2. 专利查询
  3. 一种攻击路径预测方法及相关装置与流程

一种攻击路径预测方法及相关装置与流程

专利查询20天前  15

本技术实施例涉及神经网络领域,尤其涉及一种攻击路径预测方法及相关装置。


背景技术:

1、随着互联网技术的不断发展,人们的生活生产水平也在不断提高。出于恶意意图,网络罪犯会利用互联网技术对个人或企业的计算机终端进行网络攻击。网络罪犯会对目标计算机终端进行分析来找出漏洞和弱点,并对应进行攻击,以达到窃取敏感信息、破环目标终端功能或篡改相关数据等目的。为了避免上述问题,网络安全人员设计了相应的攻击路径预测方法,作为安全防御的重要一环,攻击路径预测旨在通过终端及流量设备上的日志,复原攻击路径,以对应地加强系统防御,降低被攻击入侵的风险。

2、然而,现有的方案中,是依赖于人工规则来预测攻击路径,而人工制定的规则,是很难考虑到所有的攻击情况,故目前这种依赖人工规则的预测方式的预测准确率较低。


技术实现思路

1、本技术实施例提供了一种攻击路径预测方法及相关装置,用于提高攻击路径的预测准确率。

2、本技术实施例第一方面提供了一种攻击路径预测方法,包括:

3、接收待预测日志数据,并将所述待预测日志数据映射为目标图,所述目标图包括多个节点和边,其中,所述节点用于表征所述待预测日志数据中的计算机实体,所述边用于表征计算机实体之间的逻辑关系;

4、将所述待预测日志数据中每个计算机实体的文本属性数据转换为所述目标图中对应节点的第一节点特征向量;

5、将所述第一节点特征向量输入至预测模型,以确定出所述待预测日志数据中的攻击路径,所述预测模型用于根据所述第一节点特征向量,将所述目标图中符合预设条件的边确定为攻击路径。

6、可选的,所述预测模型包括特征转换层和分类器,所述将所述第一节点特征向量输入至预测模型,以确定出所述待预测日志数据中的攻击路径,包括:

7、将所述第一节点特征向量输入至所述特征转换层,得到所述目标图中每条边的第一边特征向量;

8、将所述第一边特征向量输入至所述分类器,得到对应的每条边的概率值;

9、将所述概率值大于或等于预设阈值的边确定为所述待预测日志数据中的攻击路径。

10、可选的,所述将所述第一节点特征向量输入至所述特征转换层,得到所述目标图中每条边的第一边特征向量,包括:

11、将所述第一节点特征向量输入至所述特征转换层,以将所述目标图中互为邻居节点的每两个节点的第一节点特征向量进行拼接,得到所述目标图中每条边的第一边特征向量;

12、或,

13、将所述第一节点特征向量输入至所述特征转换层,以将所述目标图中互为邻居节点的每两个节点的第一节点特征向量进行相加,得到所述目标图中每条边的第一边特征向量;

14、或,

15、将所述第一节点特征向量输入至所述特征转换层,以将所述目标图中互为邻居节点的每两个节点的第一节点特征向量和两向量的相似度进行加权融合,得到所述目标图中每条边的第一边特征向量。

16、可选的,所述预测模型还包括图注意力层,在将所述待预测日志数据中每个计算机实体的文本属性数据转换为所述目标图中对应节点的第一节点特征向量之后,所述方法还包括:

17、将所述第一节点特征向量输入至所述预测模型的图注意力层,以确定所述目标图中每个节点的第一节点特征向量与所述目标图中剩余节点的各个第一节点特征向量之间的相似度;

18、基于所述图注意力层对所述相似度和所述第一节点特征向量进行加权融合,以得到所述目标图中每个节点的第二节点特征向量;

19、所述将所述第一节点特征向量输入至所述预测模型的特征转换层,得到所述目标图中每条边的所述第一边特征向量,包括:

20、将所述目标图中互为邻居节点的每两个节点的两个第二节点特征向量输入至所述预测模型的特征转换层,得到所述目标图中互为邻居节点的每两个节点之间的每条边的所述第一边特征向量。

21、可选的,所述接收待预测日志数据之前,所述方法还包括:

22、从历史数据库中获取第一训练日志数据;

23、将所述第一训练日志数据映射为训练图,其中,所述训练图包括节点和边,所述节点用于表征所述训练日志数据中的计算机实体,所述边用于表征计算机实体之间的逻辑关系;

24、将所述训练日志数据中每个计算机实体的文本属性数据转换为所述训练图中对应节点的第三节点特征向量;

25、将多个所述第三节点特征向量输入至初始化的预测模型,以得到所述初始化的预测模型所输出的每两个节点之间的每条边的预测概率值,所述预测概率值用于表征每两个节点之间的每条边为攻击路径的预测概率;

26、获取所述历史数据库中针对每条边所输入的训练概率值,所述训练概率值用于表征每条边为攻击路径的真实概率;

27、利用所述预测概率值与所述训练概率值对所述初始化的预测模型进行训练,直至所述初始化的预测模型收敛为止,以得到所述预测模型。

28、可选的,在所述从历史数据库中获取第一训练日志数据之后,所述方法还包括:

29、确定所述第一训练日志数据中连续触发且除时间戳外内容一致的多组重复日志数据;

30、将所述多组重复日志数据中除了最新时间点外的所有日志数据进行删除,以得到第二训练日志数据;

31、所述将所述第一训练日志数据映射为训练图,包括:

32、将所述第二训练日志数据映射为所述训练图。

33、可选的,所述将所述多组重复日志数据中除了最新时间点外的所有日志数据进行删除,以得到第二训练日志数据之后,所述方法还包括:

