CN112866292B - 一种面向多样本组合攻击的攻击行为预测方法和装置 - Google Patents
一种面向多样本组合攻击的攻击行为预测方法和装置 Download PDFInfo
- Publication number
- CN112866292B CN112866292B CN202110238167.1A CN202110238167A CN112866292B CN 112866292 B CN112866292 B CN 112866292B CN 202110238167 A CN202110238167 A CN 202110238167A CN 112866292 B CN112866292 B CN 112866292B
- Authority
- CN
- China
- Prior art keywords
- attack
- feature
- sample
- samples
- historical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种面向多样本组合攻击的攻击行为预测方法和装置,该方法包括:检测到攻击触发事件;获取至少两个目标攻击样本;对至少两个目标攻击样本进行特征提取,获得每一个目标攻击样本的特征信息;根据每一个目标攻击样本的特征信息和预先创建的隐马尔可夫预测模型,得到对应攻击触发事件的预测攻击行为。本方案能够提高面向多样本组合攻击的防御效率。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种面向多样本组合攻击的攻击行为预测方法和装置。
背景技术
高级持续性威胁(Advanced Persistent Threat,APT),不同于传统的网络入侵,往往采用多个攻击样本对网络信息系统进行组合攻击,由于其危险性高、检测难度大、持续时间长且攻击目标明确,对网络安全造成了严重的威胁。
目前,网络防御手段主要单一攻击情况,并不适用于APT多样本组合攻击的行为预测,故并不能根据动态变化的攻击手段进行精准的防御,因此防御效率低下。
鉴于此,针对以上不足,需要提供一种面向多样本组合攻击的攻击行为预测方法和装置来解决上述不足。
发明内容
本发明要解决的技术问题在于如何基于多样本组合攻击的攻击行为预测提高防御效率,针对现有技术中的缺陷,提供了一种面向多样本组合攻击的攻击行为预测方法和装置。
为了解决上述技术问题,第一方面,本发明提供了一种面向多样本组合攻击的攻击行为预测方法,该方法包括:
检测到攻击触发事件;
获取至少两个目标攻击样本;
对所述至少两个目标攻击样本进行特征提取,获得每一个目标攻击样本的特征信息;
根据所述每一个目标攻击样本的特征信息和预先创建的隐马尔可夫预测模型,得到对应所述攻击触发事件的预测攻击行为。
可选地,所述根据所述每一个目标攻击样本的特征信息和预先创建的隐马尔可夫预测模型,得到对应所述攻击触发事件的预测攻击行为,包括:
对所述每一个目标攻击样本的特征信息进行筛选,获得对应每一个目标攻击样本的目标特征子集;
将所述每一个目标攻击样本的目标特征子集输入所述隐马尔可夫预测模型,得到对应所述攻击触发事件的预测攻击行为。
可选地,所述预先创建的隐马尔可夫预测模型的创建方法包括:
获取按时间顺序排列的至少两组历史攻击样本,其中,每一组历史攻击样本包括至少两个攻击样本;
对所述至少两组历史攻击样本进行特征提取,获得对应每一组历史攻击样本的特征集;
构建隐马尔可夫模型;
利用按时间顺序排列的每一组历史攻击样本的特征集对所述隐马尔可夫模型进行训练,得到隐马尔可夫预测模型。
可选地,所述对所述至少两组历史攻击样本进行特征提取,获得对应每一组历史攻击样本的特征集,包括:
针对每一组历史攻击样本,均执行:
对该组历史攻击样本所包括的至少两个攻击样本按照时间顺序进行特征提取,获得对应每一个攻击样本的特征信息;
对所述每一个攻击样本的特征信息进行筛选,获得对应该攻击样本的特征子集;其中,所述特征子集包括筛选后的每一个攻击样本的特征信息;
获取对应该组历史攻击样本的真实攻击行为;
将每一个攻击样本的特征子集和所述该组历史攻击样本的真实攻击行为进行组合,获得对应该组历史攻击样本的特征集。
可选地,所述每一个攻击样本的特征信息包括对应该攻击样本的至少一个特征;
所述对所述每一个攻击样本的特征信息进行筛选,包括:
针对每一个攻击样本,均执行:
利用决策树算法获取该特征信息中的每一个特征的信息增益,并利用所述每一个特征的信息增益计算得到对应每一个特征的权重;
根据所得到的每一个特征的权重和预设权重阈值,筛选出大于预设权重阈值的权重所对应的特征,以获得对应该攻击样本的特征子集。
可选地,所述每一组历史攻击样本的特征集中包括作为输入的特征信息以及作为输出的对该组历史攻击样本的真实攻击行为;其中,所述真实攻击行为包括至少一个攻击行为以及对应每一个攻击行为的发生概率;
所述利用按时间顺序排列的每一组历史攻击样本的特征集对所述隐马尔可夫模型进行训练,得到隐马尔可夫预测模型,包括:
对所述隐马尔可夫模型中的参数赋予初始值;
利用所述每一组历史攻击样本的特征集对所述隐马尔可夫模型进行训练,以获得对应所述参数的优化值;
对所获得的所述每一组历史攻击样本的特征集进行随机抽样,获得测试集;
根据所述测试集和训练后获得的包括所述参数的优化值的隐马尔可夫模型,得到对应所述测试集的第一预测攻击行为;
判断所述第一预测攻击行为与所述测试集中作为输出的真实攻击行为的相似度是否大于预设阈值;
如果是,则得到隐马尔可夫预测模型;其中,所述隐马尔可夫预测模型中的参数为所述优化值。
