CN112884204B - 网络安全风险事件预测方法及装置 - Google Patents

网络安全风险事件预测方法及装置 Download PDF

Info

Publication number
CN112884204B
CN112884204B CN202110090683.4A CN202110090683A CN112884204B CN 112884204 B CN112884204 B CN 112884204B CN 202110090683 A CN202110090683 A CN 202110090683A CN 112884204 B CN112884204 B CN 112884204B
Authority
CN
China
Prior art keywords
network data
risk event
network
feature vector
predicted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110090683.4A
Other languages
English (en)
Other versions
CN112884204A (zh
Inventor
吕遒健
胡波
吴峥嵘
田雨
王妍
王蕾祺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN202110090683.4A priority Critical patent/CN112884204B/zh
Publication of CN112884204A publication Critical patent/CN112884204A/zh
Application granted granted Critical
Publication of CN112884204B publication Critical patent/CN112884204B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/04Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2413Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
    • G06F18/24133Distances to prototypes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Human Resources & Organizations (AREA)
  • General Engineering & Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Economics (AREA)
  • Strategic Management (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computing Systems (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Evolutionary Biology (AREA)
  • Biomedical Technology (AREA)
  • Software Systems (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Development Economics (AREA)
  • General Business, Economics & Management (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Tourism & Hospitality (AREA)
  • Quality & Reliability (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Game Theory and Decision Science (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Educational Administration (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明实施例提供一种网络安全风险事件预测方法及装置,通过孪生神经网络分类模型,得到待预测网络数据的风险事件类别,可以很好地解决当网络数据样本量过少,或者网络数据样本分布不平衡时,对网络安全风险事件预测的准确度不高的问题。针对实际应用场景中的带标记信息较少,或者网络数据样本分布不平衡问题,以最简单的手段减少了网络数据样本分布不平衡程度,对于小数据集而言,它更是极大的增加了样本数量,为后续能使用拟合能力更强的深度学习算法进行风险预测提供了可能。在网络数据样本量充足且网络数据样本分布平衡时,本发明实施例中的孪生神经网络分类模型可以达到最好的性能,具有最佳的AUC,GM和F1性能。

