CN113794699B - 一种网络分析处理方法 - Google Patents

Abstract

本发明提供一种网络分析处理方法，该方法包括：对捕获的攻击行为数据进行提取，得到黑客信息和实时攻击兴趣序列；攻击兴趣序列为黑客在攻击中以时序展现的攻击兴趣点构成的序列；基于黑客信息和实时攻击兴趣序列，根据预设的黑客攻击兴趣点预测模型，预测下一时刻黑客的攻击兴趣点；根据下一时刻黑客的攻击兴趣点及攻击兴趣点‑诱捕组件映射表，确定诱捕组件操作向量。该方案采用预设的黑客攻击兴趣点预测模型，预测下一时刻黑客的攻击兴趣点，可以动态调整蜜网结果，有针对性地推荐理想诱捕组件，从而为蜜网的动态构建提供决策依据。

Description

一种网络分析处理方法

技术领域

本发明属于网络安全技术领域，特别涉及一种网络分析处理方法。

背景技术

物联网技术的发展，增加了用户和企业的网络安全风险，互联网对人们的价值越大，网络安全问题带来的威胁就越严重。根据《卡巴斯基安全公告2020》显示，仅仅2019年11月到2020年10月这一年期间，就发现来自世界各国和地区的攻击666809967次，其中全球10.18％的互联网用户电脑遭受了至少一次恶意软件类别的攻击。为了应对网络安全风险，网络安全工作者提出了入侵检测技术、数据加密技术和网络监控技术来保护系统。但是随着黑客攻击技术的发展，被动防御技术很难应对日益复杂的网络多步攻击，于是蜜网技术便随之诞生，作为一种主动防御技术，蜜网能够吸引黑客进行攻击，并捕获其攻击行为，分析其攻击意图和攻击手法及工具，从而为现有的系统提供防护。蜜罐是一种安全资源，其主要作用就是模拟容易遭受攻击的系统来诱使黑客对蜜罐进行扫描和攻击，然后与黑客进行交互，在交互过程中捕获攻击数据，分析其攻击特征。蜜网以蜜罐为核心构建网络，继承了蜜罐拥有的属性，不仅丰富了蜜罐的种类，还在此基础上形成了一个较为真实的网络环境，增加对黑客的欺骗性，能够吸引更多的黑客进行攻击，从而收集和分析攻击数据。

但传统的蜜网系统资源利用率不高，在一定资源的限制下，提供的蜜罐种类不够丰富，同时传统的蜜网结构相对固定，很难根据黑客的行为和诱骗需求进行实时、快速地响应和调整，以动态地改变蜜网环境。

