基于溯源图和注意力机制的APT攻击检测模型构建

• Published in: 通信学报 Vol. 45; no. 3; pp. 117 - 130
• Main Authors: 李元诚, 罗昊, 王欣煜, 原洁璇
• Format: Journal Article
• Language: Chinese
• Published: 华北电力大学控制与计算机工程学院,北京 102206 25.03.2024
• Subjects: 溯源图; 注意力机制; natural language processing; attention mechanism; 自然语言处理; APT攻击检测; APT attack detection; provenance graph
• ISSN: 1000-436X
• DOI: 10.11959/j.issn.1000-436x.2024039

TN92; 针对现有攻击检测方法难以应对持续时间长、攻击手段复杂隐蔽的高级持续威胁的问题,构建了基于注意力机制和溯源图的 APT 攻击检测模型.首先,基于系统的审计日志构建能够描述系统行为的溯源图;其次,设计优化算法,确保在不牺牲关键语义的前提下缩减溯源图规模;再次,利用深度神经网络(DNN)将原始攻击序列转换为语义增强的特征向量序列;最后,设计并实现了APT攻击检测模型DAGCN,该模型将注意力机制应用于溯源图序列,利用该机制对输入序列的不同位置分配不同的权重并进行权值计算,能够提取较长时间内的持续攻击的序列特征信息,从而有效地识别恶意节点,还原攻击过程.该模型在识别精确率等多个指标上均优于现有模型,在公开的APT攻击数据集上的实验结果表明,该模型在APT攻击检测中的精确率达到93.18%,优于现有主流检测模型.