Description

网络安全风险事件预测方法及装置
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络安全风险事件预测方法及装置。
背景技术
随着计算机的日益普及和网络技术的快速发展,网络在社会、政治、经济、军事等各个领域发挥着越来越大的作用,但网络快速的发展的同时也出现了更多的网络安全问题,而风险预测技术能有效预测攻击或危害,在网络安全中发挥着重要作用。它可以准确定位和预测各种类型的网络危害,为制定应对策略奠定基础。网络安全风险有各种存在形式,如鱼叉式网络钓鱼邮件、恶意软件和恶意网页等。
如何设计一种高效的网络安全风险事件预测方法引起了工作人员的广泛关注。根据调查发现在各领域都具有对应的安全预测模型。在工程领域,有输送电路风险模型;金融领域,有项目进度风险预测方法;在生物医疗领域,有针对某种病的患病风险分析。在网络安全领域,同样有关于风险预测的模型,但是各模型解决的问题都很不相同,使用的方法也有很大区别。总体来说,在网络安全领域的风险预测问题方向很多,采用的解决方法也各有不同,但基本都是根据对大量信息数据的获取、处理和分析,进而获得对于网络安全风险的预测。
目前,为了实现对网络安全风险事件进行预测,通常采用基于传统风险评估的网络安全态势感知方法,先通过扫描全网络,以获取资产信息、漏洞信息及环境因素等,然后在通用漏洞库中查找与资产相关的漏洞的相关信息,并通过专家评分获得该漏洞的风险严重程度,最终对该网络进行全面风险预测。该方法需要专家的评分,这不仅大大增加了人力资源的压力,也导致了为缓解人力资源压力而出现的网络数据样本量过少的问题。针对整个网络或者网络中的单个设备(如服务器、终端、交换机)的网络安全风险预测,采用安全态势预测模型进行预测,该模型利用决策树预处理网络数据样本之后,对网络安全风险事件进行预测。由于网络中的单个设备内均存在安全防护措施,导致其并不容易发生风险事件,进而使网络数据样本中风险类样本数量过少,导致网络数据样本分布不平衡,使得决策树在网络数据样本量少或网络数据样本分布不平衡时对噪声敏感,降低预测准确率。
此外,在一个安全防护措施相对完备的组织中,网络安全风险事件的发生往往是罕见的,网络数据样本量过少或网络数据样本分布不平衡是较为常见的问题。大多数现有的风险预测模型所使用的数据集,都是网络数据样本量充足且网络数据样本分布平衡的,此时基于传统的机器学习方法构建的网络安全风险事件预测模型,能取得较好的预测效果。但当风险类样本数量过少而导致网络数据样本分布不平衡时,如果依然使用传统的分类方法进行训练和预测,将降低模型捕获风险类样本特征的能力,最终更倾向于产生存在偏差或者不正确的预测模型,容易将出现风险事件类划分为未出现风险事件类。对于网络数据样本分布不平衡的问题,比较常用的是采用基于阈值移动的算法,但这种方法在风险预测时非常依赖于数据集的特点。例如欠采样在减少非风险类样本时,容易忽略潜在有用的数据;而过采样在风险类样本较少时,容易出现过度拟合问题;阈值移动需要根据输入数据及模型的输出特点进行动态调整。因此,针对网络安全风险事件预测中网络数据样本量过少及网络数据样本分布不平衡的问题,必须设计出能有效解决该问题的针对性模型。
发明内容
本发明实施例提供一种网络安全风险事件预测方法及装置,用以解决现有技术中存在的缺陷。
本发明实施例提供一种网络安全风险事件预测方法,包括:
获取待预测网络数据,并提取所述待预测网络数据的特征向量;
将所述待预测网络数据的特征向量输入至孪生神经网络分类模型,得到由所述孪生神经网络分类模型输出的所述待预测网络数据的风险事件类别;
所述孪生神经网络分类模型基于携带有风险事件类别标签的网络数据样本训练得到;所述孪生神经网络分类模型用于将所述待预测网络数据的特征向量转化为降维特征向量,并将所述待预测网络数据的降维特征向量、所述网络数据样本的低维特征向量以及所述风险事件类别标签进行矩阵运算,基于矩阵运算的结果,确定所述待预测网络数据的风险事件类别。
根据本发明一个实施例的网络安全风险事件预测方法,所述孪生神经网络分类模型具体通过如下方式训练得到:
基于所述网络数据样本,构建样本对,所述样本对携带的风险事件类别标签基于所述样本对中每个网络数据样本携带的风险事件类别标签确定;
将所述样本对的特征向量输入至所述孪生神经网络分类模型,由所述孪生神经网络分类模型确定所述样本对的低维特征向量对;
确定所述低维特征向量对的相似距离,并基于所述相似距离,确定损失函数最小时所述孪生神经网络分类模型的模型参数。
根据本发明一个实施例的网络安全风险事件预测方法,所述基于所述网络数据样本,构建样本对,具体包括:
将所述网络数据样本按携带的风险事件类别标签进行全排列,形成样本对,并基于所述样本对中每个网络数据样本携带的风险事件类别标签之间的相似度,确定所述样本对的风险事件类别标签。
根据本发明一个实施例的网络安全风险事件预测方法,所述将所述待预测网络数据的降维特征向量、所述网络数据样本的低维特征向量以及所述风险事件类别标签进行矩阵运算,具体包括:
计算所述待预测网络数据的降维特征向量、所述网络数据样本的低维特征向量的转置以及所述风险事件类别标签的乘积。