发明内容

本说明书实施例的目的是提供一种网络分析处理方法。

为解决上述技术问题，本申请实施例通过以下方式实现的：

第一方面，本申请提供一种网络分析处理方法，该方法包括：

对捕获的攻击行为数据进行提取，得到黑客信息和实时攻击兴趣序列；攻击兴趣序列为黑客在攻击中以时序展现的攻击兴趣点构成的序列；

基于黑客信息和实时攻击兴趣序列，根据预设的黑客攻击兴趣点预测模型，预测下一时刻黑客的攻击兴趣点；

根据下一时刻黑客的攻击兴趣点及攻击兴趣点-诱捕组件映射表，确定诱捕组件操作向量。

在其中一个实施例中，基于黑客信息和实时攻击兴趣序列，根据预设的黑客攻击兴趣点预测模型，预测下一时刻黑客的攻击兴趣点，包括：

根据实时攻击兴趣序列，确定实时攻击兴趣会话序列；

将黑客信息和实时攻击兴趣会话序列，输入至黑客攻击兴趣点预测模型，输出各个预测的候选攻击兴趣点的概率；

从候选攻击兴趣点中选取概率最高的K个候选攻击兴趣点，作为下一时刻黑客的攻击兴趣点。

在其中一个实施例中，将黑客信息和实时攻击兴趣会话序列，输入至黑客攻击兴趣点预测模型，输出各个预测的候选攻击兴趣点的概率，包括：

对黑客信息和实时攻击兴趣会话序列进行读热编码，分别得到黑客向量和攻击兴趣向量；

对黑客向量和攻击兴趣向量进行嵌入操作，得到黑客嵌入向量和与黑客嵌入向量对应的攻击兴趣嵌入向量；

将攻击兴趣嵌入向量输入LSTM神经网络模型，得到隐藏层向量；

将隐藏层向量输入注意力机制层，得到隐藏向量；

根据双线性函数，确定隐藏向量及所有攻击兴趣嵌入向量的相似分数；

将相似分数进行归一化，得到各个预测的候选攻击兴趣点的概率。

在其中一个实施例中，将攻击兴趣嵌入向量输入LSTM神经网络模型，得到隐藏层向量，包括：

将攻击兴趣嵌入向量、上一时刻的单元参数及上一时刻的隐藏层向量，输入LSTM神经网络模型，得到隐藏层向量。

在其中一个实施例中，当前时刻的单元参数根据上一时刻的攻击兴趣会话及上一时刻的隐藏层向量经过所示LSTM神经网络模型的遗忘门和输入门得到。

在其中一个实施例中，将隐藏层向量输入注意力机制层，得到隐藏向量，包括：

根据黑客信息及攻击兴趣嵌入向量，确定注意力机制层的权重；

根据权重及隐藏层向量，确定隐藏向量。

在其中一个实施例中，将相似分数进行归一化，包括：

采用SoftMax函数对相似分数进行归一化处理。

在其中一个实施例中，攻击行为数据包括流量数据、命令行输入数据、文件系统变化数据和TCP连接数据。

在其中一个实施例中，攻击兴趣点包括硬件类攻击兴趣点、软件服务类攻击兴趣点、网络配置类攻击兴趣点、探测类攻击兴趣点、操作行为类攻击兴趣点。

由以上本说明书实施例提供的技术方案可见，该方案采用预设的黑客攻击兴趣点预测模型，预测下一时刻黑客的攻击兴趣点，可以动态调整蜜网结果，有针对性地推荐理想诱捕组件，从而为蜜网的动态构建提供决策依据。

附图说明

为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请提供的网络分析处理方法的流程示意图；

图2为本申请提供的网络分析处理方法框架图；

图3为本申请提供的攻击兴趣点划分图；

图4为本申请提供的黑客信息与攻击兴趣序列对应图；

图5为单个神经网络单元的结构示意图；

图6为本申请提供的单层LSTM神经网络模型；

图7为本申请提供的注意力机制的工作流程图；

图8为采用本申请方法和马尔科夫模型数据对比图。

具体实施方式

为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本说明书保护的范围。

以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本申请实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本申请的描述。

在不背离本申请的范围或精神的情况下，可对本申请说明书的具体实施方式做多种改进和变化，这对本领域技术人员而言是显而易见的。由本申请的说明书得到的其他实施方式对技术人员而言是显而易见得的。本申请说明书和实施例仅是示例性的。

关于本文中所使用的“包含”、“包括”、“具有”、“含有”等等，均为开放性的用语，即意指包含但不限于。

本申请中的“份”如无特别说明，均按质量份计。

下面结合附图和实施例对本发明进一步详细说明。

参照图1，其示出了适用于本申请实施例提供的网络分析处理方法的流程示意图。参照图2，其示出了网络分析处理方法的框架图，该方法包括攻击兴趣点划分、黑客信息与攻击兴趣序列提取、基于LSTM的黑客兴趣点预测模型(即为下述实施例中的黑客攻击兴趣点预测模型，包括LSTM神经网络模型和注意力机制)和诱捕组件操作向量生成。

如图1所示，网络分析处理方法，可以包括：

S110、对捕获的攻击行为数据进行提取，得到黑客信息和实时攻击兴趣序列；攻击兴趣序列为黑客在攻击中以时序展现的攻击兴趣点构成的序列；

S120、基于黑客信息和实时攻击兴趣序列，根据预设的黑客攻击兴趣点预测模型，预测下一时刻黑客的攻击兴趣点；

S130、根据下一时刻黑客的攻击兴趣点及攻击兴趣点-诱捕组件映射表，确定诱捕组件操作向量。

具体的，基于蜜网系统，现有技术方案对于黑客网络攻击行为的分析通常都来源于shell命令行的分析，因其容易获取且能够反映出部分入侵者的攻击行为，但通过命令行得到的数据通常是已经攻击进入蜜罐后才能获取的，并不能很好的反应其破解方式，其次部分攻击者的IP与活动无法捕获，因此更为详细且具体的数据应当结合攻击者的其他数据。因此，本申请中通过对多源数据在真实场景中的实验与测试，得到由命令行日志(即命令行输入数据)、TCP连接日志(即TCP连接数据)、文件系统变化日志(即文件系统变化数据)与流量文件(即流量数据)共同组成的多源日志下的具体攻击行为数据。

