本發明提供了一種基于溯源圖和自注意力機制的APT攻擊檢測方法。該方法包括：根據待進行APT攻擊檢測的系統日志生成溯源圖，將溯源圖序列抽取為特征序列，采用基于Transformer的編碼器?解碼器來訓練自注意力網絡，生成特征提取網絡，通過特征提取網絡將特征序列轉換為特征向量；使用改進后的ADOA算法對特征向量中的正常樣本進行聚類，生成多個聚類中心，根據特征向量中的未標記的樣本數據與聚類中心之間的距離，判斷未標記的樣本數據是否異常。本發明使用Transformer模型建模系統的狀態變化，使用大量的正常數據結合自注意力機制的編碼器?解碼器來訓練模型提取特征，提取APT攻擊對系統產生的長期影響，使得攻擊行為的特征與正常行為的特征更易區分。

技術領域

本發明涉及網絡攻擊技術領域，尤其涉及一種基于溯源圖和自注意力機制的APT攻擊檢測方法。

背景技術

APT(Advanced?Persistent?Threat，高級持續性威脅)攻擊具有利用零日漏洞等特點，使得傳統的安全設備以及防御方法難以有效地檢測和防御。近年來對于APT的異常檢測，越來越多的研究工作聚焦在使用溯源圖來記錄系統的行為，利用溯源圖進行APT攻擊檢測和攻擊場景的還原等任務。溯源圖是根據系統中統調用日志生成的具有有向圖結構的數據,可以用于描述系統行為。所有系統級別的實體被當作溯源圖中的節點,而實體之間的操作被當作溯源圖的邊。

現有技術中的第一種基于異常的APT檢測方法Unicorn包括：

(1)以一個帶標簽的流式溯源圖作為輸入。該圖由CamFlow生成，每條邊是帶屬性的。溯源系統構建一個具有偏序關系的DAG溯源圖，能實現有效的流式計算和上下文分析。

(2)建立一個運行時的內存直方圖。Unicorn有效構建一個流式直方圖，該直方圖表示系統執行的歷史，如果有新邊產生則實時更新直方圖的計數結果。通過迭代的探索大規模圖的近鄰關系，發現了在上下文環境中系統實體的因果關系。該工作是Unicorn的第一步，具體來說，直方圖中每個元素描述了圖中唯一的一個子結構，同時考慮了子結構中的頂點與邊上的異構標簽，以及這些邊的時間順序。APT攻擊緩慢的滲透攻擊目標系統，希望基于的異常檢測方法最終忘記這一行為，把其當成正常的系統行為，但是APT攻擊并不能破壞攻擊成功的相關信息流依賴關系。

(3)定期計算固定大小的概要圖(graph?sketch)。在純流式環境，當Unicorn對整個溯源進行匯總時，唯一直方圖元素的數量可能會任意增長。這種動態變化導致兩個直方圖之間的相似計算變得非常有挑戰，從而使得基于直方圖相似計算的建模以及檢測算法變的不可行。Unicorn采用相似度保存的hash技術把直方圖轉換成概要圖。概要圖可以增量維護，也意味著Unicorn并不需要將整個溯源圖都保存在內存中。另外，概要圖保存了兩個直方圖之間的jaccard相似性，這在后續圖聚類分析中特別有效。

(4)將簡略圖聚類為模型。Unicorn可以在沒有攻擊知識的前提下實現APT攻擊檢測。與傳統的聚類方法不同，Unicorn利用它的流處理能力生成一個動態演化模型。該模型通過在其運行的各個階段對系統活動進行聚類捕獲單個執行中的行為改變，但是Unicorn無法在攻擊者破壞系統時動態實時修改模型。因此，它更適合APT攻擊這類長期運行的攻擊。

上述現有技術中的第一種基于異常的APT檢測方法Unicorn的缺點為：

(1)在真實場景，特別是工業場景中，APT攻擊具有持續時間久且隱蔽性強的特點。在長序列中，單個特征向量與正常行為對應的特征向量差異較小。Unicorn使用自動機建模系統狀態變化，這種方式無法將這種差異累積，因此無法有效地檢測真實場景，特別是工業場景下的長周期的APT攻擊。

(2)Unicorn對于每個訓練數據都建立一個自動機模型，在檢測過程中需要嘗試匹配所有自動機模型。當收集到的訓練數據增加時，檢測時間也會線性增加。但是在真實場景中，系統的正常行為是復雜的，需要大量模型描述。所以多模型的方法會影響檢測效率。