一种基于溯源图行为信息的APT攻击检测方法

本发明属于网络攻击检测领域，具体涉及一种基于溯源图行为信息的APT攻击检测方法。分为四个步骤：步骤1、数据预处理；步骤2、子图生成；步骤3、行为特征提取；对每一张子图进行特征提取，包括节点特征提取和边特征提取；步骤4、分类模型设计、训练、异常检测；训练和测试分类模型，利用训练好的模型依次分类每一条边的类型，当某一条边无法被现有任何一个子模型正确分类时，判定其为异常，并输出它的行为结构图。本发明在溯源图的建模中引入了行为属性及其结构信息，超越了传统关注实体交互关系的范畴；通过引入池化方法和图表征学习，提高了模型的表达能力，使其更有效地捕捉行为结构中的重要信息，在初始结构信息的基础上不断优化。
同济大学
王成 | 王朝栋 | 张旺 | 朱航宇 | 贾奇龙