攻击兴趣点是黑客在攻击过程中展现出的攻击兴趣，为了动态构建蜜网环境，需要对黑客在攻击过程中展现的攻击兴趣进行预测，从而针对黑客构建个性化的应对策略。攻击兴趣点不仅与蜜网构建相关，粒度粗细还应当适中，做到既能够有效地体现出黑客攻击中的攻击兴趣的转移，同时对蜜网动态构建决策的生成起到应有的帮助。根据现有技术预测攻击兴趣，预测结果的粒度过粗则难以生成实际的诱捕组件推荐结果，预测结果的粒度过细则大大加重了数据处理的难度和复杂程度，在现有的马尔科夫决策技术中，仅有7种状态用于分析和预测攻击行为，预测粒度过粗难以细化至具体的可推荐服务之上，因此需要对攻击兴趣点进行粒度粗细进行适当的划分。本申请对攻击兴趣点划分为5类，包括：硬件类攻击兴趣点、软件服务类攻击兴趣点、网络配置类攻击兴趣点、探测类攻击兴趣点、操作行为类攻击兴趣点。硬件类攻击兴趣点为黑客在攻击过程中展现的硬件配置环境需求，如CPU和GPU等；软件服务类攻击兴趣点为黑客在攻击过程中展现的软件服务需求，如redis、ssh和dns服务等；网络配置类攻击兴趣点为黑客在攻击过程中展现的特定网络环境需求，如网速大小和与外网是否联通等；探测类攻击兴趣点为黑客在攻击过程中展现的对蜜网进行的探测操作，如扫描80端口和扫描22端口等；操作行为类攻击兴趣点为黑客在攻击过程中展现的在蜜罐中进行的命令行操作行为，如修改密码和安装软件等。本发明中的攻击兴趣点分布如图3所示，硬件类攻击兴趣点有3项，软件服务类攻击兴趣点有66项，网络配置类攻击兴趣点有6项，探测类攻击兴趣点有53项，操作行为类攻击兴趣点有13项，总共攻击兴趣点有141项。可以理解的，攻击兴趣点数量可随着诱捕组件规模的扩充而增加，也可以根据攻击行为数据中识别出特定的特征，从而针对性扩充诱捕组件和攻击兴趣点。

对蜜网捕获的攻击行为数据进行分析和提取，得到黑客信息和攻击兴趣序列。如果攻击行为数据为实时捕获的，则对实时攻击行为数据进行分析和提取后，得到的黑客信息和攻击兴趣序列为实时黑客信息和实时攻击兴趣序列。如果攻击行为数据是历史数据，则对历史攻击行为数据进行分析和提取后，得到的黑客信息和攻击兴趣序列为历史黑客信息和历史攻击兴趣序列。例如，如图4所示，黑客id为a₁的历史攻击兴趣序列为Interestsequence＝{I_1,1,I_1,2,I_1,3,I_1,4,I_1,5,I_1,6,I_1,7}，其中每一个I_1,j(j≥1)都代表该黑客的历史攻击兴趣点，并且从左到右按照时间的顺序依次列出，多个黑客的历史攻击兴趣序列即可构成历史训练数据。

在一个实施例中，S120、基于黑客信息和实时攻击兴趣序列，根据预设的黑客攻击兴趣点预测模型，预测下一时刻黑客的攻击兴趣点，可以包括：

根据实时攻击兴趣序列，确定实时攻击兴趣会话序列；

将黑客信息和实时攻击兴趣会话序列，输入至黑客攻击兴趣点预测模型，输出各个预测的候选攻击兴趣点的概率；

从候选攻击兴趣点中选取概率最高的K个候选攻击兴趣点，作为下一时刻黑客的攻击兴趣点。

具体的，攻击兴趣会话序列是攻击兴趣序列构成的。假设黑客a的历史攻击兴趣序列为{I₁,I₂,I₃,...,I_n}，其中I_i(i∈[1,n])为黑客a在第i时刻的历史攻击兴趣点，本申请将多个攻击兴趣点包含在一起构成一个会话，则划分后的历史攻击兴趣会话序列为interestsession＝{C₁,C₂,C₃,...,C_S}，其中会话长度为|C_i|(i∈[1,S])，代表会话C_i中含有|C_i|个攻击兴趣点，且其中的攻击兴趣点也是按照时间顺序进行排列的。例如，C₁指含有一个攻击兴趣点I₁，C₂指含有两个攻击兴趣点，即I₂,I₃，以此类推。

黑客攻击兴趣点预测模型是预先训练好的模型，该模型输入为黑客信息(id)和攻击兴趣会话序列，可以理解的，在训练黑客攻击兴趣点预测模型时，输入的为历史黑客信息和历史攻击兴趣会话序列，进行实时防护时，黑客攻击兴趣点预测模型输入的为实时黑客信息和实时攻击兴趣会话序列。该模型输出为预测的各个攻击兴趣点的概率。

