本申请提供一种攻击类型识别方法、装置、电子设备及存储介质,该方法包括:从待处理的多条告警日志的每条告警日志中提取出多个特征属性值,获得多组特征属性值;以告警日志为节点,以多组特征属性值之间的相似程度为边,构建图结构;对多条告警日志中的每条告警日志进行编码,获得节点的编码向量;使用图注意力网络模型根据节点的编码向量对图结构进行类型识别,获得图结构的攻击类型。由于图注意力网络模型在训练过程中已经学习了所有历史告警日志的规则,无需人工编写新规则,所以使用图注意力网络模型能够有效地预测出未知攻击。图注意力网络模型能够有效地预测出未知攻击。图注意力网络模型能够有效地预测出未知攻击。
【技术实现步骤摘要】
一种攻击类型识别方法、装置、电子设备及存储介质
[0001]本申请涉及人工智能、计算机安全和网络安全的
,具体而言,涉及一种攻击类型识别方法、装置、电子设备及存储介质。
技术介绍
[0002]目前,识别出告警日志的攻击类型方式大都是,采用规则指纹库或者规则模板库来匹配出告警日志的攻击类型,具体例如:使用Pcap等软件采集告警日志,对告警日志进行预处理(例如:事件格式统一化、无用安全事件的过滤、重复事件归并处理),获得预处理后的日志;然后,使用规则指纹库或者规则模板库匹配出预处理后的日志对应的攻击类型。在具体的实践过程中发现,使用规则指纹库或者规则模板库难以预测出未知攻击类型。
技术实现思路
[0003]本申请实施例的目的在于提供一种攻击类型识别方法、装置、电子设备及存储介质,用于改善难以预测出未知攻击类型的问题。
[0004]本申请实施例提供了一种攻击类型识别方法,包括:从待处理的多条告警日志的每条告警日志中提取出多个特征属性值,获得多组特征属性值;以告警日志为节点,以多组特征属性值之间的相似程度为边,构建图结构;对多条告警日志中的每条告警日志进行编码,获得节点的编码向量;使用图注意力网络模型根据节点的编码向量对图结构进行类型识别,获得图结构的攻击类型。在上述方案的实现过程中,由于图注意力网络模型在训练过程中已经学习了所有历史告警日志的规则,无需人工编写新规则,所以使用图注意力网络模型进行类型识别,从而避免了在规则指纹库或者规则模板库加入人工编写未知攻击类型的新规则的情况,因此,使用图注意力网络模型有效地预测出未知攻击。
[0005]可选地,在本申请实施例中,对多条告警日志中的每条告警日志进行编码,包括:使用One
‑
Hot编码对多条告警日志中的每条告警日志进行编码。
[0006]可选地,在本申请实施例中,构建图结构,包括:针对图结构中的任意两个节点,判断两个节点的特征属性值之间的相似程度是否大于相似度阈值;若是,则在图结构中创建一条连接两个节点之间的边。
[0007]可选地,在本申请实施例中,使用图注意力网络模型根据节点的编码向量对图结构进行类型识别,包括:根据图结构生成告警日志的邻接矩阵;使用图注意力网络模型根据节点的编码向量对邻接矩阵进行类型识别。在上述方案的实现过程中,通过使用图注意力网络模型根据节点的编码向量对邻接矩阵进行类型识别,从而避免了直接使用图结构来参与计算导致计算量大且内存消耗过多的问题,有效地降低了计算复杂度和内存消耗。
[0008]可选地,在本申请实施例中,在使用图注意力网络模型根据节点的编码向量对图结构进行类型识别之前,还包括:获取样本数据和样本标签,样本数据包括:样本日志对应的图结构和编码向量,样本标签是图结构的攻击类型;以样本数据为训练数据,以样本标签为训练标签,对图注意力网络进行训练,获得图注意力网络模型。在上述方案的实现过程
中,通过对图注意力网络进行训练,获得图注意力网络模型,从而使用图注意力网络模型对告警日志的图结构和编码向量进行类型识别,从而避免了在规则指纹库或者规则模板库加入人工编写未知攻击类型的新规则的情况,因此,使用图注意力网络模型能够有效地预测出未知攻击类型。
[0009]可选地,在本申请实施例中,对图注意力网络进行训练,包括:使用图注意力网络对样本日志对应的图结构和编码向量进行预测,获得图结构的预测类型;计算图结构的预测类型与样本标签中的攻击类型之间的损失值;根据损失值对图注意力网络进行训练。
[0010]本申请实施例还提供了一种攻击类型识别装置,包括:告警日志提取模块,用于从待处理的多条告警日志的每条告警日志中提取出多个特征属性值,获得多组特征属性值;特征属性确定模块,用于以告警日志为节点,以多组特征属性值之间的相似程度为边,构建图结构;编码向量获得模块,用于对多条告警日志中的每条告警日志进行编码,获得节点的编码向量;攻击类型识别模块,用于使用图注意力网络模型根据节点的编码向量对图结构进行类型识别,获得图结构的攻击类型。
