http://www.jsjkx.comDOI:10.11896/jsjkx.220300040到稿日期:2022-03-04返修日期:2022-09-28基金项目:国家自然科学基金联合重点项目(U1936215);浙江省重点研发项目(2021C01117);国家自然科学基金青年项目(62002324);浙江省自然科学基金重大项目(LD22F020002);浙江省自然科学基金探索项目(LQ21F020016);浙江省“万人计划”科技创新领军人才项目(2020R52011)ThisworkwassupportedbytheJointFundsoftheNationalNaturalScienceFoundationofChina(U1936215),ZhejiangKeyR&DProjects(2021C01117),NationalNaturalScienceFoundationofChina(62002324),MajorProgramofNaturalScienceFoundationofZhejiangProvince(LD22F020002),ZhejiangProvincialNaturalScienceFoundationofChina(LQ21F020016)and“TenThousandPeopleProgram”TechnologyIn-novationLeadingTalentProjectinZhejiangProvince(2020R52011).通信作者:吕明琪(lvmingqi@zjut.edu.cn)基于异构溯源图学习的APT攻击检测方法董程昱吕明琪陈铁明朱添田浙江工业大学计算机科学与技术学院杭州310023(dcyzjut@foxmail.com)摘要APT攻击(AdvancedPersistentThreat),指黑客组织对目标信息系统进行的高级持续性的网络攻击。APT攻击的主要特点是持续时间长和综合运用多种攻击技术,这使得传统的入侵检测方法难以有效地对其进行检测。现有大多数APT攻击检测系统都是在整理各类领域知识(如ATT&CK网络攻防知识库)的基础上通过手动设计检测规则来实现的。然而,这种方式智能化水平低,扩展性差,且难以检测未知APT攻击。为此,通过操作系统内核日志来监测系统行为,在此基础上提出了一种基于图神经网络技术的智能APT攻击检测方法。首先,为捕捉APT攻击多样化攻击技术中的上下文关联,将操作系统内核日志中包含的系统实体(如进程、文件、套接字)及其关系建模成一个溯源图(ProvenanceGraph),并采用异构图学习算法将每个系统实体表征成一个语义向量。然后,为解决APT攻击长期行为造成的图规模爆炸问题,提出了一种从大规模异构图中进行子图采样的方法,在此基础上基于图卷积算法对其中的关键系统实体进行分类。最后,基于两个真实的APT攻击数据集进行了一系列的实验。实验结果表明,提出的APT攻击检测方法的综合性能优于其他基于学习的检测模型以及最先进的基于规则的APT攻击检测系统。关键词:APT攻击检测;图神经网络;溯源图;主机安全;数据驱动安全中图法分类号TP393HeterogeneousProvenanceGraphLearningModelBasedAPTDetectionD...
