技术特征:
1.基于连续时间动态异质图神经网络的apt检测方法,其特征在于,选取指定时间段内的网络交互事件数据,从所述网络交互事件数据中提取实体作为源节点和目标节点,提取源节点和目标节点之间交互事件作为边,确定节点类型和属性、边的类型和属性,以及交互事件发生的时刻,获得连续时间动态异质图;利用连续时间动态异质图网络编码器,将所述连续时间动态异质图的各类型边转化为向量,得到各类型边的嵌入表示;利用连续时间动态异质图网络解码器,对连续时间动态异质图中各类型边的嵌入表示进行解码,获得各类型边是否为异常边的检测结果。2.根据权利要求1所述的基于连续时间动态异质图神经网络的apt检测方法,其特征在于,所述连续时间动态异质图表示为十元组的集合,表示为:{(src,e,dst,t,src_type,dst_type,edge_type,src_feats,dst_feats,edge_feats)};其中src表示源节点,dst表示目标节点;e表示连接源节点和目标节点的边;t表示源节点与目标节点发生交互事件的时刻;src_type,dst_type,edge_type分别为源节点的类型、目标节点的类型和边的类型;src_feats,dst_feats,edge_feats分别为源节点的属性、目标节点的属性和边的属性。3.根据权利要求1所述的基于连续时间动态异质图神经网络的apt检测方法,其特征在于,利用连续时间动态异质图网络编码器,将所述连续时间动态异质图的各类型边转化为向量,得到各类型边的嵌入表示,包括:针对连续时间动态异质图中每一个边,均利用消息函数,根据交互事件发生的当前时刻和上一时刻的时间间隔、连接源节点和目标节点的边、源节点和目标节点在交互事件发生的当前时刻之前时刻的嵌入表示记忆,分别生成各源节点和目标节点在交互事件发生的当前时刻对应的消息值;利用聚合函数分别将本批次所有源节点和目标节点在各交互事件发生的时刻对应消息值进行消息聚合,分别获得各源节点和目标节点在本批次的嵌入表示记忆;在源节点和目标节点之间发生交互事件后更新节点在本批次各源节点和目标节点的嵌入表示记忆;分别将各源节点和目标节点在本批次更新后的嵌入表示记忆,与上一批次的嵌入表示记忆进行记忆融合,分别获得本批次各源节点和目标节点包含时间上下文信息的嵌入表示;根据各源节点和目标节点包含时间上下文信息的嵌入表示、源节点和目标节点之间的边、预设的节点的注意力权重矩阵和边的权重矩阵,计算各节点的注意力分数;根据预设的边的消息权重矩阵、节点的消息权重矩阵,对目标节点利用消息传递函数,抽取其对应的各个源节点的多头消息值,并进行拼接,生成各源节点的消息向量;根据各节点的注意力分数,聚合各源节点的消息向量后传递给目标节点,得到各源节点和目标节点包含空间上下文信息的嵌入表示;将边的源节点包含时间上下文信息的嵌入表示和目标节点包含空间上下文信息的嵌入表示进行合并,根据边的类型得到各类型边的包含时间和空间上下文信息的嵌入表示。4.根据权利要求3所述的基于连续时间动态异质图神经网络的apt检测方法,其特征在于,进行消息聚合时分别考虑以下情况:
情况一、若同一源节点同时连接到不同的目标节点,聚合函数取所有消息值的平均值;情况二、若同一个源节点在不同时间连接到同一个目标节点,聚合函数只保留给定节点的最新时刻的消息值;情况三、若同一个源节点在不同的时间连接到不同的节点目标,聚合函数也设置为所有消息值的平均值。5.根据权利要求1所述的基于连续时间动态异质图神经网络的apt检测方法,其特征在于,所述连续时间动态异质图网络解码器的训练方法包括:输入各类型边的嵌入表示,通过对各类型边的嵌入表示进行样本标注获得样本标签,对所述连续时间动态异质图网络编码器和所述连续时间动态异质图网络解码器进行有监督训练,从而确定在某个时间点某源节点和某目标节点之间边的嵌入表示是否存在异常。6.根据权利要求1所述的基于连续时间动态异质图神经网络的apt检测方法,其特征在于,所述连续时间动态异质图网络解码器采用二分类交叉熵损失函数定义如下:;其中,是由所述连续时间动态异质图模型输出的t时刻第
푖
个边异常判定的结果,是对应的样本标签值。7.基于连续时间动态异质图神经网络的apt检测系统,其特征在于,包括:图构建模块、网络编码器和网络解码器;所述图构建模块,用于选取指定时间段内的网络交互事件数据,从所述网络交互事件数据中提取实体作为源节点和目标节点,提取源节点和目标节点之间交互事件作为边,确定节点类型和属性、边的类型和属性,以及交互事件发生的时刻,获得连续时间动态异质图;所述网络编码器,用于将所述连续时间动态异质图的各类型的边转化为向量,得到各类型边的嵌入表示;所述网络解码器,用于对连续时间动态异质图中各类型边的嵌入表示进行解码,获得各类型边是否为异常边的检测结果。8.根据权利要求7所述的基于连续时间动态异质图神经网络的apt检测系统,其特征在于,所述系统还包括训练模块,所述训练模块用于训练所述网络编码器和网络解码器。9.根据权利要求7所述的基于连续时间动态异质图神经网络的apt检测系统,其特征在于,所述网络编码器包括节点时间记忆网络和节点空间注意力网络;所述节点时间记忆网络包括第一消息模块、第一聚合模块、记忆更新模块和记忆融合模块;所述节点空间注意力网络包括注意力模块、第二消息模块和第二聚合模块;所述第一消息模块,用于针对连续时间动态异质图中每一个边,均利用消息函数,根据交互事件发生的当前时刻和上一时刻的时间间隔、连接源节点和目标节点的边、源节点和目标节点在交互事件发生的当前时刻之前时刻的嵌入表示记忆,分别生成各源节点和目标节点在交互事件发生的当前时刻对应的消息值;所述第一聚合模块,用于利用聚合函数分别将本批次所有源节点和目标节点在各交互事件发生的时刻对应消息值进行消息聚合,分别获得各源节点和目标节点在本批次的嵌入
表示记忆;所述记忆更新模块,用于在源节点和目标节点之间发生交互事件后更新节点在本批次各源节点和目标节点的嵌入表示记忆;所述记忆融合模块,用于分别将各源节点和目标节点在本批次更新后的嵌入表示记忆,与上一批次的嵌入表示记忆进行记忆融合,分别获得本批次各源节点和目标节点包含时间上下文信息的嵌入表示;所述注意力模块,用于根据各源节点和目标节点包含时间上下文信息的嵌入表示、源节点和目标节点之间的边、预设的节点的注意力权重矩阵和边的权重矩阵,计算各节点的注意力分数;所述第二消息模块,用于根据预设的边的消息权重矩阵、节点的消息权重矩阵,对目标节点利用消息传递函数,抽取其对应的各个源节点的多头消息值,并进行拼接,生成各源节点的消息向量;所述第二聚合模块,用于根据各节点的注意力分数,聚合各源节点的消息向量后传递给目标节点,得到各源节点和目标节点包含空间上下文信息的嵌入表示;将边的源节点包含时间上下文信息的嵌入表示和目标节点包含空间上下文信息的嵌入表示进行合并,根据边的类型得到各类型边的包含时间和空间上下文信息的嵌入表示。10.根据权利要求9所述的基于连续时间动态异质图神经网络的apt检测系统,其特征在于,所述注意力模块包括相连的若干异质图卷积层和连接在若干异质图卷积层之后的线性变换层;注意力模块计算各节点的注意力分数的方法包括:上一个异质图卷积层的目标节点与边的嵌入表示拼接生成向量,表示为:;将上一个异质图卷积层的源节点与边的嵌入表示拼接生成向量,表示为:;其中为当前异质图卷积层的层数;表示源节点的第异质图卷积层的嵌入表示;表示边的第异质图卷积层的嵌入表示;表示目标节点的第异质图卷积层的嵌入表示;使用线性变换层和,将向量和向量映射到第d个key向量和第d个query向量;为不同的节点类型分配一个独立的节点的注意力权重矩阵;为不同的边类型分配一个独立的边的注意力权重矩阵;
对于第d个注意力头,结合第d个key向量、第d个query向量、节点的注意力权重矩阵和边的注意力权重矩阵,计算源节点的第d个注意力头的注意力分数,表达式如下:;;;对所有m个头的注意力分数进行拼接并进行归一化,得到源节点与目标节点之间在当下异质图卷积层的最终注意力分数,表达式为;其中n(dst)为目标节点的所有相邻节点,src表示源节点,dst表示目标节点;e表示连接源节点和目标节点的边。11.根据权利要求10述的基于连续时间动态异质图神经网络的apt检测系统,其特征在于,所述第二消息模块,执行以下步骤:在计算当下异质图卷积层的注意力分数的同时,对于第d个注意力头,使用线性变换层v-linear-node
d
,将上一个异质图卷积层的源节点与边的嵌入表示拼接生成的向量,表示为:,进行线性映射;为不同的节点类型分配一个独立的节点的消息权重矩阵,为不同的边类型分配一个独立的边的消息权重矩阵;对于第d个注意力头,结合线性变换层v-linear-node
d
线性变换后的向量、节点的消息权重矩阵和对应边的消息权重矩阵生成第d个注意力头的消息向量,表示为:;对所有m个头的消息向量进行拼接,得到源节点在当下第异质图卷积层的最终消息值,表示为:。
技术总结
本发明公开了基于连续时间动态异质图神经网络的APT检测方法和系统,包括选取指定时间段内的网络交互事件数据,从所述网络交互事件数据中提取实体作为源节点和目标节点,提取源节点和目标节点之间交互事件作为边,确定节点类型和属性、边的类型和属性,以及交互事件发生的时刻,获得连续时间动态异质图;利用连续时间动态异质图网络编码器,将所述连续时间动态异质图的各类型边转化为向量,得到各类型边的嵌入表示;利用连续时间动态异质图网络解码器,对连续时间动态异质图中各类型边的嵌入表示进行解码,获得各类型边是否为异常边的检测结果。本发明充分利用了实体自身和实体间交互事件的完整的上下文信息,容易识别恶意攻击。击。击。
技术研发人员:高鹏 犹锋 杨维永 魏兴慎 张浩天 朱世顺 刘苇 金倩倩 曹永健 马增洲 周剑 田秋涵 王晔 郭靓 吴超 朱溢铭 张付存 俞皓 贾雪
受保护的技术使用者:南京南瑞信息通信科技有限公司
技术研发日:2022.12.01
技术公布日:2023/3/30