一种融合云网端日志与威胁知识的APT检测方法

技术特征：
1.一种融合云网端日志与威胁知识的apt检测方法，其特征在于，所述融合云网端日志与威胁知识的apt检测方法，包括：步骤1、获取应用数据集，所述应用数据集包含网络威胁情报，以及根据网络威胁情报展开模拟攻击下得到的云端日志、网络端日志和终端日志；步骤2、对应用数据集中的云端日志、网络端日志和终端日志进行预处理，生成以进程为单位、以时间为顺序的四元组序列，并根据四元组序列构建攻击起源图，四元组序列中的每一四元组为(p，e，o，t)，其中p是进程，e是事件类型，o是客体，t是时间戳；步骤3、对应用数据集中的网络威胁情报进行处理，建立攻击因果图库，包括：步骤3.1、对于一个网络威胁情报的文本，根据其文本中所含符号将长句分割为短句，并将句子转换为规范形式；步骤3.2、将步骤3.1得到的文本进行消歧处理；步骤3.3、将步骤3.2得到的文本进行冗余删除，保留句子中的所有实体与主谓宾部分；步骤3.4、将步骤3.3得到的文本抽取实体和实体关系；步骤3.5、根据步骤3.4抽取得到的实体和实体关系，生成攻击因果图；步骤3.6、重复步骤3.1至步骤3.5，将生成的单个攻击因果图存储到攻击因果图库中；步骤4、根据步骤2的攻击起源图和步骤3得到的攻击因果图库训练auto-encoder网络，训练中以攻击起源图作为输入、以攻击因果图作为真实标签；步骤5、将待检测的云端日志、网络端日志和终端日志生成待检测的起源图，将待检测的起源图输入到训练好的auto-encoder网络，输出为待检测的因果图，将该因果图与现有的攻击因果图库进行比对，若达到预设的相似度，则判定存在云网端的apt攻击，并进行警报；否则不存在云网端的apt攻击，继续进行检测。2.如权利要求1所述的融合云网端日志与威胁知识的apt检测方法，其特征在于，所述网络威胁情报为取自microsoft安全情报报告中预设数量的非结构化威胁情报。3.如权利要求1所述的融合云网端日志与威胁知识的apt检测方法，其特征在于，所述将句子转换为规范形式，包括：使用词性标记和依赖树检测句子中的被动语态，并利用依赖树将被动语态转换为主动语态。4.如权利要求1所述的融合云网端日志与威胁知识的apt检测方法，其特征在于，所述将步骤3.1得到的文本进行消歧处理，包括：针对文本中省略主语的问题，结合语法解析、实体识别与实体字典，从无主语的句子前挑选候选实体，并优先选择距离最近的实体恢复省略的主语；针对文本中使用代词的问题，采用指代消解算法将代词恢复为实体；针对文本中同义不同词的问题，采用专家编写的同义词库进行消歧处理。5.如权利要求1所述的融合云网端日志与威胁知识的apt检测方法，其特征在于，所述将步骤3.2得到的文本进行冗余删除，包括：针对文本冗余的问题，采用bert模型作为分类器对句子进行分类，并根据分类结果删除与攻击描述无关的句子；针对词冗余的问题，先后执行语法解析与实体识别算法，保留句子中的所有实体与主谓宾部分。
6.如权利要求1所述的融合云网端日志与威胁知识的apt检测方法，其特征在于，根据步骤3.4抽取得到的实体和实体关系，生成攻击因果图，包括：语义角色标记：从包含步骤3.4抽取的实体和实体关系的句子中提取实施者和受施这两个角色，并将句子中的每个角色与语义标签建立联系；系统实体提取器：以从语义角色标记生成的角色中提取代表系统实体的简明节点，并修剪掉不能构成系统实体的描述部分；因果推断：根据语义角色标记区分出各角色的主体与客体，并以主体到客体之间边的方向表示节点之间的因果关系和信息流；图形生成器：对于至少包含一个动词和两个节点的句子生成相应的边和节点对，并根据因果关系和信息流确定边的方向。7.如权利要求1所述的融合云网端日志与威胁知识的apt检测方法，其特征在于，所述根据步骤2的攻击起源图和步骤3得到的攻击因果图库训练auto-encoder网络，包括：步骤4.1、将对应于同一网络威胁情报的攻击起源图和攻击因果图作为一个训练对，将训练对中的攻击起源图输入auto-encoder网络，得到auto-encoder网络输出的预测因果图；步骤4.2、根据预测因果图和训练对中作为真实标签的攻击因果图修正网络参数；步骤4.3、返回步骤4.1直至训练达到预设的结束条件。

技术总结
本发明公开了一种融合云网端日志与威胁知识的APT检测方法，采集多平台的云网端融合日志，将其处理成以进程为单位，以时间为序的四元组序列，来构建云网端的起源图。从网络威胁情报中抽取攻击实体和实体关系，以形成攻击因果图，并用于云网端的APT检测之中。本发明采集多平台的云网端融合日志，并从网络威胁情报中抽取攻击因果图，不依赖人工，从而避免了大量规则的制定，帮助安全行业人员更精准、更高效地判别云网端融合的APT攻击，从而实现针对云网端融合APT的有效检测。云网端融合APT的有效检测。云网端融合APT的有效检测。


技术研发人员：朱添田 李爽 陈铁明 吕明琪
受保护的技术使用者：浙江工业大学
技术研发日：2022.07.22
技术公布日：2022/11/25