基于溯源图的系统异常行为检测研究

作     者：喻卓成 

作者单位：广州大学 

学位级别：硕士

导师姓名：韩伟红

授予年度：2024年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：网络安全态势感知 异常检测 高级持续威胁 溯源图 

摘      要：高级持续性威胁(Advanced Persistent Threat,简称APT)作为当代网络攻击中最具代表性的攻击方式之一,针对APT攻击的检测方法一直是网络安全领域的研究热点。溯源图能够较好还原系统中各种行为和上下文信息,利用溯源图进行异常检测能够解决传统方法难以检测长期潜伏的APT攻击的弊端,因而被研究人员广泛运用。 然而,现有基于溯源图的系统异常检测方法大多是离线检测,虽然拥有良好的性能,但由于计算开销大难以满足实时的在线检测需求。同时,在可解释性的问题上存在一定局限性,这些方法往往仅能够检测异常而无法告知判定为异常的依据。 针对上述问题,本文以由网络信息系统的系统日志数据构造的溯源图为研究对象,探索了基于溯源图的系统异常行为检测方法,本文的主要研究内容如下: (1)提出了一种基于图像的系统异常实体检测方法:本文基于图像聚合单个系统实体的上下文信息,并使用卷积神经网络模型捕获这些信息以检测系统异常实体。实验结果表明,该方法能有效聚合溯源图中系统实体的上下文信息,对已知系统实体和未知系统实体进行高效表示,在能够满足在线检测的同时拥有较好的异常检测性能。 (2)提出了一种基于超图的系统异常行为事件检测方法:针对可解释性不足的问题,引入注意力机制辅助定位异常交互,基于对比学习构造模型检测系统异常行为事件。实验结果表明,该方法能够充分考虑溯源图中不同的异常事件模式,有效结合不同情况下的交互模式,结合注意力分数给出事件中各交互的异常得分以辅助定位具体异常行为。 (3)设计并实现了一个系统异常行为检测原型系统:为了辅助安全研究人员快速定位异常、调研相关攻击行为,本文设计并实现了一个系统异常行为检测原型系统,该系统基于溯源图检测系统中存在的系统异常实体和系统异常行为事件。