在进行训练黑客攻击兴趣点预测模型时，输入为黑客id和历史攻击兴趣会话序列，例如，黑客的id信息为a，假设该序列划分的攻击兴趣会话序列为{C₁,C₂,C₃,...,C_S-1,C_S}，则训练数据为train data＝{[C₁],[C₁,C₂],[C₁,C₂,C₃],...,[C₁,C₂,C₃,...,C_S-1]}，其中[C₁,C₂,C₃,...,C_S-1]代表该黑客对应的一条训练数据，该条训练数据为C₁到C_S-1的所有会话中的攻击兴趣点按照时间序列拼接起来形成的序列，对应的标签为label＝{C₂[0],C₃[0],C₄[0],...,C_S[0]}，且每条训练数据与标签和黑客id一一对应。其中，C₂[0]指的是C₂会话的第一个兴趣点，也就是C₁会话需要预测攻击兴趣点，以此类推，因此需要在每个会话的第一个兴趣点上打好标签用作训练。

根据预测的各个攻击兴趣点的概率，从中选出概率最高的K个候选攻击兴趣点，作为下一时刻黑客的攻击兴趣点。其中，K根据蜜网情况进行指定。

在一个实施例中，将黑客信息和实时攻击兴趣会话序列，输入至黑客攻击兴趣点预测模型，输出各个预测的候选攻击兴趣点的概率，包括：

对黑客信息和实时攻击兴趣会话序列进行读热编码，分别得到黑客向量和攻击兴趣向量；

对黑客向量和攻击兴趣向量进行嵌入操作，得到黑客嵌入向量和与黑客嵌入向量对应的攻击兴趣嵌入向量；

将攻击兴趣嵌入向量输入LSTM神经网络模型，得到隐藏层向量；

将隐藏层向量输入注意力机制层，得到隐藏向量；

根据双线性函数，确定隐藏向量及所有攻击兴趣嵌入向量的相似分数；

将相似分数进行归一化，得到各个预测的候选攻击兴趣点的概率。

具体的，假设id为a的黑客对应的一条训练数据为{C₁,C₂,C₃,...,C_S-1}，进行one-hot(读热编码)操作分别得到黑客向量a和对应的攻击兴趣向量V，然后再通过嵌入操作分别得到黑客的嵌入向量a′和攻击兴趣嵌入向量V′，具体计算如下所示：

a′＝a×A (1)

V′＝V×I (2)

式中：A∈R^|a|×d——黑客嵌入向量矩阵，|a|为黑客向量的维度，I∈R^i×d——攻击兴趣嵌入向量矩阵，i为进行one-hot操作后的攻击兴趣点的维度，d为嵌入向量的维度。

嵌入(embedding)是将一个离散变量转化为连续向量表示的一个方式，在神经网络中，嵌入不仅可以减少离散变量的空间维数，还可以有意义地表示该变量。

LSTM(Long Short-Term Memory，长短期记忆网络)神经网络模型是预先构建的模型。LSTM神经网络模型中每个神经网络单元的状态不仅与当前时刻的输入有关，还和上一时刻的神经网络单元状态信息相关。如图5所示为单个神经网络单元的结构示意图。

LSTM神经网络模型包含三个门结构：遗忘门、输入门和输出门。

遗忘门即决定要从神经网络单元中遗忘什么信息，上一时刻的神经网络单元中的参数b_t-1与p_t相乘，而p_t在0到1范围内，0表示完全保留信息，1表示完全删除信息，其中，遗忘门输出信息p_t：

p_t＝σ(W_p[h_t-1,x_t]+d_p) (3)

式中：σ为Sigmoid激活函数，W_p为遗忘门的权重矩阵，d_p为遗忘门的偏置项，h_t-1是上一时刻的隐藏向量，x_t是该时刻的攻击兴趣嵌入向量。

输入门即决定要更新神经网络单元的哪些值，其中，输入门输出信息q_t：

q_t＝σ(W_q[h_t-1,x_t]+d_q) (4)

式中：σ为Sigmoid激活函数，W_q为输入门的权重矩阵，d_q为输入门的偏置项。

需要更新的参数b_t为：

b_t＝tanh(W_C[h_t-1,x_t]+d_C) (5)

式中：σ为Sigmoid激活函数，W_C为权重矩阵，d_C为偏置项。

将q_t与b_t相乘加上经过遗忘门之后的值p_t即得到了更新后的神经网络单元参数b_t。

输出门的输出信息代表神经网络单元要对外输出什么信息，经过Sigmoid函数处理的k_t即代表输出神经网络单元的哪些状态值，将神经网络单元状态b_t经过tanh函数规范化处理之后与k_t相乘即输出了决定后的状态值，其中k_t计算方式如下：

k_t＝σ(W_k[h_t-1,x_t]+b_k) (6)

