在真实场景,特别是工业场景下的高级持续性威胁(advanced persistent threat, APT)具有复杂性和长期性,但当前方法无法有效提取攻击中的长期关联关系.针对这一问题,本文提出一种基于溯源图的APT攻击检测方法 SeqNet. SeqNet采用序列特征提取方式,实现APT攻击检测.在SeqNet中,首先将描述系统运行状态的溯源图序列转化为特征向量序列,然后使用GRU (gate recurrent unit)模型提取系统状态变化特征,并使用结合局部注意力机制的编解码器模型训练GRU模型,最后利用K-means聚类方法对系统正常行为进行建模.本文在5个公开数据集StreamSpot, wget, shellshock,ClearScope和CADETS上进行了实验,并与当前具有代表性的方法进行了对比.本文方法在5个数据集上都取得了相似或更好的效果.实验结果证明本文方法能够实现真实场景下的APT攻击检测.

• 单位
  清华大学