基于异构属性图的自动化攻击行为语义识别方法

摘要

当前安全运营人员面对的是海量的设备日志,需要根据其专家知识或经验来进行调查溯源,大大降低了安全运营的效率,同时也为安全运营设置了较高的知识门槛.为了解决这一问题,提出了一种基于异构属性图的自动化攻击行为语义识别方法,能够实现底层安全日志到上层攻击行为之间的映射.首先,利用异构图对系统日志进行威胁建模;然后,以攻击行为上下文为语义并结合知识图谱表示学习得到图中节点与边的向量表示;接着,利用层次聚类把相似的日志聚合到一起,从中找出最具代表性日志作为整个类的行为表示.最后,对该方法进行了实验验证,可以看出该方法在系统正常行为与恶意行为的识别上都具有较高的精度,可以大大提高安全运营的效率.