34、基于用户输入的指定尺度对所述第二训练日志数据中指定字段所表征的尺度进行调整,以得到包含以所述指定尺度表征的指定字段的第三训练日志数据;

35、所述将所述第二训练日志数据映射为所述训练图,包括:

36、将所述第三训练日志数据映射为所述训练图。

37、可选的,所述将所述待预测日志数据中每个计算机实体的文本属性数据转换为所述目标图中对应节点的第一节点特征向量,包括:

38、将所述目标图中每一个节点的文本属性数据划分为多个文本片段;

39、基于预设的文本片段与片段向量的对应关系,确定每个文本片段的片段向量;

40、将每个节点各自的所有片段向量进行拼接或相加,得到每个节点各自的第一节点特征向量。

41、本技术实施例第二方面提供了一种攻击路径预测装置,包括:

42、接收单元,用于接收待预测日志数据,并将所述待预测日志数据映射为目标图,所述目标图包括多个节点和边,其中,所述节点用于表征所述待预测日志数据中的计算机实体,所述边用于表征计算机实体之间的逻辑关系;

43、转换单元,用于将所述待预测日志数据中每个计算机实体的文本属性数据转换为所述目标图中对应节点的第一节点特征向量;

44、确定单元,用于将所述第一节点特征向量输入至预测模型,以确定出所述待预测日志数据中的攻击路径,所述预测模型用于根据所述第一节点特征向量,将所述目标图中符合预设条件的边确定为攻击路径。

45、本技术实施例第三方面提供了一种攻击路径预测装置,包括:

46、中央处理器,存储器以及输入输出接口;

47、所述存储器为短暂存储存储器或持久存储存储器;

48、所述中央处理器配置为与所述存储器通信,并执行所述存储器中的指令操作以执行前述的方法。

49、本技术实施例第四方面提供了一种计算机可读存储介质,包括指令,当所述指令在计算机上运行时,使得计算机执行前述的方法。

50、本技术实施例第五方面提供了一种计算机程序产品,当所述计算机程序产品在计算机上运行时,使得计算机执行前述的方法。

51、从以上技术方案可以看出,本技术实施例具有以下优点:

52、先接收待预测日志数据,并将待预测日志数据映射为目标图,接着将待预测日志数据中每个计算机实体的文本属性数据转换为目标图中对应节点的第一节点特征向量,然后将第一节点特征向量输入至预测模型,以确定出待预测日志数据中的攻击路径。因为本技术实施例是通过预测模型来实现攻击路径的预测,且本技术实施例中的预测模型是根据第一节点特征向量,将所述目标图中符合预设条件的边确定为攻击路径,因为训练后的预测模型能够自动学习到最新的攻击路径,故依赖预测模型来预测攻击路径的方式,较现有技术中依赖人工规则来预测攻击路径的方式而言,对攻击路径的预测准确率更高。


技术特征:

1.一种攻击路径预测方法,其特征在于,包括:

2.根据权利要求1所述的攻击路径预测方法,其特征在于,所述预测模型包括特征转换层和分类器,所述将所述第一节点特征向量输入至预测模型,以确定出所述待预测日志数据中的攻击路径,包括:

3.根据权利要求2所述的攻击路径预测方法,其特征在于,所述将所述第一节点特征向量输入至所述特征转换层,得到所述目标图中每条边的第一边特征向量,包括:

4.根据权利要求2所述的攻击路径预测方法,其特征在于,所述预测模型还包括图注意力层,在将所述待预测日志数据中每个计算机实体的文本属性数据转换为所述目标图中对应节点的第一节点特征向量之后,所述方法还包括:

5.根据权利要求4所述的攻击路径预测方法,其特征在于,所述接收待预测日志数据之前,所述方法还包括:

6.根据权利要求5所述的攻击路径预测方法,其特征在于,在所述从历史数据库中获取第一训练日志数据之后,所述方法还包括:

7.根据权利要求6所述的攻击路径预测方法,其特征在于,所述将所述多组重复日志数据中除了最新时间点外的所有日志数据进行删除,以得到第二训练日志数据之后,所述方法还包括:

8.根据权利要求1所述的攻击路径预测方法,其特征在于,所述将所述待预测日志数据中每个计算机实体的文本属性数据转换为所述目标图中对应节点的第一节点特征向量,包括:

9.一种攻击路径预测装置,其特征在于,包括:

10.一种计算机装置,其特征在于,包括:

11.一种计算机可读存储介质,其特征在于,包括指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1至8中任意一项所述的方法。

12.一种计算机程序产品,其特征在于,当所述计算机程序产品在计算机上运行时,使得计算机执行如权利要求1至8中任一项所述的方法。


技术总结
本申请实施例公开了一种攻击路径预测方法及相关装置,用于提高预测准确率。本申请实施例方法包括:接收待预测日志数据,并将待预测日志数据映射为目标图,目标图包括多个节点和边,其中,节点用于表征待预测日志数据中的计算机实体,边用于表征计算机实体之间的逻辑关系;将待预测日志数据中每个计算机实体的文本属性数据转换为目标图中对应节点的第一节点特征向量;将第一节点特征向量输入至预测模型的特征转换层,得到目标图中每条边的第一边特征向量,将所述第一节点特征向量输入至预测模型,以确定出所述待预测日志数据中的攻击路径,所述预测模型用于根据所述第一节点特征向量,将所述目标图中符合预设条件的边确定为攻击路径。

技术研发人员:许平华,张士峰,周旭
受保护的技术使用者:深信服科技股份有限公司
技术研发日:
技术公布日:2024/12/5

专利

最新回复(0)