可选地,在所述得到对应所述攻击触发事件的预测攻击行为之后,进一步包括:
对所获取的至少两组历史攻击样本进行周期性地更新;
利用更新后的按时间顺序排列所述至少两组历史攻击样本,对所述隐马尔可夫预测模型进行周期性地训练,得到优化隐马尔可夫预测模型。
可选地,在所述得到对应所述攻击触发事件的预测攻击行为之后,进一步包括:
根据预先创建的防御措施关联表,确定对应所述预测攻击行为的目标防御措施。
第二方面,本发明还提供了一种面向多样本组合攻击的攻击行为预测装置,包括:
获取模块,用于在检测到攻击触发事件时,获取至少两个目标攻击样本;
特征提取模块,用于对由所述获取模块所获取的所述至少两个目标攻击样本进行特征提取,获得每一个目标攻击样本的特征信息;
预测模块,用于根据由所述特征提取模块所获得的所述每一个目标攻击样本的特征信息和预先创建的隐马尔可夫预测模型,得到对应所述攻击触发事件的预测攻击行为。
第三方面,本发明还提供了一种面向多样本组合攻击的攻击行为预测装置,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行上述第一方面或第一方面的任一可能的实现方式所提供的面向多样本组合攻击的攻击行为预测方法。
第四方面,本发明还提供了计算机可读介质,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行上述第一方面或第一方面的任一可能的实现方式所提供的面向多样本组合攻击的攻击行为预测方法。
本发明实施例所提供的一种面向多样本组合攻击的攻击行为预测方法和装置,该方法在检测到攻击触发事件时,获取针对本次攻击触发事件的至少两个目标攻击样本,对该目标攻击样本进行特征提取,获得对应每一个目标攻击样本的特征信息,再根据预先训练的隐马尔可夫预测模型,最终得到攻击触发事件的预测攻击行为。由此可见,通过预先训练的隐马尔可夫预测模型,可以对初步检测到的多个目标攻击样本进行本次攻击事件的行为预测,以便最终根据预测攻击行为进行防御,从而实现对多组合攻击情况的整体攻击流程的预测,提高防御效率。
附图说明
图1是本发明实施例所提供的一种面向多样本组合攻击的攻击行为预测方法;
图2是本发明实施例所提供的另一种面向多样本组合攻击的攻击行为预测方法;
图3是本发明实施例所提供的一种面向多样本组合攻击的攻击行为预测装置所在设备的示意图;
图4是本发明实施例所提供的一种面向多样本组合攻击的攻击行为预测装置的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供的一种面向多样本组合攻击的攻击行为预测方法,该方法包括如下步骤:
步骤101:检测到攻击触发事件;
步骤102:获取至少两个目标攻击样本;
步骤103:对至少两个目标攻击样本进行特征提取,获得每一个目标攻击样本的特征信息;
步骤104:根据每一个目标攻击样本的特征信息和预先创建的隐马尔可夫预测模型,得到对应攻击触发事件的预测攻击行为。
在本发明实施例中,该方法在检测到攻击触发事件时,获取针对本次攻击触发事件的至少两个目标攻击样本,对该目标攻击样本进行特征提取,获得对应每一个目标攻击样本的特征信息,再根据预先训练的隐马尔可夫预测模型,最终得到攻击触发事件的预测攻击行为。由此可见,通过预先训练的隐马尔可夫预测模型,可以对初步检测到的多个目标攻击样本进行本次攻击事件的行为预测,以便最终根据预测攻击行为进行防御,从而实现对多组合攻击情况的整体攻击流程的预测,提高防御效率。
在本发明实施例中,通过隐马尔可夫模型更好地对当前与历史攻击样本以及攻击行为的时间依赖性进行建模,使用概率图模型更加准确高效地对不同攻击组织的攻击行为进行预测,能够在网络攻击行为发生之前,对即将发生的网络攻击行为进行预测,为有效地避免网络攻击行为提供了基础,从而能有效保证网络设备的安全性。
在本发明实施例中,基于隐马尔可夫链的预测模型,通过复盘某个攻击组织在某次攻击事件中的攻击方法,包括所有攻击使用的样本,并根据攻击手法按照时间顺序提取攻击特征最终形成训练集,并对预测模型进行训练。通过对预测模型进行训练,增加对潜在的攻击方法的预测能力,最终根据预测的潜在的攻击方法以增强防御措施。
在本发明实施例中,还可以利用隐马尔可夫预测模型,在检测到攻击触发事件时,利用对一个目标攻击样本来预判可能遭受的网络攻击,进行攻击行为预测。也可以在对某次攻击事件进行复盘时,利用隐马尔可夫预测模型对该次攻击事件中的至少一个攻击样本进行整体的预测。
在本发明实施例中,步骤101中检测到的攻击触发事件,可以包括但不限于如下任一项的触发事件:检测到网络流量异常时、检测到异常网络连接时、检测到主机的系统资源被大量占用且系统停顿时、检测到网络中充斥大量的无用的数据包时。
可选地,在图1所示的一种面向多样本组合攻击的攻击行为预测方法中,步骤104根据每一个目标攻击样本的特征信息和预先创建的隐马尔可夫预测模型,得到对应攻击触发事件的预测攻击行为,包括:
对每一个目标攻击样本的特征信息进行筛选,获得对应每一个目标攻击样本的目标特征子集;
将每一个目标攻击样本的目标特征子集输入隐马尔可夫预测模型,得到对应攻击触发事件的预测攻击行为。
在本发明实施例中,对每一个目标攻击样本的特征信息进行筛选,获得对应每一个目标攻击样本的目标特征子集,再将每一个目标攻击样本的目标特征子集输入隐马尔可夫预测模型,得到对应攻击触发事件的预测攻击行为。如此,通过该隐马尔可夫预测模型,实现对多个攻击样本的攻击行为的预测,以便及时对当前检测到的攻击触发事件进行防御,同样基于所预测到的攻击行为,还能反向确定该攻击触发事件的来源,逆向溯源攻击组织,提高了多样本组合攻击的防御效率。