根据本发明一个实施例的网络安全风险事件预测方法,所述基于矩阵运算的结果,确定所述待预测网络数据的风险事件类别,具体包括:
将矩阵运算的结果转化为熵值;
基于所述熵值与预设熵值的大小关系,确定所述待预测网络数据的风险事件类型。
根据本发明一个实施例的网络安全风险事件预测方法,所述待预测网络数据具体包括:网络运行状态数据以及网络配置数据。
本发明实施例还提供一种网络安全风险事件预测装置,包括:特征向量提取模块和预测模块。其中,
特征向量提取模块用于获取待预测网络数据,并提取所述待预测网络数据的特征向量;
预测模块用于将所述待预测网络数据的特征向量输入至孪生神经网络分类模型,得到由所述孪生神经网络分类模型输出的所述待预测网络数据的风险事件类别;
所述孪生神经网络分类模型基于携带有风险事件类别标签的网络数据样本训练得到;所述孪生神经网络分类模型用于将所述待预测网络数据的特征向量转化为降维特征向量,并将所述待预测网络数据的降维特征向量、所述网络数据样本的低维特征向量以及所述风险事件类别标签进行矩阵运算,基于矩阵运算的结果,确定所述待预测网络数据的风险事件类别。
根据本发明一个实施例的网络安全风险事件预测装置,还包括:训练模块,用于通过如下方式训练得到所述孪生神经网络分类模型:
基于所述网络数据样本,构建样本对,所述样本对携带的风险事件类别标签基于所述样本对中每个网络数据样本携带的风险事件类别标签确定;
将所述样本对的特征向量输入至所述孪生神经网络分类模型,由所述孪生神经网络分类模型确定所述样本对的低维特征向量对;
确定所述低维特征向量对的相似距离,并基于所述相似距离,确定损失函数最小时所述孪生神经网络分类模型的模型参数。
本发明实施例还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述的网络安全风险事件预测方法的步骤。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述的网络安全风险事件预测方法的步骤。
本发明实施例提供的网络安全风险事件预测方法及装置,通过孪生神经网络分类模型,得到待预测网络数据的风险事件类别,可以很好地解决当网络数据样本量过小,或者网络数据样本分布不平衡时,对网络安全风险事件预测的准确度不高的问题。针对实际应用场景中的带标记信息较少,或者数据分类不平衡问题,以最简单的手段减少了数据不平衡程度,对于小数据集而言,它更是极大的增加了样本数量,为后续能使用拟合能力更强的深度学习算法进行风险预测提供了可能。在网络数据样本量充足且网络数据样本分布平衡时,本发明实施例中的孪生神经网络分类模型可以达到最好的性能,具有最佳的AUC,GM和F1性能,且随着数据不平衡度的增加,孪生神经网络分类模型表现更突出,更稳定,具有最佳的整体效率;对于噪声数据的敏感性不高,具有更好的拟合能力。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种网络安全风险事件预测方法的流程示意图;
图2是本发明实施例提供的一种网络安全风险事件预测装置的结构示意图;
图3是本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一方面,现有技术中采用的网络安全风险事件预测方法,通常需要通过专家进行评分,这不仅增加了人力资源的压力,也导致了为缓解人力资源压力而出现的网络数据样本量过少的问题。另一方面,针对整个网络或者网络中的单个设备(如服务器、终端、交换机)的网络安全风险预测,采用安全态势预测模型进行预测,该模型利用决策树预处理网络数据样本之后,对网络安全风险事件进行预测。由于网络中的单个设备内均存在安全防护措施,导致其并不容易发生风险事件,进而使网络数据样本中风险类样本数量过少,导致网络数据样本分布不平衡,使得决策树在网络数据样本量少或网络数据样本分布不平衡时对噪声敏感,降低预测准确率。而且,当风险类样本数量过少而导致网络数据样本分布不平衡时,如果依然使用传统的分类方法进行训练和预测,将降低模型捕获风险类样本特征的能力,最终更倾向于产生存在偏差或者不正确的预测模型,容易将出现风险事件类划分为未出现风险事件类。对于网络数据样本分布不平衡的问题,比较常用的是采用基于阈值移动的算法,但这种方法在风险预测时非常依赖于数据集的特点。例如欠采样在减少非风险类样本时,容易忽略潜在有用的数据;而过采样在风险类样本较少时,容易出现过度拟合问题;阈值移动需要根据输入数据及模型的输出特点进行动态调整。因此,针对网络安全风险事件预测中网络数据样本量过少及网络数据样本分布不平衡的问题,必须设计出能有效解决该问题的针对性模型。为此,本发明实施例中提供了一种网络安全风险事件预测方法。
图1为本发明实施例中提供的一种网络安全风险事件预测方法的流程示意图。如图1所示,该方法包括:
S1,获取待预测网络数据,并提取所述待预测网络数据的特征向量;
S2,将所述特征向量输入至孪生神经网络分类模型,得到由所述孪生神经网络分类模型输出的所述待预测网络数据的风险事件类别;
所述孪生神经网络分类模型用于将所述特征向量转化为降维特征向量,并将所述降维特征向量、所述网络数据样本的低维特征向量以及所述风险事件类别标签进行矩阵运算,基于矩阵运算的结果,确定所述待预测网络数据的风险事件类别;所述孪生神经网络分类模型基于携带有风险事件类别标签的网络数据样本训练得到。