[0011]可选地,在本申请实施例中,编码向量获得模块,包括:One
‑
Hot编码子模块,用于使用One
‑
Hot编码对多条告警日志中的每条告警日志进行编码。
[0012]可选地,在本申请实施例中,节点边图构建单元,包括:相似程度判断子单元,用于针对图结构中的任意两个节点,判断两个节点的特征属性值之间的相似程度是否大于相似度阈值;节点的边创建子单元,用于若两个节点之间的相似程度大于相似度阈值,则在图结构中创建一条连接两个节点之间的边。
[0013]可选地,在本申请实施例中,攻击类型识别模块,包括:邻接矩阵生成子模块,用于根据图结构生成告警日志的邻接矩阵;网络模型识别子模块,用于使用图注意力网络模型根据节点的编码向量对邻接矩阵进行类型识别。
[0014]可选地,在本申请实施例中,攻击类型识别装置,还包括:数据标签获取模块,用于获取样本数据和样本标签,样本数据包括:样本日志对应的图结构和编码向量,样本标签是样本日志对应图结构的攻击类型;网络模型训练模块,用于以样本数据为训练数据,以样本标签为训练标签,对图注意力网络进行训练,获得图注意力网络模型。
[0015]可选地,在本申请实施例中,网络模型训练模块,包括:预测类别获得子模块,用于使用图注意力网络根据样本日志的编码向量对样本日志对应的图结构进行预测,获得图结构的预测类型;损失值计算子模块,用于计算图结构的预测类型与样本标签中的攻击类型之间的损失值;注意力网络训练子模块,用于根据损失值对图注意力网络进行训练。
[0016]本申请实施例还提供了一种电子设备,包括:处理器和存储器,存储器存储有处理器可执行的机器可读指令,机器可读指令被处理器执行时执行如上面描述的方法。
[0017]本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如上面描述的方法。
[0018]本申请实施例的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。
附图说明
[0019]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使
用的附图作简单地介绍,应当理解,以下附图仅示出了本申请实施例中的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0020]图1示出的本申请实施例提供的攻击类型识别方法的流程示意图;
[0021]图2示出的本申请实施例提供的告警日志构建的图结构的示意图;
[0022]图3示出的本申请实施例提供的攻击类型识别装置的结构示意图;
[0023]图4示出的本申请实施例提供的电子设备的结构示意图。
具体实施方式
[0024]下面将结合本申请实施例中附图,对本申请本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种攻击类型识别方法,其特征在于,包括:从待处理的多条告警日志的每条告警日志中提取出多个特征属性值,获得多组特征属性值;以所述告警日志为节点,以所述多组特征属性值之间的相似程度为边,构建图结构;对所述多条告警日志中的每条告警日志进行编码,获得所述节点的编码向量;使用图注意力网络模型根据所述节点的编码向量对所述图结构进行类型识别,获得所述图结构的攻击类型。2.根据权利要求1所述的方法,其特征在于,所述对所述多条告警日志中的每条告警日志进行编码,包括:使用One
‑
Hot编码对所述多条告警日志中的每条告警日志进行编码。3.根据权利要求1所述的方法,其特征在于,所述构建图结构,包括:针对所述图结构中的任意两个节点,判断所述两个节点的特征属性值之间的相似程度是否大于相似度阈值;若是,则在所述图结构中创建一条连接所述两个节点之间的边。4.根据权利要求1所述的方法,其特征在于,所述使用图注意力网络模型根据所述节点的编码向量对所述图结构进行类型识别,包括:根据所述图结构生成所述告警日志的邻接矩阵;使用图注意力网络模型根据所述节点的编码向量对所述邻接矩阵进行类型识别。5.根据权利要求1所述的方法,其特征在于,在所述使用图注意力网络模型根据所述节点的编码向量对所述图结构进行类型识别之前,还包括:获取样本数据和样本标签,所述样本数据包括:样本日志对应的图结构和编码向量,所述样本标签是所述样本日志对应图结构的攻击类型;以所述样本数据为训练数据,以所述样本标签为训练标签,对图注意力网络进行训练,获...
【专利技术属性】
技术研发人员:安晓宁,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。