在本发明实施例中,步骤103中所获得对应每一个目标攻击样本的特征信息,可以对每一个目标攻击样本的特征信息进行筛选,而无需再利用决策树算法筛选,从而可以实现对未知来源的目标攻击样本进行特征筛选。
例如,在检测到攻击触发事件01时,可以初步获取到n个目标攻击样本,对该n个目标攻击样本进行特征提取,获得每一个目标攻击样本的特征信息,对每一个目标攻击样本的特征信息进行筛选,获得对应n个目标攻击样本的目标特征子集,将每一个目标攻击样本的目标特征子集输入隐马尔可夫预测模型,得到对应该攻击触发事件01的预测攻击行为,该预测攻击行为包括由攻击触发事件01导致的各攻击行为的发生概率,比如:窃取文件30%、安置后门15%、释放病毒10%、篡改系统5%、下载文件2%...植入木马0.15%、网络访问0.1%。
在本发明实施例中,根据所预测到的攻击行为,还可以根据该攻击行为中携带的攻击组织的信息,从而进一步实现对攻击触发事件的溯源。
可选地,在图1所示的一种面向多样本组合攻击的攻击行为预测方法中,预先创建的隐马尔可夫预测模型的创建方法包括:
获取按时间顺序排列的至少两组历史攻击样本,其中,每一组历史攻击样本包括至少两个攻击样本;
对至少两组历史攻击样本进行特征提取,获得对应每一组历史攻击样本的特征集;
构建隐马尔可夫模型;
利用按时间顺序排列的每一组历史攻击样本的特征集对隐马尔可夫模型进行训练,得到隐马尔可夫预测模型。
在本发明实施例中,根据网络的攻击的时序性特点,预先利用至少两组历史攻击样本构建隐马尔可夫模型,并根据由每组历史攻击样本进行特征提取所获得的特征集对隐马尔可夫模型进行训练,得到隐马尔可夫预测模型。
在本发明实施例中,隐马尔可夫预测模型是基于隐马尔可夫链构建的,作为统计模型,其用于描述一个含有隐含未知参数的马尔可夫过程,利用可观察的参数确定该过程中的隐含参数,因此可以有效地从可确定的特征信息中推测隐含的攻击行为,从而实现面向多样本组合攻击的攻击行为预测,提高预测效率和准确性。
可选地,在图1所示的一种面向多样本组合攻击的攻击行为预测方法中,对至少两组历史攻击样本进行特征提取,获得对应每一组历史攻击样本的特征集,包括:
针对每一组历史攻击样本,均执行:
对该组历史攻击样本所包括的至少两个攻击样本按照时间顺序进行特征提取,获得对应每一个攻击样本的特征信息;
对每一个攻击样本的特征信息进行筛选,获得对应该攻击样本的特征子集;其中,特征子集包括筛选后的每一个攻击样本的特征信息;
获取对应该组历史攻击样本的真实攻击行为;
将每一个攻击样本的特征子集和该组历史攻击样本的真实攻击行为进行组合,获得对应该组历史攻击样本的特征集。
在本发明实施例中,对于包括至少两个攻击样本的每一组历史攻击样本,分别按照时间顺序对每一个攻击样本进行特征提取,以获得对应该攻击样本的特征信息,再对所获得的该攻击样本的特征信息进行筛选,获得该攻击样本的特征子集,获取对应该组历史攻击样本的真实攻击行为,将对应该组历史攻击样本的每一个攻击样本的特征子集和所获取的真实攻击行为进行组合,获得该组历史攻击样本的特征集;其中,该攻击样本的特征子集中的特征信息仍按时间顺序排列。
需要说明的是,对应每一个攻击样本的特征信息包括该攻击样本的动态特征和静态特征。
在本发明实施例中,通过对攻击样本的特征信息进行筛选,可以将冗余的、对预测结果影响较小的且富含信息量较少的特征信息进行剔除,如此降低了后续预测过程中的运算量,进一步提高了面向多样本组合攻击的攻击行为预测精度和预测结果的可靠性。
可选地,每一个攻击样本的特征信息包括对应该攻击样本的至少一个特征;
对每一个攻击样本的特征信息进行筛选,包括:
针对每一个攻击样本,均执行:
利用决策树算法获取该特征信息中的每一个特征的信息增益,并利用每一个特征的信息增益计算得到对应每一个特征的权重;
根据所得到的每一个特征的权重和预设权重阈值,筛选出大于预设权重阈值的权重所对应的特征,以获得对应该攻击样本的特征子集。
在本发明实施例中,每一个攻击样本的特征信息包括对应该攻击样本的至少一个特征。具体地,对每一个攻击样本的特征信息进行筛选,首先利用决策树算法获取该攻击样本的特征信息中的每一个特征的信息增益,以根据各特征的信息增益计算获得对应每一个特征的权重,并筛选出大于预设权重阈值的权重所对应的特征以进行保留,即由保留后的各特征组成该攻击样本的特征子集。如此,通过信息增益以及权重的计算,确定出对真实攻击行为影响较高的特征进行保留,即确定出了信息量大、独立性高、信息重叠度小的特征,进而可以降低预测过程中的数据处理难度,并提高运算速度,从而提高了获得预测结果的效率以及预测结果的准确性。
具体地,对应每一个特征的权重的计算公式为
可选地,在图1所示的一种面向多样本组合攻击的攻击行为预测方法中,每一组历史攻击样本的特征集中包括作为输入的特征信息以及作为输出的对该组历史攻击样本的真实攻击行为;其中,真实攻击行为包括至少一个攻击行为以及对应每一个攻击行为的发生概率;
利用按时间顺序排列的每一组历史攻击样本的特征集对隐马尔可夫模型进行训练,得到隐马尔可夫预测模型,包括:
对所构建的隐马尔可夫模型中的参数赋予初始值;
利用每一组历史攻击样本的特征集对隐马尔可夫模型进行训练,以获得对应参数的优化值;
对所获得的每一组历史攻击样本的特征集进行随机抽样,获得测试集;
根据测试集和训练后获得的包括参数的优化值的隐马尔可夫模型,得到对应测试集的第一预测攻击行为;
判断第一预测攻击行为与测试集中作为输出的真实攻击行为之间的相似度是否大于预设阈值;
如果是,则得到隐马尔可夫预测模型;其中,隐马尔可夫预测模型中的参数为优化值。