具体地,本发明实施例中首先执行步骤S1,获取待预测网络数据。网络数据可以包括两个层面,一个是企业级系统网络层面,网络数据可以包括企业级系统网络内计算机硬件、路由器、交换机、硬件防火墙、布线、备份存储设备、基础网络架构、网络传输加密、访问控制、网络设备安全漏洞、网络规模、资产配置等网络配置数据。一个是系统网络中的某个设备(主机、服务器、终端等)层面,网络数据可以包括某个设备在各角度的运行状态数据,包括系统文档、操作系统运行日志、流量数据、用户网页访问数据、用户终端使用数据、主机/服务器的运行状态和脆弱性信息数据等。其中,待预测网络数据预设时间段内待测试网络的网络数据。
在获取待预测网络数据之后,提取待预测网络数据的特征向量,通过特征向量表征待预测网络数据。
然后执行步骤S2,将步骤S1得到的特征向量输入至孪生神经网络分类模型中,由孪生神经网络分类模型对特征向量进行降维处理,得到降维特征向量,例如步骤S1得到的待预测网络数据的特征向量的维度为v维,则降维特征向量的维度为u维,且有u<v。孪生神经网络分类模型对特征向量进行降维处理的过程可以理解为是将v维的特征向量映射到u维特征空间的过程。需要说明的是,孪生神经网络分类模型是一种改进的孪生网络分类框架(Siamese Network Classification Framework,SNCF),并在此框架中嵌入深度学习基模型,解决网络安全风险事件预测中网络数据样本分布不平衡的问题。孪生神经网络分类模型是基于深度学习实现的,具有对数据噪声不敏感、不依赖特征工程、泛化能力强和可扩展性强的特点,其中可扩展性表现在,当后期有标签的风险数据继续增加时,孪生神经网络分类模型能随着数据量的增加提升更好的性能。而且实验结果表明,该孪生神经网络分类模型比多种传统不平衡分类算法或深度学习算法都有更好的性能,且它不仅可以有效地拟合分布不平衡的网络数据样本,还对特征降维有良好的效果。
孪生神经网络分类模型得到降维特征向量后,将该降维特征向量、网络数据样本的低维特征向量以及风险事件类别标签进行矩阵运算,计算矩阵运算的结果是网络数据属于不同风险事件类别的概率的相似距离,相似距离越小表示属于某一风险事件类别的概率越大。其中,网络数据样本的低维特征向量具体可以通过将网络数据样本的特征向量输入至孪生神经网络分类模型中确定。
最后可以根据矩阵运算的结果,确定待预测网络数据的风险事件类别。待预测网络数据的风险事件类别可以包括有风险和无风险两类,还可以具体进行细分,本发明实施例中对此不作具体限定。若仅以有风险和无风险两类为例,则可以直接判断相似距离与预设距离之间的大小关系,若相似距离大于预设距离,则认为待预测网络数据的风险事件类别为无风险。其中,预设距离可以根据需要进行设定,本发明实施例中对此不作具体限定。
本发明实施例中,孪生神经网络分类模型是基于携带有风险事件分类标签的网络数据样本训练得到。其中,网络数据样本也如网络数据一样,可以包括两个层面,一个是企业级系统网络层面,对于网络系统遭遇的网络安全事件,比如公司发生数据泄漏事件、公司网站被污损、公司邮箱遭受大范围勒索病毒邮件攻击等。若在某个时间窗内,某网络发生了网络安全事件,则在特定时间窗内该网络被添加“有风险”的标签,否则添加“无风险”的标签,构成由网络配置数据和标签组成的一系列的网络数据样本。一个是系统网络中的某个设备(主机、服务器、终端等)层面。待预测网络数据的风险事件可以是指,对于整个网络或网络中的单个设备遭遇的网络安全事件,比如某服务器遭遇恶意软件、某主机的网页被污染等;若在某个时间窗内,某设备发生了网络安全事件,则在特定时间窗内该设备被添加“有风险”的标签,否则添加“无风险”的标签,构成由网络运行状态数据和标签组成的一系列的网络数据样本。
本发明实施例中提供的网络安全风险事件预测方法,通过孪生神经网络分类模型,得到待预测网络数据的风险事件类别,可以很好地解决当网络数据样本量过小,或者网络数据样本分布不平衡时,对网络安全风险事件预测的准确度不高的问题。针对实际应用场景中的带标记信息较少,或者网络数据样本分布不平衡问题,以最简单的手段减少了数据不平衡程度,对于小数据集而言,它更是极大的增加了样本数量,为后续能使用拟合能力更强的深度学习算法进行风险预测提供了可能。在网络数据样本量充足且网络数据样本分布平衡时,本发明实施例中的孪生神经网络分类模型可以达到最好的性能,具有最佳的AUC,GM和F1性能,且随着数据不平衡度的增加,孪生神经网络分类模型表现更突出,更稳定,具有最佳的整体效率;对于噪声数据的敏感性不高,具有更好的拟合能力;与人工神经网络相比,过度拟合问题由于数据集的增长而得到缓解,增强了泛化能力。在降维能力方面,孪生神经网络分类模型能将数据降维,对比PCA方法,SNCF方法的降维效果优于PCA,比PCA更线性地分散。
在上述实施例的基础上,本发明实施例中提供的网络安全风险事件预测方法,所述孪生神经网络分类模型具体通过如下方式训练得到:
基于所述网络数据样本,构建样本对,所述样本对携带的风险事件类别标签基于所述样本对中每个网络数据样本携带的风险事件类别标签确定;
