一种面向溯源图的主机入侵检测方法、系统及存储介质

1.本发明属于网络安全技术领域，更具体地，涉及一种面向溯源图的主机入侵检测方法、系统及存储介质。


背景技术：

2.入侵检测技术是网络安全领域的核心技术之一，该技术通过分析并利用从计算机系统、计算机网络中收集到的信息(如网络流量、主机日志等)来判断系统或者网络中是否存在违反安全策略的异常行为或是否遭受到攻击。入侵检测作为一种主动防护技术，对网络和系统的安全保护具有重要的意义。
3.传统的主机入侵检测方法通常将系统调用或日志作为数据源来分析和识别主机入侵，然而这些方法因其数据源(系统调用/日志)本身的缺陷容易被攻击者绕过，导致检测精度较低。基于溯源的主机入侵检测将溯源数据作为数据源，溯源数据通过描述系统数据对象(进程、文件、套接字、管道)以及数据对象之间的复杂依赖关系，为系统或网络上发生的事件提供完整的结构化视图，呈现为有向无环图(溯源图)，从根本上增强了检测的准确率和鲁棒性。
4.传统的基于溯源的主机入侵检测方法选用通用的图嵌入模型(如deepwalk，node2vec，graphsage)或者图核算法(如weisfeiler-lehma)对溯源图数据进行表征学习以得到嵌入向量，基于嵌入向量表征的数据特征进行入侵检测；这种方法针对只能对溯源进行浅层的表征学习，得到的数据特征有限；随着用户行为逐渐变得多样化以及攻击者攻击方式变得复杂化，这种基于通用模型或算法得到的嵌入向量对溯源数据特征的表征比较单一，这种浅层表征学习也没有考虑到入侵检测具体的应用场景和所需数据特点，导致表征学习效果不佳，将其应用在入侵检测时，检测效率不高，同时，还需要还耗费大量的人力和时间在对检测模型进行调整和训练。


技术实现要素：

5.针对现有技术的缺陷和改进需求，本发明提供了一种面向溯源图的主机入侵检测方法、系统及存储介质，其目的在于提升基于溯源图数据的入侵检测的准确率和效率。
6.为实现上述目的，按照本发明的第一方面，提供了一种面向溯源图的主机入侵检测方法，包括：
7.s1、收集待测主机的溯源数据，以构建表示用户行为的溯源图；
8.s2、将所述溯源图中节点映射为角色，构建特征向量用于表征所述溯源图中节点的属性特征、结构特征及节点间的交互关系的节点特征矩阵，且将所述节点特征矩阵中具有相似特征向量的节点映射为同一种角色；
9.s3、进行带注意力的属性时序随机游走，生成以当前节点vi为起点，长度为l的属性时序随机游走序列：xi是节点vi的特征向量；φ(x)表示将
节点映射为角色的函数；其中，节点映射为角色的函数；其中，且且为节点与下一节点之间连接的边；e
t
为溯源图中所有的边；t为游走序列中的序号；表示节点之间边的创建时间早于节点之间边的创建时间；
10.且当前节点以不同的概率游走到不同角色对应的邻居节点；所述概率为所述角色之间的注意力参数，用于反映角色之间的重要度；
11.s4、将所述属性时序随机游走序列转换为嵌入向量以提取所述溯源图特征，并进行入侵异常检测。
12.进一步地，s3中，通过角色注意力矩阵m表征所述角色之间的注意力参数，所述角色注意力矩阵m的获取方式包括：
13.s301、设置等转移概率作为当前的角色注意力矩阵m；
14.s302、采用当前的角色注意力矩阵m进行带注意力的属性时序随机游走，得到当前节点vi的嵌入向量ei以及当前节点的所有邻居节点对应的嵌入向量en；
15.s303、采用所述嵌入向量ei和en对当前的角色注意力矩阵m进行更新：
[0016][0017][0018]
其中，softmax表示归一化算子；wi表示当前节点vi所对应的角色，wj表示当前节点vi的所有邻居节点对应的角色集合中的元素；δ(wj,wi)表示wj角色对wi角色的重要性；ei是当前节点vi对应的嵌入向量；n