式中：σ为Sigmoid激活函数，W_k为输出门的权重矩阵，b_k为输出门的偏置项。

b₀和h₀为初始预设的值，然后在LSTM神经网络模型的训练过程中会不断更新这两个参数的值，从而确定最终的模型参数。

由于训练数据中的序列为变长数据，所以需要补齐到最长序列长度，使得最终的输入序列长度一致，但是在实际计算时，有效的是原本的序列而非后面补齐长度的序列，同时计算后面补齐的序列加入计算会浪费较多的计算资源和时间，故而需要特定的变长序列处理机制。首先将每条序列长度补齐到最大序列长度，然后做嵌入操作生成嵌入向量，再将填充过的变长序列“压紧”，将其输入到LSTM神经网络模型中得到输出，再将输出序列“填充”回来，得到标准的输出。

在一个实施例中，将攻击兴趣嵌入向量输入LSTM神经网络模型，得到隐藏层向量，可以包括：

将攻击兴趣嵌入向量、上一时刻的单元参数及上一时刻的隐藏层向量，输入LSTM神经网络模型，得到隐藏层向量。

其中，当前时刻的单元参数根据上一时刻的攻击兴趣会话及上一时刻的隐藏层向量经过所示LSTM神经网络模型的遗忘门和输入门得到。

如图6为单层LSTM神经网络模型，根据输入{x₁,x₂,...,x_n-1,x_n}得到输出{h₁,h₂,...,h_n-1,h_n}。假设此处n为最大序列长度，而当输入序列长度不为n时，需要将其填充至n长度，得到正常n长度的输出序列，同时为了减少计算资源消耗，避免计算资源浪费，一般将一组输入数据再进行压缩，分成多个小组输入，再记录下每个小组大小。例如，当输入一组长度不等的数据作为同一批次进行训练时，先按照序列长度大小进行排序，若最短有效序列为{x₁}且长度为1的序列只有一个，{x₁}则为该批次输入的最后一个序列。“压缩”即取所有序列第一项作为一组，记录长度并统一输入，{x₁}则位于第一组的最后一个位置，同理取所有序列第二项作为第二组，显然第二组长度小于序列数，对于{x₁}会在计算出h₁时停止计算，将h₁作为序列{x₁}的输出，再将输出{h₁}“填充”至n长度，因此对序列{x₁}的输出来讲，最终的输出仍然是长度为n的隐藏层向量，以便于后续的计算。

LSTM神经网络模型的主要训练过程为：LSTM的隐藏层向量h_n由上一时刻的隐藏层向量h_n-1和b_n-1以及输入x_n决定。其中x_n为攻击兴趣序列中的第n个攻击兴趣点的嵌入向量。h_n-1和b_n-1经过遗忘门和输入门之后得到当前时刻的参数b_n，计算方式如下：

b_n＝p_n*b_n-1+q_n*b_n (7)

式中：p_n为h_n-1经过LSTM神经网络模型的遗忘门得到的参数，q_n为h_n-1经过LSTM神经网络模型的输入门得到的参数，b_n为需要更新的参数。

神经网络参数b_n经过输出门即可得到隐藏层向量h_n，计算方式如下：

h_n＝k_n*tanh(b_n) (8)

式中：k_n为h_n-1经过LSTM神经网络模型的输出门得到的参数。

在为动态构建蜜网推荐诱捕组件时，由于往往不同黑客掌握的攻击手法不同以及自身技术水平不同，在攻击过程中对不同攻击兴趣点的重视程度也不同。因此，为了更好地预测黑客接下来的攻击兴趣点，在上述单层LSTM神经网络模型中，基于其隐藏状态{h₁,h₂,...,h_n-1,h_n}之上，增加注意力机制。注意力机制的基本工作流程如图7所示。

为了确定与输出相关的输入序列影响程度，需要引入一个和输出相关的查询向量Q，第i个输入向量用键Key_i(i∈[1,n])表示，通过一个打分函数F(Q,Key_i)计算每个输入向量和查询向量之间的相关性，得到分数f_i，将得到的分数进行归一化，得到每个相关性分数α_i。假设每个输入键Key_i对应的输出为值Value_i，则最终的输出为H。

f_i＝F(Q,Key_i) (9)

在一个实施例中，将隐藏层向量输入注意力机制层，得到隐藏向量，可以包括：

根据黑客信息及攻击兴趣嵌入向量，确定注意力机制层的权重；

根据权重及隐藏层向量，确定隐藏向量。

本申请中注意力机制层权重的计算实际上是黑客信息a与输入序列x之间的对齐关系，采用加性模型，则打分函数如公式(12)所示，经过归一化之后的输出权重α_i(即相关性分数)如公式(13)所示：

f_i＝F(Q,Key_i)＝F(a,x_i)＝v^T tanh(Wx_i+Ua) (12)

