公开(公告)号：CN116192421A

公开(公告)日：2023-05-30

申请号：CN202211500772.2

申请日：2022-11-28

Applicant: 北京交通大学

Inventor： 王楠 ,  温学智 ,  张大林

IPC: H04L9/40 ,  H04L41/16 ,  G06F18/23 ,  G06N3/0442 ,  G06N3/0455 ,  G06N3/08

Abstract: 本发明提供了一种基于溯源图和自注意力机制的APT攻击检测方法。该方法包括：根据待进行APT攻击检测的系统日志生成溯源图，将溯源图序列抽取为特征序列，采用基于Transformer的编码器‑解码器来训练自注意力网络，生成特征提取网络，通过特征提取网络将特征序列转换为特征向量；使用改进后的ADOA算法对特征向量中的正常样本进行聚类，生成多个聚类中心，根据特征向量中的未标记的样本数据与聚类中心之间的距离，判断未标记的样本数据是否异常。本发明使用Transformer模型建模系统的状态变化，使用大量的正常数据结合自注意力机制的编码器‑解码器来训练模型提取特征，提取APT攻击对系统产生的长期影响，使得攻击行为的特征与正常行为的特征更易区分。

公开(公告)号：CN116192421B

公开(公告)日：2024-04-30

申请号：CN202211500772.2

申请日：2022-11-28

Applicant: 北京交通大学

Inventor： 王楠 ,  温学智 ,  张大林

IPC: H04L9/40 ,  H04L41/16 ,  G06F18/23 ,  G06N3/0442 ,  G06N3/0455 ,  G06N3/08

Abstract: 本发明提供了一种基于溯源图和自注意力机制的APT攻击检测方法。该方法包括：根据待进行APT攻击检测的系统日志生成溯源图，将溯源图序列抽取为特征序列，采用基于Transformer的编码器‑解码器来训练自注意力网络，生成特征提取网络，通过特征提取网络将特征序列转换为特征向量；使用改进后的ADOA算法对特征向量中的正常样本进行聚类，生成多个聚类中心，根据特征向量中的未标记的样本数据与聚类中心之间的距离，判断未标记的样本数据是否异常。本发明使用Transformer模型建模系统的状态变化，使用大量的正常数据结合自注意力机制的编码器‑解码器来训练模型提取特征，提取APT攻击对系统产生的长期影响，使得攻击行为的特征与正常行为的特征更易区分。