[发明专利]基于进程行为图的入侵事件检测方法、装置及电子设备

说明书

本申请提供了一种基于进程行为图的入侵事件检测方法、装置及电子设备，该方法包括：构建进程行为图，所述进程行为图为依据父子进程和上下文行为构建的行为链条，所述上下文行为包括：文件操作行为、网络连接行为、主机账号及其具有资产；对所述进程行为图中符合入侵行为的节点进行标签标注，并进行标签传递，得到附带有标签的进程行为图；基于所述附带有标签的进程行为图，根据上下文行为的不同划分出不同入侵事件的行为子图；计算不同入侵事件间的相似度，将相似度满足阈值条件的入侵事件的行为子图进行合并。本申请通过对附带有标签的进程行为图进行入侵事件进行检测，并合并相似度较高的行为子图，实现了对入侵事件的精确刻画与精准检测。

技术领域

本申请涉及信息安全领域，具体而言，涉及一种基于进程行为图的入侵事件检测方法、装置及电子设备。

背景技术

网络威胁事件是依据行为动作对入侵手段的充分概括，其往往基于上下文相关可疑操作点来衡量整体行为链路是否具备威胁。在现实的网络态势攻防阶段中，真实的入侵者在面对体系完备的目标群体时，常以看似微不足道并极易忽略的行为实现对目标的入侵，而这种可疑操作对于安全运维人员来说是极其常规的操作手段，即使有着不合规的因素，但也被归结为一种风险操作，并忽视了这种风险操作带来的影响。另外，由于0day漏洞的盛行，若是安防体系防控不足且并未对某种特定漏洞进行覆盖，当攻击者依据改漏洞引发的一系列风险操作都不会触发实际的威胁告警，这无疑对检测手段提出了更高的要求。

现有技术是通常将告警行为以完整事件形式展示给用户，预先构造进程行为链，通过分析同一条进程行为链上的基本日志数据点，便可以确定该行为链是否具有真实威胁行为，而该行为链的构造方式是以进程行为作为基准，将上下文行为进行关联。但现有技术构建的行为链存在重复行为链条，整个进程行为树显得极为庞大而且具有存储冗余和溯源检索时间长等问题。除此之外，如果仅依靠告警点而忽略风险操作行为，容易造成漏报以及告警误报的问题。

发明内容

有鉴于此，本申请实施例的目的在于提供一种基于进程行为图的入侵事件检测方法、装置及电子设备，通过主机、账号、进程、文件、网络与资产数据等日志数据构建进程行为图，基于进程行为图标注标签，根据上下文行为的不同划分不同入侵事件的行为子图，并将具有相似程度较高的行为子图合并，解决溯源遗漏、检测误报、存储冗余、溯源检索时间缓慢问题。

第一方面，本申请实施例提供了一种基于进程行为图的入侵事件检测方法，所述方法包括：构建进程行为图，所述进程行为图为依据父子进程和上下文行为构建的行为链条，所述上下文行为包括：文件操作行为、网络连接行为、主机账号及其具有资产；对所述进程行为图中符合入侵行为的节点进行标签标注，并进行标签传递，得到附带有标签的进程行为图；基于所述附带有标签的进程行为图，根据上下文行为的不同划分出不同入侵事件的行为子图；计算不同入侵事件间的相似度，将相似度满足阈值条件的入侵事件的行为子图进行合并。

可选地，所述计算不同入侵事件间的相似度，将相似度满足阈值条件的入侵事件的行为子图进行合并，包括：计算不同入侵事件的事件去重向量之间的第一相似度，所述事件去重向量为基于对应入侵事件的行为子图中的进程实体、文件实体、网络实体和标签上下文文本进行特征提取并融合得到的向量，所述标签上下文文本为对应入侵事件的行为子图中各节点标签进行拼接得到的文本；计算不同入侵事件的行为子图的图向量之间的第二相似度，所述图向量采用图嵌入方法计算得到；若第一相似度和第二相似度均符合阈值条件，则将所述不同入侵事件的行为子图进行合并，并按照时间顺序以新事件更新旧事件。

可选地，所述事件去重向量是基于如下步骤确定的：基于进程实体的进程字段进行词向量提取，得到进程词向量，所述进程字段包括主机ID、进程名、进程路径、进程命令行；基于文件实体的文件字段计算文件ID，所述文件字段包括主机ID、文件名、文件路径、文件MD5与文件Sha256；基于网络实体的网络字段计算网络ID，所述网络字段包括主机ID、外联IP、外联域名；基于标签上下文文本进行词向量提取，得到标签词向量；基于所述进程词向量、所述文件ID、所述网络ID和所述标签词向量进行融合，得到事件去重向量。