CN107220541A - 一种基于soeks的社工攻击知识表示与挖掘方法 - Google Patents
一种基于soeks的社工攻击知识表示与挖掘方法 Download PDFInfo
- Publication number
- CN107220541A CN107220541A CN201710384366.7A CN201710384366A CN107220541A CN 107220541 A CN107220541 A CN 107220541A CN 201710384366 A CN201710384366 A CN 201710384366A CN 107220541 A CN107220541 A CN 107220541A
- Authority
- CN
- China
- Prior art keywords
- attack
- mrow
- state
- layer
- soeks
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 91
- 230000007935 neutral effect Effects 0.000 claims abstract description 13
- 238000009412 basement excavation Methods 0.000 claims abstract description 6
- 210000002569 neuron Anatomy 0.000 claims description 57
- 230000008859 change Effects 0.000 claims description 30
- 238000012549 training Methods 0.000 claims description 21
- 230000004913 activation Effects 0.000 claims description 19
- 239000011159 matrix material Substances 0.000 claims description 9
- 230000000694 effects Effects 0.000 claims description 8
- 238000003062 neural network model Methods 0.000 claims description 8
- 210000005036 nerve Anatomy 0.000 claims description 5
- 230000017105 transposition Effects 0.000 claims description 4
- 230000000052 comparative effect Effects 0.000 claims description 3
- 238000011156 evaluation Methods 0.000 claims description 3
- 230000003585 interneuronal effect Effects 0.000 claims description 3
- 230000009466 transformation Effects 0.000 claims description 3
- 238000005303 weighing Methods 0.000 claims description 3
- 210000004218 nerve net Anatomy 0.000 claims 1
- 238000005516 engineering process Methods 0.000 abstract description 4
- 238000009825 accumulation Methods 0.000 abstract description 3
- 230000006870 function Effects 0.000 description 23
- 238000011160 research Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000012360 testing method Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000007423 decrease Effects 0.000 description 2
- 238000005065 mining Methods 0.000 description 2
- 241000406668 Loxodonta cyclotis Species 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 239000000686 essence Substances 0.000 description 1
- 230000009916 joint effect Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000020509 sex determination Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/01—Social networking
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computational Linguistics (AREA)
- Computer Security & Cryptography (AREA)
- Molecular Biology (AREA)
- Data Mining & Analysis (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Evolutionary Computation (AREA)
- Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Economics (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明属于网络空间安全技术领域,公开了一种基于SOEKS的社工攻击知识表示与挖掘方法,包括:设计基于SOEKS的社工知识表达,便于社工攻击知识的抽象与分享;构建基于SOEKS的神经网络挖掘攻击状态与攻击方法之间的关系,对将要发生的攻击进行预警,对将要受到改变的元信息进行预警,提醒用户提前防御;对大量元信息、攻击方法的组合进行挖掘,发现新的社工攻击模式。本发明首次对社工攻击进行了抽象的知识表示;本发明基于SOEKS的抽象社工攻击信息便于分享和经验积累;本发明社工攻击状态与攻击方法关系的模式挖掘,可以预测攻击的步骤,可以揭示防御的薄弱环节,给现有防御以理论指导,减少对经验的依赖。
Description
技术领域
本发明属于网络空间安全技术领域,尤其涉及一种基于SOEKS的社工攻击知识表示与挖掘方法。
背景技术
随着移动互联网、物联网等的快速发展,各类网络攻击层出不穷。其中社会工程学(以下简称:社工)攻击是主流攻击方式之一。依靠社会工程学原理,充分利用社工方法获取攻击相关信息,例如从个人微博主页/QQ空间中获取目标的生日、姓名、兴趣爱好,好友关系等,进而编写有针对性的“字典”对用户密码进行破解、盗号,伪装成好友诈骗等。攻击方式不断更新,使人防不胜防。
现有技术中:
就社会工程学攻击领域来说,目前无论是攻击方还是防御方,都处于靠经验自觉行动,缺乏理论指导的阶段。与之相关的理论研究集中于如何网络上来源复杂,格式多样的信息中抽取出结构化的社工信息、社工信息的关联分析、信息可信性判定、用户身份映射、用户画像技术等几个方面。简而言之,现有研究大多都是针对社工信息本身,几乎没有针对社工信息与社工攻击步骤之间,社工攻击步骤之间,社工攻击步骤与攻击场景之间关系和模式的研究。
综上所述,现有技术存在的问题是:
1)现有针对社工攻击的研究中,每个人保存攻击信息的格式不同,方式不同(有些存为数据库的表,有些存为txt文档),导致了这些信息的零散与杂乱;而且信息抽象为知识的形式不一致,导致信息细节的抽象程度不一致;不同抽象程度,抽象格式,导致不同研究者之间知识无法分享。
2)不能从理论上给予如何防范社工攻击的指导,全靠人员自身的经验积累。
3)不能形成计算机能够应用的算法,自动发现防御的薄弱点,预警可能发生的社工攻击
4)不能预测新的社工攻击方法,只能根据已经发生的攻击进行防御。
发明内容
针对现有技术存在的问题,本发明提供了一种基于SOEKS的社工攻击知识表示与挖掘方法。
本发明是这样实现的,一种基于SOEKS的社工攻击知识表示与挖掘方法,所述基于SOEKS的社工攻击知识表示与挖掘方法,包括:
进行基于SOEKS的社工知识表达,便于社工攻击知识的抽象与分享;
构建基于SOEKS的神经网络挖掘攻击状态与攻击方法之间的关系,对将要发送的攻击方式进行预警,对将要受到改变的元信息进行预警,用户提前防御;
对大量元信息、攻击方法的组合进行挖掘,发现新的社工攻击模式,使防御者提前预防。
进一步,所述基于SOEKS的社工攻击知识表示包括:
变量:社工攻击元信息,元信息即不可再分的信息;变量的值为具体对象的值;
状态:多个变量构成一个完整的攻击对象;攻击对象被抽象为变量的集合,所有变量的一个固定取值构成对象的一个状态State;
约束:元信息的取值都有一定范围的限制;某些元信息的限制相同,于是可能出现多个元信息共享一个约束的情况;也有某个元信息同时接受多个约束的情况;
攻击方法:社工攻击的技术手段被抽象为函数或者为攻击方法,攻击方法集合对对象的作用,则使得对象从一个状态变化为另一个状态,攻击进入下一个阶段;
基于SOEKS的社工知识表示统一写为XML文档格式,可以借用现有的XML读写接口进行读写。
进一步,基于SOEKS的攻击场景挖掘,包括:
当攻击者每进行一次攻击,被攻击对象都会受到影响,使得被攻击对象从一个状态改变;通过记录被攻击对象当前的状态St,当前所受到的攻击以及因此攻击而改变到的状态St+1,加上外部对此状态改变所给出的评价Rt,得到一条社工攻击经验;通过构建连接攻击方法、状态之间的基于SOEKS知识表示的社工攻击神经网络模型,对它们之间的内在联系、因果关系,以及攻击作用规律进行抽象、学习和表示。
进一步,基于SOEKS知识表示的社工攻击神经网络模型包括:
1)每一个圆圈代表一个神经元,在输入层,一个神经元代表一个攻击元信息Vi或者是一个攻击方法Fi;
输入层代表t时刻状态为St的目标,受到方法为Fi的攻击;而状态S则是多个攻击元信息V的组合;由于对其中很多元信息,只有获取到了和没有获取到两种情况,因此元信息不取具体值进入神经网络而是对应置1和置0;其中,1为有值,0为没有获取到值;
2)隐藏层初始设置为一层;设输入层除开攻击方法之外的神经元数目为n,则隐藏层数据设置为隐藏层用来探索攻击元信息之间的组合可能;
3)输出层代表受到攻击后改变到的状态St+1即t+1时刻对象的攻击元信息V的组合,以及这步受到的攻击F;其神经元数目和输入层相等;
4)从输入到输出,越接近输入层称为越上层,越接近输出层称为越下层;每层的神经元经过加权w,加上偏置b,在激活函数f的作用下影响下一层的神经元的输出;
5)每层神经元间的权重和偏值根据最后输出称输出的结果和标准结果的比较进行调整;比较结果用代价函数(Cost function:记为C)来衡量:
其中n是训练样本的数量,代表有多少对输入和输出的数据;y(x)是标准结果;L表示网络的层数;aL(x)是当输入是x时的网络激活输出;
如果神经网络模型的输出越跟标准结果接近,这个代价函数C的值应该越小,趋近于0就最好;权重和偏值的改变与C关联起来,并使得调整后的权重和偏值能使得C更小;
6)设定一个阈值T,如果训练使得代价函数C小于这个T,则训练结束;保存整个神经网络模型的各层权重矩阵W和偏值矩阵B。