将所述样本对的特征向量输入至所述孪生神经网络分类模型,由所述孪生神经网络分类模型确定所述样本对的低维特征向量对;
确定所述低维特征向量对的相似距离,并基于所述相似距离,确定损失函数最小时所述孪生神经网络分类模型的模型参数。
具体地,本发明实施例中,在对孪生神经网络分类模型进行训练时,其目的是通过最小化损失函数找到一个最优的孪生神经网络分类模型,该模型具有最佳相似度映射的网络参数,能将v维特征向量,映射到u(u<v)维特征空间。
首先,根据网络数据样本,构建样本对,该样本对为任意两个网络数据样本的组合,样本对的特征向量可以表示为(Xi,Xj)。Xi,Xj均为网络数据样本中的任意两个样本的特征向量,每一网络数据样本的采集时间不同。该样本对的风险事件类别标签基于所述网络数据样本风险事件类别标签确定。(Xi,Xj)的风险事件类别标签可以表示为Fij
当网络数据样本量过少或者网络数据样本分布不平衡的情况下,选择将采集的系列样本重新进行随机两两组对,构造新的样本对,并对新组成的样本对进行重新标注标签,若两个样本标签相同,则标记为“同类样本”,否则标记为“非同类样本”。通过构造样本对,使得数据集样本容量增加;重新标注标签,可以解决原数据集分类不均匀的问题。将样本对送入用于训练的孪生神经网络分类模型,对模型进行训练,使得同类样本更加靠近,异类样本更加远离。
当有新的无标签样本数据出现时,通过与已有标签样本的相似性对比,判断新的样本数据与“有风险”样本和“有风险”样本的距离,来最终判定新网络的的风险类型。若新的样本数据更靠近“有风险”样本,则被预测为“有风险”,否则判断为“无风险”。
然后,选择前馈神经网络构建孪生子网络,孪生子网络即具有两个完全相同的子神经网络,共用相同的模型参数W和b。每个子神经网络的输出层神经个数为u,使v维的样本对能映射到具有u维特征的Z空间,得到样本对的低维特征向量被表示为(Zi,Zj)。
定义Z空间中样本对的低维特征向量的相似距离为dij,其值可以为Zi和Zj的欧几里德距离:
dij=||Zi-Zj||
定义当Fij为1即样本对属于同类时,其相似距离为dpos,否则为dneg。
给定超参数C,找到最佳模型参数W和b,最优化目标为:最小化相似样本之间的距离,最大化不同样本之间的距离,使得同类之间近,异类之间距离远;最优化目标可以表示为:
结合Fij定义损失函数Loss(W,b),其中α和β表示相似输入和异构输入的权重,CL2是L2正则化的权重:
本发明实施例中提供的训练方式得到的孪生神经网络分类模型,可以基于网络类型的相似性计算将输入的样本对的特征向量映射到新的样本空间,使之能直观的表现出输入的样本对的特征向量之间的相似度,并降低数据的维度,降低了计算量。
在上述实施例的基础上,本发明实施例中提供的网络安全风险事件预测方法,所述基于所述网络数据样本,构建样本对,具体包括:
将所述网络数据样本按携带的风险事件类别标签进行全排列,形成样本对,并基于所述样本对中每个网络数据样本携带的风险事件类别标签之间的相似度,确定所述样本对的风险事件类别标签。
具体地,本发明实施例中,将网络运行状态数据以及网络配置数据构造为v维的特征向量,并将分类标签定义为F∈{0,1},0表示“无风险”,1表示“有风险”。已有标签的样本可分为样本特征向量Xtrain∈Rn×v,样本标签Ytrain∈Rn×1
将样本中所有的“有风险”与“无风险”样本进行全排列,并构建新的样本标签F,形成用于模型输入的样本对的特征向量(Xi,Xj,Fij);
对每个样本对的分类标签Fij∈{0,1},Fij的取值由组合样本的原标签相似度决定,其中Fij=1代表两组合样本Xi与Xj属于同一种标签,反之则为不同类标签。
本发明实施例中,将全部标记的样本,即全部的“有风险”与“无风险”样本全排列组合,并重新构建相似度标签,形成样本对。这样生成的新样本集在增加了样本量的同时,也降低了数据的不平衡程度,缓解了数据不平衡带来的噪声敏感问题。
在上述实施例的基础上,本发明实施例中提供的网络安全风险事件预测方法,所述将所述待预测网络数据的降维特征向量、所述网络数据样本的低维特征向量以及所述风险事件类别标签进行矩阵运算,具体包括:
计算所述待预测网络数据的降维特征向量、所述网络数据样本的低维特征向量的转置以及所述风险事件类别标签的乘积。
具体地,本发明实施例中,设待预测网络数据的特征向量为Xtest,网络数据样本的特征向量为Xtrain,可以将Xtest与Xtrain依次输入到训练好的子神经网络中,得到Z空间下的Ztrain∈Rn×u和Ztest∈Rm×u
利用矩阵运算计算样本属于风险类别的概率的相似距离Dtest,距离越小,风险的概率越大;计算公式为:
在上述实施例的基础上,本发明实施例中提供的网络安全风险事件预测方法,所述基于矩阵运算的结果,确定所述待预测网络数据的风险事件类别,具体包括:
将矩阵运算的结果转化为熵值;
基于所述熵值与预设熵值的大小关系,确定所述待预测网络数据的风险事件类型。
具体地,本发明实施例中,利用熵的概念将相似距离转化为属于风险类的概率Ptest,其值越大代表越可能属于风险类;
Ptest=-ln(Dtest)