在本发明实施例中,可以从所获得的每一组历史攻击样本的特征集中随机抽取90%作为训练集,并将剩余的10%作为的测试集。该训练集中包括至少两组历史攻击样本的特征集,每一组历史攻击样本的特征集中包括作为输入的特征信息以及作为输出的对该组历史攻击样本的真实攻击行为;其中,每一组历史攻击样本对应一次历史攻击事件,且真实攻击行为包括至少一个攻击行为以及对应每一个攻击行为的发生概率。
在本发明实施例中,利用每一组历史攻击样本的特征集对隐马尔可夫模型进行训练,首先对所构建的隐马尔可夫模型中的参数赋予初始值,以便后续利用训练集中的每一组历史攻击样本的特征集对隐马尔可夫模型进行训练,以获得第一隐马尔可夫模型,其中,该第一隐马尔可夫模型中各参数均为优化值,利用测试集对该第一隐马尔可夫模型进行校准,当该第一隐马尔可夫模型输出的对应测试集的第一预测攻击行为与测试集中作为输出的真实攻击行为之间的相似度大于预设阈值时,则确定该第一隐马尔可夫模型为隐马尔可夫预测模型;否则,则将返回执行利用所述每一组历史攻击样本的特征集对所述隐马尔可夫模型进行训练,直至确定隐马尔可夫预测模型为止。
在本发明实施例中,例如,测试集中包括5组历史攻击样本,利用该测试集对第一隐马尔可夫模型进行校准时,如果该模型得到的对应每一组历史攻击样本的预测预测结果与其真实攻击行为的相似度分别为80%、90%、95%、99%、85%,预设阈值为80%,则确定该第一隐马尔可夫模型为隐马尔可夫预测模型。
具体地,构建隐马尔可夫模型λ=(A,B,π),其中,A用于表征转移矩阵,B用于表征混淆矩阵,π用于表征初始状态矩阵;主要是通过定义矩阵A的第i行第j列的元素值由第i个状态qi转移到第j个状态qj的概率为P(qi|qj),并定义矩阵B的第k行第j列的值在状态为qj时观察到数据k的概率为P(k|qj)的方式构建该隐马尔可夫模型。在使用该隐马尔可夫模型进行攻击行为预测时,将至少两个历史攻击样本及其对应的真实攻击行为作为观测序列。
首先先对上述公式中的各参数赋予初始值,其次利用训练集对该隐马尔可夫模型进行训练,以不断优化各参数的值。
可选地,在图1所示的一种面向多样本组合攻击的攻击行为预测方法中,在步骤104得到对应攻击触发事件的预测攻击行为之后,进一步包括:
对所获取的至少两组历史攻击样本进行周期性地更新;
将更新后的至少两组历史攻击样本按时间顺序排列;
利用更新后的按时间顺序排列所述至少两组历史攻击样本,对所述隐马尔可夫预测模型进行周期性地训练,得到优化隐马尔可夫预测模型。
在本发明实施例中,还可以对当前的隐马尔可夫预测模型进行定期优化,以通过利用周期性更新的历史攻击样本不断地对当前的隐马尔可夫预测模型进行训练,增强该模型的预测能力,可以对新型的未知攻击行为手段进行预测分析协助定位防御措施,从而进一步提高防御效率。
可选地,在图1所示的一种面向多样本组合攻击的攻击行为预测方法中,在步骤104得到对应攻击触发事件的预测攻击行为之后,进一步包括:
根据预先创建的防御措施关联表,确定对应所述预测攻击行为的目标防御措施。
在本发明实施例中,在确定当前攻击触发事件的预测攻击行为之后,可以进一步根据该预测攻击行为,从预先创建的防御措施关联表,确定对应的目标防御措施,以及时对当前的攻击触发事件进行防御,维护网络安全。
为了更加清楚地说明本发明的技术方案及优点,如图2所示,下面对本发明实施例提供的一种基于多样本组合攻击的攻击行为预测方法进行详细的说明,具体包括:
步骤201:获取至少两组历史攻击样本,获得对应每一组历史攻击样本的特征集。
具体地,获取按时间顺序排列的至少两组历史攻击样本,其中,每一组历史攻击样本包括至少两个攻击样本;
针对每一组历史攻击样本,均执行:
A1、对该组历史攻击样本所包括的至少两个攻击样本按照时间顺序进行特征提取,获得对应每一个攻击样本的特征信息;
A2、每一个攻击样本的特征信息包括对应该攻击样本的至少一个特征,对每一个攻击样本的特征信息进行筛选,包括:针对每一个攻击样本,均执行:利用决策树算法获取该特征信息中的每一个特征的信息增益,并利用每一个特征的信息增益计算得到对应每一个特征的权重;根据所得到的每一个特征的权重和预设权重阈值,筛选出大于预设权重阈值的权重所对应的特征,以获得对应该攻击样本的特征子集;其中,特征子集包括筛选后的每一个攻击样本的特征信息;
A3、获取对应该组历史攻击样本的真实攻击行为;
A4、将每一个攻击样本的特征子集和该组历史攻击样本的真实攻击行为进行组合,获得对应该组历史攻击样本的特征集。
步骤202:训练获得隐马尔可夫预测模型。
具体地,构建隐马尔可夫模型,其中,每一组历史攻击样本的特征集中包括作为输入的特征信息以及作为输出的对该组历史攻击样本的真实攻击行为;其中,真实攻击行为包括至少一个攻击行为以及对应每一个攻击行为的发生概率;
对所构建的隐马尔可夫模型中的参数赋予初始值;
利用每一组历史攻击样本的特征集对隐马尔可夫模型进行训练,以获得对应参数的优化值;
对所获得的每一组历史攻击样本的特征集进行随机抽样,获得测试集;
根据测试集和训练后获得的包括参数的优化值的隐马尔可夫模型,得到对应测试集的第一预测攻击行为;
判断第一预测攻击行为与测试集中作为输出的真实攻击行为之间的相似度是否大于预设阈值;
如果是,则得到隐马尔可夫预测模型;其中,隐马尔可夫预测模型中的参数为优化值。
步骤203:检测到攻击触发事件,并获取至少两个目标攻击样本。
具体地,对至少两个目标攻击样本进行特征提取,获得每一个目标攻击样本的特征信息。
步骤204:利用隐马尔可夫预测模型,得到对应攻击触发事件的预测攻击行为。
具体地,对每一个目标攻击样本的特征信息进行筛选,获得对应每一个目标攻击样本的目标特征子集;
将每一个目标攻击样本的目标特征子集输入隐马尔可夫预测模型,得到对应攻击触发事件的预测攻击行为;
