(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115913616A(43)申请公布日2023.04.04(21)申请号202211163410.9G06N3/0895(2023.01)(22)申请日2022.09.23(71)申请人清华大学地址100084北京市海淀区清华园(72)发明人杨家海孙晓晴李城龙(74)专利代理机构北京清亦华知识产权代理事务所(普通合伙)11201专利代理师张润(51)Int.Cl.H04L9/40(2022.01)G06F18/241(2023.01)G06F18/2431(2023.01)G06F18/2451(2023.01)G06F18/25(2023.01)G06N3/0455(2023.01)权利要求书2页说明书8页附图2页(54)发明名称基于异构图异常链路发现的横向移动攻击检测方法及装置(57)摘要本申请提出了一种基于异构图异常链路发现的横向移动攻击检测方法及装置，涉及网络安全技术领域，包括：获取日志信息，根据日志信息确定网络实体，构建异构用户认证图，其中，异构用户认证图包括网络实体以及网络实体之间的关系；根据基于元路径的随机游走邻居节点采样策略处理异构用户认证图，确定邻居节点集合；根据元路径注意力机制对邻居节点集合进行特征聚合，获取登入链路的表征向量；计算表征向量的相对重构误差，根据相对重构误差识别登入链路。本发明基于元路径的随机游走邻居节点采样策略与注意力机制处理节点与节点间关联，根据相对重构误差自动完成横向移动识别，无需人工设置异常检测阈值，易在实际网络场景中部署实现，提高效率。CN115913616ACN115913616A权利要求书1/2页1.一种基于异构图异常链路发现的横向移动攻击检测方法，其特征在于，包括：获取日志信息，根据所述日志信息确定网络实体，构建异构用户认证图，其中，所述异构用户认证图包括所述网络实体以及所述网络实体之间的关系；根据基于元路径的随机游走邻居节点采样策略处理所述异构用户认证图，确定邻居节点集合；根据元路径注意力机制对所述邻居节点集合进行特征聚合，获取登入链路的表征向量；计算所述表征向量的相对重构误差，根据所述相对重构误差识别所述登入链路。2.根据权利要求1所述的方法，其特征在于，所述日志信息包括用户认证事件日志、文件访问日志、进程日志和网络流日志中的一种或者多种。3.根据权利要求1所述的方法，其特征在于，所述根据基于元路径的随机游走邻居节点采样策略处理所述异构用户认证图，确定邻居节点集合，包括:对于给定的异构用户认证图G＝<V,E,X,TV,TE>和元路径在元路径节点类型约束下的随机游走过程中第i步的转移概率为：其中表示节点v的类型为的相邻节点集合；选取访问次数排名在预设范围内的节点构成所述邻居节点集合。4.根据权利要求1所述的方法，其特征在于，在所述根据元路径注意力机制对所述邻居节点集合进行特征聚合前，包括:获取所述元路径注意力机制的特征聚合表达式，公式化为：其中，VA是类型为A的节点集合，PA是以A类型节点为起止节点的对称元路径集合，WA,bA和αA分别表示权重矩阵，偏置向量和注意力系数，是节点v经由元路径pj获取的表征向量。5.根据权利要求1所述的方法，其特征在于，所述根据元路径注意力机制对所述邻居节点集合进行特征聚合，获取登入链路的表征向量，包括：通过全连接网络将所述邻居节点集合内登入链路的属性信息Xe编码至向量he；根据图神经网络处理所述邻居节点集合，得到用户节点的表征向量hu和设备节点的表征向量hd；根据所述he、所述hu与所述hd确定所述登入链路的表征向量hA，其中，所述6.根据权利要求1所述的方法，其特征在于，所述计算所述表征向量的相对重构误差，根据所述相对重构误差识别所述登入链路，包括：将所述表征向量输入到白解码器与灰解码器中，获取所述表征向量在白解码器与灰解2CN115913616A权利要求书2/2页码器上的重构误差；若在所述白解码器上获取的重构误差大于在所述灰解码器上获取的重构误差，则所述登入链路被视为异常登入；若在所述白解码器上获取的重构误差不大于在所述灰解码器上获取的重构误差，则所述登入链路被视为正常登入。7.根据权利要求6所述的方法，其特征在于，所述白解码器与灰解码器，包括：所述白解码器根据正常登入链路样本进行训练，损失函数为：其中，表示所述正常登入链路样本，Dwhite表示所述白解码器，表示所述正常登入链路样本的表征向量；所述白解码器和所述灰解码器根据未标记登入链路样本进行训练，损失函数为：其中，表示所述未标记登入链路样本，Dgray表示所述灰解码器，表示所述未标记登入链路样本的表征向量。8.一种基于异构图异常链路发现的横向移动攻击检测装置，其特征在于，包括：构建模块，获取日志信息，根据所述日志信息确定网