然后,确定待预测网络数据的风险事件类别Y’i:其中Y’i=1表示有风险,Y’i=0表示有风险。Pi是Ptest的设备,T为超参数阈值,即预设熵值,根据Y’i与T的对比结果判断待预测网络数据的最终分类。
综上所述,本发明实施例中提供的网络安全风险事件预测方法,主要从企业级整个系统网络和网络内部单个设备两个层面进行对企业的网络风险预测,包括数据采集以及网络风险事件预测两部分,重点解决了网络风险事件预测时网络数据样本量过少或者网络数据样本分布不平衡的问题。从企业级整个系统网络和网络内部单个设备两个层面进行对企业的网络风险预测,能实现对网络中的设备的安全监测分析和对整个网络系统的风险安全预测。在解决数据不平衡问题中,本发明实施例中采用随机组成样本对的方法,通过孪生神经网络分类模型将样本对映射到低维空间中,使同类样本更靠近,异类样本更远离。不仅增加了数据量,同时大大减轻了数据的不平衡程度。模型在训练阶段具有一定的时间复杂度,需要耗费一些时间进行模型训练,但是风险预测阶段采用矩阵运算的方法,算法时间复杂度很低,能够高效地应用于实时的安全风险事件预测的场景。
图2为本发明实施例中提供的一种网络安全风险事件预测装置的结构示意图,如图2所示,该装置包括:特征向量提取模块21和预测模块22。其中,
特征向量提取模块21用于获取待预测网络数据,并提取所述待预测网络数据的特征向量;
预测模块22用于将所述待预测网络数据的特征向量输入至孪生神经网络分类模型,得到由所述孪生神经网络分类模型输出的所述待预测网络数据的风险事件类别;
所述孪生神经网络分类模型用于将所述特征向量转化为降维特征向量,并将所述降维特征向量、所述网络数据样本的低维特征向量以及所述风险事件类别标签进行矩阵运算,基于矩阵运算的结果,确定所述待预测网络数据的风险事件类别;所述孪生神经网络分类模型基于携带有风险事件类别标签的网络数据样本训练得到。
具体地,本发明实施例中提供的网络安全风险事件预测装置中各模块的作用与上述方法类实施例中各步骤的操作流程是一一对应的,实现的效果也是一致的,具体参见上述实施例,本发明实施例中对此不再赘述。
在上述实施例的基础上,本发明实施例中提供的网络安全风险事件预测装置,还包括:训练模块,用于通过如下方式训练得到所述孪生神经网络分类模型:
基于所述网络数据样本,构建样本对,所述样本对的风险事件类别标签基于所述网络数据样本风险事件类别标签确定;
将所述样本对输入至所述孪生神经网络分类模型,得到由所述孪生神经网络分类模型输出的所述样本对的低维特征向量;
确定所述样本对的低维特征向量的相似距离,并基于所述相似距离,确定损失函数最小时所述孪生神经网络分类模型的模型参数。
图3示例了一种电子设备的实体结构示意图,如图3所示,该电子设备可以包括:处理器(processor)310、通信接口(Communications Interface)320、存储器(memory)330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令,以执行网络安全风险事件预测方法,该方法包括:获取待预测网络数据,并提取所述待预测网络数据的特征向量;将所述待预测网络数据的特征向量输入至孪生神经网络分类模型,得到由所述孪生神经网络分类模型输出的所述待预测网络数据的风险事件类别;所述孪生神经网络分类模型基于携带有风险事件类别标签的网络数据样本训练得到;所述孪生神经网络分类模型用于将所述特征向量转化为降维特征向量,并将所述降维特征向量、所述网络数据样本的低维特征向量以及所述风险事件类别标签进行矩阵运算,基于矩阵运算的结果,确定所述待预测网络数据的风险事件类别。
此外,上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的网络安全风险事件预测方法,该方法包括:获取待预测网络数据,并提取所述待预测网络数据的特征向量;将所述特征向量输入至孪生神经网络分类模型,得到由所述孪生神经网络分类模型输出的所述待预测网络数据的风险事件类别;所述孪生神经网络分类模型基于携带有风险事件类别标签的网络数据样本训练得到;所述孪生神经网络分类模型用于将所述待预测网络数据的特征向量转化为降维特征向量,并将所述降维特征向量、所述网络数据样本的低维特征向量以及所述风险事件类别标签进行矩阵运算,基于矩阵运算的结果,确定所述待预测网络数据的风险事件类别。
又一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的网络安全风险事件预测方法,该方法包括:获取待预测网络数据,并提取所述待预测网络数据的特征向量;将所述特征向量输入至孪生神经网络分类模型,得到由所述孪生神经网络分类模型输出的所述待预测网络数据的风险事件类别;所述孪生神经网络分类模型基于携带有风险事件类别标签的网络数据样本训练得到;所述孪生神经网络分类模型用于将所述待预测网络数据的特征向量转化为降维特征向量,并将所述降维特征向量、所述网络数据样本的低维特征向量以及所述风险事件类别标签进行矩阵运算,基于矩阵运算的结果,确定所述待预测网络数据的风险事件类别。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (9)