根据预先创建的防御措施关联表,确定对应该预测攻击行为的目标防御措施。
步骤205:获得优化隐马尔可夫预测模型。
具体地,在得到对应攻击触发事件的预测攻击行为之后,对所获取的至少两组历史攻击样本进行周期性地更新,以利用更新后的按时间顺序排列的至少两组历史攻击样本对隐马尔可夫预测模型进行周期性地训练,得到优化隐马尔可夫预测模型。
如图3、图4所示,本发明实施例提供了一种面向多样本组合攻击的攻击行为预测装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图3所示,为本发明实施例提供的一种面向多样本组合攻击的攻击行为预测装置所在设备的一种硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图4所示,作为一个逻辑意义上的装置,是通过其所在设备的CPU将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。本实施例提供的一种面向多样本组合攻击的攻击行为预测装置,包括:
获取模块401,用于在检测到攻击触发事件时,获取至少两个目标攻击样本;
特征提取模块402,用于对由获取模块401所获取的至少两个目标攻击样本进行特征提取,获得每一个目标攻击样本的特征信息;
预测模块403,用于根据由特征提取模块402所获得的每一个目标攻击样本的特征信息和预先创建的隐马尔可夫预测模型,得到对应攻击触发事件的预测攻击行为。
可选地,在图4所示一种面向多样本组合攻击的攻击行为预测装置的基础上,预测模块403,还用于执行如下操作:
对每一个目标攻击样本的特征信息进行筛选,获得对应每一个目标攻击样本的目标特征子集;
将每一个目标攻击样本的目标特征子集输入隐马尔可夫预测模型,得到对应攻击触发事件的预测攻击行为。
可选地,在图4所示一种面向多样本组合攻击的攻击行为预测装置的基础上,该装置进一步包括:模型创建模块,该模型创建模块用于执行如下操作:
获取按时间顺序排列的至少两组历史攻击样本,其中,每一组历史攻击样本包括至少两个攻击样本;
对至少两组历史攻击样本进行特征提取,获得对应每一组历史攻击样本的特征集;
构建隐马尔可夫模型;
利用按时间顺序排列的每一组历史攻击样本的特征集对隐马尔可夫模型进行训练,得到隐马尔可夫预测模型。
可选地,在图4所示一种面向多样本组合攻击的攻击行为预测装置的基础上,模型创建模块还用于执行如下操作:
针对每一组历史攻击样本,均执行:
对该组历史攻击样本所包括的至少两个攻击样本按照时间顺序进行特征提取,获得对应每一个攻击样本的特征信息;
对每一个攻击样本的特征信息进行筛选,获得对应该攻击样本的特征子集;其中,特征子集包括筛选后的每一个攻击样本的特征信息;
获取对应该组历史攻击样本的真实攻击行为;
将每一个攻击样本的特征子集和该组历史攻击样本的真实攻击行为进行组合,获得对应该组历史攻击样本的特征集。
可选地,在图4所示一种面向多样本组合攻击的攻击行为预测装置的基础上,每一个攻击样本的特征信息包括对应该攻击样本的至少一个特征;模型创建模块还用于执行如下操作:
对每一个攻击样本的特征信息进行筛选,包括:
针对每一个攻击样本,均执行:
利用决策树算法获取该特征信息中的每一个特征的信息增益,并利用每一个特征的信息增益计算得到对应每一个特征的权重;
根据所得到的每一个特征的权重和预设权重阈值,筛选出大于预设权重阈值的权重所对应的特征,以获得对应该攻击样本的特征子集。
可选地,在图4所示一种面向多样本组合攻击的攻击行为预测装置的基础上,每一组历史攻击样本的特征集中包括作为输入的特征信息以及作为输出的对该组历史攻击样本的真实攻击行为;其中,真实攻击行为包括至少一个攻击行为以及对应每一个攻击行为的发生概率;
模型创建模块还用于执行如下操作:
对隐马尔可夫模型中的参数赋予初始值;
利用每一组历史攻击样本的特征集对隐马尔可夫模型进行训练,以获得对应参数的优化值;
对所获得的每一组历史攻击样本的特征集进行随机抽样,获得测试集;
根据测试集和训练后获得的包括参数的优化值的隐马尔可夫模型,得到对应测试集的第一预测攻击行为;
判断第一预测攻击行为与测试集中作为输出的真实攻击行为之间的相似度是否大于预设阈值;
如果是,则得到隐马尔可夫预测模型;其中,隐马尔可夫预测模型中的参数为优化值。
可选地,在图4所示一种面向多样本组合攻击的攻击行为预测装置的基础上,该装置进一步包括:优化模块,该优化模块用于执行如下操作:
对所获取的至少两组历史攻击样本进行周期性地更新;
将更新后的至少两组历史攻击样本按时间顺序排列;
利用更新后的按时间顺序排列至少两组历史攻击样本,对隐马尔可夫预测模型进行周期性地训练,得到优化隐马尔可夫预测模型。
可选地,在图4所示一种面向多样本组合攻击的攻击行为预测装置的基础上,该装置进一步包括:防御模块,该防御模块用于根据预先创建的防御措施关联表,确定对应预测攻击行为的目标防御措施。
可以理解的是,本发明实施例示意的结构并不构成对一种面向多样本组合攻击的攻击行为预测装置的具体限定。在本发明的另一些实施例中,一种面向多样本组合攻击的攻击行为预测装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种面向多样本组合攻击的攻击行为预测装置,包括:至少一个存储区和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行本发明任一实施例中的一种面向多样本组合攻击的攻击行为预测方法。
