【技术实现步骤摘要】
本申请涉及智能识别领域,且更为具体地,涉及一种基于行为建模的网络攻击识别方法。
技术介绍
1、随着互联网技术的快速发展,网络安全问题日益凸显,网络攻击手段不断演变,给个人以及企业的信息安全带来了严重威胁。在现今网络安全形势下,为应对入侵者,通常需要部署防火墙、入侵检测与防御系统等多种网络安全防护设备,以保护信息资产安全。这些网络安全防护设备在运行过程中会产生大量信息等级较低的网络安全警报日志,而网络攻击建模技术旨在通过对网络安全警报日志进行数据分析,发现网络攻击的特点和规律,以提高应对各种突发网络攻击事件的能力。
2、然而,传统的网络攻击建模技术主要依赖于静态规则库和简单的模式匹配方法,通过对网络安全日志进行简单的规则匹配或统计分析,往往难以有效应对复杂多变的网络攻击场景,导致攻击识别的准确性和效率受限。因此,期待一种优化的基于行为建模的网络攻击识别方法。
技术实现思路
1、为了解决上述技术问题,提出了本申请。本申请的实施例提供了一种基于行为建模的网络攻击识别方法,其通过基于网络流量数据,结合系统安全日志和威胁情报进行数据融合分析,利用深度学习技术进行攻击行为特征模式挖掘,构建网络攻击行为模型,进而基于待检测网络行为数据与网络攻击行为模型的查询匹配,实现对网络攻击行为的快速检测与识别。这样,可以有效提高网络攻击识别的准确性,降低误报率和漏报率,为网络安全防护提供更加可靠的技术支持。
2、根据本申请的一个方面,提供了一种基于行为建模的网络攻击识别方法,其包括:
3、从后台数据库提取被标注为攻击行为的网络行为参考数据的集合,其中,所述网络行为参考数据包括预定时间段的网络流量值的时间序列、所述预定时间段的系统安全日志和所述预定时间段的威胁情报;
4、基于所述被标注为攻击行为的网络行为参考数据的集合,对网络攻击行为进行建模以得到攻击行为多模态编码向量的集合;
5、获取待检测网络行为数据,其中,所述待检测网络行为数据包括预定时间段的网络流量值的时间序列、所述预定时间段的系统安全日志和所述预定时间段的威胁情报;
6、对所述待检测网络行为数据进行编码以得到待检测网络行为编码向量;
7、基于所述待检测网络行为编码向量相对于所述攻击行为多模态编码向量的集合的特征查询匹配,确定待检测网络行为是否为攻击行为。
8、与现有技术相比,本申请提供的一种基于行为建模的网络攻击识别方法,其通过基于网络流量数据,结合系统安全日志和威胁情报进行数据融合分析,利用深度学习技术进行攻击行为特征模式挖掘,构建网络攻击行为模型,进而基于待检测网络行为数据与网络攻击行为模型的查询匹配,实现对网络攻击行为的快速检测与识别。这样,可以有效提高网络攻击识别的准确性,降低误报率和漏报率,为网络安全防护提供更加可靠的技术支持。
本文档来自技高网...【技术保护点】
1.一种基于行为建模的网络攻击识别方法,其特征在于,包括:
2.根据权利要求1所述的基于行为建模的网络攻击识别方法,其特征在于,基于所述被标注为攻击行为的网络行为参考数据的集合,对网络攻击行为进行建模以得到攻击行为多模态编码向量的集合,包括:
3.根据权利要求2所述的基于行为建模的网络攻击识别方法,其特征在于,对所述预定时间段的网络流量值的时间序列、所述预定时间段的系统安全日志和所述预定时间段的威胁情报分别进行特征提取以得到网络流量时序关联隐含特征向量、系统安全日志语义编码向量和威胁情报语义编码向量,包括:
4.根据权利要求3所述的基于行为建模的网络攻击识别方法,其特征在于,将所述系统安全日志语义编码向量和所述威胁情报语义编码向量输入基于门控响应的特征向量动态交互融合模块以得到系统安全日志-威胁情报语义融合表示向量,包括:
5.根据权利要求4所述的基于行为建模的网络攻击识别方法,其特征在于,将所述系统安全日志-威胁情报语义联合特征向量输入门控响应函数以得到信息融合的响应门,包括:
6.根据权利要求5所述的基于行为建模的网
7.根据权利要求6所述的基于行为建模的网络攻击识别方法,其特征在于,基于所述待检测网络行为编码向量相对于所述攻击行为多模态编码向量的集合的特征查询匹配,确定待检测网络行为是否为攻击行为,包括:
8.根据权利要求7所述的基于行为建模的网络攻击识别方法,其特征在于,以所述待检测网络行为编码向量作为查询特征向量,计算所述查询特征向量相对于所述攻击行为多模态编码向量的集合的单向注意力逐粒度扫描交互匹配结果以得到单向匹配结果表示向量,包括:
9.根据权利要求8所述的基于行为建模的网络攻击识别方法,其特征在于,计算所述查询特征向量与所述攻击行为多模态编码向量的集合中各个攻击行为多模态编码向量之间的语义度量系数以得到单向匹配语义度量系数的序列,包括:
10.根据权利要求9所述的基于行为建模的网络攻击识别方法,其特征在于,还包括训练步骤:对所述基于Bi-LSTM模型的序列编码器、所述包含词嵌入层的语义编码器、所述基于门控响应的特征向量动态交互融合模块、所述基于自适应可区分机制的特征交互响应模块和所述基于分类器的网络行为识别器进行训练;
...【技术特征摘要】
1.一种基于行为建模的网络攻击识别方法,其特征在于,包括:
2.根据权利要求1所述的基于行为建模的网络攻击识别方法,其特征在于,基于所述被标注为攻击行为的网络行为参考数据的集合,对网络攻击行为进行建模以得到攻击行为多模态编码向量的集合,包括:
3.根据权利要求2所述的基于行为建模的网络攻击识别方法,其特征在于,对所述预定时间段的网络流量值的时间序列、所述预定时间段的系统安全日志和所述预定时间段的威胁情报分别进行特征提取以得到网络流量时序关联隐含特征向量、系统安全日志语义编码向量和威胁情报语义编码向量,包括:
4.根据权利要求3所述的基于行为建模的网络攻击识别方法,其特征在于,将所述系统安全日志语义编码向量和所述威胁情报语义编码向量输入基于门控响应的特征向量动态交互融合模块以得到系统安全日志-威胁情报语义融合表示向量,包括:
5.根据权利要求4所述的基于行为建模的网络攻击识别方法,其特征在于,将所述系统安全日志-威胁情报语义联合特征向量输入门控响应函数以得到信息融合的响应门,包括:
6.根据权利要求5所述的基于行为建模的网络攻击识别方法,其特征在于,将所述系统安全日志-威胁情报语义融合表示向量和所述网络流量时...
【专利技术属性】
技术研发人员:闫丽景,党芳芳,李帅,李丁丁,郭少勇,宋一凡,刘晗,焦琪迪,王志颖,
申请(专利权)人:国网河南省电力公司信息通信分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。