CN107220541A

CN107220541A - 一种基于soeks的社工攻击知识表示与挖掘方法

Info

Publication number: CN107220541A
Application number: CN201710384366.7A
Authority: CN
Inventors: 王娟; 张浩曦; 李飞; 吴春旺
Original assignee: Chengdu University of Information Technology
Current assignee: Chengdu University of Information Technology
Priority date: 2017-05-26
Filing date: 2017-05-26
Publication date: 2017-09-29
Anticipated expiration: 2037-05-26
Also published as: CN107220541B

Abstract

本发明属于网络空间安全技术领域，公开了一种基于SOEKS的社工攻击知识表示与挖掘方法，包括：设计基于SOEKS的社工知识表达，便于社工攻击知识的抽象与分享；构建基于SOEKS的神经网络挖掘攻击状态与攻击方法之间的关系，对将要发生的攻击进行预警，对将要受到改变的元信息进行预警，提醒用户提前防御；对大量元信息、攻击方法的组合进行挖掘，发现新的社工攻击模式。本发明首次对社工攻击进行了抽象的知识表示；本发明基于SOEKS的抽象社工攻击信息便于分享和经验积累；本发明社工攻击状态与攻击方法关系的模式挖掘，可以预测攻击的步骤，可以揭示防御的薄弱环节，给现有防御以理论指导，减少对经验的依赖。

Description

一种基于SOEKS的社工攻击知识表示与挖掘方法

技术领域

本发明属于网络空间安全技术领域，尤其涉及一种基于SOEKS的社工攻击知识表示与挖掘方法。

背景技术

随着移动互联网、物联网等的快速发展，各类网络攻击层出不穷。其中社会工程学(以下简称：社工)攻击是主流攻击方式之一。依靠社会工程学原理，充分利用社工方法获取攻击相关信息，例如从个人微博主页/QQ空间中获取目标的生日、姓名、兴趣爱好，好友关系等，进而编写有针对性的“字典”对用户密码进行破解、盗号，伪装成好友诈骗等。攻击方式不断更新，使人防不胜防。

现有技术中：

就社会工程学攻击领域来说，目前无论是攻击方还是防御方，都处于靠经验自觉行动，缺乏理论指导的阶段。与之相关的理论研究集中于如何网络上来源复杂，格式多样的信息中抽取出结构化的社工信息、社工信息的关联分析、信息可信性判定、用户身份映射、用户画像技术等几个方面。简而言之，现有研究大多都是针对社工信息本身，几乎没有针对社工信息与社工攻击步骤之间，社工攻击步骤之间，社工攻击步骤与攻击场景之间关系和模式的研究。

综上所述，现有技术存在的问题是：

1)现有针对社工攻击的研究中，每个人保存攻击信息的格式不同，方式不同(有些存为数据库的表，有些存为txt文档)，导致了这些信息的零散与杂乱；而且信息抽象为知识的形式不一致，导致信息细节的抽象程度不一致；不同抽象程度，抽象格式，导致不同研究者之间知识无法分享。