1.一种网络安全风险事件预测方法,其特征在于,包括:
获取待预测网络数据,并提取所述待预测网络数据的特征向量;
将所述待预测网络数据的特征向量输入至孪生神经网络分类模型,得到由所述孪生神经网络分类模型输出的所述待预测网络数据的风险事件类别;
所述孪生神经网络分类模型基于携带有风险事件类别标签的网络数据样本训练得到;所述孪生神经网络分类模型用于将所述待预测网络数据的特征向量转化为降维特征向量,并将所述待预测网络数据的降维特征向量、所述网络数据样本的低维特征向量以及所述风险事件类别标签进行矩阵运算,基于矩阵运算的结果,确定所述待预测网络数据的风险事件类别;
所述将所述待预测网络数据的降维特征向量、所述网络数据样本的低维特征向量以及所述风险事件类别标签进行矩阵运算,具体包括:
计算所述待预测网络数据的降维特征向量、所述网络数据样本的低维特征向量的转置以及所述风险事件类别标签的乘积;
矩阵运算的结果用于表征所述待预测网络数据属于不同风险事件类别的概率的相似距离。
2.根据权利要求1所述的网络安全风险事件预测方法,其特征在于,所述孪生神经网络分类模型具体通过如下方式训练得到:
基于所述网络数据样本,构建样本对,所述样本对携带的风险事件类别标签基于所述样本对中每个网络数据样本携带的风险事件类别标签确定;
将所述样本对的特征向量输入至所述孪生神经网络分类模型,由所述孪生神经网络分类模型确定所述样本对的低维特征向量对;
确定所述低维特征向量对的相似距离,并基于所述相似距离,确定损失函数最小时所述孪生神经网络分类模型的模型参数。
3.根据权利要求2所述的网络安全风险事件预测方法,其特征在于,所述基于所述网络数据样本,构建样本对,具体包括:
将所述网络数据样本按携带的风险事件类别标签进行全排列,形成样本对,并基于所述样本对中每个网络数据样本携带的风险事件类别标签之间的相似度,确定所述样本对的风险事件类别标签。
4.根据权利要求1所述的网络安全风险事件预测方法,其特征在于,所述基于矩阵运算的结果,确定所述待预测网络数据的风险事件类别,具体包括:
将矩阵运算的结果转化为熵值;
基于所述熵值与预设熵值的大小关系,确定所述待预测网络数据的风险事件类型。
5.根据权利要求1-4中任一项所述的网络安全风险事件预测方法,其特征在于,所述待预测网络数据具体包括:网络运行状态数据以及网络配置数据。
6.一种网络安全风险事件预测装置,其特征在于,包括:
特征向量提取模块,用于获取待预测网络数据,并提取所述待预测网络数据的特征向量;
预测模块,用于将所述待预测网络数据的特征向量输入至孪生神经网络分类模型,得到由所述孪生神经网络分类模型输出的所述待预测网络数据的风险事件类别;
所述孪生神经网络分类模型基于携带有风险事件类别标签的网络数据样本训练得到;所述孪生神经网络分类模型用于将所述待预测网络数据的特征向量转化为降维特征向量,并将所述待预测网络数据的降维特征向量、所述网络数据样本的低维特征向量以及所述风险事件类别标签进行矩阵运算,基于矩阵运算的结果,确定所述待预测网络数据的风险事件类别;
所述将所述待预测网络数据的降维特征向量、所述网络数据样本的低维特征向量以及所述风险事件类别标签进行矩阵运算,具体包括:
计算所述待预测网络数据的降维特征向量、所述网络数据样本的低维特征向量的转置以及所述风险事件类别标签的乘积;
矩阵运算的结果用于表征所述待预测网络数据属于不同风险事件类别的概率的相似距离。
7.根据权利要求6所述的网络安全风险事件预测装置,其特征在于,还包括:训练模块,用于通过如下方式训练得到所述孪生神经网络分类模型:
基于所述网络数据样本,构建样本对,所述样本对携带的风险事件类别标签基于所述样本对中每个网络数据样本携带的风险事件类别标签确定;
将所述样本对的特征向量输入至所述孪生神经网络分类模型,由所述孪生神经网络分类模型确定所述样本对的低维特征向量对;
确定所述低维特征向量对的相似距离,并基于所述相似距离,确定损失函数最小时所述孪生神经网络分类模型的模型参数。
8.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述网络安全风险事件预测方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至5任一项所述网络安全风险事件预测方法的步骤。
CN202110090683.4A 2021-01-22 2021-01-22 网络安全风险事件预测方法及装置 Active CN112884204B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110090683.4A CN112884204B (zh) 2021-01-22 2021-01-22 网络安全风险事件预测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110090683.4A CN112884204B (zh) 2021-01-22 2021-01-22 网络安全风险事件预测方法及装置