进一步,所述从输入到输出,越接近输入层称为越上层,越接近输出层称为越下层;每层的神经元经过加权w,加上偏置b,在激活函数f的作用下影响下一层的神经元的输出,具体包括:
设l层有n个神经元,这n个神经外对l+1层的某神经元k(记为)的影响权重和偏值记为:
设l层第i个神经元的值为:xi(i∈n),
则神经元k的输入为:
激活函数σ选用的是因此神经元k的激活输出值为:
l+1层的其他神经元也同样得到被上一层所有神经元影响获得的值。这些l+1层神经元的值跟l+2层之间的链接权重和偏值一起作用于l+2层的每个神经元,以此类推直到获得输出层的每个神经元的输出。
进一步,所述并使得调整后的权重和偏值能使得C更小中,调整方法包括:
第一步,计算输出层误差:其中是C与网络激活输出的偏导数,表示代价随着第j个输出值的变化而变化的速度,则代表在处L层的第j个节点激活函数σ变化的速度;
第二步,使用下一层的误差δl+1来表示当前层的误差δl:
δl=((wl+1)Tδl+1)⊙σ'(zl);
其中(wl+1)T是第l+1层权重矩阵的转置;再把误差从l+1层传播到l层;以此类推,迭代使用这个公式,把输出层的误差传播到最开始的输入层;
第三步,误差还通过代价函数关于网络中任意偏置的改变率来计算即:
因为要改变的是偏值b,因此改写为:是C对b的梯度;
第四步,代价函数对权重的改变率:是C对w的梯度;
希望C变小,于是得到偏值b和权重w的更新调整公式如下,
其中η是梯度下降的速率是一个比较小的常数,避免下降过快,T是转置。
进一步,所述构建基于SOEKS的神经网络挖掘攻击状态与攻击方法之间的关系,包括:
A):输入为状态,输出为状态+攻击方法,训练结果为状态和攻击方法的关系;用于预测目标将要受到的攻击和状态的变化,提前预警将要受到的攻击;
B):输入为状态+攻击方法,输出为状态,训练结果为攻击下状态的转变关系;用于预测目标在某个攻击下状态的变化,预警受到影响的攻击元信息;
C):输入与输出均为攻击方法,训练结果为攻击序列的关系;用于预测为来的攻击方法序列,预警将会受到的一系列攻击方法;
D):A)、B)、C)的状态与攻击方法综合,会出现现在没有的状态与攻击方法的组合,即发现新的社工攻击。例如:现有社工数据库攻击成功就是攻击的最后一步,但是学习结果出现“攻击成功(例如:受骗人已打款)”之后还可能出现“信息扩散”方法即将,表明即便在该对象上的攻击完毕,也可能通过该对象扩散攻击该对象的亲友。
本发明的优点及积极效果为:
本发明首次对社工攻击进行了计算机容易理解的,基于SOEKS的抽象知识表示,给出了抽象的一般性方法,对社工知识的抽象做出了统一格式规定,便于社工知识的分享和经验积累。
本发明对社工攻击元素、攻击步骤,攻击场景之间的关系进行了基于SOEKS的神经网络建模与挖掘。设计了三种不同的挖掘模式,用以预警将要受到的攻击及攻击序列,预警受到影响的攻击元信息。还可以发现攻击状态与攻击方法之间的新的潜在关系即新的攻击模式,给社工防御以理论指导,减少了对人员经验的依赖。
附图说明
图1是本发明实施例提供的基于SOEKS的社工攻击知识表示与挖掘方法流程图。
图2是本发明实施例提供的社工SOEKS知识表示示意图。
图3是本发明实施例提供的社工攻击状态变化示意图。
图4是本发明实施例提供的基于SOEKS和神经网络的社工攻击关系学习示意图。
图5是本发明实施例提供的上层影响下层的神经元示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
下面结合附图对本发明的应用原理作详细描述。
如图1所示,本发明实施例提供的基于SOEKS的社工攻击知识表示与挖掘方法,包括:
S101:进行基于SOEKS的社工知识表达,便于社工攻击知识的抽象与分享;
S102:构建基于SOEKS的神经网络挖掘攻击状态与攻击方法之间的关系,对将要发生的攻击方式进行预警,对将要受到改变的元信息进行预警,用户提前防御;
S103:对大量元信息、攻击方法的组合进行挖掘,发现新的社工攻击模式,使防御者提前预防。
下面结合附图及具体实施例对本发明的应用原理作进一步描述。
本发明实施例提供的基于SOEKS的社工攻击知识表示与挖掘方法中,
引进国际知识表示领域新兴的“经验集知识结构”对社工攻击元信息、步骤,以及场景进行抽象和描述,并设计基于SOEKS的攻击场景挖掘算法。
一、基于SOEKS的社工攻击抽象:
经验集知识结构(The Set of Experience Knowledge Structure,简写为SOEKS或者SOE)的是一种动态的、灵活知识表示方法。社工攻击信息,包含元信息,攻击步骤,攻击场景。SOEKS可以对不同的攻击元信息、步骤,以及场景进行抽象描述。抽象后的攻击信息具有规范化,易于分享,易于场景迁移等特点。
SOEKS包含变量(variable),约束(constraint),函数(function)和推理规则(reasoning)四个元素。在社工攻击领域,本发明重新定义四个元素的含义,如图2,并加入新元素定义如图3。
变量(V:variable):社工攻击元信息。所谓元信息是指不可再被分割的信息,是信息的最小单位。攻击元信息例如:攻击对象的ID,Email,生日等,都是元信息,可以被抽象为变量。变量的值就是具体的对象的值。举例来说:生日是一个变量,1990.8.1就是一个值。
状态(S:State):多个变量构成一个完整的攻击对象。攻击对象被抽象为变量的集合Set of variables(SOV=Object),所有变量的一个固定取值构成对象的一个状态State。
约束(C:constraint):元信息的取值都有一定范围的限制,这被称为约束。例如:人的年龄就有[1-120]的限制。某些元信息的限制相同,于是可能出现多个元信息共享一个约束的情况,例如:微博ID,微信ID可能同时受到长度[8-30]的约束。也有某个元信息同时接受多个约束的情况,例如:微博ID,微信ID除了被限制长度还被限制内容必须是字母和数字的组合。
