基于序列特征提取的溯源图上APT攻击检测方法
在真实场景,特别是工业场景下的高级持续性威胁(advanced persistent threat,APT)具有复杂性和长期性,但当前方法无法有效提取攻击中的长期关联关系.针对这一问题,本文提出一种基于溯源图的APT攻击检测方法SeqNet.SeqNet采用序列特征提取方式,实现APT攻击检测.在SeqNet中,首先将描述系统运行状态的溯源图序列转化为特征向量序列,然后使用GRU(gate recurrent unit)模型提取系统状态变化特征,并使用结合局部注意力机制的编解码器模型训练GRU模型,最后利用K-means聚类方法对系统正常行为进行建模.本文在5个公开数据集StreamSpot,wget,shellshock,ClearScope和CADETS上进行了实验,并与当前具有代表性的方法进行了对比.本文方法在5个数据集上都取得了相似或更好的效果.实验结果证明本文方法能够实现真实场景下的APT攻击检测.
APT攻击检测、溯源图、异常检测、序列特征提取、局部注意力机制
52
TP393.08;TN911.22;TP181
国家重点研发计划;国家自然科学基金;国家自然科学基金;国家自然科学基金;国家自然科学基金;广东省重点领域研发计划资助项目
2022-09-02(万方平台首次上网日期,不代表论文的发表时间)
共18页
1463-1480