wj
表示邻居节点中属于角色wj的节点集合，mean函数用于聚合所述序列中同一类角色所对应的嵌入向量；
[0019]
s304、重复s302和s303，直至所述角色注意力矩阵m趋于稳定，得到所需的角色注意力矩阵m。
[0020]
进一步地，s304中，通过计算相邻两次迭代得到的两个角色注意力矩阵之间的距离，得到角色的转移概率变化超过设定的第一阈值的数量，若所述数量小于设定的第二阈值，则所述角色注意力矩阵m趋于稳定。
[0021]
进一步地，s4中，将所述属性时序随机游走序列输入至skipgram模型计算得到当每个节点的为嵌入向量。
[0022]
进一步地，s4中，将所述嵌入向量入到预先训练好的入侵检测模型中进行入侵异常检测。
[0023]
进一步地，所述将节点映射为角色的函数φ(x)为二进制操作符或k-means聚类函数。
[0024]
进一步地，s1中，收集待测主机的溯源数据后还包括：过滤与入侵行为无关的溯源数据，以及去掉属性特征相同的节点。
[0025]
进一步地，所述溯源图中的节点用于表征待测主机的数据对象，所述数据对象包括进程、文件、套接字及管道。
[0026]
按照本发明的另一方面，提供了一种面向溯源图的主机入侵检测系统，用于执行
如第一方面任意一项所述的方法，所述系统包括：
[0027]
溯源图构建模块，用于收集待测主机的溯源数据，以构建表示用户行为的溯源图；
[0028]
角色映射模块，用于将所述溯源图中节点映射为角色，构建特征向量用于表征所述溯源图中节点的属性特征、结构特征及节点间的交互关系的节点特征矩阵，且将所述节点特征矩阵中具有相似特征向量的节点映射为同一种角色；
[0029]
随机游走模块，用于进行带注意力的属性时序随机游走，生成以当前节点vi为起点，长度为l的属性时序随机游走序列：xi是节点vi的特征向量；φ(x)表示将节点映射为角色的函数；其中，且且且为节点与下一节点之间连接的边；e
t
为溯源图中所有的边；t为游走序列中的序号；表示节点之间边的创建时间早于节点之间边的创建时间；
[0030]
且当前节点以不同的概率游走到不同角色对应的邻居节点；所述概率为所述角色之间的注意力参数，用于反映角色之间的重要度；
[0031]
异常检测模块，用于将所述属性时序随机游走序列转换为嵌入向量以提取所述溯源图特征，并进行入侵异常检测。
[0032]
按照本发明的另一方面，提供了一种计算机可读存储介质，包括存储的计算机程序；所述计算机程序被处理器执行时，控制所述计算机可读存储介质所在设备执行第一方面任一项所述的面向溯源图的主机入侵检测方法。
[0033]
总体而言，通过本发明所构思的以上技术方案，能够取得以下有益效果：
[0034]
(1)本发明的面向溯源图的主机入侵检测方法，在进行带注意力的属性时序随机游走过程中，考虑到溯源入侵检测场景中的数据具有时序性，即节点之间的关系和行为是按照时间顺序发生的，构建的游走策略通过考虑溯源图边的时序特点，可以捕捉到节点之间的时间演化关系，从而使得到的嵌入向量能够表征入侵行为的动态特征；同时，不同角色的节点在溯源图中具有不同的行为和特征，在进行随机游走过程中，考虑到不同角色的邻居节点对嵌入的影响，可以更好地捕捉到节点之间的交互模式和信息传递，能够提高对不同角色行为特征的感知和理解能力，从而更准确地区分正常行为和潜在的入侵行为，使得最终得到的嵌入向量能够提供更精确的特征用于节点分类、节点聚类、节点相似性计算等任务，实现了对溯源数据的深层表征，进而提高入侵检测的准确率。
[0035]
