本申請(qǐng)涉及智能識(shí)別領(lǐng)域，且更為具體地，涉及一種基于行為建模的網(wǎng)絡(luò)攻擊識(shí)別方法。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全問題日益凸顯，網(wǎng)絡(luò)攻擊手段不斷演變，給個(gè)人以及企業(yè)的信息安全帶來了嚴(yán)重威脅。在現(xiàn)今網(wǎng)絡(luò)安全形勢(shì)下，為應(yīng)對(duì)入侵者，通常需要部署防火墻、入侵檢測(cè)與防御系統(tǒng)等多種網(wǎng)絡(luò)安全防護(hù)設(shè)備，以保護(hù)信息資產(chǎn)安全。這些網(wǎng)絡(luò)安全防護(hù)設(shè)備在運(yùn)行過程中會(huì)產(chǎn)生大量信息等級(jí)較低的網(wǎng)絡(luò)安全警報(bào)日志，而網(wǎng)絡(luò)攻擊建模技術(shù)旨在通過對(duì)網(wǎng)絡(luò)安全警報(bào)日志進(jìn)行數(shù)據(jù)分析，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的特點(diǎn)和規(guī)律，以提高應(yīng)對(duì)各種突發(fā)網(wǎng)絡(luò)攻擊事件的能力。

2、然而，傳統(tǒng)的網(wǎng)絡(luò)攻擊建模技術(shù)主要依賴于靜態(tài)規(guī)則庫和簡單的模式匹配方法，通過對(duì)網(wǎng)絡(luò)安全日志進(jìn)行簡單的規(guī)則匹配或統(tǒng)計(jì)分析，往往難以有效應(yīng)對(duì)復(fù)雜多變的網(wǎng)絡(luò)攻擊場(chǎng)景，導(dǎo)致攻擊識(shí)別的準(zhǔn)確性和效率受限。因此，期待一種優(yōu)化的基于行為建模的網(wǎng)絡(luò)攻擊識(shí)別方法。

技術(shù)實(shí)現(xiàn)思路

1、為了解決上述技術(shù)問題，提出了本申請(qǐng)。本申請(qǐng)的實(shí)施例提供了一種基于行為建模的網(wǎng)絡(luò)攻擊識(shí)別方法，其通過基于網(wǎng)絡(luò)流量數(shù)據(jù)，結(jié)合系統(tǒng)安全日志和威脅情報(bào)進(jìn)行數(shù)據(jù)融合分析，利用深度學(xué)習(xí)技術(shù)進(jìn)行攻擊行為特征模式挖掘，構(gòu)建網(wǎng)絡(luò)攻擊行為模型，進(jìn)而基于待檢測(cè)網(wǎng)絡(luò)行為數(shù)據(jù)與網(wǎng)絡(luò)攻擊行為模型的查詢匹配，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊行為的快速檢測(cè)與識(shí)別。這樣，可以有效提高網(wǎng)絡(luò)攻擊識(shí)別的準(zhǔn)確性，降低誤報(bào)率和漏報(bào)率，為網(wǎng)絡(luò)安全防護(hù)提供更加可靠的技術(shù)支持。

2、根據(jù)本申請(qǐng)的一個(gè)方面，提供了一種基于行為建模的網(wǎng)絡(luò)攻擊識(shí)別方法，其包括：

3、從后臺(tái)數(shù)據(jù)庫提取被標(biāo)注為攻擊行為的網(wǎng)絡(luò)行為參考數(shù)據(jù)的集合，其中，所述網(wǎng)絡(luò)行為參考數(shù)據(jù)包括預(yù)定時(shí)間段的網(wǎng)絡(luò)流量值的時(shí)間序列、所述預(yù)定時(shí)間段的系統(tǒng)安全日志和所述預(yù)定時(shí)間段的威脅情報(bào)；

4、基于所述被標(biāo)注為攻擊行為的網(wǎng)絡(luò)行為參考數(shù)據(jù)的集合，對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行建模以得到攻擊行為多模態(tài)編碼向量的集合；

5、獲取待檢測(cè)網(wǎng)絡(luò)行為數(shù)據(jù)，其中，所述待檢測(cè)網(wǎng)絡(luò)行為數(shù)據(jù)包括預(yù)定時(shí)間段的網(wǎng)絡(luò)流量值的時(shí)間序列、所述預(yù)定時(shí)間段的系統(tǒng)安全日志和所述預(yù)定時(shí)間段的威脅情報(bào)；

6、對(duì)所述待檢測(cè)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行編碼以得到待檢測(cè)網(wǎng)絡(luò)行為編碼向量；

7、基于所述待檢測(cè)網(wǎng)絡(luò)行為編碼向量相對(duì)于所述攻擊行為多模態(tài)編碼向量的集合的特征查詢匹配，確定待檢測(cè)網(wǎng)絡(luò)行為是否為攻擊行為。

8、與現(xiàn)有技術(shù)相比，本申請(qǐng)?zhí)峁┑囊环N基于行為建模的網(wǎng)絡(luò)攻擊識(shí)別方法，其通過基于網(wǎng)絡(luò)流量數(shù)據(jù)，結(jié)合系統(tǒng)安全日志和威脅情報(bào)進(jìn)行數(shù)據(jù)融合分析，利用深度學(xué)習(xí)技術(shù)進(jìn)行攻擊行為特征模式挖掘，構(gòu)建網(wǎng)絡(luò)攻擊行為模型，進(jìn)而基于待檢測(cè)網(wǎng)絡(luò)行為數(shù)據(jù)與網(wǎng)絡(luò)攻擊行為模型的查詢匹配，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊行為的快速檢測(cè)與識(shí)別。這樣，可以有效提高網(wǎng)絡(luò)攻擊識(shí)別的準(zhǔn)確性，降低誤報(bào)率和漏報(bào)率，為網(wǎng)絡(luò)安全防護(hù)提供更加可靠的技術(shù)支持。

