《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 模拟设计 > 设计应用 > 基于图神经网络进程行为嵌入表示的入侵检测
基于图神经网络进程行为嵌入表示的入侵检测
信息技术与网络安全 12期
胡启宬,何树果,朱 震
(北京升鑫网络科技有限公司 青藤云安全人工智能实验室,北京101111)
摘要: 入侵检测是保障网络空间安全的一项重要技术。随着入侵者技术手段的升级,新一代的入侵检测系统中需要融入人工智能技术以提升检测效果。提出一种基于图神经网络进程行为嵌入表示的入侵检测方法,该方法将计算机事件日志转化为系统日志对象连接图结构,并在该图上使用图神经网络框架进行顶点嵌入,从而得到计算机内进程行为的向量表达;在此基础上,建立多阶转移模型,为计算机描述整体的进程行为基线,并以偏离该基线的程度作为入侵行为检测的依据。经过多个攻击场景的验证,本文方法能够有效地检测出多种入侵行为。
中圖分類號: TP309
文獻(xiàn)標(biāo)識碼: A
DOI: 10.19358/j.issn.2096-5133.2021.12.001
引用格式: 胡啟宬,何樹果,朱震. 基于圖神經(jīng)網(wǎng)絡(luò)進(jìn)程行為嵌入表示的入侵檢測[J].信息技術(shù)與網(wǎng)絡(luò)安全,2021,40(12):1-7.
Intrusion detection with Graph Neural Network-based process behavior embedding
Hu Qicheng,He Shuguo,Zhu Zhen
(Qingteng AI Lab,Shengxin Network Technology Co.,Ltd.,Beijing 101111,China)
Abstract: Intrusion detection is important in ensuring the security of cyberspace. With the evolution of intrusion techniques, intrusion detection system of new generation is in need of an integration of artificial intelligence technology. In this paper, a method of intrusion detection with Graph Neural Network-based process behavior embedding is introduced. This method converts event log of computer systems into the system log object connection graph, and uses framework of Graph Neural Network to embed the vertices of the graph, so as to obtain the vector representation of the process behavior; on this basis, it establishes a multi-stage transition model that describes the overall process behavior baseline for the system, and uses the degree of deviation from this baseline as the basis for intrusion behavior detection. With verification of multiple attack scenarios, the method can detect intrusions effectively.
Key words : intrusion detection;Graph Neural Network;graph representation learning;anomaly detection

0 引言

政府和企業(yè)日益采用復(fù)雜和龐大的信息系統(tǒng),如何確保其自身的網(wǎng)絡(luò)空間安全成為重要課題。入侵檢測是一類通過事件分析,對可疑或具有潛在威脅的行為進(jìn)行檢測,并及時主動地發(fā)出警告的安全保障技術(shù)。傳統(tǒng)的入侵檢測技術(shù)有基于模式匹配、狀態(tài)匹配、統(tǒng)計特征、啟發(fā)式簽名規(guī)則等多個分類,新一代技術(shù)更是融入了機(jī)器學(xué)習(xí)、異常檢測等人工智能等相關(guān)方法,檢測效果得以大幅提升。

信息系統(tǒng)的入侵者在實(shí)施攻擊的時候,一般會采取包含信息偵察、橫向移動、憑證獲取、權(quán)限提升等一系列戰(zhàn)術(shù),這些戰(zhàn)術(shù)又對應(yīng)數(shù)百種多變的攻擊技術(shù)[1]。如果使用基于模式匹配或者啟發(fā)式簽名的方法進(jìn)行入侵檢測,會高度依賴威脅情報收集和安全專家知識的轉(zhuǎn)化,既緩慢且成本高昂;基于機(jī)器學(xué)習(xí)和異常檢測的方法則可以在一定程度上降低這一成本,既能對已知威脅達(dá)到較高的檢測準(zhǔn)確率,還能對未知威脅進(jìn)行檢測。





本文詳細(xì)內(nèi)容請下載:http://m.ihrv.cn/resource/share/2000003888





作者信息:

胡啟宬,何樹果,朱  震

(北京升鑫網(wǎng)絡(luò)科技有限公司 青藤云安全人工智能實(shí)驗(yàn)室,北京101111)


此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。

相關(guān)內(nèi)容