2)不能从理论上给予如何防范社工攻击的指导，全靠人员自身的经验积累。

3)不能形成计算机能够应用的算法，自动发现防御的薄弱点，预警可能发生的社工攻击

4)不能预测新的社工攻击方法，只能根据已经发生的攻击进行防御。

发明内容

针对现有技术存在的问题，本发明提供了一种基于SOEKS的社工攻击知识表示与挖掘方法。

本发明是这样实现的，一种基于SOEKS的社工攻击知识表示与挖掘方法，所述基于SOEKS的社工攻击知识表示与挖掘方法，包括：

进行基于SOEKS的社工知识表达，便于社工攻击知识的抽象与分享；

构建基于SOEKS的神经网络挖掘攻击状态与攻击方法之间的关系，对将要发送的攻击方式进行预警，对将要受到改变的元信息进行预警，用户提前防御；

对大量元信息、攻击方法的组合进行挖掘，发现新的社工攻击模式，使防御者提前预防。

进一步，所述基于SOEKS的社工攻击知识表示包括：

变量：社工攻击元信息，元信息即不可再分的信息；变量的值为具体对象的值；

状态：多个变量构成一个完整的攻击对象；攻击对象被抽象为变量的集合，所有变量的一个固定取值构成对象的一个状态State；

约束：元信息的取值都有一定范围的限制；某些元信息的限制相同，于是可能出现多个元信息共享一个约束的情况；也有某个元信息同时接受多个约束的情况；

攻击方法：社工攻击的技术手段被抽象为函数或者为攻击方法，攻击方法集合对对象的作用，则使得对象从一个状态变化为另一个状态，攻击进入下一个阶段；

基于SOEKS的社工知识表示统一写为XML文档格式，可以借用现有的XML读写接口进行读写。

进一步，基于SOEKS的攻击场景挖掘，包括：

当攻击者每进行一次攻击，被攻击对象都会受到影响，使得被攻击对象从一个状态改变；通过记录被攻击对象当前的状态S_t，当前所受到的攻击以及因此攻击而改变到的状态S_t+1,加上外部对此状态改变所给出的评价R_t，得到一条社工攻击经验；通过构建连接攻击方法、状态之间的基于SOEKS知识表示的社工攻击神经网络模型，对它们之间的内在联系、因果关系，以及攻击作用规律进行抽象、学习和表示。

进一步，基于SOEKS知识表示的社工攻击神经网络模型包括：

1)每一个圆圈代表一个神经元，在输入层，一个神经元代表一个攻击元信息V_i或者是一个攻击方法F_i；

输入层代表t时刻状态为S_t的目标，受到方法为F_i的攻击；而状态S则是多个攻击元信息V的组合；由于对其中很多元信息，只有获取到了和没有获取到两种情况，因此元信息不取具体值进入神经网络而是对应置1和置0；其中，1为有值，0为没有获取到值；

2)隐藏层初始设置为一层；设输入层除开攻击方法之外的神经元数目为n，则隐藏层数据设置为隐藏层用来探索攻击元信息之间的组合可能；

3)输出层代表受到攻击后改变到的状态S_t+1即t+1时刻对象的攻击元信息V的组合，以及这步受到的攻击F；其神经元数目和输入层相等；

4)从输入到输出，越接近输入层称为越上层，越接近输出层称为越下层；每层的神经元经过加权w，加上偏置b，在激活函数f的作用下影响下一层的神经元的输出；

5)每层神经元间的权重和偏值根据最后输出称输出的结果和标准结果的比较进行调整；比较结果用代价函数(Cost function：记为C)来衡量：

其中n是训练样本的数量，代表有多少对输入和输出的数据；y(x)是标准结果；L表示网络的层数；a^L(x)是当输入是x时的网络激活输出；

如果神经网络模型的输出越跟标准结果接近，这个代价函数C的值应该越小，趋近于0就最好；权重和偏值的改变与C关联起来，并使得调整后的权重和偏值能使得C更小；

6)设定一个阈值T，如果训练使得代价函数C小于这个T，则训练结束；保存整个神经网络模型的各层权重矩阵W和偏值矩阵B。

进一步，所述从输入到输出，越接近输入层称为越上层，越接近输出层称为越下层；每层的神经元经过加权w，加上偏置b，在激活函数f的作用下影响下一层的神经元的输出，具体包括：

设l层有n个神经元，这n个神经外对l+1层的某神经元k(记为)的影响权重和偏值记为：

设l层第i个神经元的值为：x_i(i∈n)，

则神经元k的输入为：

激活函数σ选用的是因此神经元k的激活输出值为：

l+1层的其他神经元也同样得到被上一层所有神经元影响获得的值。这些l+1层神经元的值跟l+2层之间的链接权重和偏值一起作用于l+2层的每个神经元，以此类推直到获得输出层的每个神经元的输出。