本发明的方法，将节点特征矩阵中具有相似属性特征、结构特征及节点之间交互关系的节点映射为同一种角色，通过角色映射，可以将大量的节点归纳为一组具有相似特征和行为模式的角色，降低信息的复杂性，进而简化入侵检测过程，减少需要分析的节点数量，提升入侵检测的效率。
[0036]
(2)本发明的方法，进行角色映射后的溯源数据，能够更好地识别节点之间的行为模式，便于发现异常行为和不寻常的交互模式，利用角色的行为特征和交互方式，使得特征和行为模式相似的节点即便在溯源图中相距很远也会有相似的嵌入向量，在进行入侵检测时，能够充分挖掘节点特征之间的关联，实现面向入侵行为的溯源图节点特征的有效提取，也便于为后续节点分类、节点聚类、节点相似性计算等任务提供更精确的特征，从而进一步
提高入侵检测的准确率和效率。
[0037]
(3)作为优选，通过过滤、压缩等预处理来提取有效溯源信息，可以进一步提升入侵检测的效率。
[0038]
总而言之，本发明能有效解决现有溯源入侵检测技术难以对日益增长日趋复杂的溯源数据进行深层表征学习的问题，降低检测模型训练工作量，提高入侵检测的准确率和效率。
附图说明
[0039]
图1为本发明的面向溯源图的主机入侵检测方法流程图。
[0040]
图2为本发明实施例提供的基于溯源图构建节点特征矩阵示意图。
[0041]
图3为本发明实施例提供的角色注意力矩阵更新步骤示意图。
[0042]
图4为本发明实施例中提供的基于带注意力的属性时序随机游走的节点嵌入向量过程示意图；其中，图4中的(a)-(d)分别表示对节点进行带注意力的属性时序随机游走的不同阶段。
具体实施方式
[0043]
为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
[0044]
在本发明中，本发明及附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。
[0045]
如图1所示，本发明的面向溯源图的主机入侵检测方法，主要包括：
[0046]
s1、收集待测主机的溯源数据，并用溯源数据构建表示用户行为的溯源图。
[0047]
s2、基于溯源图中节点的属性特征、结构特征及节点之间的交互关系构建节点特征矩阵；并通过角色映射函数将所有的节点映射为角色，且将节点特征矩阵中具有相似属性特征、结构特征及节点之间交互关系的节点映射为同一种角色；其中，溯源图中的节点用于表征进程、文件、套接字及管道等数据对象；节点的结构特征用于表征节点所处图位置信息，节点之间的交互关系即为节点的行为模式，用于表征当前节点与其它节点之间的交互关系。
[0048]
s3、进行带注意力的属性时序随机游走，生成以当前节点vi为起点，长度为l的属性时序随机游走序列：xi是节点vi的k维特征向量，用于表示该节点的属性特征、结构特征及该节点与相邻节点之间的交互关系；φ(x)表示将特征向量为x的节点映射为角色的函数，φ:x
→
w，其中，x表示节点对应的k维特征向量，w表示节点对应的角色；
[0049]
其中，且且表示溯源图中节点与其下一个节点之间连接的边；e
t
表示溯源图中所
有的边；t表示游走序列中的序号；t()表示两个节点之间建立的边的时间；表示节点之间的边的创建时间早于节点之间边的创建时间；并且，在随机游走的过程中，当前节点游走到不同角色对应的邻居节点的概率由角色之间的注意力参数决定。
[0050]
s4、将得到的属性时序随机游走序列转换为嵌入向量以提取溯源图中的特征，用于进行入侵检测。
[0051]
具体地，s1中，利用溯源收集系统拦截待测主机的系统调用并生成记录用户行为的溯源数据，溯源数据通过描述系统数据对象(进程、文件、套接字、管道等)以及数据对象之间的复杂依赖关系，可以为系统上发生的事件提供一个完整的结构化视图，呈现为有向无环图(溯源图)。