Publications (2)

Publication Number Publication Date
CN112884204A CN112884204A (zh) 2021-06-01
CN112884204B true CN112884204B (zh) 2024-04-12

Family

ID=76050540

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110090683.4A Active CN112884204B (zh) 2021-01-22 2021-01-22 网络安全风险事件预测方法及装置

Country Status (1)

Country Link
CN (1) CN112884204B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113535906B (zh) * 2021-07-28 2023-01-17 广东电网有限责任公司 一种电力领域隐患事件文本分类方法及其相关装置
CN114115152A (zh) * 2021-11-25 2022-03-01 武汉智能装备工业技术研究院有限公司 基于嵌入式和深度学习的制造边缘实时事件洞察方法
CN116260720A (zh) * 2021-12-02 2023-06-13 中兴通讯股份有限公司 网络资源部署方法、装置、电子设备及存储介质
CN114936614B (zh) * 2022-07-25 2023-01-03 广东电网有限责任公司佛山供电局 一种基于神经网络的作业风险识别方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109360105A (zh) * 2018-09-18 2019-02-19 平安科技(深圳)有限公司 产品风险预警方法、装置、计算机设备和存储介质
CN110084610A (zh) * 2019-04-23 2019-08-02 东华大学 一种基于孪生神经网络的网络交易欺诈检测系统
CN110659436A (zh) * 2019-08-22 2020-01-07 阿里巴巴集团控股有限公司 网络舆情监控方法、装置和设备
CN112085041A (zh) * 2019-06-12 2020-12-15 北京地平线机器人技术研发有限公司 神经网络的训练方法、训练装置和电子设备
CN112131421A (zh) * 2020-09-23 2020-12-25 平安科技(深圳)有限公司 医学图像分类方法、装置、设备及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109360105A (zh) * 2018-09-18 2019-02-19 平安科技(深圳)有限公司 产品风险预警方法、装置、计算机设备和存储介质
CN110084610A (zh) * 2019-04-23 2019-08-02 东华大学 一种基于孪生神经网络的网络交易欺诈检测系统
CN112085041A (zh) * 2019-06-12 2020-12-15 北京地平线机器人技术研发有限公司 神经网络的训练方法、训练装置和电子设备
CN110659436A (zh) * 2019-08-22 2020-01-07 阿里巴巴集团控股有限公司 网络舆情监控方法、装置和设备
CN112131421A (zh) * 2020-09-23 2020-12-25 平安科技(深圳)有限公司 医学图像分类方法、装置、设备及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于改进深度孪生网络的分类器及其应用;沈雁;王环;戴瑜兴;;计算机工程与应用(第10期);第24-30页 *
基于生成对抗网络的长短兴趣推荐模型;康嘉钰;苏凡军;;计算机技术与发展(第06期);第41-45页 *

Also Published As

Publication number Publication date
CN112884204A (zh) 2021-06-01

Similar Documents

Publication Publication Date Title
Farahnakian et al. A deep auto-encoder based approach for intrusion detection system
CN112884204B (zh) 网络安全风险事件预测方法及装置
Kan et al. A novel IoT network intrusion detection approach based on adaptive particle swarm optimization convolutional neural network
Wu et al. Network attacks detection methods based on deep learning techniques: a survey
Bostani et al. Modification of supervised OPF-based intrusion detection systems using unsupervised learning and social network concept
CN111832019B (zh) 基于生成对抗网络的恶意代码检测方法
Jha et al. Intrusion detection system using support vector machine
Nahmias et al. Deep feature transfer learning for trusted and automated malware signature generation in private cloud environments
Lin et al. Using federated learning on malware classification
Chaganti et al. Image-based malware representation approach with EfficientNet convolutional neural networks for effective malware classification
Bodström et al. State of the art literature review on network anomaly detection with deep learning
Ariyadasa et al. Detecting phishing attacks using a combined model of LSTM and CNN
Saheed et al. An efficient hybridization of K-means and genetic algorithm based on support vector machine for cyber intrusion detection system
CN116318928A (zh) 一种基于数据增强和特征融合的恶意流量识别方法及系统
Wang et al. Network intrusion detection method based on improved CNN in Internet of Things environment
BOUIJIJ et al. Machine learning algorithms evaluation for phishing urls classification
Hou et al. An intrusion detection method for cyber monintoring using attention based hierarchical LSTM
Ganeshan et al. I-AHSDT: intrusion detection using adaptive dynamic directive operative fractional lion clustering and hyperbolic secant-based decision tree classifier
Du et al. A Few-Shot Class-Incremental Learning Method for Network Intrusion Detection
Parameswari et al. Hybrid rat swarm hunter prey optimization trained deep learning for network intrusion detection using CNN features
Li et al. Halnet: A hybrid deep learning model for encrypted c&c malware traffic detection
Mo et al. A deep auto-encoder based LightGBM approach for network intrusion detection system
Mokhtar et al. A review of evidence extraction techniques in big data environment
US20230262075A1 (en) Information processing device, information processing method, and computer readable medium
Ajdani et al. Improving network intrusion detection by identifying effective features based on probabilistic dependency trees and evolutionary algorithm

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant