基于图神经网络进程行为嵌入表示的入侵检测
信息技术与网络安全 12期
胡启宬,何树果,朱 震
(北京升鑫网络科技有限公司 青藤云安全人工智能实验室,北京101111)
摘要:入侵检测是保障网络空间安全的一项重要技术。随着入侵者技术手段的升级,新一代的入侵检测系统中需要融入人工智能技术以提升检测效果。提出一种基于图神经网络进程行为嵌入表示的入侵检测方法,该方法将计算机事件日志转化为系统日志对象连接图结构,并在该图上使用图神经网络框架进行顶点嵌入,从而得到计算机内进程行为的向量表达;在此基础上,建立多阶转移模型,为计算机描述整体的进程行为基线,并以偏离该基线的程度作为入侵行为检测的依据。经过多个攻击场景的验证,本文方法能够有效地检测出多种入侵行为。
中图分类号:TP309
文献标识码:A
DOI:10.19358/j.issn.2096-5133.2021.12.001
引用格式: 胡启宬,何树果,朱震. 基于图神经网络进程行为嵌入表示的入侵检测[J].信息技术与网络安全,2021,40(12):1-7.
文献标识码:A
DOI:10.19358/j.issn.2096-5133.2021.12.001
引用格式: 胡启宬,何树果,朱震. 基于图神经网络进程行为嵌入表示的入侵检测[J].信息技术与网络安全,2021,40(12):1-7.
Intrusion detection with Graph Neural Network-based process behavior embedding
Hu Qicheng,He Shuguo,Zhu Zhen
(Qingteng AI Lab,Shengxin Network Technology Co.,Ltd.,Beijing 101111,China)
Abstract:Intrusion detection is important in ensuring the security of cyberspace. With the evolution of intrusion techniques, intrusion detection system of new generation is in need of an integration of artificial intelligence technology. In this paper, a method of intrusion detection with Graph Neural Network-based process behavior embedding is introduced. This method converts event log of computer systems into the system log object connection graph, and uses framework of Graph Neural Network to embed the vertices of the graph, so as to obtain the vector representation of the process behavior; on this basis, it establishes a multi-stage transition model that describes the overall process behavior baseline for the system, and uses the degree of deviation from this baseline as the basis for intrusion behavior detection. With verification of multiple attack scenarios, the method can detect intrusions effectively.
Key words :intrusion detection;Graph Neural Network;graph representation learning;anomaly detection
0 引言
政府和企业日益采用复杂和庞大的信息系统,如何确保其自身的网络空间安全成为重要课题。入侵检测是一类通过事件分析,对可疑或具有潜在威胁的行为进行检测,并及时主动地发出警告的安全保障技术。传统的入侵检测技术有基于模式匹配、状态匹配、统计特征、启发式签名规则等多个分类,新一代技术更是融入了机器学习、异常检测等人工智能等相关方法,检测效果得以大幅提升。
信息系统的入侵者在实施攻击的时候,一般会采取包含信息侦察、横向移动、凭证获取、权限提升等一系列战术,这些战术又对应数百种多变的攻击技术[1]。如果使用基于模式匹配或者启发式签名的方法进行入侵检测,会高度依赖威胁情报收集和安全专家知识的转化,既缓慢且成本高昂;基于机器学习和异常检测的方法则可以在一定程度上降低这一成本,既能对已知威胁达到较高的检测准确率,还能对未知威胁进行检测。
本文详细内容请下载:http://www.chinaaet.com/resource/share/2000003888
作者信息:
胡启宬,何树果,朱 震
(北京升鑫网络科技有限公司 青藤云安全人工智能实验室,北京101111)
此内容为AET网站原创,未经授权禁止转载。