一种基于网络资产图谱的横向移动异常检测方法及装置与流程

本发明涉及人工智能，具体涉及一种基于网络资产图谱的横向移动异常检测方法及装置。另外，还涉及一种电子设备及处理器可读存储介质。

背景技术：

1、近年来，随着人工智能技术的快速发展，网络攻击行为越来越多。apt(advancedpersistent threat)攻击是一种高度复杂和有组织的攻击方式，旨在长期潜伏在目标网络中，窃取敏感信息或破坏目标系统。横向移动是apt攻击中的一种关键技术，攻击者在成功入侵一个系统后，通过利用系统内部的漏洞、弱点或权限提升等手段，从一个系统或主机移动到另一个系统或主机，进一步扩大其攻击范围侵入其他系统或网络，以获取更多的权限和访问敏感数据。在网络安全领域中，横向移动检测是一种网络安全防御机制，监测和识别恶意攻击活动者在受感染网络中横向移动的过程，其通过监控网络流量、分析用户行为和检测异常活动来识别潜在的横向移动攻击。横向移动检测可以帮助组织及时发现和阻止apt攻击，减少攻击者在网络中的持续时间，从而降低潜在的损失，其目标是及时发现和阻止攻击者在网络中的横向移动，以减少攻击的影响范围和损害程度。然而，目前的横向移动检测技术在对隐蔽攻击检测、新型攻击和复杂环境场景下存在误报及检出率较低情况，导致实际的横向移动异常检测精度和效率较差。

技术实现思路

1、为此，本发明提供一种基于网络资产图谱的横向移动异常检测方法及装置，以解决现有技术中存在的横向移动异常检测局限性较高，导致实际的横向移动异常检测精度和效率较差的缺陷。

2、第一方面，本发明提供一种基于网络资产图谱的横向移动异常检测方法，包括：

3、基于预设的网络资产图谱对待检测的网络资产中检测到的横向移动行为进行路径分析，以获得所述横向移动行为对应的路径序列；其中，所述网络资产图谱是基于所述网络资产及网络资产之间的关系进行预先构建得到的；

4、将所述横向移动行为对应的路径序列输入到预设的横向移动异常检测模型进行重构误差分析，获得所述横向移动异常检测模型输出的与所述横向移动行为对应的异常检测结果；其中，所述横向移动异常检测模型是基于利用所述网络资产图谱构建得到的样本路径序列以及所述样本路径序列对应的样本异常检测结果进行训练得到的。

5、进一步的，所述将所述横向移动行为对应的路径序列输入到预设的横向移动异常检测模型进行重构误差分析，获得所述横向移动异常检测模型输出的与所述横向移动行为对应的异常检测结果，具体包括：

6、将所述横向移动行为对应的路径序列输入到所述横向移动异常检测模型中与所述横向移动异常检测模型内重构后的路径序列进行比对分析，以计算所述横向移动行为对应的路径序列的整体重构误差，并基于所述横向移动行为对应的路径序列的整体重构误差与预设的重构误差阈值进行比对分析，以获得所述横向移动异常检测模型输出的与所述横向移动行为对应的异常检测结果。

7、进一步的，所述将所述横向移动行为对应的路径序列输入到预设的横向移动异常检测模型进行重构误差分析，获得所述横向移动异常检测模型输出的与所述横向移动行为对应的异常检测结果，还包括：

8、将所述重构后的路径序列中各个节点的图嵌入向量与相应的原始路径序列中各个节点的图嵌入向量分别进行比对分析，以计算相应的局部误差序列；

9、对所述局部误差序列进行归一化处理，获得相应的异常序列值；基于所述异常序列值中各个节点对应数值定位异常节点，并将所述异常节点作为所述横向移动行为对应的异常检测结果进行输出。

10、进一步的，在基于预设的网络资产图谱对待检测的网络资产中检测到的横向移动行为进行路径分析之前，还包括：

11、确定待检测的网络资产信息；

12、基于所述待检测的网络资产信息构建相应的网络资产图谱；

13、基于预设的图嵌入模型对所述网络资产图谱中的各个节点进行图嵌入处理，获得所述网络资产图谱中各个节点的图嵌入向量，基于所述各个节点的图嵌入向量获得所述网络资产图谱对应的图嵌入向量集合；其中，所述图嵌入模型是基于利用所述网络资产图谱得到的样本节点以及所述样本节点对应的样本图嵌入向量进行训练得到的；所述图嵌入向量集合中包括所述网络资产图谱中所有节点对应的图嵌入向量及其唯一标识；

14、从所述网络资产图谱中提取路径信息，获得路径信息集合；其中，所述路径信息集合包含多个样本路径序列，基于每个样本路径序列中序列节点的唯一标识与所述图嵌入向量集合中唯一标识进行匹配，获得每个样本路径序列中序列节点对应的图嵌入向量；

15、基于所述每个样本路径序列中序列节点对应的图嵌入向量对初始的横向移动异常检测模型进行训练，获得横向移动异常检测模型。

16、进一步的，所述基于预设的图嵌入模型对所述网络资产图谱中的各个节点进行图嵌入处理，获得所述网络资产图谱中各个节点的图嵌入向量，具体包括：

17、对所述网络资产图谱中各个节点对应的网络资产信息输入到所述图嵌入模型进行特征提取，获得各个节点对应的第一表示特征；

18、利用所述图嵌入模型对所述各个节点对应的表示特征进行线性增强变换，获得特征增强之后各个节点对应的第二表示特征；并基于所述各个节点内包含的中心节点及其邻居节点之间的注意力信息对所述第二表示特征进行加权聚合，获得各个节点对应的加权聚合结果；基于所述各个节点对应的加权聚合结果进行注意力信息分析，获得各个节点内包含的中心节点对其邻居节点的注意力值；

19、利用所述图嵌入模型对所述各个节点内包含的中心节点对其邻居节点的注意力值进行注意力归一化处理，获得各个节点内包含的中心节点对器所有邻居节点的注意力系数；

20、利用所述图嵌入模型分别将所述各个节点内包含的中心节点对应的邻居节点的表示特征按照相应的注意力系数进行加权聚合，获得所述中心节点的新特征，并将所述新特征作为所述网络资产图谱中各个节点的图嵌入向量。

21、进一步的，所述基于所述横向移动行为对应的路径序列的整体重构误差与预设的重构误差阈值进行比对分析，以获得所述横向移动异常检测模型输出的与所述横向移动行为对应的异常检测结果，包括：

22、将所述横向移动行为对应的路径序列的整体重构误差与预设的重构误差阈值进行比对分析，在所述整体重构误差大于或等于所述重构误差阈值的情况下，判定所述横向移动行为是异常横向行为，并将所述异常横向行为作为异常检测结果进行输出。

23、进一步的，所述基于所述异常序列值中各个节点对应数值定位异常节点，具体包括：

24、将所述异常序列值中各个节点对应数值与预设的局部重构误差阈值进行比对分析，获得比对结果；将所述比对结果中数值大于或等于所述局部重构误差阈值对应的节点确定为异常节点。

25、第二方面，本发明还提供一种基于网络资产图谱的横向移动异常检测装置，包括：

26、路径序列获得单元，用于基于预设的网络资产图谱对待检测的网络资产中检测到的横向移动行为进行路径分析，以获得所述横向移动行为对应的路径序列；其中，所述网络资产图谱是基于所述网络资产及网络资产之间的关系进行预先构建得到的；

27、路径异常检测单元，用于将所述横向移动行为对应的路径序列输入到预设的横向移动异常检测模型进行重构误差分析，获得所述横向移动异常检测模型输出的与所述横向移动行为对应的异常检测结果；其中，所述横向移动异常检测模型是基于利用所述网络资产图谱构建得到的样本路径序列以及所述样本路径序列对应的样本异常检测结果进行训练得到的。

28、进一步的，所述路径异常检测单元，具体用于：

29、将所述横向移动行为对应的路径序列输入到所述横向移动异常检测模型中与所述横向移动异常检测模型内重构后的路径序列进行比对分析，以计算所述横向移动行为对应的路径序列的整体重构误差，并基于所述横向移动行为对应的路径序列的整体重构误差与预设的重构误差阈值进行比对分析，以获得所述横向移动异常检测模型输出的与所述横向移动行为对应的异常检测结果。

30、进一步的，所述路径异常检测单元，具体还用于：

31、将所述重构后的路径序列中各个节点的图嵌入向量与相应的原始路径序列中各个节点的图嵌入向量分别进行比对分析，以计算相应的局部误差序列；

32、对所述局部误差序列进行归一化处理，获得相应的异常序列值；基于所述异常序列值中各个节点对应数值定位异常节点，并将所述异常节点作为所述横向移动行为对应的异常检测结果进行输出。