式中：v^T、W、U是可学习的网络参数。

由LSTM神经网络模型可知，LSTM神经网络模型模型隐藏层输出为隐藏层向量{h₁,h₂,...,h_n-1,h_n}，则最终输出的隐藏向量为h为：

该隐藏向量h即包含了关于攻击兴趣点的预测信息，将该信息进行下一步处理即可得到最终的攻击兴趣点预测结果。

随着蜜网规模的扩大，其捕获的攻击数据与能部署的蜜罐种类也越来越多，诱捕组件数量和攻击兴趣点也会随之扩大，为了适应大规模的需求，需要对模型进行一定的优化。通常在得到隐藏向量h时，会使用全连接层生成最终结果，使用全连接层意味着在这个过程中需要学习的参数为H×N，其中H为隐藏向量维度，N为候选攻击兴趣点的数目。

本申请采用一个双线性函数来计算隐藏向量和候选攻击兴趣点的相似分数S_i，计算方法如下所示：

S_i＝(interest-emb_i)^TBh (15)

其中：interest-emb_i为攻击兴趣点对应的攻击兴趣嵌入向量，B为双线性函数，其维度为D*N，其中D为攻击兴趣点对应的攻击兴趣嵌入向量的维度，h为LSTM神经网络模型的隐藏向量。

由上式可以看出，加入了双线性函数之后，该LSTM神经网络模型输出部分要学习的参数由原来的H×N变为了D×N，并且通常D远小于H，从而减少了要学习的参数数量。

在一个实施例中，将相似分数进行归一化，可以包括：

采用SoftMax函数对相似分数进行归一化处理。

具体的，SoftMax函数用于将双线性函数输出的相似分数进行归一化，生成最终预测的候选攻击兴趣点概率。

假设双线性函数输出的相似分数为{S₁,S₂,S₃,...,S_N}，S_i为第i个攻击兴趣点的相似分数，则最终预测的候选攻击兴趣点概率分布为{q₁,q₂,q₃,...,q_N}，其中预测的第i个候选攻击兴趣点的概率为q_i。

总共的攻击兴趣点总数为N，最终预测下一时刻黑客的攻击兴趣点为选取其中概率最高的K个候选攻击兴趣点。

可以理解的，攻击兴趣点-诱捕组件映射表是预先构建的对应表，该表格可以和划分的攻击兴趣点存储于同一存储器中，也可以存储于不同存储器中。还可以理解的，存储器可以是执行上述网路攻击防护方法的电子设备中的存储器，也可以是独立的具有存储功能的存储器，还可以是其他存储服务器等，这里对此不作限制。

由于预设的黑客攻击兴趣点预测模型得到的预测结果无法直接应用于蜜网动态构建决策中，所以需要将预测的攻击兴趣点映射到实际的诱捕组件，并生成相应的诱捕组件操作。根据攻击兴趣点类别的不同，会产生对诱捕组件的不同操作，本申请使用向量<trap name,operation object,operation action>作为在蜜网动态构建过程中对诱捕组件进行的操作，称为诱捕组件操作向量，其中trap name为要进行操作的诱捕组件名称，operation object为操作的对象，operation action为操作动作。在攻击兴趣点划分中，本申请共提取了5类攻击兴趣点，对于不同类别的攻击兴趣点，与诱捕组件应当有不同的映射关系，如下所示：

1)硬件类攻击兴趣点

硬件类攻击兴趣点指黑客在攻击过程中展现的硬件环境需求，由于硬件类环境与蜜网当中的硬件配置参数相关，故而硬件类攻击兴趣点对应的诱捕组件操作中需要改变硬件配置参数。假设当前黑客位于蜜罐hp当中，其攻击兴趣点为GPU，则诱捕组件操作向量为＜"GPU",hp,migrate＞，表示推荐的诱捕组件为“GPU”，因为GPU为硬件类参数，需要对目标蜜罐hp的物理位置进行迁移，迁移到含有GPU的蜜网主机中。

2)软件服务类攻击兴趣点

软件服务类攻击兴趣点指黑客在攻击过程中展现的软件服务需求，是黑客进行攻击、权限提升和横向移动等操作的所需软件环境，相应的软件服务中含有已知或者未知的漏洞，以诱使黑客进行攻击。假设当前预测的下一时刻攻击兴趣点是redis服务，则从诱捕组件数据管理中查找相关含有不同版本的redis服务的诱捕组件，于是最终生成多个诱捕组件操作向量，其中一个的操作向量形式可能为＜"redis:v3.2",,start＞，代表推荐的诱捕组件名称为“redis:v3.2”，操作对象为空，操作动作为start，即启动诱捕组件生成蜜罐。

3)网络配置类攻击兴趣点

网络配置类攻击兴趣点指黑客在攻击过程中展现的网络环境需求，基于SDN的蜜网环境能够对蜜网整体的网络结构和单一的蜜罐网络配置做出迅速更改，以适应蜜网动态构建的需求。假设当前黑客经过横向移动来到了蜜罐hp的内部，且接下来所需的攻击操作需要与外网进行互通，则蜜罐操作向量为＜"external network",hp,link＞，表示推荐的诱捕组件名称为“external network”,该诱捕组件专门管理蜜罐对外部网络的联通性，操作对象为hp，操作动作为与外网联通。

4)探测类攻击兴趣点

探测类攻击兴趣点指黑客在攻击过程中对周围环境的探测情况，可以有效的反应出黑客的攻击兴趣所在，但往往所探测的端口对应的常用软件服务有一个或者多个，于是推荐的诱捕组件也有一个或者多个。假设黑客探测53端口，经查询数据库得知，53端口常用软件服务为DNS服务且DNS服务对应的诱捕组件名称为“dns”，则生成的诱捕组件操作向量为＜"dns",,start＞，表示推荐的诱捕组件名称为“dns”，操作对象为空，操作动作为启动该诱捕组件生成含有DNS服务的蜜罐。

5)操作行为类攻击兴趣点

操作行为类攻击兴趣点指黑客在攻击过程中进行的与攻击密切相关的操作，主要是一些命令行操作，其中包含下载文件、运行文件和安装软件等操作，黑客往往通过控制主机，通过命令行对主机进行一些复杂的操作来达到攻击目的。假设当前黑客位于蜜罐hp当中，且接下来的攻击操作需要运行恶意文件，则生成的诱捕组件操作向量为＜"runmalicious file",hp,stop＞，表示诱捕组件的名称为“run malicious file”，操作对象为hp，操作动作为阻止运行恶意文件。

本申请提出了多源数据融合的方式，通过对命令行数据、文件系统变化日志、流量日志和tcp连接日志的共同用于分析提取攻击者的攻击兴趣序列，以时间为顺序，提取获得更加完备、准确的攻击数据用于分析，对攻击前中后期都有所分析统计。为后续的预测工作提供了更准确的数据。

经过对蜜网中黑客的攻击行为数据进行分析总结，并结合蜜网中的诱捕组件特点，本申请对攻击兴趣点进行了划分，细化的攻击兴趣点相比于现有技术能够直接对应至相应的服务之上，且对攻击兴趣序列的区分度更大。

由于攻击事件往往与时间相关，因此本申请提出了一种基于LSTM神经网络模型的预测方式，使得攻击行为和攻击兴趣大大增加了时间关联度，对一个完整的攻击序列做出更加准确的预测，并且能够记忆更长的序列信息，防止训练过程中的梯度消失问题。本申请在此基础上引入注意力机制，在获取攻击者的IP后，针对不同攻击者的习惯等因素，计算得到各个兴趣点与攻击者的权重关系，在预测中，得到对于特定攻击者更加准确的结果，提高预测准确率。

在本申请的方法基础上，不再受限于传统蜜罐结构固定，资源成本消耗过大的缺陷，从预测得到的攻击兴趣点出发，可为动态改变蜜网结构、开放黑客感兴趣的服务提供依据，构建一个资源利用率高且运行效果好的蜜网。

本申请能够根据黑客的攻击行为预测下一步攻击行为，因此可以针对黑客本身的攻击兴趣的转移进行个性化地改变蜜网结构蜜网，增加对黑客组织的吸引力，只需开放黑客感兴趣的服务，因此资源成本消耗大大降低。根据本发明的预测模型，动态调整蜜网结构，有针对性地推荐理想诱捕组件，从而为蜜网的动态构建提供决策依据。

本申请中选取蜜网集群中实际的捕获到的数据HoneyData，以及加拿大纽布伦斯维克大学(University of New Brunswick，UNB)提供的国际公开数据集Botnet2014对论文方法进行实验验证。为了使该实验的验证结果更可信，在数据集的处理上做了必要的规定：攻击数据集中对于黑客行为在一段时间内一个攻击兴趣点重复出现多次的，仅保留10次，同时过滤掉攻击兴趣序列小于5的序列。数据的原始形式为[aid,x₁,x₂,x₃,...,x_n]，其中aid为对黑客的编码，x_i(1≤i≤n)为编码为aid的黑客的攻击兴趣序列中的攻击兴趣点，对此数据进行会话划分可得[aid,C₁,C₂,C₃,...,C_T+1]。根据数据会话划分的结果生成的训练序列和其对应的标签形式为：([aid,C₁],C₂[0])，([aid,C₁∪C₂],C₃[0])，……，([aid,C₁∪C₂∪...∪C_T],C_T+1[0])。如图8所示，攻击兴趣点预测实验对比了本申请方法和马尔可夫模型(HMM)两种不同的方法，将训练序列随机分为训练集、验证集和测试集，大小比例为6：2：2，并计算了Recall@1、Recall@5、MRR@5、Recall@10和MRR@10五个指标来对比两个算法的性能。

其中，在序列推荐系统中常用的评价指标有召回率和平均倒数排名，故而在本实验中，也采用这两个评价指标来评价实验结果。假设本实验中攻击兴趣点总数为N，在实验结果中选取前K个攻击兴趣点作为预测结果集合，则召回率为Recall@K，则：

式中：n_test为测试集中测试数据的总数目，n_hit为黑客下一时刻的攻击兴趣点出现在实验中选取的前K个预测结果集合中的总数目。

对比结果得，本申请提出的网络分析处理方法在指标效果上要优于现有技术马尔可夫模型，主要原因在于本申请考虑了黑客本身在行为模式上一般不会有太大的变化，将黑客id与其序列关联了起来，其次还考虑了黑客的历史攻击兴趣序列对预测其下一个时刻攻击兴趣的影响，而马尔可夫算法仅仅考虑了上一时刻的攻击兴趣对下一个时刻攻击兴趣的影响。因此在解决黑客攻击兴趣的预测问题上，本申请提出的方法具有可行性与优势，根据其预测的结果能生成针对性很强的诱捕组件操作向量。

需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

Claims (7)

1.一种网络分析处理方法，其特征在于，所述方法包括：

对捕获的攻击行为数据进行提取，得到黑客信息和实时攻击兴趣序列；所述攻击兴趣序列为黑客在攻击中以时序展现的攻击兴趣点构成的序列；

基于所述黑客信息和所述实时攻击兴趣序列，根据预设的黑客攻击兴趣点预测模型，预测下一时刻黑客的攻击兴趣点；

根据所述下一时刻黑客的攻击兴趣点及攻击兴趣点-诱捕组件映射表，确定诱捕组件操作向量；

其中，所述基于所述黑客信息和所述实时攻击兴趣序列，根据预设的黑客攻击兴趣点预测模型，预测下一时刻黑客的攻击兴趣点，包括：

根据所述实时攻击兴趣序列，确定实时攻击兴趣会话序列；

将所述黑客信息和所述实时攻击兴趣会话序列，输入至所述黑客攻击兴趣点预测模型，输出各个预测的候选攻击兴趣点的概率；

从所述候选攻击兴趣点中选取概率最高的K个所述候选攻击兴趣点，作为所述下一时刻黑客的攻击兴趣点；

其中，所述将所述黑客信息和所述实时攻击兴趣会话序列，输入至所述黑客攻击兴趣点预测模型，输出各个预测的候选攻击兴趣点的概率，包括：

对所述黑客信息和所述实时攻击兴趣会话序列进行读热编码，分别得到黑客向量和攻击兴趣向量；

对所述黑客向量和所述攻击兴趣向量进行嵌入操作，得到黑客嵌入向量和与所述黑客嵌入向量对应的攻击兴趣嵌入向量；

将所述攻击兴趣嵌入向量输入LSTM神经网络模型，得到隐藏层向量；

将所述隐藏层向量输入注意力机制层，得到隐藏向量；

根据双线性函数，确定所述隐藏向量及所有所述攻击兴趣嵌入向量的相似分数；

将所述相似分数进行归一化，得到所述各个预测的候选攻击兴趣点的概率。

2.根据权利要求1所述的方法，其特征在于，所述将所述攻击兴趣嵌入向量输入LSTM神经网络模型，得到隐藏层向量，包括：

将所述攻击兴趣嵌入向量、上一时刻的单元参数及上一时刻的隐藏层向量，输入LSTM神经网络模型，得到所述隐藏层向量。

3.根据权利要求2所述的方法，其特征在于，当前时刻的单元参数根据所述上一时刻的攻击兴趣会话及所述上一时刻的隐藏层向量经过所述LSTM神经网络模型的遗忘门和输入门得到。

4.根据权利要求1所述的方法，其特征在于，所述将所述隐藏层向量输入注意力机制层，得到隐藏向量，包括：

根据所述黑客信息及所述攻击兴趣嵌入向量，确定所述注意力机制层的权重；

根据所述权重及所述隐藏层向量，确定所述隐藏向量。

5.根据权利要求1所述的方法，其特征在于，所述将所述相似分数进行归一化，包括：

采用SoftMax函数对所述相似分数进行归一化处理。

6.根据权利要求1-5任一项所述的方法，其特征在于，所述攻击行为数据包括流量数据、命令行输入数据、文件系统变化数据和TCP连接数据。

7.根据权利要求1-5任一项所述的方法，其特征在于，所述攻击兴趣点包括硬件类攻击兴趣点、软件服务类攻击兴趣点、网络配置类攻击兴趣点、探测类攻击兴趣点、操作行为类攻击兴趣点。

Images