网络攻击对象检测方法、系统、装置、设备和介质制造方法及图纸

本公开提供了一种网络攻击对象检测方法，涉及信息安全领域和人工智能领域。该方法包括：分别获取N台网络设备各自的设备信息，N为大于或等于2的整数；响应于检测到对第n台网络设备的攻击行为，根据所述第n台网络设备和第m台网络设备各自的设备信息，得到跨设备特征，n、m皆为大于或等于1的整数，且皆小于或等于N，n不等于m；将所述跨设备特征输入风险预测模型，得到所述第m台网络设备的第一风险概率；在所述第m台网络设备的第一风险概率大于或等于第一预设阈值时，确定所述第m台网络设备为第一潜在攻击对象。本公开还提供了一种网络攻击对象检测装置、设备、存储介质和程序产品。存储介质和程序产品。存储介质和程序产品。

【技术实现步骤摘要】
网络攻击对象检测方法、系统、装置、设备和介质


[0001]本公开涉及信息安全领域和人工智能领域，更具体地，涉及一种网络攻击对象检测方法、系统、装置、设备、介质和程序产品。

技术介绍

[0002]随着互联网技术的迅速发展及在各个领域的广泛应用，全球互联网“用户无处不在、程序无处不在、威胁无处不在”的特征更加凸显。为了防范黑客攻击，企业安全人员通常在网络数据接入处或主机上部署入侵检测系统。
[0003]然而传统的入侵检测系统大都基于已知漏洞的攻击特征进行简单检测，由于网络环境错综复杂，攻击类别多样，若攻击者使用未知漏洞或较为新型的攻击技术发起攻击，入侵检测系统往往只能捕获黑客入侵后，大量进行攻击操作的某一个节点。
[0004]在实现本公开专利技术构思的过程中，专利技术人发现，由于只能检测到受到攻击的某一个节点，对攻击入口、攻击整体路径等难以识别发现，导致即使安全人员下线或修复了被攻击主机，攻击者仍可通过漏洞或其他相似路径继续攻击内网，导致其他主机仍然存在被攻击的可能，出现防不胜防的局面，存在较大安全风险。因此，如何在检测到网络攻击行为时，及时确定出其他未被攻击但是可能失陷的主机，以便预先采取相应网络攻击防御操作，是当前亟待解决的问题。

技术实现思路

[0005]鉴于上述问题，本公开提供了一种网络攻击对象检测方法、系统、装置、设备、介质和程序产品。
[0006]本公开实施例的一个方面，提供了一种网络攻击对象检测方法，包括：分别获取N台网络设备各自的设备信息，N为大于或等于2的整数；响应于检测到对第n台网络设备的攻击行为，根据所述第n台网络设备和第m台网络设备各自的设备信息，得到跨设备特征，n、m皆为大于或等于1的整数，且皆小于或等于N，n不等于m；将所述跨设备特征输入风险预测模型，得到所述第m台网络设备的第一风险概率；在所述第m台网络设备的第一风险概率大于或等于第一预设阈值时，确定所述第m台网络设备为第一潜在攻击对象。
[0007]根据本公开的实施例，在确定所述第m台网络设备为第一潜在攻击对象之后，所述方法还包括：根据所述第一风险概率及其第一权重，得到第一加权值；根据转移概率及其第二权重，得到第二加权值，所述转移概率指示了在访问所述第n台网络设备后，所述第m台网络设备被访问的概率；根据所述第一加权值和所述第二加权值，得到所述第m台网络设备的第二风险概率；在所述第m台网络设备的第二风险概率大于或等于第二预设阈值时，确定所述第m台网络设备为第二潜在攻击对象，其中，所述第二潜在攻击对象的被攻击概率大于所述第一潜在攻击对象的被攻击概率。
[0008]根据本公开的实施例，所述方法还包括：获取所述第n台网络设备和所述第m台网络设备之间的历史访问数据；根据所述历史访问数据，确定所述第n台网络设备和所述第m
台网络设备之间的转移概率。
[0009]根据本公开的实施例，所述根据所述第n台网络设备和第m台网络设备各自的设备信息，得到跨设备特征包括：确定所述第n台网络设备和第m台网络设备之间的数据传输链路；确定所述数据传输链路涉及的除所述第n台网络设备和第m台网络设备之外的其他网络设备；基于所述第n台网络设备、所述第m台网络设备和所述其他网络设备各自的设备信息，得到所述跨设备特征。
[0010]根据本公开的实施例，所述设备信息包括行为信息，所述跨设备特征包括行为特征，所述得到跨设备特征包括：根据所述第n台网络设备和第m台网络设备各自的行为信息，确定行为序列；根据所述行为序列得到所述行为特征。
[0011]根据本公开的实施例，所述设备信息包括基础信息，所述跨设备特征包括基础特征，所述得到跨设备特征还包括：根据所述第m台网络设备的基础信息，得到所述基础特征；其中，所述方法还包括：基于所述行为特征和所述基础特征得到所述跨设备特征。
[0012]根据本公开的实施例，所述风险预测模型包括卷积子网络和时序子网络，所述将所述跨设备特征输入风险预测模型包括：将所述基础特征输入所述卷积子网络，所述卷积子网络根据卷积神经网络构建获得；将所述行为特征输入所述时序子网络，所述时序子网络根据具有时序处理功能的神经网络构建获得。
[0013]根据本公开的实施例，所述得到所述第m台网络设备的第一风险概率包括：获得所述卷积子网络处理所述基础特征而输出的第一中间特征；获得所述时序子网络处理所述行为特征而输出的第二中间特征；基于所述第一中间特征和所述第二中间特征得到所述第m台网络设备的第一风险概率。
[0014]根据本公开的实施例，所述基于所述第一中间特征和所述第二中间特征得到所述第m台网络设备的第一风险概率包括：将所述第一中间特征输入第一多层感知机，得到第一输出向量；将所述第二中间特征输入第二多层感知机，得到第二输出向量；将所述第一输出向量和所述第二输出向量输入门控网络，得到所述第m台网络设备的第一风险概率。
[0015]根据本公开的实施例，所述行为序列包括命令执行序列、进程运行序列和文件创建序列中至少之一，所述确定行为序列包括以下至少一项操作：基于命令执行信息，按照时序构建至少两个命令的所述命令执行序列，所述至少两个命令中任一个命令与其余至少一个命令在不同的网络设备被执行；基于进程运行信息，按照时序构建至少两个进程的所述进程运行序列，所述至少两个进程中任一个进程与其余至少一个进程在不同的网络设备被运行；基于文件创建信息，按照时序构建至少两个文件的所述文件创建序列，所述至少两个文件中任一个文件与其余至少一个文件在不同的网络设备被创建。
[0016]根据本公开的实施例，所述行为特征包括命令编码向量、进程编码向量和文件编码向量中至少之一，所述根据所述行为序列得到所述行为特征包括以下至少一项操作：基于所述命令执行序列得到所述命令编码向量；基于所述进程运行序列得到所述进程编码向量；基于所述文件创建序列得到所述文件编码向量。
[0017]根据本公开的实施例，所述基础特征包括基于基础信息得到的基础信息向量，所述基于所述行为特征和所述基础特征得到所述跨设备特征包括：基于所述基础信息向量，及所述命令编码向量、进程编码向量和文件编码向量中至少之一，得到所述跨设备特征。