33、进一步的，在基于预设的网络资产图谱对待检测的网络资产中检测到的横向移动行为进行路径分析之前，还包括：

34、横向移动异常检测模型构建单元，用于：

35、确定待检测的网络资产信息；

36、基于所述待检测的网络资产信息构建相应的网络资产图谱；

37、基于预设的图嵌入模型对所述网络资产图谱中的各个节点进行图嵌入处理，获得所述网络资产图谱中各个节点的图嵌入向量，基于所述各个节点的图嵌入向量获得所述网络资产图谱对应的图嵌入向量集合；其中，所述图嵌入模型是基于利用所述网络资产图谱得到的样本节点以及所述样本节点对应的样本图嵌入向量进行训练得到的；所述图嵌入向量集合中包括所述网络资产图谱中所有节点对应的图嵌入向量及其唯一标识；

38、从所述网络资产图谱中提取路径信息，获得路径信息集合；其中，所述路径信息集合包含多个样本路径序列，基于每个样本路径序列中序列节点的唯一标识与所述图嵌入向量集合中唯一标识进行匹配，获得每个样本路径序列中序列节点对应的图嵌入向量；

39、基于所述每个样本路径序列中序列节点对应的图嵌入向量对初始的横向移动异常检测模型进行训练，获得横向移动异常检测模型。

40、进一步的，所述基于预设的图嵌入模型对所述网络资产图谱中的各个节点进行图嵌入处理，获得所述网络资产图谱中各个节点的图嵌入向量，具体包括：

41、对所述网络资产图谱中各个节点对应的网络资产信息输入到所述图嵌入模型进行特征提取，获得各个节点对应的第一表示特征；

42、利用所述图嵌入模型对所述各个节点对应的表示特征进行线性增强变换，获得特征增强之后各个节点对应的第二表示特征；并基于所述各个节点内包含的中心节点及其邻居节点之间的注意力信息对所述第二表示特征进行加权聚合，获得各个节点对应的加权聚合结果；基于所述各个节点对应的加权聚合结果进行注意力信息分析，获得各个节点内包含的中心节点对其邻居节点的注意力值；

43、利用所述图嵌入模型对所述各个节点内包含的中心节点对其邻居节点的注意力值进行注意力归一化处理，获得各个节点内包含的中心节点对器所有邻居节点的注意力系数；

44、利用所述图嵌入模型分别将所述各个节点内包含的中心节点对应的邻居节点的表示特征按照相应的注意力系数进行加权聚合，获得所述中心节点的新特征，并将所述新特征作为所述网络资产图谱中各个节点的图嵌入向量。

45、进一步的，所述基于所述横向移动行为对应的路径序列的整体重构误差与预设的重构误差阈值进行比对分析，以获得所述横向移动异常检测模型输出的与所述横向移动行为对应的异常检测结果，包括：

46、将所述横向移动行为对应的路径序列的整体重构误差与预设的重构误差阈值进行比对分析，在所述整体重构误差大于或等于所述重构误差阈值的情况下，判定所述横向移动行为是异常横向行为，并将所述异常横向行为作为异常检测结果进行输出。

47、进一步的，所述基于所述异常序列值中各个节点对应数值定位异常节点，具体包括：

48、将所述异常序列值中各个节点对应数值与预设的局部重构误差阈值进行比对分析，获得比对结果；将所述比对结果中数值大于或等于所述局部重构误差阈值对应的节点确定为异常节点。

49、第三方面，本发明还提供一种电子设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行所述计算机程序时实现如上述任意一项所述的基于网络资产图谱的横向移动异常检测方法的步骤。

50、第四方面，本发明还提供一种处理器可读存储介质，所述处理器可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现如上述任意一项所述的基于网络资产图谱的横向移动异常检测方法的步骤。

51、本发明提供的基于网络资产图谱的横向移动异常检测方法，通过基于预设的网络资产图谱对待检测的网络资产中检测到的横向移动行为进行路径分析，以获得横向移动行为对应的路径序列，并将横向移动行为对应的路径序列输入到预设的横向移动异常检测模型进行重构误差分析，获得横向移动异常检测模型输出的与横向移动行为对应的异常检测结果，其能够快速定位横向移动路径序列中的异常移动行为，有效提高了横向移动异常检测的效率和准确度。