28、基于图结构数据的网络新奇性检测：Sec2graph方法解析-优快云博客

本文链接：https://blog.youkuaiyun.com/css33/article/details/149357013

Sec2graph旨在检测网络流量中的异常模式，整个过程以网络事件日志作为输入。该方法主要包含三个关键步骤：
- 从网络事件构建安全对象图
- 将图编码为适合机器学习算法处理的结构
- 使用自动编码器进行新奇性检测

以下是Sec2graph工作流程的简单示意：

graph LR
    A[网络事件日志] --> B[构建安全对象图]
    B --> C[图编码]
    C --> D[自动编码器检测异常]

网络日志文件可描述为一系列有序事件 ${e_1, e_2, …, e_n}$，每个事件由多个字段组成，不同事件的字段语义不同。我们从每个事件中提取关键字段，创建一个或多个安全对象（SO），SO是一组属性的集合，每个属性对应一个特定的事件字段。

例如，一个网络连接事件会产生四个SO：源IP地址SO、目的IP地址SO、目的端口SO和网络连接SO。其中，网络连接SO包含那些对创建事件间关系不太重要的字段属性，如有效负载大小。而相同IP地址出现的两个事件很可能存在关联。

考虑的事件类型包括网络连接、应用程序事件（如dns、dhcp等）以及文件传输和x509证书信息。这些事件在入侵检测中都很重要，例如网络连接事件可用于检测端口扫描和违反安全策略的通信，应用