(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115987532A(43)申请公布日2023.04.18(21)申请号202111190187.2(22)申请日2021.10.13(71)申请人北京卫达信息技术有限公司地址101100北京市通州区国家网络安全产业园区靓丽四街1号-2(72)发明人张长河耿童童(51)Int.Cl.H04L9/40(2022.01)G06N3/08(2023.01)G06N3/04(2023.01)权利要求书2页说明书7页附图1页(54)发明名称一种基于无监督图嵌入的APT横向移动攻击检测系统及方法(57)摘要本发明提出一种基于无监督图嵌入的APT(AdvancedPersistentThreat)横向移动攻击检测系统及方法，打破传统APT检测方法难以准确定位横向攻击位置的弊端，解决传统APT检测方法无法实现无监督APT横向移动检测的缺陷，其基本思想是：首先通过搜集企业内部认证日志，构建企业全局认证行为异构图；然后设计一种基于无监督学习的认证行为异构图表示学习方法，学习认证图中每个节点的隐向量表示；最后设计一种基于对比学习的动态链路预测算法实时检测认证行为图中异常的认证连接关系，并将其标记为可疑APT横向移动攻击位置。本发明可以在无标记数据的场景下自动学习APT横向移动攻击模式，满足APT横向移动攻击检测对实时性、动态性和无标签需求。CN115987532ACN115987532A权利要求书1/2页1.一种基于无监督图嵌入的APT横向移动攻击检测系统，其特征在于，包括：认证日志采集单元、认证图构建单元、认证图表示学习单元、横向移动连接预测单元、横向移动攻击检测单元。2.根据权利要求1所述的基于无监督图嵌入的APT横向移动攻击检测系统，其特征在于，所述认证日志采集单元，利用当前公开、常见的日志采集工具，采集企业网络中包括但不限于Kerberos、NTLM(NTLANManager)、SAML(SecurityAssertionMarkupLanguage)等协议产生的认证日志。所述认证日志是指网络行为的身份认证信息，能够从集中式的网络监听设备中捕获这些关键信息，而无需采集昂贵的全网主机日志信息。3.根据权利要求1所述的基于无监督图嵌入的APT横向移动攻击检测系统，其特征在于，所述认证图构建单元使用异构图对采集的认证日志进行建模，通过引入不同的元路径刻画每个独立认证实体与网络全局认证事件的关联关系。所述认证图能够覆盖企业内部网络所有的认证实体节点，并依据不同实体节点之间的认证事件信息流刻画认证节点之间的认证行为交互关系。4.根据权利要求1所述的基于无监督图嵌入的APT横向移动攻击检测系统，其特征在于，所述认证图表示学习单元利用随机游走和连续词袋算法学习认证图中每个认证节点的低维向量表示。所述认证图表示学习单元不仅能够有效学习认证节点的属性特征，同时还可以学习到整个企业内部网络认证行为模式，可以从局部和全局两个视角同步学习异常的认证行为特征。5.根据权利要求1所述的基于无监督图嵌入的APT横向移动攻击检测系统，其特征在于，所述横向移动连接预测单元设计一种动态链路预测方法预测企业内部网络可能存在的APT横向移动攻击连接关系。基于权利要求4中所述的认证图表示学习向量，训练一个循环神经网络用于判断认证图中的两个节点是否会产生异常连边；所述横向移动连接预测单元能够自动化预测认证节点之间潜在的异常连接关系。6.根据权利要求1所述的基于无监督图嵌入的APT横向移动攻击检测系统，其特征在于，所述横向移动攻击检测单元利用对比学习技术训练一个自动化的APT横向移动攻击检测模型，学习企业内部网络正常认证模式和APT横向移动攻击认证模式之间的区别，以检测企业内部网络中潜在的APT横向移动攻击并定位其横向攻击位置；同时标记被横向移动攻击的设备位置并向管理端发送告警信息。7.一种基于无监督图嵌入的APT横向移动攻击检测方法，其特征在于，包括以下步骤：步骤(1)、认证日志信息采集，利用当前公开、常见的日志采集工具，采集企业内部网络中包括但不限于Kerberos、NTLM、SAML等协议产生的认证日志信息，并将其存入数据库保存；步骤(2)、认证图构建，根据步骤(1)采集的认证日志信息中认证节点之间的交互信息流，利用异构图来建模每个独立认证实体与网络全局认证事件之间的关联关系。其中，所述认证图中的节点表示企业网络中认证实体(如用户、主机、服务器、传感器、网络通讯设备等)，节点之间的连边表示认证实体之间的认证行为关系(如登录、读文件、写文件、权限提升等)；所述认证图能够覆盖企业内部网络所有的认证实体节点，并依据不同实体节点之间的认证事件信息流刻画认证节点之间的交互关系；步骤(3)、认证图表示学习，基于步骤(2)所构建的