[0052]
本发明实施例中，使用spade和camflow等系统收集记录用户行为的系统内核、文件格式以及应用程序等的溯源信息。
[0053]
作为优选，s1中，还包括：对收集的溯源数据进行预处理，以过滤与入侵行为无关的溯源信息，以及去掉属性信息完全相同的节点，并过滤临时文件及环境变量等与入侵检测无关的冗余信息。通过过滤、压缩等预处理来提取有效溯源信息，以提升检测的效率。
[0054]
具体地，如图2所示，s2中，节点的属性特征包括节点的类型type、id、时间戳timestamp、节点的版本version等自身属性特征。节点特征矩阵中的每行或每列表征节点对应的k维特征向量，包括节点的属性特征、结构特征及节点之间交互关系。
[0055]
本发明实施例中，以溯源图有a、b、c、d、e五个节点为例，转后后的节点特征矩阵x如图2所示。
[0056]
s2中，角色映射函数φ可以通过学习或手动定义得到，本发明实施例中，通过将角色映射函数φ定义为二进制操作符；在其它实施例中，也可以将角色映射函数φ定义为k-means聚类函数。
[0057]
同时，在设定的误差范围内特征和行为模式相同即为具有相似特征和行为模式。本发明实施例中，将所有的溯源图节点映射为n种角色。
[0058]
具体地，如图3所示，s3中，通过角色注意力矩阵表征角色之间的注意力参数，也即不同角色之间的重要度，角色注意力矩阵通过迭代训练与更新来学习角色之间最佳的自适应注意力参数，包括：
[0059]
s301、设置等转移概率作为当前的角色注意力矩阵m；
[0060]
s302、采用当前的角色注意力矩阵m进行带注意力的属性时序随机游走，得到以当前节点vi为起点，长度为l的带注意力的属性时序随机游走序列l，将序列输入至skipgram模型计算得到当前节点vi的嵌入向量ei以及当前节点的所有邻居节点对应的嵌入向量en，其中，n表示节点vi的所有邻居节点组成的集合；s303、采用嵌入向量ei和en对角色注意力矩阵m进行更新；
[0061]
s304、重复s302和s303，直至角色注意力矩阵m趋于稳定，得到所需的角色注意力矩阵m。
[0062]
具体地，s303中，采用嵌入向量ei和en对角色注意力矩阵m进行更新为：
[0063][0064][0065]
其中，softmax表示归一化算子；wi表示当前节点vi所对应的角色，wj表示当前节点vi的所有邻居节点对应的角色集合ri中的wj元素；δ(wj,wi)表示wj角色对wi角色的重要性；ei是当前节点vi对应的嵌入向量，en是当前节点的所有邻居节点对应的嵌入向量；表示邻居节点中属于角色wj的节点集合，平均聚合器mean函数用于聚合带注意力的属性时序随机游走序列中同一类角色所对应的嵌入向量。
[0066]mij
在[0,1]之间取值，其中的每个元素表示所属角色为wi的当前节点vi游走到所属角色为wj的邻居节点的概率。
[0067]
具体地，s304中，通过记录相邻两次迭代更新后得到的两个角色注意力矩阵之间的距离(计算差值)，得到节点的转移概率变化，并记录节点的转移概率变化大于设定第一阈值的数量，如果数量小于设定的第二阈值，说明角色注意力矩阵m趋于稳定，迭代更新停止，得到所需的角色注意力矩阵m。本发明实施例中，第一阈值设置为0.05，第二阈值为节点变化的比例，该比例设为10％。
[0068]