进一步，所述并使得调整后的权重和偏值能使得C更小中，调整方法包括：

第一步，计算输出层误差：其中是C与网络激活输出的偏导数，表示代价随着第j个输出值的变化而变化的速度，则代表在处L层的第j个节点激活函数σ变化的速度；

第二步，使用下一层的误差δ^l+1来表示当前层的误差δ^l：

δ^l＝((w^l+1)^Tδ^l+1)⊙σ'(z^l)；

其中(w^l+1)^T是第l+1层权重矩阵的转置；再把误差从l+1层传播到l层；以此类推，迭代使用这个公式，把输出层的误差传播到最开始的输入层；

第三步，误差还通过代价函数关于网络中任意偏置的改变率来计算即：

因为要改变的是偏值b，因此改写为：是C对b的梯度；

第四步，代价函数对权重的改变率：是C对w的梯度；

希望C变小，于是得到偏值b和权重w的更新调整公式如下，

其中η是梯度下降的速率是一个比较小的常数，避免下降过快，T是转置。

进一步，所述构建基于SOEKS的神经网络挖掘攻击状态与攻击方法之间的关系，包括：

A)：输入为状态，输出为状态+攻击方法，训练结果为状态和攻击方法的关系；用于预测目标将要受到的攻击和状态的变化，提前预警将要受到的攻击；

B)：输入为状态+攻击方法，输出为状态，训练结果为攻击下状态的转变关系；用于预测目标在某个攻击下状态的变化，预警受到影响的攻击元信息；

C)：输入与输出均为攻击方法，训练结果为攻击序列的关系；用于预测为来的攻击方法序列，预警将会受到的一系列攻击方法；

D)：A)、B)、C)的状态与攻击方法综合，会出现现在没有的状态与攻击方法的组合，即发现新的社工攻击。例如：现有社工数据库攻击成功就是攻击的最后一步，但是学习结果出现“攻击成功(例如：受骗人已打款)”之后还可能出现“信息扩散”方法即将，表明即便在该对象上的攻击完毕，也可能通过该对象扩散攻击该对象的亲友。

本发明的优点及积极效果为：

本发明首次对社工攻击进行了计算机容易理解的，基于SOEKS的抽象知识表示，给出了抽象的一般性方法，对社工知识的抽象做出了统一格式规定，便于社工知识的分享和经验积累。

本发明对社工攻击元素、攻击步骤，攻击场景之间的关系进行了基于SOEKS的神经网络建模与挖掘。设计了三种不同的挖掘模式，用以预警将要受到的攻击及攻击序列，预警受到影响的攻击元信息。还可以发现攻击状态与攻击方法之间的新的潜在关系即新的攻击模式，给社工防御以理论指导，减少了对人员经验的依赖。

附图说明

图1是本发明实施例提供的基于SOEKS的社工攻击知识表示与挖掘方法流程图。

图2是本发明实施例提供的社工SOEKS知识表示示意图。

图3是本发明实施例提供的社工攻击状态变化示意图。

图4是本发明实施例提供的基于SOEKS和神经网络的社工攻击关系学习示意图。

图5是本发明实施例提供的上层影响下层的神经元示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

下面结合附图对本发明的应用原理作详细描述。

如图1所示，本发明实施例提供的基于SOEKS的社工攻击知识表示与挖掘方法，包括：

S101：进行基于SOEKS的社工知识表达，便于社工攻击知识的抽象与分享；

S102：构建基于SOEKS的神经网络挖掘攻击状态与攻击方法之间的关系，对将要发生的攻击方式进行预警，对将要受到改变的元信息进行预警，用户提前防御；

S103：对大量元信息、攻击方法的组合进行挖掘，发现新的社工攻击模式，使防御者提前预防。

下面结合附图及具体实施例对本发明的应用原理作进一步描述。

本发明实施例提供的基于SOEKS的社工攻击知识表示与挖掘方法中，

引进国际知识表示领域新兴的“经验集知识结构”对社工攻击元信息、步骤，以及场景进行抽象和描述，并设计基于SOEKS的攻击场景挖掘算法。

一、基于SOEKS的社工攻击抽象：

经验集知识结构(The Set of Experience Knowledge Structure,简写为SOEKS或者SOE)的是一种动态的、灵活知识表示方法。社工攻击信息，包含元信息，攻击步骤，攻击场景。SOEKS可以对不同的攻击元信息、步骤，以及场景进行抽象描述。抽象后的攻击信息具有规范化，易于分享，易于场景迁移等特点。

SOEKS包含变量(variable)，约束(constraint)，函数(function)和推理规则(reasoning)四个元素。在社工攻击领域，本发明重新定义四个元素的含义，如图2，并加入新元素定义如图3。

变量(V：variable)：社工攻击元信息。所谓元信息是指不可再被分割的信息，是信息的最小单位。攻击元信息例如：攻击对象的ID，Email，生日等，都是元信息，可以被抽象为变量。变量的值就是具体的对象的值。举例来说：生日是一个变量，1990.8.1就是一个值。

状态(S：State)：多个变量构成一个完整的攻击对象。攻击对象被抽象为变量的集合Set of variables(SOV＝Object)，所有变量的一个固定取值构成对象的一个状态State。

约束(C：constraint)：元信息的取值都有一定范围的限制，这被称为约束。例如：人的年龄就有[1-120]的限制。某些元信息的限制相同，于是可能出现多个元信息共享一个约束的情况，例如：微博ID，微信ID可能同时受到长度[8-30]的约束。也有某个元信息同时接受多个约束的情况，例如：微博ID，微信ID除了被限制长度还被限制内容必须是字母和数字的组合。

方法(function)：社工攻击的技术手段被抽象为函数或者叫方法，方法集合对对象的作用，则使得对象从一个状态变化为另一个状态，攻击进入下一个阶段。例如：任何攻击的初始阶段状态内的变量值大多为空，等待调查填充：S_初始{V(ID：jjmao)，V(birthday：NULL)，V(University:Null),…}。在这个初始状态上作用方法F_{CollectWeiboHomePage}即收集微博的主页信息就可以填充一些变量信息，该方法的作用使得攻击阶段从“初始”跳到“信息收集”：

F_{CollectWeiboHomePage}(S_初始)＝S_信息收集{V(ID：jjmao)，V(birthday：1999.08.09)，V(University:UESTC),…}

实际中，每个阶段方法都很多不止一种，共同构成方法的集合Set of Function(SOF)。一个对象经过一系列的攻击方法的作用，其状态会发生变化，从一个状态变为另一个状态，积累多个状态的变换，则攻击会从一个阶段进入另一个阶段，如图3，图中的S是一个攻击阶段，S’是另一个攻击阶段。对象在状态S时，经历了攻击方法Fi，Fj，Fk等的作用，状态对应变换到Si，Sj，最后量变触发质变状态改变为下一个攻击阶段的状态S’。

二、基于SOEKS的攻击场景挖掘。

当攻击者每进行一次攻击(采用方法Function)，被攻击对象都会受到一定的影响，从而使得被攻击对象从一个状态改变。通过记录被攻击对象当前的状态(S_t),当前所受到的攻击(Function),以及因此攻击而改变到的状态(S_t+1),加上外部对此状态改变所给出的评价(R_t)，我们就得到了一条社工攻击经验。通过构建连接攻击方法(Function)、状态(States)之间的人工神经网络，我们可以对它们之间的内在联系、因果关系，以及攻击作用规律等进行抽象、学习和表示。所构建的基于SOEKS知识表示的社工攻击神经网络模型如图4。

如图4，

1)每一个圆圈代表一个神经元，在输入层，一个神经元代表一个攻击元信息V_i或者是一个攻击方法F_i，具体来说是输入层代表t时刻状态为S_t的目标，受到了方法为F_i的攻击。而状态S则是多个攻击元信息V的组合。由于对其中很多元信息(例如：生日)，只有获取到了和没有获取到两种情况，因此元信息不取具体值进入神经网络而是对应置1(有值)和置0(没有获取到值)。

2)隐藏层初始设置为一层。设输入层除开攻击方法之外的神经元数目为n，则隐藏层数据设置为即隐藏层是用来探索攻击元信息之间的组合可能，目前网络中攻击的元信息组合以2-5个的组合最为常见，以后也可能根据分析的进展另外设置具体的神经元数目。

3)输出层代表受到攻击后改变到的状态S_t+1即t+1时刻对象的攻击元信息V的组合，以及这步受到的攻击F。其神经元数目和输入层相等。

4)从输入到输出，越接近输入层称为越“上层”，越接近输出层称为越“下层”。每层的神经元经过加权w，加上偏置b，在激活函数f的作用下影响下一层的神经元的输出。注意，本发明中的神经网络是一个全连接网络，即下一层的每一个神经元都和上层的每一个神经元相连接，受到上层每个神经元的影响之后给出一个输出；

如图5，l+1层的每个一个神经元都受到上一层(l层)的神经元共同影响，图中为了表示清楚省略了l+1层的其他神经元。

设l层第i个神经元的值为：x_i(i∈n)，

则神经元k的输入为：

激活函数σ选用的是因此神经元k的激活输出值为：

5)每层神经元间的权重和偏值会根据最后输出称输出的结果和标准结果的比较进行调整。比较结果用代价函数(Cost function：记为C)来衡量：

其中n是训练样本的数量即有多少对(输入，输出)数据；y(x)是标准结果；L表示网络的层数；a^L(x)是当输是x时的络激活输出。很明显如果我们的神经网络模型的输出越跟标准结果接近，那么这个代价函数C的值应该越小，趋近于0就最好。因此权重和偏值的改变其实就上要跟这个C关联起来，并使得调整后的权重和偏值能使得C更小。

调整方法沿用经典的反向传播算法如下：

1)计算输出层误差：其中是C与网络激活输出的偏导数，表代价随着第j个输出值的变化变化的速度，则代表在处(L层的第j个节点)激活函数σ变化的速度；

2)使下层的误差δ^l+1来表当前层的误差δ^l：δ^l＝((w^l+1)^Tδ^l+1)⊙σ'(z^l)；

其中(w^l+1)^T是第l+1层权重矩阵的转置。这个计算是在把误差从l+1层传播到l层。以此类推，迭代使用这个公式，可以把输出层的误差传播到最开始的输入层。

3)而误差还可以通过代价函数关于络中任意偏置的改变率来计算即：因为我们要改变的是偏值b，因此改写为：实际就是C对b的梯度；

4)代价函数对权重的改变率：实际就是C对w的梯度；

希望C变小，即希望3)、4)梯度下降达到一个最小值，于是得到偏值b和权重w的更新调整公式为，其中η是梯度下降的速率是一个比较小的常数，以避免下降过快：

6)设定一个阈值T，如果训练使得代价函数C小于这个T，则训练结束。保存整个神经网络模型的各层权重矩阵W和偏值矩阵B。

a)收集的数据集会被分为80％的训练部分以训练上面的模型。另外20％的数据用来做测试，如果训练好的模型在测试集上的准确率能到达90％以上则建模结束，获得一个社工攻击模型。否则返回步骤2，调整隐藏层的神经元数目，甚至是层数。重新进行训练，直到获得在测试集上的准确率能到达90％的模型为止。

b)神经网络的隐藏层次，隐藏层中的神经元数目，层次之间的权重W和偏值B的具体值，在训练数据集不同的情况下，是根据情况调整的。本发明只是描述了最基本的形态，这些变量的改变也包括在本发明的保护范围。

c)输入层与输出层的具体数目根据分析点不同也会不同。本发明推荐做法：A)输入为(状态)与输出为(状态+攻击方法)，训练结果就是状态和攻击方法的关系。B)输入为(状态+攻击方法)，输出为(状态)，训练结果就是攻击下状态的转变关系。C)输入与输出均为(攻击方法序列)，训练结果就是攻击序列的关系.

训练好的以上ABC三类模型具有以下作用：

A类模型可以预测目标将要受到的攻击和状态的变化，提前预警将要受到的攻击；

B类模型可以预测目标在某个攻击下状态的变化，预警受到影响的攻击元信息

C类模型可以预测为来的攻击方法序列，预警将会受到的一系列攻击方法。

ABC模型的综合可以发现新的社工攻击方法。

本发明基于SOEKS的社工知识表达，便于社工攻击知识的抽象与分享。基于SOEKS的神经网络挖掘攻击状态与攻击方法之间的关系，从而对将要发送的攻击方式进行预警，对将要受到改变的元信息进行预警，用户可以提前防御。在对大量元信息，攻击方法的组合进行挖掘的基础上，可以发现还没有出现的新的社工攻击模式，帮助防御者提前预防。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于SOEKS的社工攻击知识表示与挖掘方法，其特征在于，所述基于SOEKS的社工攻击知识表示与挖掘方法，包括：

构建基于SOEKS的神经网络挖掘攻击状态与攻击方法之间的关系，对将要发生的攻击方式进行预警，对将要受到改变的元信息进行预警，用户提前防御；

2.如权利要求1所述的基于SOEKS的社工攻击知识表示与挖掘方法，其特征在于，

所述基于SOEKS的社工攻击知识表示包括：

攻击方法：社工攻击的技术手段被抽象为函数或者为攻击方法，攻击方法集合对对象的作用，则使得对象从一个状态变化为另一个状态，攻击进入下一个阶段。

3.如权利要求1所述的基于SOEKS的社工攻击知识表示与挖掘方法，其特征在于，基于SOEKS的攻击场景挖掘，包括：

4.如权利要求3所述的基于SOEKS的社工攻击知识表示与挖掘方法，其特征在于，基于SOEKS知识表示的社工攻击神经网络模型包括：

<mrow> <mi>C</mi> <mo>=</mo> <mfrac> <mn>1</mn> <mrow> <mn>2</mn> <mi>n</mi> </mrow> </mfrac> <munder> <mo>&Sigma;</mo> <mi>x</mi> </munder> <mo>|</mo> <mo>|</mo> <mi>y</mi> <mrow> <mo>(</mo> <mi>x</mi> <mo>)</mo> </mrow> <mo>-</mo> <msup> <mi>a</mi> <mi>L</mi> </msup> <mrow> <mo>(</mo> <mi>x</mi> <mo>)</mo> </mrow> <mo>|</mo> <msup> <mo>|</mo> <mn>2</mn> </msup> <mo>;</mo> </mrow>