[0018]根据本公开的实施例，所述分别获取N台网络设备各自的设备信息包括：分别采集
所述N台网络设备各自的基础信息，其中，所述基础信息包括描述网络设备本身的基本属性和特征的信息；分别采集所述N台网络设备各自的行为信息，其中，所述行为信息包括网络设备在执行特定操作时所产生的内部动态信息和/或外部交互信息；基于所述N台网络设备各自的基础信息和行为信息，得到每台网络设备的设备信息。
[0019]根据本公开的实施例，所述第m台网络设备为所述N台网络设备中除所述第n台网络设备之外的任一台，所述方法还包括：确定所述N台网络设备中除所述第n台网络设备之外的每台网络设备的第一风险概率；在至少两台网络设备的第一风险概率大于或等于第一预设阈值时，确定所述至少两台网络设备之间的攻击路径；基于所述攻击路径，对所述至少两台网络设备进行网本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络攻击对象检测方法，包括：分别获取N台网络设备各自的设备信息，N为大于或等于2的整数；响应于检测到对第n台网络设备的攻击行为，根据所述第n台网络设备和第m台网络设备各自的设备信息，得到跨设备特征，n、m皆为大于或等于1的整数，且皆小于或等于N，n不等于m；将所述跨设备特征输入风险预测模型，得到所述第m台网络设备的第一风险概率；在所述第m台网络设备的第一风险概率大于或等于第一预设阈值时，确定所述第m台网络设备为第一潜在攻击对象。2.根据权利要求1所述的方法，其中，在确定所述第m台网络设备为第一潜在攻击对象之后，所述方法还包括：根据所述第一风险概率及其第一权重，得到第一加权值；根据转移概率及其第二权重，得到第二加权值，所述转移概率指示了在访问所述第n台网络设备后，所述第m台网络设备被访问的概率；根据所述第一加权值和所述第二加权值，得到所述第m台网络设备的第二风险概率；在所述第m台网络设备的第二风险概率大于或等于第二预设阈值时，确定所述第m台网络设备为第二潜在攻击对象，其中，所述第二潜在攻击对象的被攻击概率大于所述第一潜在攻击对象的被攻击概率。3.根据权利要求2所述的方法，其中，在得到第二加权值之前，所述方法还包括获得所述转移概率，具体包括：获取所述第n台网络设备和所述第m台网络设备之间的历史访问数据；根据所述历史访问数据，确定所述第n台网络设备和所述第m台网络设备之间的转移概率。4.根据权利要求1所述的方法，其中，所述根据所述第n台网络设备和第m台网络设备各自的设备信息，得到跨设备特征包括：确定所述第n台网络设备和第m台网络设备之间的数据传输链路；确定所述数据传输链路涉及的除所述第n台网络设备和第m台网络设备之外的其他网络设备；基于所述第n台网络设备、所述第m台网络设备和所述其他网络设备各自的设备信息，得到所述跨设备特征。5.根据权利要求1或4所述的方法，其中，所述设备信息包括行为信息，所述跨设备特征包括行为特征，所述得到跨设备特征包括：根据所述第n台网络设备和第m台网络设备各自的行为信息，确定行为序列；根据所述行为序列得到所述行为特征。6.根据权利要求5所述的方法，其中，所述设备信息包括基础信息，所述跨设备特征包括基础特征，所述得到跨设备特征还包括：根据所述第m台网络设备的基础信息，得到所述基础特征；基于所述行为特征和所述基础特征得到所述跨设备特征。7.根据权利要求6所述的方法，其中，所述风险预测模型包括卷积子网络和时序子网络，所述将所述跨设备特征输入风险预测模型包括：
将所述基础特征输入所述卷积子网络，所述卷积子网络根据卷积神经网络构建获得；将所述行为特征输入所述时序子网络，所述时序子网络根据具有时序处理功能的神经网络构建获得。8.根据权利要求7所述的方法，其中，所述得到所述第m台网络设备的第一风险概率包括：获得所述卷积子网络处理所述基础特征而输出的第一中间特征；获得所述时序子网络处理所述行为特征而输出的第二中间特征；基于所述第一中间特征和所述第二中间特征得到所述第m台网络设备的第一风险概率。9.根据权利要求8所述的方法，其中，所述基于所述第一中间特征和所述第二中间特征得到所述第m台网络设备的第一风险概率包括：将所述第一中间特征输入第一多层感知机，得到第一输出向量；将所述第二中间特征输入第二多层感知机，得到第二输出向量；将所述第一输出向量和所述第二输出向量输入门控网络，得到所述第m台网络设备的第一风险概率。10.根据权利要求6所述的方法，其中，所述行为序列包括命令执行序列、进程运行序列和文件创建序列...

【专利技术属性】
技术研发人员：程佩哲，旷亚和，王雪霏，陈天涵，
申请(专利权)人：中国工商银行股份有限公司，
类型：发明
国别省市：