具体地，在完成s2中的角色映射和s3中的注意力矩阵更新步骤之后，对所有节点进行带注意力的属性时序随机游走得到游走节点角色序列，进而通过skipgram模型得到最终的嵌入向量。在本发明实施例中，以节点v1为例说明本发明的基于带注意力的属性时序随机游走得到节点v1嵌入向量的过程。如图4中的(a)所示，首先，经过角色映射将溯源图中所有节点映射为4种角色类型(角色1～角色4)；然后，综合考虑节点边的时序关系与不同角色之间的注意力参数，如图4中的(b)所示，t表示边产生的时间，α表示注意力参数；接着以节点v1为起点进行随机游走，节点v1的邻居节点所对应的角色集合n＝{角色2，角色1}，其中节点v1所属角色2与节点v1的邻居节点对应的角色2之间的的注意力参数为0.25，与节点v1的邻居节点对应的角色1之间的注意力参数为0.75；通过设置随机游走长度为3，游走次数为4，理想状态下，节点v1游走到角色1所对应的邻居节点会有3次，游走到角色2所对应的邻居节点会有1次，得到的随机游走序列如图4中(c)所示；最后，通过skipgram模型得到嵌入向量，如图4中的(d)所示。
[0069]
具体地，s4中，将得到的嵌入向量输入到预先训练好的入侵检测模型中进行入侵异常检测。
[0070]
其中，嵌入向量用于反映当前节点vi对应的角色与其邻居节点所对应的角色之间的相似度，相似度越高，表明这个邻居节点所属角色对当前节点vi越重要。
[0071]
本发明的面向溯源图的主机入侵检测方法，通过在以当前节点vi为起点，进行带注意力的属性时序随机游走过程中，考虑到溯源入侵检测场景中的数据具有时序性，即节点之间的关系和行为是按照时间顺序发生的，构建的游走策略通过考虑溯源图边的时序，可以捕捉到节点之间的时间演化关系，从而使得到的嵌入向量能够表征入侵行为的动态特征。
[0072]
同时，构建的游走策略考虑了角色邻居节点对当前节点游走的影响，不同角色的节点在溯源图中具有不同的行为和特征，考虑到不同角色的邻居节点对嵌入的影响，可以
更好地捕捉到节点之间的交互模式和信息传递，能够提高对不同角色行为特征的感知和理解能力，从而更准确地区分正常行为和潜在的入侵行为，以提升基于溯源图数据的入侵检测的效率。
[0073]
也即，本发明的方法同时考虑了溯源图边的时序和不同角色的邻居节点对嵌入的影响，更好地捕捉入侵行为的时序特征，提高对时间相关性的感知能力；针对不同角色的邻居节点进行建模，增强对不同角色行为特征的感知和理解能力，最终得到的嵌入向量能够提供更精确的特征用于节点分类、节点聚类、节点相似性计算等任务，进而提高入侵检测系统的准确率。
[0074]
本发明的方法，将节点特征矩阵中具有相似属性特征、结构特征及节点之间交互关系的节点映射为同一种角色，通过角色映射，可以将大量的节点归纳为一组具有相似特征和行为模式的角色，降低信息的复杂性，进而简化入侵检测过程，减少需要分析的节点数量。
[0075]
进行角色映射后的溯源数据，能够更好地识别节点之间的行为模式，便于发现异常行为和不寻常的交互模式，利用角色的行为特征和交互方式，使得特征和行为模式相似的节点即便在溯源图中相距很远也会有相似的嵌入向量，在进行入侵检测时，能够充分挖掘节点特征之间的关联，实现面向入侵行为的溯源图节点特征的有效提取，也便于为后续节点分类、节点聚类、节点相似性计算等任务提供更精确的特征，从而进一步提高入侵检测的准确率和效率。
[0076]
映射为角色可以提供对节点所处图位置的结构特征的理解，便于分析节点的行为和交互是如何融入整个图结构中的，有助于检测异常的图结构和节点位置，提高对入侵行为的感知能力。
[0077]
并且，角色映射使得入侵检测的结果更易于理解和解释，不同角色代表着不同的行为和特征，相比节点信息，可以提供更直观的入侵检测输出，也便于可视化溯源图中不同角色的行为和关系，帮助分析人员更好地理解和评估潜在的入侵行为。
[0078]
总之，将溯源信息映射为一种角色可以简化复杂性、提高模式识别能力、帮助上下文建模、并增强可解释性和可视化能力。这些方面的改进有助于提高入侵检测的准确性、效率和可理解性，从而更有效地检测和应对潜在的入侵行为。
[0079]
按照本发明的另一方面，提供了一种面向溯源图的主机入侵检测系统，用于执行上述实施例中的面向溯源图的主机入侵检测方法对应的步骤，系统包括：
[0080]
溯源图构建模块，用于收集待测主机的溯源数据，以构建表示用户行为的溯源图；
[0081]
角色映射模块，用于将溯源图中节点映射为角色，构建特征向量用于表征溯源图中节点的属性特征、结构特征及节点间的交互关系的节点特征矩阵，且将节点特征矩阵中具有相似特征向量的节点映射为同一种角色；
[0082]
随机游走模块，用于进行带注意力的属性时序随机游走，生成以当前节点vi为起点，长度为l的属性时序随机游走序列：xi是节点vi的特征向量；φ(x)表示将节点映射为角色的函数；其中，且且且为节点与下一节点之间连接的
边；e
t
为溯源图中所有的边；t为游走序列中的序号；表示节点之间边的创建时间早于节点之间边的创建时间；且当前节点以不同的概率游走到不同角色对应的邻居节点；概率为角色之间的注意力参数，用于反映角色之间的重要度；
[0083]
异常检测模块，用于将属性时序随机游走序列转换为嵌入向量以提取溯源图特征，并进行入侵异常检测。
[0084]
按照本发明的另一方面，提供了一种计算机可读存储介质，包括存储的计算机程序；计算机程序被处理器执行时，控制计算机可读存储介质所在设备执行上述实施例中的面向溯源图的主机入侵检测方法。
[0085]
本发明的带注意力的属性时序随机游走策略是针对溯源入侵检测的场景提出的随机游走，综合挖掘溯源图节点的属性、时序关系和当前节点游走到其邻居节点对应角色的权重，最终得到的嵌入向量够提供更精确的特征用于节点分类、节点聚类、节点相似性计算等任务，实现对溯源数据的深层表征，提高入侵检测系统的准确率；同时，也避免在进行入侵检测时，对入侵检测模型进行调整和训练。
[0086]
本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

技术特征：
1.一种面向溯源图的主机入侵检测方法，其特征在于，包括：s1、收集待测主机的溯源数据，以构建表示用户行为的溯源图；s2、将所述溯源图中节点映射为角色，构建特征向量用于表征所述溯源图中节点的属性特征、结构特征及节点间的交互关系的节点特征矩阵，且将所述节点特征矩阵中具有相似特征向量的节点映射为同一种角色；s3、进行带注意力的属性时序随机游走，生成以当前节点v
i
为起点，长度为l的属性时序随机游走序列：x
i
是节点v
i
的特征向量；φ(x)表示将节点映射为角色的函数；其中，射为角色的函数；其中，1＜＜t＜＜l且1＜＜t＜＜l且为节点与下一节点之间连接的边；e
t
为溯源图中所有的边；t为游走序列中的序号；表示节点之间边的创建时间早于节点之间边的创建时间；且当前节点以不同的概率游走到不同角色对应的邻居节点；所述概率为所述角色之间的注意力参数，用于反映角色之间的重要度；s4、将所述属性时序随机游走序列转换为嵌入向量以提取所述溯源图特征，并进行入侵异常检测。2.根据权利要求1所述的方法，其特征在于，s3中，通过角色注意力矩阵m表征所述角色之间的注意力参数，所述角色注意力矩阵m的获取方式包括：s301、设置等转移概率作为当前的角色注意力矩阵m；s302、采用当前的角色注意力矩阵m进行带注意力的属性时序随机游走，得到当前节点v
i
的嵌入向量e
i
以及当前节点的所有邻居节点对应的嵌入向量e
n
；s303、采用所述嵌入向量e
i
和e
n
对当前的角色注意力矩阵m进行更新：对当前的角色注意力矩阵m进行更新：其中，softmax表示归一化算子；w
i
表示当前节点v
i
所对应的角色，w
j
表示当前节点v
i
的所有邻居节点对应的角色集合中的元素；δ(w
j
,w
i
)表示w
j
角色对w
i
角色的重要性；e
i
是当前节点v
i
对应的嵌入向量；表示邻居节点中属于角色w
j
的节点集合，mean函数用于聚合所述序列中同一类角色所对应的嵌入向量；s304、重复s302和s303，直至所述角色注意力矩阵m趋于稳定，得到所需的角色注意力矩阵m。3.根据权利要求2所述的方法，其特征在于，s304中，通过计算相邻两次迭代得到的两个角色注意力矩阵之间的距离，得到角色的转移概率变化超过设定的第一阈值的数量，若所述数量小于设定的第二阈值，则所述角色注意力矩阵m趋于稳定。4.根据权利要求1-3任意一项所述的方法，其特征在于，s4中，将所述属性时序随机游走序列输入至skipgram模型计算得到每个节点的为嵌入向量。
5.根据权利要求4所述的方法，其特征在于，s4中，将所述嵌入向量入到预先训练好的入侵检测模型中进行入侵异常检测。6.根据权利要求1-3任意一项所述的方法，其特征在于，所述将节点映射为角色的函数φ(x)为二进制操作符或k-means聚类函数。7.根据权利要求1所述的方法，其特征在于，s1中，收集待测主机的溯源数据后还包括：过滤与入侵行为无关的溯源数据，以及去掉属性特征相同的节点。8.根据权利要求1所述的方法，其特征在于，所述溯源图中的节点用于表征待测主机的数据对象，所述数据对象包括进程、文件、套接字及管道。9.一种面向溯源图的主机入侵检测系统，其特征在于，用于执行如权利要求1-8任意一项所述的方法，所述系统包括：溯源图构建模块，用于收集待测主机的溯源数据，以构建表示用户行为的溯源图；角色映射模块，用于将所述溯源图中节点映射为角色，构建特征向量用于表征所述溯源图中节点的属性特征、结构特征及节点间的交互关系的节点特征矩阵，且将所述节点特征矩阵中具有相似特征向量的节点映射为同一种角色；随机游走模块，用于进行带注意力的属性时序随机游走，生成以当前节点v
i
为起点，长度为l的属性时序随机游走序列：x
i
是节点v
i
的特征向量；φ(x)表示将节点映射为角色的函数；其中，且且且为节点与下一节点之间连接的边；e
t
为溯源图中所有的边；t为游走序列中的序号；表示节点之间边的创建时间早于节点之间边的创建时间；且当前节点以不同的概率游走到不同角色对应的邻居节点；所述概率为所述角色之间的注意力参数，用于反映角色之间的重要度；异常检测模块，用于将所述属性时序随机游走序列转换为嵌入向量以提取所述溯源图特征，并进行入侵异常检测。10.一种计算机可读存储介质，其特征在于，包括存储的计算机程序；所述计算机程序被处理器执行时，控制所述计算机可读存储介质所在设备执行权利要求1-8任一项所述的面向溯源图的主机入侵检测方法。

技术总结
本发明公开了一种面向溯源图的主机入侵检测方法、系统及存储介质，属于网络安全领域。包括：S1、收集待测主机的溯源数据，以构建表示用户行为的溯源图；S2、将溯源图中节点映射为角色，构建特征向量用于表征所述溯源图中节点的属性特征、结构特征及节点间的交互关系的节点特征矩阵，且将具有相似特征向量的节点映射为同一种角色；S3、综合考虑溯源图节点的属性、边之间的时序关系以及不同角色之间的注意力参数进行带注意力的属性时序随机游走；S4、将得到的属性时序随机游走序列转换为嵌入向量以提取所述溯源图特征，并进行入侵异常检测。本发明现能对溯源数据进行深层表征学习，降低检测模型训练工作量，提高入侵检测的准确率和效率。效率。效率。


技术研发人员：谢雨来 戴双标 冯丹
受保护的技术使用者：华中科技大学
技术研发日：2023.07.04
技术公布日：2023/10/6