本发明实施例还提供了一种计算机可读介质,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行本发明任一实施例中的一种面向多样本组合攻击的攻击行为预测方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
综上所述,本发明所提供的一种面向多样本组合攻击的攻击行为预测方法和装置,该方法在检测到攻击触发事件时,获取针对本次攻击触发事件的至少两个目标攻击样本,对该目标攻击样本进行特征提取,获得对应每一个目标攻击样本的特征信息,再根据预先训练的隐马尔可夫预测模型,最终得到攻击触发事件的预测攻击行为。本发明至少具有如下有益效果:通过预先训练的隐马尔可夫预测模型,可以对初步检测到的多个目标攻击样本进行本次攻击事件的行为预测,以便最终根据预测攻击行为进行防御,从而实现对多组合攻击情况的整体攻击流程的预测,提高防御效率。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个······”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (7)
1.一种面向多样本组合攻击的攻击行为预测方法,其特征在于,包括:
检测到攻击触发事件;
获取至少两个目标攻击样本;
对所述至少两个目标攻击样本进行特征提取,获得每一个目标攻击样本的特征信息;
根据所述每一个目标攻击样本的特征信息和预先创建的隐马尔可夫预测模型,得到对应所述攻击触发事件的预测攻击行为;
所述预先创建的隐马尔可夫预测模型的创建方法包括:
获取按时间顺序排列的至少两组历史攻击样本,其中,每一组历史攻击样本包括至少两个攻击样本;
对所述至少两组历史攻击样本进行特征提取,获得对应每一组历史攻击样本的特征集;
构建隐马尔可夫模型;
利用按时间顺序排列的每一组历史攻击样本的特征集对所述隐马尔可夫模型进行训练,得到隐马尔可夫预测模型;
所述对所述至少两组历史攻击样本进行特征提取,获得对应每一组历史攻击样本的特征集,包括:
针对每一组历史攻击样本,均执行:
对该组历史攻击样本所包括的至少两个攻击样本按照时间顺序进行特征提取,获得对应每一个攻击样本的特征信息;
对所述每一个攻击样本的特征信息进行筛选,获得对应该攻击样本的特征子集;其中,所述特征子集包括筛选后的每一个攻击样本的特征信息;
获取对应该组历史攻击样本的真实攻击行为;
将每一个攻击样本的特征子集和所述该组历史攻击样本的真实攻击行为进行组合,获得对应该组历史攻击样本的特征集;
所述每一个攻击样本的特征信息包括对应该攻击样本的至少一个特征;
所述对所述每一个攻击样本的特征信息进行筛选,包括:
针对每一个攻击样本,均执行:
利用决策树算法获取该特征信息中的每一个特征的信息增益,并利用所述每一个特征的信息增益计算得到对应每一个特征的权重;
对应每一个特征的权重的计算公式为
根据所得到的每一个特征的权重和预设权重阈值,筛选出大于预设权重阈值的权重所对应的特征,以获得对应该攻击样本的特征子集。
2.根据权利要求1所述的方法,其特征在于,所述根据所述每一个目标攻击样本的特征信息和预先创建的隐马尔可夫预测模型,得到对应所述攻击触发事件的预测攻击行为,包括:
对所述每一个目标攻击样本的特征信息进行筛选,获得对应每一个目标攻击样本的目标特征子集;
将所述每一个目标攻击样本的目标特征子集输入所述隐马尔可夫预测模型,得到对应所述攻击触发事件的预测攻击行为。
3.根据权利要求1所述的方法,其特征在于,
所述每一组历史攻击样本的特征集中包括作为输入的特征信息以及作为输出的对该组历史攻击样本的真实攻击行为;其中,所述真实攻击行为包括至少一个攻击行为以及对应每一个攻击行为的发生概率;
所述利用按时间顺序排列的每一组历史攻击样本的特征集对所述隐马尔可夫模型进行训练,得到隐马尔可夫预测模型,包括:
对所述隐马尔可夫模型中的参数赋予初始值;
利用所述每一组历史攻击样本的特征集对所述隐马尔可夫模型进行训练,以获得对应所述参数的优化值;
对所获得的所述每一组历史攻击样本的特征集进行随机抽样,获得测试集;
根据所述测试集和训练后获得的包括所述参数的优化值的隐马尔可夫模型,得到对应所述测试集的第一预测攻击行为;
判断所述第一预测攻击行为与所述测试集中作为输出的真实攻击行为之间的相似度是否大于预设阈值;
如果是,则得到隐马尔可夫预测模型;其中,所述隐马尔可夫预测模型中的参数为所述优化值。
4.根据权利要求1至3中任一所述的方法,其特征在于,在所述得到对应所述攻击触发事件的预测攻击行为之后,进一步包括:
对所获取的至少两组历史攻击样本进行周期性地更新;
将更新后的至少两组历史攻击样本按时间顺序排列;
利用更新后的按时间顺序排列所述至少两组历史攻击样本,对所述隐马尔可夫预测模型进行周期性地训练,得到优化隐马尔可夫预测模型;
和/或,
根据预先创建的防御措施关联表,确定对应所述预测攻击行为的目标防御措施。
5.一种面向多样本组合攻击的攻击行为预测装置,其特征在于,包括:
获取模块,用于在检测到攻击触发事件时,获取至少两个目标攻击样本;
特征提取模块,用于对由所述获取模块所获取的所述至少两个目标攻击样本进行特征提取,获得每一个目标攻击样本的特征信息;
预测模块,用于根据由所述特征提取模块所获得的所述每一个目标攻击样本的特征信息和由预先创建的隐马尔可夫预测模型,得到对应所述攻击触发事件的预测攻击行为;
该装置进一步包括:模型创建模块,所述模型创建模块用于执行如下操作:
获取按时间顺序排列的至少两组历史攻击样本,其中,每一组历史攻击样本包括至少两个攻击样本;
对至少两组历史攻击样本进行特征提取,获得对应每一组历史攻击样本的特征集;
构建隐马尔可夫模型;