5.如权利要求4所述的基于SOEKS的社工攻击知识表示与挖掘方法，其特征在于，所述从输入到输出，越接近输入层称为越上层，越接近输出层称为越下层；每层的神经元经过加权w，加上偏置b，在激活函数f的作用下影响下一层的神经元的输出，具体包括：

设l层第i个神经元的值为：x_i(i∈n)，

则神经元k的输入为：

激活函数σ选用的是因此神经元k的激活输出值为：

l+1层的其他神经元也同样得到被上一层所有神经元影响获得的值；l+1层神经元的值跟l+2层之间的链接权重和偏值一起作用于l+2层的每个神经元，以此类推直到获得输出层的每个神经元的输出。

6.如权利要求4所述的基于SOEKS的社工攻击知识表示与挖掘方法，其特征在于，所述并使得调整后的权重和偏值能使得C更小中，调整方法包括：

第二步，使用下一层的误差δ^l+1来表示当前层的误差δ^l：

δ^l＝((w^l+1)^Tδ^l+1)⊙σ'(z^l)；

<mrow> <msubsup> <mi>&delta;</mi> <mi>j</mi> <mi>l</mi> </msubsup> <mo>=</mo> <mfrac> <mrow> <mo>&part;</mo> <mi>C</mi> </mrow> <mrow> <mo>&part;</mo> <msubsup> <mi>b</mi> <mi>j</mi> <mi>l</mi> </msubsup> </mrow> </mfrac> <mo>,</mo> </mrow>

因为要改变的是偏值b，因此改写为：是C对b的梯度；

第四步，代价函数对权重的改变率：是C对w的梯度；

希望C变小，于是得到偏值b和权重w的更新调整公式如下，

<mrow> <msup> <mi>b</mi> <mi>l</mi> </msup> <mo>&RightArrow;</mo> <msup> <mi>b</mi> <mi>l</mi> </msup> <mo>-</mo> <mi>&eta;</mi> <munder> <mo>&Sigma;</mo> <mi>j</mi> </munder> <mfrac> <mrow> <mo>&part;</mo> <mi>C</mi> </mrow> <mrow> <mo>&part;</mo> <msubsup> <mi>b</mi> <mi>j</mi> <mi>l</mi> </msubsup> </mrow> </mfrac> <mo>=</mo> <msup> <mi>b</mi> <mi>l</mi> </msup> <mo>-</mo> <mi>&eta;</mi> <munder> <mo>&Sigma;</mo> <mi>j</mi> </munder> <msubsup> <mi>&delta;</mi> <mi>j</mi> <mi>l</mi> </msubsup> <mo>;</mo> </mrow>

<mrow> <msup> <mi>w</mi> <mi>l</mi> </msup> <mo>&RightArrow;</mo> <msup> <mi>w</mi> <mi>l</mi> </msup> <mo>-</mo> <mi>&eta;</mi> <mo>&Sigma;</mo> <mfrac> <mrow> <mo>&part;</mo> <mi>C</mi> </mrow> <mrow> <mo>&part;</mo> <msubsup> <mi>w</mi> <mrow> <mi>j</mi> <mi>k</mi> </mrow> <mi>l</mi> </msubsup> </mrow> </mfrac> <mo>=</mo> <msup> <mi>w</mi> <mi>l</mi> </msup> <mo>-</mo> <mi>&eta;</mi> <mo>&Sigma;</mo> <msubsup> <mi>&delta;</mi> <mi>j</mi> <mi>l</mi> </msubsup> <msup> <mrow> <mo>(</mo> <msubsup> <mi>a</mi> <mi>k</mi> <mrow> <mi>l</mi> <mo>-</mo> <mn>1</mn> </mrow> </msubsup> <mo>)</mo> </mrow> <mi>T</mi> </msup> <mo>;</mo> </mrow>

其中η是梯度下降的速率是一个比较小的常数，避免下降过快。

7.如权利要求4所述的基于SOEKS的社工攻击知识表示与挖掘方法，其特征在于，所述构建基于SOEKS的神经网络挖掘攻击状态与攻击方法之间的关系，包括：

D)：A)、B)、C)的状态与攻击方法综合，用于发现新的社工攻击方法。

8.一种利用权利要求1～7任意一项所述基于SOEKS的社工攻击知识表示与挖掘方法的基于SOEKS的社工攻击知识表示与挖掘系统。