方法(function):社工攻击的技术手段被抽象为函数或者叫方法,方法集合对对象的作用,则使得对象从一个状态变化为另一个状态,攻击进入下一个阶段。例如:任何攻击的初始阶段状态内的变量值大多为空,等待调查填充:S初始{V(ID:jjmao),V(birthday:NULL),V(University:Null),…}。在这个初始状态上作用方法FCollectWeiboHomePage即收集微博的主页信息就可以填充一些变量信息,该方法的作用使得攻击阶段从“初始”跳到“信息收集”:
FCollectWeiboHomePage(S初始)=S信息收集{V(ID:jjmao),V(birthday:1999.08.09),V(University:UESTC),…}
实际中,每个阶段方法都很多不止一种,共同构成方法的集合Set of Function(SOF)。一个对象经过一系列的攻击方法的作用,其状态会发生变化,从一个状态变为另一个状态,积累多个状态的变换,则攻击会从一个阶段进入另一个阶段,如图3,图中的S是一个攻击阶段,S’是另一个攻击阶段。对象在状态S时,经历了攻击方法Fi,Fj,Fk等的作用,状态对应变换到Si,Sj,最后量变触发质变状态改变为下一个攻击阶段的状态S’。
二、基于SOEKS的攻击场景挖掘。
当攻击者每进行一次攻击(采用方法Function),被攻击对象都会受到一定的影响,从而使得被攻击对象从一个状态改变。通过记录被攻击对象当前的状态(St),当前所受到的攻击(Function),以及因此攻击而改变到的状态(St+1),加上外部对此状态改变所给出的评价(Rt),我们就得到了一条社工攻击经验。通过构建连接攻击方法(Function)、状态(States)之间的人工神经网络,我们可以对它们之间的内在联系、因果关系,以及攻击作用规律等进行抽象、学习和表示。所构建的基于SOEKS知识表示的社工攻击神经网络模型如图4。
如图4,
1)每一个圆圈代表一个神经元,在输入层,一个神经元代表一个攻击元信息Vi或者是一个攻击方法Fi,具体来说是输入层代表t时刻状态为St的目标,受到了方法为Fi的攻击。而状态S则是多个攻击元信息V的组合。由于对其中很多元信息(例如:生日),只有获取到了和没有获取到两种情况,因此元信息不取具体值进入神经网络而是对应置1(有值)和置0(没有获取到值)。
2)隐藏层初始设置为一层。设输入层除开攻击方法之外的神经元数目为n,则隐藏层数据设置为即隐藏层是用来探索攻击元信息之间的组合可能,目前网络中攻击的元信息组合以2-5个的组合最为常见,以后也可能根据分析的进展另外设置具体的神经元数目。
3)输出层代表受到攻击后改变到的状态St+1即t+1时刻对象的攻击元信息V的组合,以及这步受到的攻击F。其神经元数目和输入层相等。
4)从输入到输出,越接近输入层称为越“上层”,越接近输出层称为越“下层”。每层的神经元经过加权w,加上偏置b,在激活函数f的作用下影响下一层的神经元的输出。注意,本发明中的神经网络是一个全连接网络,即下一层的每一个神经元都和上层的每一个神经元相连接,受到上层每个神经元的影响之后给出一个输出;
如图5,l+1层的每个一个神经元都受到上一层(l层)的神经元共同影响,图中为了表示清楚省略了l+1层的其他神经元。
设l层有n个神经元,这n个神经外对l+1层的某神经元k(记为)的影响权重和偏值记为:
设l层第i个神经元的值为:xi(i∈n),
则神经元k的输入为:
激活函数σ选用的是因此神经元k的激活输出值为:
l+1层的其他神经元也同样得到被上一层所有神经元影响获得的值。这些l+1层神经元的值跟l+2层之间的链接权重和偏值一起作用于l+2层的每个神经元,以此类推直到获得输出层的每个神经元的输出。
5)每层神经元间的权重和偏值会根据最后输出称输出的结果和标准结果的比较进行调整。比较结果用代价函数(Cost function:记为C)来衡量:
其中n是训练样本的数量即有多少对(输入,输出)数据;y(x)是标准结果;L表示网络的层数;aL(x)是当输是x时的络激活输出。很明显如果我们的神经网络模型的输出越跟标准结果接近,那么这个代价函数C的值应该越小,趋近于0就最好。因此权重和偏值的改变其实就上要跟这个C关联起来,并使得调整后的权重和偏值能使得C更小。
调整方法沿用经典的反向传播算法如下:
1)计算输出层误差:其中是C与网络激活输出的偏导数,表代价随着第j个输出值的变化变化的速度,则代表在处(L层的第j个节点)激活函数σ变化的速度;
2)使下层的误差δl+1来表当前层的误差δl:δl=((wl+1)Tδl+1)⊙σ'(zl);
其中(wl+1)T是第l+1层权重矩阵的转置。这个计算是在把误差从l+1层传播到l层。以此类推,迭代使用这个公式,可以把输出层的误差传播到最开始的输入层。
3)而误差还可以通过代价函数关于络中任意偏置的改变率来计算即:因为我们要改变的是偏值b,因此改写为:实际就是C对b的梯度;
4)代价函数对权重的改变率:实际就是C对w的梯度;
希望C变小,即希望3)、4)梯度下降达到一个最小值,于是得到偏值b和权重w的更新调整公式为,其中η是梯度下降的速率是一个比较小的常数,以避免下降过快:
6)设定一个阈值T,如果训练使得代价函数C小于这个T,则训练结束。保存整个神经网络模型的各层权重矩阵W和偏值矩阵B。
a)收集的数据集会被分为80%的训练部分以训练上面的模型。另外20%的数据用来做测试,如果训练好的模型在测试集上的准确率能到达90%以上则建模结束,获得一个社工攻击模型。否则返回步骤2,调整隐藏层的神经元数目,甚至是层数。重新进行训练,直到获得在测试集上的准确率能到达90%的模型为止。
b)神经网络的隐藏层次,隐藏层中的神经元数目,层次之间的权重W和偏值B的具体值,在训练数据集不同的情况下,是根据情况调整的。本发明只是描述了最基本的形态,这些变量的改变也包括在本发明的保护范围。
c)输入层与输出层的具体数目根据分析点不同也会不同。本发明推荐做法:A)输入为(状态)与输出为(状态+攻击方法),训练结果就是状态和攻击方法的关系。B)输入为(状态+攻击方法),输出为(状态),训练结果就是攻击下状态的转变关系。C)输入与输出均为(攻击方法序列),训练结果就是攻击序列的关系.
