基于圖神經(jīng)網(wǎng)絡進程行為嵌入表示的入侵檢測
信息技術與網(wǎng)絡安全 12期
胡啟宬,何樹果,朱 震
(北京升鑫網(wǎng)絡科技有限公司 青藤云安全人工智能實驗室,北京101111)
摘要: 入侵檢測是保障網(wǎng)絡空間安全的一項重要技術。隨著入侵者技術手段的升級,新一代的入侵檢測系統(tǒng)中需要融入人工智能技術以提升檢測效果。提出一種基于圖神經(jīng)網(wǎng)絡進程行為嵌入表示的入侵檢測方法,該方法將計算機事件日志轉(zhuǎn)化為系統(tǒng)日志對象連接圖結構,并在該圖上使用圖神經(jīng)網(wǎng)絡框架進行頂點嵌入,從而得到計算機內(nèi)進程行為的向量表達;在此基礎上,建立多階轉(zhuǎn)移模型,為計算機描述整體的進程行為基線,并以偏離該基線的程度作為入侵行為檢測的依據(jù)。經(jīng)過多個攻擊場景的驗證,本文方法能夠有效地檢測出多種入侵行為。
中圖分類號: TP309
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2021.12.001
引用格式: 胡啟宬,何樹果,朱震. 基于圖神經(jīng)網(wǎng)絡進程行為嵌入表示的入侵檢測[J].信息技術與網(wǎng)絡安全,2021,40(12):1-7.
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2021.12.001
引用格式: 胡啟宬,何樹果,朱震. 基于圖神經(jīng)網(wǎng)絡進程行為嵌入表示的入侵檢測[J].信息技術與網(wǎng)絡安全,2021,40(12):1-7.
Intrusion detection with Graph Neural Network-based process behavior embedding
Hu Qicheng,He Shuguo,Zhu Zhen
(Qingteng AI Lab,Shengxin Network Technology Co.,Ltd.,Beijing 101111,China)
Abstract: Intrusion detection is important in ensuring the security of cyberspace. With the evolution of intrusion techniques, intrusion detection system of new generation is in need of an integration of artificial intelligence technology. In this paper, a method of intrusion detection with Graph Neural Network-based process behavior embedding is introduced. This method converts event log of computer systems into the system log object connection graph, and uses framework of Graph Neural Network to embed the vertices of the graph, so as to obtain the vector representation of the process behavior; on this basis, it establishes a multi-stage transition model that describes the overall process behavior baseline for the system, and uses the degree of deviation from this baseline as the basis for intrusion behavior detection. With verification of multiple attack scenarios, the method can detect intrusions effectively.
Key words : intrusion detection;Graph Neural Network;graph representation learning;anomaly detection
0 引言
政府和企業(yè)日益采用復雜和龐大的信息系統(tǒng),如何確保其自身的網(wǎng)絡空間安全成為重要課題。入侵檢測是一類通過事件分析,對可疑或具有潛在威脅的行為進行檢測,并及時主動地發(fā)出警告的安全保障技術。傳統(tǒng)的入侵檢測技術有基于模式匹配、狀態(tài)匹配、統(tǒng)計特征、啟發(fā)式簽名規(guī)則等多個分類,新一代技術更是融入了機器學習、異常檢測等人工智能等相關方法,檢測效果得以大幅提升。
信息系統(tǒng)的入侵者在實施攻擊的時候,一般會采取包含信息偵察、橫向移動、憑證獲取、權限提升等一系列戰(zhàn)術,這些戰(zhàn)術又對應數(shù)百種多變的攻擊技術[1]。如果使用基于模式匹配或者啟發(fā)式簽名的方法進行入侵檢測,會高度依賴威脅情報收集和安全專家知識的轉(zhuǎn)化,既緩慢且成本高昂;基于機器學習和異常檢測的方法則可以在一定程度上降低這一成本,既能對已知威脅達到較高的檢測準確率,還能對未知威脅進行檢測。
本文詳細內(nèi)容請下載:http://m.xxav2194.com/resource/share/2000003888
作者信息:
胡啟宬,何樹果,朱 震
(北京升鑫網(wǎng)絡科技有限公司 青藤云安全人工智能實驗室,北京101111)
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權禁止轉(zhuǎn)載。