利用按时间顺序排列的每一组历史攻击样本的特征集对隐马尔可夫模型进行训练,得到隐马尔可夫预测模型;
所述模型创建模块还用于执行如下操作:
针对每一组历史攻击样本,均执行:
对该组历史攻击样本所包括的至少两个攻击样本按照时间顺序进行特征提取,获得对应每一个攻击样本的特征信息;
对每一个攻击样本的特征信息进行筛选,获得对应该攻击样本的特征子集;其中,特征子集包括筛选后的每一个攻击样本的特征信息;
获取对应该组历史攻击样本的真实攻击行为;
将每一个攻击样本的特征子集和该组历史攻击样本的真实攻击行为进行组合,获得对应该组历史攻击样本的特征集;
所述模型创建模块还用于执行如下操作:
对每一个攻击样本的特征信息进行筛选,包括:
针对每一个攻击样本,均执行:
利用决策树算法获取该特征信息中的每一个特征的信息增益,并利用每一个特征的信息增益计算得到对应每一个特征的权重;
对应每一个特征的权重的计算公式为
根据所得到的每一个特征的权重和预设权重阈值,筛选出大于预设权重阈值的权重所对应的特征,以获得对应该攻击样本的特征子集。
6.一种面向多样本组合攻击的攻击行为预测装置,其特征在于,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行权利要求1至4中任一项所述的方法。
7.计算机可读介质,其特征在于,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行权利要求1至4中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110238167.1A CN112866292B (zh) | 2021-03-04 | 2021-03-04 | 一种面向多样本组合攻击的攻击行为预测方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110238167.1A CN112866292B (zh) | 2021-03-04 | 2021-03-04 | 一种面向多样本组合攻击的攻击行为预测方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112866292A CN112866292A (zh) | 2021-05-28 |
CN112866292B true CN112866292B (zh) | 2022-10-21 |
Family
ID=75991494
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110238167.1A Active CN112866292B (zh) | 2021-03-04 | 2021-03-04 | 一种面向多样本组合攻击的攻击行为预测方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112866292B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113271321B (zh) * | 2021-07-20 | 2021-09-17 | 成都信息工程大学 | 一种基于网络异常攻击的传播预测处理方法及系统 |
CN113822355A (zh) * | 2021-09-22 | 2021-12-21 | 华北电力科学研究院有限责任公司 | 基于改进的隐马尔可夫模型的复合攻击预测方法及装置 |
CN114362992A (zh) * | 2021-11-23 | 2022-04-15 | 北京信息科技大学 | 一种基于snort日志的隐马尔可夫攻击链预测方法及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107070852A (zh) * | 2016-12-07 | 2017-08-18 | 东软集团股份有限公司 | 网络攻击检测方法和装置 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101494535A (zh) * | 2009-03-05 | 2009-07-29 | 范九伦 | 基于隐马尔可夫模型的网络入侵场景构建方法 |
US10333952B2 (en) * | 2015-04-16 | 2019-06-25 | Nec Corporation | Online alert ranking and attack scenario reconstruction |
US10333968B2 (en) * | 2016-02-10 | 2019-06-25 | Verisign, Inc. | Techniques for detecting attacks in a publish-subscribe network |
CN106682502B (zh) * | 2016-12-13 | 2019-07-19 | 重庆邮电大学 | 基于隐马尔可夫和概率推断的入侵意图识别系统及方法 |
CN107392016A (zh) * | 2017-07-07 | 2017-11-24 | 四川大学 | 一种基于代理的Web数据库攻击行为检测系统 |
CN109639515A (zh) * | 2019-02-16 | 2019-04-16 | 北京工业大学 | 基于隐马尔可夫和Q学习协作的DDoS攻击检测方法 |
CN110191083B (zh) * | 2019-03-20 | 2020-09-25 | 中国科学院信息工程研究所 | 面向高级持续性威胁的安全防御方法、装置与电子设备 |