训练好的以上ABC三类模型具有以下作用:
A类模型可以预测目标将要受到的攻击和状态的变化,提前预警将要受到的攻击;
B类模型可以预测目标在某个攻击下状态的变化,预警受到影响的攻击元信息
C类模型可以预测为来的攻击方法序列,预警将会受到的一系列攻击方法。
ABC模型的综合可以发现新的社工攻击方法。
本发明基于SOEKS的社工知识表达,便于社工攻击知识的抽象与分享。基于SOEKS的神经网络挖掘攻击状态与攻击方法之间的关系,从而对将要发送的攻击方式进行预警,对将要受到改变的元信息进行预警,用户可以提前防御。在对大量元信息,攻击方法的组合进行挖掘的基础上,可以发现还没有出现的新的社工攻击模式,帮助防御者提前预防。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种基于SOEKS的社工攻击知识表示与挖掘方法,其特征在于,所述基于SOEKS的社工攻击知识表示与挖掘方法,包括:
进行基于SOEKS的社工知识表达,便于社工攻击知识的抽象与分享;
构建基于SOEKS的神经网络挖掘攻击状态与攻击方法之间的关系,对将要发生的攻击方式进行预警,对将要受到改变的元信息进行预警,用户提前防御;
对大量元信息、攻击方法的组合进行挖掘,发现新的社工攻击模式,使防御者提前预防。
2.如权利要求1所述的基于SOEKS的社工攻击知识表示与挖掘方法,其特征在于,
所述基于SOEKS的社工攻击知识表示包括:
变量:社工攻击元信息,元信息即不可再分的信息;变量的值为具体对象的值;
状态:多个变量构成一个完整的攻击对象;攻击对象被抽象为变量的集合,所有变量的一个固定取值构成对象的一个状态State;
约束:元信息的取值都有一定范围的限制;某些元信息的限制相同,于是可能出现多个元信息共享一个约束的情况;也有某个元信息同时接受多个约束的情况;
攻击方法:社工攻击的技术手段被抽象为函数或者为攻击方法,攻击方法集合对对象的作用,则使得对象从一个状态变化为另一个状态,攻击进入下一个阶段。
3.如权利要求1所述的基于SOEKS的社工攻击知识表示与挖掘方法,其特征在于,基于SOEKS的攻击场景挖掘,包括:
当攻击者每进行一次攻击,被攻击对象都会受到影响,使得被攻击对象从一个状态改变;通过记录被攻击对象当前的状态St,当前所受到的攻击以及因此攻击而改变到的状态St+1,加上外部对此状态改变所给出的评价Rt,得到一条社工攻击经验;通过构建连接攻击方法、状态之间的基于SOEKS知识表示的社工攻击神经网络模型,对它们之间的内在联系、因果关系,以及攻击作用规律进行抽象、学习和表示。
4.如权利要求3所述的基于SOEKS的社工攻击知识表示与挖掘方法,其特征在于,基于SOEKS知识表示的社工攻击神经网络模型包括:
1)每一个圆圈代表一个神经元,在输入层,一个神经元代表一个攻击元信息Vi或者是一个攻击方法Fi;
输入层代表t时刻状态为St的目标,受到方法为Fi的攻击;而状态S则是多个攻击元信息V的组合;由于对其中很多元信息,只有获取到了和没有获取到两种情况,因此元信息不取具体值进入神经网络而是对应置1和置0;其中,1为有值,0为没有获取到值;
2)隐藏层初始设置为一层;设输入层除开攻击方法之外的神经元数目为n,则隐藏层数据设置为隐藏层用来探索攻击元信息之间的组合可能;
3)输出层代表受到攻击后改变到的状态St+1即t+1时刻对象的攻击元信息V的组合,以及这步受到的攻击F;其神经元数目和输入层相等;
4)从输入到输出,越接近输入层称为越上层,越接近输出层称为越下层;每层的神经元经过加权w,加上偏置b,在激活函数f的作用下影响下一层的神经元的输出;
5)每层神经元间的权重和偏值根据最后输出称输出的结果和标准结果的比较进行调整;比较结果用代价函数(Cost function:记为C)来衡量:
<mrow>
<mi>C</mi>
<mo>=</mo>
<mfrac>
<mn>1</mn>
<mrow>
<mn>2</mn>
<mi>n</mi>
</mrow>
</mfrac>
<munder>
<mo>&Sigma;</mo>
<mi>x</mi>
</munder>
<mo>|</mo>
<mo>|</mo>
<mi>y</mi>
<mrow>
<mo>(</mo>
<mi>x</mi>
<mo>)</mo>
</mrow>
<mo>-</mo>
<msup>
<mi>a</mi>
<mi>L</mi>
</msup>
<mrow>
<mo>(</mo>
<mi>x</mi>
<mo>)</mo>
</mrow>
<mo>|</mo>
<msup>
<mo>|</mo>
<mn>2</mn>
</msup>
<mo>;</mo>
</mrow>
其中n是训练样本的数量,代表有多少对输入和输出的数据;y(x)是标准结果;L表示网络的层数;aL(x)是当输入是x时的网络激活输出;
如果神经网络模型的输出越跟标准结果接近,这个代价函数C的值应该越小,趋近于0就最好;权重和偏值的改变与C关联起来,并使得调整后的权重和偏值能使得C更小;
6)设定一个阈值T,如果训练使得代价函数C小于这个T,则训练结束;保存整个神经网络模型的各层权重矩阵W和偏值矩阵B。
5.如权利要求4所述的基于SOEKS的社工攻击知识表示与挖掘方法,其特征在于,所述从输入到输出,越接近输入层称为越上层,越接近输出层称为越下层;每层的神经元经过加权w,加上偏置b,在激活函数f的作用下影响下一层的神经元的输出,具体包括:
设l层有n个神经元,这n个神经外对l+1层的某神经元k(记为)的影响权重和偏值记为:
设l层第i个神经元的值为:xi(i∈n),
则神经元k的输入为:
激活函数σ选用的是因此神经元k的激活输出值为:
<mrow>
<msubsup>
<mi>a</mi>
<mi>k</mi>
<mrow>
<mi>l</mi>
<mo>+</mo>
<mn>1</mn>
</mrow>
</msubsup>
<mo>=</mo>
<mi>f</mi>
<mrow>
<mo>(</mo>
<msubsup>
<mi>z</mi>
<mi>k</mi>
<mrow>
<mi>l</mi>
<mo>+</mo>
<mn>1</mn>
</mrow>
</msubsup>
<mo>)</mo>
</mrow>
<mo>=</mo>
<mfrac>
<mn>1</mn>
<mrow>
<mn>1</mn>
<mo>+</mo>
<msup>
<mi>e</mi>
<mrow>
<mo>-</mo>
<msub>
<mi>Z</mi>
<mi>k</mi>
</msub>
</mrow>
</msup>
</mrow>
</mfrac>
<mo>;</mo>
</mrow>
l+1层的其他神经元也同样得到被上一层所有神经元影响获得的值;l+1层神经元的值跟l+2层之间的链接权重和偏值一起作用于l+2层的每个神经元,以此类推直到获得输出层的每个神经元的输出。
6.如权利要求4所述的基于SOEKS的社工攻击知识表示与挖掘方法,其特征在于,所述并使得调整后的权重和偏值能使得C更小中,调整方法包括:
第一步,计算输出层误差:其中是C与网络激活输出的偏导数,表示代价随着第j个输出值的变化而变化的速度,则代表在处L层的第j个节点激活函数σ变化的速度;
第二步,使用下一层的误差δl+1来表示当前层的误差δl:
δl=((wl+1)Tδl+1)⊙σ'(zl);
其中(wl+1)T是第l+1层权重矩阵的转置;再把误差从l+1层传播到l层;以此类推,迭代使用这个公式,把输出层的误差传播到最开始的输入层;
第三步,误差还通过代价函数关于网络中任意偏置的改变率来计算即:
<mrow>
<msubsup>
<mi>&delta;</mi>
<mi>j</mi>
<mi>l</mi>
</msubsup>
<mo>=</mo>
<mfrac>
<mrow>
<mo>&part;</mo>
<mi>C</mi>
</mrow>
<mrow>
<mo>&part;</mo>
<msubsup>
<mi>b</mi>
<mi>j</mi>
<mi>l</mi>
</msubsup>
</mrow>
</mfrac>
<mo>,</mo>
</mrow>
因为要改变的是偏值b,因此改写为:是C对b的梯度;
第四步,代价函数对权重的改变率:是C对w的梯度;
希望C变小,于是得到偏值b和权重w的更新调整公式如下,
<mrow>
<msup>
<mi>b</mi>
<mi>l</mi>
</msup>
<mo>&RightArrow;</mo>
<msup>
<mi>b</mi>
<mi>l</mi>
</msup>
<mo>-</mo>
<mi>&eta;</mi>
<munder>
<mo>&Sigma;</mo>
<mi>j</mi>
</munder>
<mfrac>
<mrow>
<mo>&part;</mo>
<mi>C</mi>
</mrow>
<mrow>
<mo>&part;</mo>
<msubsup>
<mi>b</mi>
<mi>j</mi>
<mi>l</mi>
</msubsup>
</mrow>
</mfrac>
<mo>=</mo>
<msup>
<mi>b</mi>
<mi>l</mi>
</msup>
<mo>-</mo>
<mi>&eta;</mi>
<munder>
<mo>&Sigma;</mo>
<mi>j</mi>
</munder>
<msubsup>
<mi>&delta;</mi>
<mi>j</mi>
<mi>l</mi>
</msubsup>
<mo>;</mo>
</mrow>
<mrow>
<msup>
<mi>w</mi>
<mi>l</mi>
</msup>
<mo>&RightArrow;</mo>
<msup>
<mi>w</mi>
<mi>l</mi>
</msup>
<mo>-</mo>
<mi>&eta;</mi>
<mo>&Sigma;</mo>
<mfrac>
<mrow>
<mo>&part;</mo>
<mi>C</mi>
</mrow>
<mrow>
<mo>&part;</mo>
<msubsup>
<mi>w</mi>
<mrow>
<mi>j</mi>
<mi>k</mi>
</mrow>
<mi>l</mi>
</msubsup>
</mrow>
</mfrac>
<mo>=</mo>
<msup>
<mi>w</mi>
<mi>l</mi>
</msup>
<mo>-</mo>
<mi>&eta;</mi>
<mo>&Sigma;</mo>
<msubsup>
<mi>&delta;</mi>
<mi>j</mi>
<mi>l</mi>
</msubsup>
<msup>
<mrow>
<mo>(</mo>
<msubsup>
<mi>a</mi>
<mi>k</mi>
<mrow>
<mi>l</mi>
<mo>-</mo>
<mn>1</mn>
</mrow>
</msubsup>
<mo>)</mo>
</mrow>
<mi>T</mi>
</msup>
<mo>;</mo>
</mrow>
其中η是梯度下降的速率是一个比较小的常数,避免下降过快。
7.如权利要求4所述的基于SOEKS的社工攻击知识表示与挖掘方法,其特征在于,所述构建基于SOEKS的神经网络挖掘攻击状态与攻击方法之间的关系,包括:
A):输入为状态,输出为状态+攻击方法,训练结果为状态和攻击方法的关系;用于预测目标将要受到的攻击和状态的变化,提前预警将要受到的攻击;
B):输入为状态+攻击方法,输出为状态,训练结果为攻击下状态的转变关系;用于预测目标在某个攻击下状态的变化,预警受到影响的攻击元信息;
C):输入与输出均为攻击方法,训练结果为攻击序列的关系;用于预测为来的攻击方法序列,预警将会受到的一系列攻击方法;
D):A)、B)、C)的状态与攻击方法综合,用于发现新的社工攻击方法。
8.一种利用权利要求1~7任意一项所述基于SOEKS的社工攻击知识表示与挖掘方法的基于SOEKS的社工攻击知识表示与挖掘系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710384366.7A CN107220541B (zh) | 2017-05-26 | 2017-05-26 | 一种基于soeks的社工攻击知识表示与挖掘方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710384366.7A CN107220541B (zh) | 2017-05-26 | 2017-05-26 | 一种基于soeks的社工攻击知识表示与挖掘方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107220541A true CN107220541A (zh) | 2017-09-29 |
CN107220541B CN107220541B (zh) | 2020-12-22 |
Family
ID=59945466
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710384366.7A Active CN107220541B (zh) | 2017-05-26 | 2017-05-26 | 一种基于soeks的社工攻击知识表示与挖掘方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107220541B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108900515A (zh) * | 2018-07-09 | 2018-11-27 | 赖洪昌 | 一种网络空间漏洞归并平台数据转发服务系统 |
CN111314878A (zh) * | 2020-01-17 | 2020-06-19 | 成都信息工程大学 | 一种基于SoEKS的智能网联车态势感知方法及系统 |
CN111464568A (zh) * | 2020-06-17 | 2020-07-28 | 广东电网有限责任公司佛山供电局 | 一种增强多网口防网络攻击能力的方法和系统 |
CN112398793A (zh) * | 2019-08-16 | 2021-02-23 | 北京邮电大学 | 社会工程学交互方法、装置及存储介质 |
CN113141347A (zh) * | 2021-03-16 | 2021-07-20 | 中国科学院信息工程研究所 | 社工信息保护方法、装置、电子设备和存储介质 |
CN113271321A (zh) * | 2021-07-20 | 2021-08-17 | 成都信息工程大学 | 一种基于网络异常攻击的传播预测处理方法及系统 |
CN117113228A (zh) * | 2023-10-19 | 2023-11-24 | 中国南方电网有限责任公司 | 一种基于深度学习的电力社会工程学攻击监测方法及系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070294763A1 (en) * | 2006-06-19 | 2007-12-20 | Microsoft Corporation | Protected Environments for Protecting Users Against Undesirable Activities |
US20090138590A1 (en) * | 2007-11-26 | 2009-05-28 | Eun Young Lee | Apparatus and method for detecting anomalous traffic |
CN101866402A (zh) * | 2010-05-31 | 2010-10-20 | 西安电子科技大学 | 基于免疫多目标约束的否定选择入侵检测方法 |
CN102024179A (zh) * | 2010-12-07 | 2011-04-20 | 南京邮电大学 | 一种基于半监督学习的ga-som聚类方法 |
CN102638458A (zh) * | 2012-03-23 | 2012-08-15 | 中国科学院软件研究所 | 识别脆弱性利用安全威胁并确定相关攻击路径的方法 |
CN102647292A (zh) * | 2012-03-20 | 2012-08-22 | 北京大学 | 一种基于半监督神经网络模型的入侵检测方法 |
US20130086688A1 (en) * | 2011-09-30 | 2013-04-04 | International Business Machines Corporation | Web application exploit mitigation in an information technology environment |
-
2017
- 2017-05-26 CN CN201710384366.7A patent/CN107220541B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070294763A1 (en) * | 2006-06-19 | 2007-12-20 | Microsoft Corporation | Protected Environments for Protecting Users Against Undesirable Activities |
US20090138590A1 (en) * | 2007-11-26 | 2009-05-28 | Eun Young Lee | Apparatus and method for detecting anomalous traffic |
CN101866402A (zh) * | 2010-05-31 | 2010-10-20 | 西安电子科技大学 | 基于免疫多目标约束的否定选择入侵检测方法 |
CN102024179A (zh) * | 2010-12-07 | 2011-04-20 | 南京邮电大学 | 一种基于半监督学习的ga-som聚类方法 |
US20130086688A1 (en) * | 2011-09-30 | 2013-04-04 | International Business Machines Corporation | Web application exploit mitigation in an information technology environment |
CN102647292A (zh) * | 2012-03-20 | 2012-08-22 | 北京大学 | 一种基于半监督神经网络模型的入侵检测方法 |
CN102638458A (zh) * | 2012-03-23 | 2012-08-15 | 中国科学院软件研究所 | 识别脆弱性利用安全威胁并确定相关攻击路径的方法 |
Non-Patent Citations (2)
Title |
---|
LEONARDO MANCILLA-AMAYA 等: "The E-Decisional Community: An Integrated Knowledge Sharing Platform", 《PROCEEDINGS OF THE SEVENTH ASIA-PACIFIC CONFERENCE ON CONCEPTUAL MODELLING》 * |
宋珊珊 等: "基于数据挖掘的因果关联知识库构建方法", 《信息安全与通信保密》 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108900515A (zh) * | 2018-07-09 | 2018-11-27 | 赖洪昌 | 一种网络空间漏洞归并平台数据转发服务系统 |
CN108900515B (zh) * | 2018-07-09 | 2021-06-04 | 赖洪昌 | 一种网络空间漏洞归并平台数据转发服务系统 |
CN112398793A (zh) * | 2019-08-16 | 2021-02-23 | 北京邮电大学 | 社会工程学交互方法、装置及存储介质 |
CN112398793B (zh) * | 2019-08-16 | 2021-08-31 | 北京邮电大学 | 社会工程学交互方法、装置及存储介质 |
CN111314878A (zh) * | 2020-01-17 | 2020-06-19 | 成都信息工程大学 | 一种基于SoEKS的智能网联车态势感知方法及系统 |
CN111464568A (zh) * | 2020-06-17 | 2020-07-28 | 广东电网有限责任公司佛山供电局 | 一种增强多网口防网络攻击能力的方法和系统 |
CN113141347A (zh) * | 2021-03-16 | 2021-07-20 | 中国科学院信息工程研究所 | 社工信息保护方法、装置、电子设备和存储介质 |
CN113271321A (zh) * | 2021-07-20 | 2021-08-17 | 成都信息工程大学 | 一种基于网络异常攻击的传播预测处理方法及系统 |
CN117113228A (zh) * | 2023-10-19 | 2023-11-24 | 中国南方电网有限责任公司 | 一种基于深度学习的电力社会工程学攻击监测方法及系统 |
CN117113228B (zh) * | 2023-10-19 | 2023-12-29 | 中国南方电网有限责任公司 | 一种基于深度学习的电力社会工程学攻击监测方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN107220541B (zh) | 2020-12-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107220541A (zh) | 一种基于soeks的社工攻击知识表示与挖掘方法 | |
Gong et al. | Preserving differential privacy in deep neural networks with relevance-based adaptive noise imposition | |
Brantingham et al. | A computational model for simulating spatial aspects of crime in urban environments | |
Dhal et al. | A multi-objective feature selection method using Newton’s law based PSO with GWO | |
Hariri-Ardebili et al. | A series of forecasting models for seismic evaluation of dams based on ground motion meta-features | |
CN106529818A (zh) | 基于模糊小波神经网络的水质评价预测方法 | |
Huang et al. | Computational modeling of emotion-motivated decisions for continuous control of mobile robots | |
Hu | A new approach for constructing two Bayesian network models for predicting the liquefaction of gravelly soil | |
Janssen et al. | Using causal discovery to analyze emergence in agent-based models | |
CN113282818B (zh) | 基于BiLSTM的挖掘网络人物关系的方法、装置及介质 | |
Xu et al. | Bipolar fuzzy Petri nets for knowledge representation and acquisition considering non-cooperative behaviors | |
Yang et al. | A novel similarity measure of link prediction in multi‐layer social networks based on reliable paths | |
Meng | A hybrid particle swarm optimization algorithm for satisficing data envelopment analysis under fuzzy chance constraints | |
M Abd El-Aziz et al. | An effective data science technique for IoT-Assisted healthcare monitoring system with a rapid adoption of cloud computing | |
Kumar et al. | A neural network model for slope stability computations | |
Gursoy et al. | Utility-optimized synthesis of differentially private location traces | |
Prasad et al. | Designing mamdani-type fuzzy reasoning for visualizing prediction problems based on collaborative fuzzy clustering | |
Bacanin et al. | Intrusion detection by XGBoost model tuned by improved social network search algorithm | |
Wang et al. | Fuzzy-clustering and fuzzy network based interpretable fuzzy model for prediction | |
Xu et al. | Matrix representation of consensus and dissent stabilities in the graph model for conflict resolution | |
Wriggers et al. | Intelligent support of engineering analysis using ontology and case-based reasoning | |
Duan et al. | COVID‐19 Propagation Prediction Model Using Improved Grey Wolf Optimization Algorithms in Combination with XGBoost and Bagging‐Integrated Learning | |
Pei et al. | Applying knowledge-guided machine learning to slope stability prediction | |
Cao | Evolutionary optimization of artificial neural network using an interactive phase-based optimization algorithm for chaotic time series prediction | |
García et al. | A feature construction approach for genetic iterative rule learning algorithm |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |