng)的入侵檢測技術(shù)有基于模式匹配、狀態(tài)匹配、統(tǒng)計特征、啟發(fā)式簽名規(guī)則等多個分類,新一代技術(shù)更是融入了機(jī)器學(xué)習(xí)、異常檢測等人工智能等相關(guān)方法,檢測效果得以大幅提升。
信息系統(tǒng)的入侵者在實施攻擊的時候,一般會采取包含信息偵察、橫向移動、憑證獲取、權(quán)限提升等一系列戰(zhàn)術(shù),這些戰(zhàn)術(shù)又對應(yīng)數(shù)百種多變的攻擊技術(shù)[1]。如果使用基于模式匹配或者啟發(fā)式簽名的方法進(jìn)行入侵檢測,會高度依賴威脅情報收集和安全專家知識的轉(zhuǎn)化,既緩慢且成本高昂;基于機(jī)器學(xué)習(xí)和異常檢測的方法則可以在一定程度上降低這一成本,既能對已知威脅達(dá)到較高的檢測準(zhǔn)確率,還能對未知威脅進(jìn)行檢測。
本文詳細(xì)內(nèi)容請下載:http://m.jysgc.com/resource/share/2000003888
作者信息:
胡啟宬,何樹果,朱 震
(北京升鑫網(wǎng)絡(luò)科技有限公司 青藤云安全人工智能實驗室,北京101111)
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。