技術(shù)特征：

1.一種基于行為建模的網(wǎng)絡(luò)攻擊識(shí)別方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的基于行為建模的網(wǎng)絡(luò)攻擊識(shí)別方法，其特征在于，基于所述被標(biāo)注為攻擊行為的網(wǎng)絡(luò)行為參考數(shù)據(jù)的集合，對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行建模以得到攻擊行為多模態(tài)編碼向量的集合，包括：

3.根據(jù)權(quán)利要求2所述的基于行為建模的網(wǎng)絡(luò)攻擊識(shí)別方法，其特征在于，對(duì)所述預(yù)定時(shí)間段的網(wǎng)絡(luò)流量值的時(shí)間序列、所述預(yù)定時(shí)間段的系統(tǒng)安全日志和所述預(yù)定時(shí)間段的威脅情報(bào)分別進(jìn)行特征提取以得到網(wǎng)絡(luò)流量時(shí)序關(guān)聯(lián)隱含特征向量、系統(tǒng)安全日志語義編碼向量和威脅情報(bào)語義編碼向量，包括：

4.根據(jù)權(quán)利要求3所述的基于行為建模的網(wǎng)絡(luò)攻擊識(shí)別方法，其特征在于，將所述系統(tǒng)安全日志語義編碼向量和所述威脅情報(bào)語義編碼向量輸入基于門控響應(yīng)的特征向量動(dòng)態(tài)交互融合模塊以得到系統(tǒng)安全日志-威脅情報(bào)語義融合表示向量，包括：

5.根據(jù)權(quán)利要求4所述的基于行為建模的網(wǎng)絡(luò)攻擊識(shí)別方法，其特征在于，將所述系統(tǒng)安全日志-威脅情報(bào)語義聯(lián)合特征向量輸入門控響應(yīng)函數(shù)以得到信息融合的響應(yīng)門，包括：

6.根據(jù)權(quán)利要求5所述的基于行為建模的網(wǎng)絡(luò)攻擊識(shí)別方法，其特征在于，將所述系統(tǒng)安全日志-威脅情報(bào)語義融合表示向量和所述網(wǎng)絡(luò)流量時(shí)序關(guān)聯(lián)隱含特征向量輸入基于自適應(yīng)可區(qū)分機(jī)制的特征交互響應(yīng)模塊以得到所述攻擊行為多模態(tài)編碼向量，包括：

7.根據(jù)權(quán)利要求6所述的基于行為建模的網(wǎng)絡(luò)攻擊識(shí)別方法，其特征在于，基于所述待檢測(cè)網(wǎng)絡(luò)行為編碼向量相對(duì)于所述攻擊行為多模態(tài)編碼向量的集合的特征查詢匹配，確定待檢測(cè)網(wǎng)絡(luò)行為是否為攻擊行為，包括：

8.根據(jù)權(quán)利要求7所述的基于行為建模的網(wǎng)絡(luò)攻擊識(shí)別方法，其特征在于，以所述待檢測(cè)網(wǎng)絡(luò)行為編碼向量作為查詢特征向量，計(jì)算所述查詢特征向量相對(duì)于所述攻擊行為多模態(tài)編碼向量的集合的單向注意力逐粒度掃描交互匹配結(jié)果以得到單向匹配結(jié)果表示向量，包括：

9.根據(jù)權(quán)利要求8所述的基于行為建模的網(wǎng)絡(luò)攻擊識(shí)別方法，其特征在于，計(jì)算所述查詢特征向量與所述攻擊行為多模態(tài)編碼向量的集合中各個(gè)攻擊行為多模態(tài)編碼向量之間的語義度量系數(shù)以得到單向匹配語義度量系數(shù)的序列，包括：

10.根據(jù)權(quán)利要求9所述的基于行為建模的網(wǎng)絡(luò)攻擊識(shí)別方法，其特征在于，還包括訓(xùn)練步驟：對(duì)所述基于bi-lstm模型的序列編碼器、所述包含詞嵌入層的語義編碼器、所述基于門控響應(yīng)的特征向量動(dòng)態(tài)交互融合模塊、所述基于自適應(yīng)可區(qū)分機(jī)制的特征交互響應(yīng)模塊和所述基于分類器的網(wǎng)絡(luò)行為識(shí)別器進(jìn)行訓(xùn)練；

技術(shù)總結(jié)
本申請(qǐng)公開了一種基于行為建模的網(wǎng)絡(luò)攻擊識(shí)別方法，其通過基于網(wǎng)絡(luò)流量數(shù)據(jù)，結(jié)合系統(tǒng)安全日志和威脅情報(bào)進(jìn)行數(shù)據(jù)融合分析，利用深度學(xué)習(xí)技術(shù)進(jìn)行攻擊行為特征模式挖掘，構(gòu)建網(wǎng)絡(luò)攻擊行為模型，進(jìn)而基于待檢測(cè)網(wǎng)絡(luò)行為數(shù)據(jù)與網(wǎng)絡(luò)攻擊行為模型的查詢匹配，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊行為的快速檢測(cè)與識(shí)別。這樣，可以有效提高網(wǎng)絡(luò)攻擊識(shí)別的準(zhǔn)確性，降低誤報(bào)率和漏報(bào)率，為網(wǎng)絡(luò)安全防護(hù)提供更加可靠的技術(shù)支持。

技術(shù)研發(fā)人員：閆麗景,黨芳芳,李帥,李丁丁,郭少勇,宋一凡,劉晗,焦琪迪,王志穎
受保護(hù)的技術(shù)使用者：國網(wǎng)河南省電力公司信息通信分公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/10/10