CN109951500B (zh) * | 2019-04-29 | 2021-10-26 | 宜人恒业科技发展(北京)有限公司 | 网络攻击检测方法及装置 |
CN112165462A (zh) * | 2020-09-11 | 2021-01-01 | 哈尔滨安天科技集团股份有限公司 | 基于画像的攻击预测方法、装置、电子设备及存储介质 |
-
2021
- 2021-03-04 CN CN202110238167.1A patent/CN112866292B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107070852A (zh) * | 2016-12-07 | 2017-08-18 | 东软集团股份有限公司 | 网络攻击检测方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN112866292A (zh) | 2021-05-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112866292B (zh) | 一种面向多样本组合攻击的攻击行为预测方法和装置 | |
US8015551B2 (en) | Software operation modeling device, software operation monitoring device, software operation modeling method, and software operation monitoring method | |
US8375450B1 (en) | Zero day malware scanner | |
CN110263538B (zh) | 一种基于系统行为序列的恶意代码检测方法 | |
CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
CN112905421A (zh) | 基于注意力机制的lstm网络的容器异常行为检测方法 | |
CN110602029A (zh) | 一种用于识别网络攻击的方法和系统 | |
CN112492059A (zh) | Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质 | |
CN103618744B (zh) | 一种基于快速knn算法的入侵检测方法 | |
CN109308415A (zh) | 一种面向二进制的导向性模糊测试方法与系统 | |
CN105072214A (zh) | 基于域名特征的c&c域名识别方法 | |
CN111277606A (zh) | 检测模型训练方法、检测方法及装置、存储介质 | |
CN109600382B (zh) | webshell检测方法及装置、HMM模型训练方法及装置 | |
CN117081858B (zh) | 一种基于多决策树入侵行为检测方法、系统、设备及介质 | |
CN111104670B (zh) | 一种apt攻击的识别和防护方法 | |
CN112822220B (zh) | 一种面向多样本组合攻击的溯源方法和装置 | |
CN116962009A (zh) | 一种网络攻击检测方法及装置 | |
Lighari | Hybrid model of rule based and clustering analysis for big data security | |
CN114925365A (zh) | 一种文件处理方法、装置、电子设备及存储介质 | |
CN113779564A (zh) | 一种安全事件预测方法及装置 | |
CN116319021B (zh) | 一种横向移动检测方法、装置、电子设备及存储介质 | |
Jain et al. | Two Timin’: Repairing Smart Contracts With A Two-Layered Approach | |
Tsuzaki et al. | A fuzzy hashing technique for large scale software birthmarks | |
CN115622805B (zh) | 基于人工智能的安全支付防护方法及ai系统 | |
CN113094709B (zh) | 风险应用的检测方法、装置和服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 150010 building 7, innovation and entrepreneurship Plaza, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang, China (No. 838, world Kun Road) Applicant after: Antan Technology Group Co.,Ltd. Address before: Room 506, 162 Hongqi Street, Nangang 17 building, high tech entrepreneurship center, high tech Industrial Development Zone, Songbei District, Harbin City, Heilongjiang Province Applicant before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |