CN115567305B - 基于深度学习的顺序网络攻击预测分析方法 - Google Patents
基于深度学习的顺序网络攻击预测分析方法 Download PDFInfo
- Publication number
- CN115567305B CN115567305B CN202211202173.2A CN202211202173A CN115567305B CN 115567305 B CN115567305 B CN 115567305B CN 202211202173 A CN202211202173 A CN 202211202173A CN 115567305 B CN115567305 B CN 115567305B
- Authority
- CN
- China
- Prior art keywords
- attack
- malicious
- deep learning
- event
- events
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 19
- 238000013135 deep learning Methods 0.000 title claims abstract description 14
- 238000013136 deep learning model Methods 0.000 claims abstract description 35
- 230000006399 behavior Effects 0.000 claims abstract description 19
- 238000000605 extraction Methods 0.000 claims abstract description 6
- 238000000034 method Methods 0.000 claims description 21
- 230000009471 action Effects 0.000 claims description 16
- 238000001514 detection method Methods 0.000 claims description 16
- 230000015654 memory Effects 0.000 claims description 12
- 238000012550 audit Methods 0.000 claims description 9
- 230000002457 bidirectional effect Effects 0.000 claims description 9
- 238000005457 optimization Methods 0.000 claims description 7
- 238000010276 construction Methods 0.000 claims description 6
- 208000024891 symptom Diseases 0.000 claims description 4
- 230000008859 change Effects 0.000 claims description 3
- 238000011160 research Methods 0.000 abstract description 3
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 238000013527 convolutional neural network Methods 0.000 description 4
- 230000002265 prevention Effects 0.000 description 4
- 238000012549 training Methods 0.000 description 4
- 230000001364 causal effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000008034 disappearance Effects 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000007787 long-term memory Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000000877 morphologic effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Artificial Intelligence (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于深度学习的顺序网络攻击预测分析方法,包括以下步骤:步骤S1:构建依赖图,通过依赖图指示攻击行为和非攻击行为;步骤S2:抽取时间戳事件;完成攻击行为和非攻击行为的事件的提取并按时间顺序进行时间戳标记;步骤S3:构建恶意事件序列,还原出可能存在的不同攻击场景;步骤S4:深度学习模型学习已有的攻击场景;步骤S5:恶意事件预测;对新的恶意事件序列由深度学习模型进行判别,对下一个时间节点最有可能发生的恶意事件给出推测。本发明对顺序攻击进行基于日志的研究,通过依赖图对可能存在的攻击场景完成简单的追溯,再通过深度学习模型学习到以往的攻击者的行为,对于未来可能发生的攻击事件进行预测。
Description
技术领域
本发明涉及网络安全检测及预测领域,尤其是基于深度学习的顺序网络攻击预测分析方法。
背景技术
随着时间的流逝,网络入侵的类型已经从原始的特洛伊木马和病毒转变为当前更常见的由无数的单独攻击组成的更复杂的顺序网络攻击。顺序网络攻击(Sequentialnetwork attacks,SNA)往往以多阶段网络攻击(multi-stage network attacks,MSA)的形式存在,其代表性的存在形式便是高级持久威胁(APT)。
顺序网络攻击需要执行一系列的攻击步骤,但是,各个步骤可能是良性的,也可能是恶意的,极个别的,每个攻击阶段都可以表现为良性阶段,不会引起任何怀疑。此外,攻击可能持续数周或数年,由于攻击阶段之间的时间变化,传统的入侵检测系统(IDS)可能无法检测到这些攻击。因此需要一种新的预测分析方法对其进行处理,在其攻击早期对其进行揭示,并尽可能的预判攻击者进一步的攻击策略,为网络管理员提供攻击防范的依据。
发明内容
本发明要解决的技术问题是:提供一种基于深度学习的顺序网络攻击预测分析方法,能够对下一个时间节点最有可能发生的恶意事件给出推测,为网络管理员提供攻击防范的依据。
本发明解决其技术问题所采用的技术方案是:基于深度学习的顺序网络攻击预测分析方法,包括以下步骤:
步骤S1:构建依赖图;将不同源的历史审计日志数据,抽取系统操作事件转换为依赖图,通过依赖图指示攻击行为和非攻击行为;
步骤S2:抽取时间戳事件;完成攻击行为和非攻击行为的事件的提取并按时间顺序进行时间戳标记;
步骤S3:构建恶意事件序列;基于时间戳事件集合,从不同检测点开始抽取恶意事件序列,还原出可能存在的不同攻击场景;
步骤S4:深度学习模型进行学习;恶意事件序列转换成恶意事件数字向量,深度学习模型通过抽取恶意事件数字向量,学习已有的攻击场景;
步骤S5:恶意事件预测;对新的恶意事件序列由深度学习模型进行判别,对下一个时间节点最有可能发生的恶意事件给出推测。
具体地,在步骤S1中依赖图的构建方法包括:
依赖图由节点组成,节点代表主体和对象,代表主体的节点和代表对象的节点统称为事件实体,代表主体的节点和代表对象的节点与边相连,边代表主体和对象之间的操作。
构建依赖图之后还包括依赖图优化,依赖图的优化方法包括:
(1)删除了攻击节点和攻击症状节点不可达的节点和边;(2)删除了同一主体和对象之间没有导致状态变化的重复动作的边;(3)合并相同事件的不同主体和对象描述。
具体地,步骤S3中,所述恶意事件序列为由检测点开始挖掘的,与恶意实体有直接或间接关系的攻击事件所形成的事件序列。
具体地,步骤S4中恶意事件序列转换成恶意事件数字向量包括:
采用了词表示嵌入的方法将恶意事件序列转化为恶意事件数字向量。
具体地,所述深度学习模型采用双向长短时记忆网络(BiLSTM)以及单向长短时记忆网络(LSTM)结构堆叠的方式,对新的恶意事件进行判别。
具体地,步骤S5中恶意事件预测包括:
首先通过已知的攻击检测点,进行攻击场景重构,或者是基于n个时间节点内的依赖图,得到新的恶意事件序列,
然后对形成的恶意事件序列进行向量化处理,再输入到已经训练好的深度学习模型中;
深度学习模型对新的恶意事件分别进行判别,对下一个时间节点最有可能发生的恶意事件给出推测。
本发明的有益效果是:本发明对顺序攻击进行基于日志的研究,并采用深度学习的相关技术进行顺序攻击的预测分析。从一个已知的检测点开始,通过依赖图对可能存在的攻击场景完成简单的追溯,再通过深度学习模型学习到以往的攻击者的行为,对于未来可能发生的攻击事件进行预测。本发明能够对下一个时间节点最有可能发生的恶意事件给出推测,为网络管理员提供攻击防范的依据。
附图说明
下面结合附图对本发明进一步说明。
图1为本发明的基于深度学习的顺序网络攻击预测分析方法的流程示意图;
图2为本发明的从已知攻击实体{A,C}中提取恶意事件邻域图的工作示意框图;
图3为本发明的从已知攻击实体{A}中提取恶意事件依赖图的工作示意框图;
图4为本发明的从历史审计日志数据训练恶意事件预测的深度学习模型的流程示意图;
图5为本发明采用的恶意事件序列学习及预测的双向长短时记忆网络框架图;
图6为本发明训练的深度学习模型的预测层次;
图7为本发明的从攻击检测点开始进行攻击场景重构和恶意事件预测的流程示意图。
具体实施方式
现在结合附图对本发明作进一步的说明。这些附图均为简化的示意图仅以示意方式说明本发明的基本结构,因此其仅显示与本发明有关的构成。
如图1所示,一种基于深度学习的顺序网络攻击预测分析方法,包括以下步骤:
步骤S1:构建依赖图;将不同源的历史审计日志数据,抽取系统操作事件转换为依赖图,通过依赖图指示攻击行为和非攻击行为;
步骤S2:抽取时间戳事件;完成攻击行为和非攻击行为的事件的提取并按时间顺序进行时间戳标记;
步骤S3:构建恶意事件序列;基于时间戳事件集合,从不同检测点开始抽取恶意事件序列,还原出可能存在的不同攻击场景;
步骤S4:深度学习模型进行学习;恶意事件序列转换成恶意事件数字向量,深度学习模型通过抽取恶意事件数字向量,学习已有的攻击场景;
步骤S5:恶意事件预测;对新的恶意事件序列由深度学习模型进行判别,对下一个时间节点最有可能发生的恶意事件给出推测。
具体地,在步骤S1中依赖图的构建方法包括:
依赖图由节点组成,节点代表主体和对象,代表主体的节点和代表对象的节点统称为事件实体,代表主体的节点和代表对象的节点与边相连,边代表主体和对象之间的操作。
针对所使用的审计日志数据,攻击调查通常从审计日志中收集有关攻击的数据开始,例如系统事件、DNS查询和浏览器事件等等,在此,本发明没有特别局限系统操作的具体粒度和级别。本发明通过依赖图的形式表示审计日志,用作取证工具,指示主体\subject(e.g.,processes)和对象(受体)\objects(e.g.,files or connections)之间的因果关系。依赖图由节点组成,节点代表主体和客体,统称为事件实体,与边相连,边代表主体和客体之间的操作(e.g.,read or connect)。本发明中优选的考虑有向循环因果图,它的边从一个主体指向一个对象(受体)。
构建依赖图之后还包括依赖图优化,依赖图的优化方法包括:
(1)删除了攻击节点和攻击症状节点不可达的节点和边;由于攻击首先是从攻击节点和攻击症状节点发起,逐步向系统入侵,如果无法到达,则节点就无法被感染。(2)删除了同一主体和对象之间没有导致状态变化的重复动作的边;同一主体和对象可能在一段时间内重复进行某个动作,比如进程和IP地址的反复通信。(3)合并相同事件的不同主体和对象描述。
针对优化后的依赖图进行的时间戳事件抽取,其中一个事件ε是由四元组(src,action,dest,t)构成,源(src,主体)和目标(dest,对象)是与一个动作(action,操作)相关的两个实体,t是显示事件发生时间的时间戳。例如,给定一个实体Firefox.exe和一个动作open,从节点Firefox.exe到节点Word.doc的时间戳为t,那么(Firefox.exe,open,Word.doc,t)便是代表Firefox进程在时间t打开Word文件的事件。
本发明通过时间顺序提取时间戳事件,并完成时间戳事件的提取后,再进行词形还原,以将单词的不同变形形式分组为单个术语,方便学习以及预测。例如,</system/process/malicious.exe read/user/secret.pdf>转换为<system_process read user_file>。
具体地,步骤S3中,所述恶意事件序列为由检测点开始挖掘的,与恶意实体有直接或间接关系的攻击事件所形成的事件序列。
本发明提出了两个不同层级的恶意活动场景构建方式,即基于恶意实体邻域图的恶意事件序列构建以及基于恶意实体依赖图的恶意事件序列构建。
给定一个依赖图,如果两个节点u和v由一条边连接,则称它们为邻居。节点n的邻域是由节点n和连接相邻节点与节点n的边组成的G的子图。如图2所示,由两个攻击实体{A,C},基于其直接关系的邻域图组成的攻击事件集合对应于虚线框内的标注部分,而实体{E}由于不存在直接关系则被排除于外。
相对而言,基于一般依赖图的方式,本发明不会对于恶意实体的所有依赖关系进行全面的关注,只会关注在一定时间点内的依赖事件,如图3所示,对于恶意实体{A},在6个时间节点内的所有间接有关事件都被标记为了攻击事件,但根据不同需求也将会忽视一定时间范围后的事件。
具体地,步骤S4中恶意事件序列转换成恶意事件数字向量包括:
采用了词表示嵌入的方法将恶意事件序列转化为恶意事件数字向量。
本发明在考虑攻击事件和非攻击事件前后语义的重要性时,为了保留上下文的语义关系,采用了词表示嵌入的方法来将序列转化为数字向量,通过嵌入层将恶意事件序列中每个单词所给予的不同索引号转换为嵌入向量。其中,嵌入层能接受不同长度的输入,而它的“最大输入长度”表示深度学习模型本身所能处理的恶意事件序列中最大的单词长度(每个恶意事件包含<subject,action,object>三个不同单词),优选的将深度学习模型的“最大输入长度”参数设置为400,既能确保深度学习模型能够接受足够长度的恶意事件,又能更好的应对较长的序列会导致的梯度消失的问题。深度学习模型的嵌入层的输出,即“嵌入向量大小”表示每个输入单词的输出向量大小,优选的将其设置为128。
具体地,所述深度学习模型采用双向长短时记忆网络(BiLSTM)以及单向长短时记忆网络(LSTM)结构堆叠的方式,完成对于未来新的不同的恶意事件产生概率的判别。
优选的,卷积神经网络(CNN)在图类型数据应用上也有良好效果,本发明在双向长短时记忆网络基础上加入了卷积神经网络CNN,对于数字向量进行初步的特征提取。如图5所示,一维卷积层(Conv1d)在学习空间特征方面被证明是有效的,比如学习相邻的单词等任务。其中Filters参数表示卷积层(Conv1d)中的输出卷积核大小,本发明将其设置为64以期待更好的结果。衔接的Max pooling层和Dropout层则降低了输入维数,并最大限度地减少训练时间以及缓解训练过度拟合等问题。考虑双向长短时记忆网络(BiLSTM)结构能够比单一的LSTM结构更好的学习攻击流程的上下文关系,综合采用双向长短时记忆网络(BiLSTM)以及单向长短时记忆网络(LSTM)结构堆叠的方式,增加网络的非线性,在双向考虑前后信息的同时突出从前向后信息传播的强度。为了使模型更有效地从顺序数据中学习,BiLSTM结构(bi di rectional)的输出大小参数设置为512,而堆叠的单向LSTM结构(LSTM)的输出大小参数则设置为256。
最后,使用Flatten层压平LSTM结构不同维度的输出,通过Dense层的方式,完成对于未来不同恶意事件产生概率的判别。Dense层的“输出长度”参数指定整体模型的输出长度大小,由于本发明设定的词汇表总共包含30个单词,在此将之设定为30。Dense层的“激活函数”设置为Sigmoid,最终将不同单词的预测概率表示为0到1之间的单个值。
具体在本实施例中,为了使深度学习模型能够接受一个可变长度的输入序列,在具体进行模型训练前需要先截取每一个恶意事件序列不同时间长度的子集。而对于具体的预测目标,如图6所示,本发明分为了实体级预测、操作级预测和事件级预测,以图2基于恶意实体{A,C}的领域图所得到的恶意事件序列S为例,S={(A,read,B,T1)、(A,write,B,T2)、(C,fork,D,T3)、(C,execute,F,T5)、(A,delete,F,T6)},通过深度学习模型,恶意事件序列S在T7得到实体级预测的C,即S+( )→(C),T7;通过S以及恶意事件主体C在T7得到操作级预测的为read,即S+(C)→(C,read),T7;通过S以及(C,read)得到事件级预测为(C,read,B),即S+(C,read)→(C,read,B),T7。
图7表示了恶意事件预测的具体流程,考虑到即便是正在经历相同类型的攻击,某个恶意事件将跟随或先于另一个恶意事件,本发明将恶意事件的预测问题转换为一个发生概率排序的问题,通过学习了已有攻击场景的深度学习模型,再度接受一个可变长度的输入序列{e1,e2,e3…,et}并完成对于目标事件et+1的预测。
步骤S5中恶意事件预测包括以下内容:
首先通过已知的攻击检测点(已知的恶意实体节点集合),进行攻击场景重构,或者是基于n个时间节点内的依赖图,得到新的恶意事件序列,
然后对形成的恶意事件序列进行向量化处理,再输入到已经训练好的深度学习模型中;
深度学习模型对新的恶意事件分别进行判别,对下一个时间节点最有可能发生的恶意事件给出推测。
具体在本实施例中,深度学习模型对新的恶意事件的判别及推测过程具体如下:对形成的新的恶意事件序列进行词嵌入,再输入到已经训练好的深度学习模型中,深度学习模型对下一个恶意事件的主体可能的不同选项给出一个预测分数,由此得到最有可能的N个恶意事件主体,N个恶意事件主体保留在攻击场景图(Attack Scenraio Graphs)中;之后,再结合新的攻击场景图重复上述步骤,对保留的N个恶意事件主体预测不同恶意事件主体有关的恶意事件操作,给出不同(Subject,Action)二元组的预测分数,由此再度得到最有可能的N个(Subject,Action)二元组保留在攻击场景图(Attack Scenraio Graphs)中;最后,重复上述步骤,对保留的N个(Subject,Action)二元组,预测目标恶意事件受体,最终完成对下一个时间节点最有可能发生的恶意事件给出推测,给出不同(Subject,Action,Object)恶意事件三元组的预测分数,得到最有可能的N个(Subject,Action,Object)恶意事件三元组保留在攻击场景图(Attack Scenraio Graphs)中,并给出推荐展示。
在顺序攻击事件的分析过程中,审计日志数据往往是不可或缺的。它们记录了各种关键时刻的系统状态和重大事件,以帮助调试性能问题和故障,并进行根本原因分析,因此它们是在线监控和异常/攻击检测的良好信息来源。此外,由于系统日志记录了活跃运行进程中发生的值得注意的事件,这样的日志数据在几乎所有的计算机系统中都是普遍可用的。
因此,本发明对顺序攻击进行基于日志的研究,并采用深度学习的相关技术进行顺序攻击的预测分析。从一个已知的检测点开始,通过依赖图对可能存在的攻击场景完成简单的追溯,再通过深度学习模型学习到以往的攻击者的行为,对于未来可能发生的攻击事件进行预测。本发明能够对下一个时间节点最有可能发生的恶意事件给出推测,为网络管理员提供攻击防范的依据。
为了增加顺序攻击分析的自动化进程、融合不同源审计日志数据以及减少存储和运行开销等问题,本发明针对日志类型的攻击分析数据,基于独立于平台的依赖图,并通过图优化算法对依赖爆炸的依赖图进行处理,在不牺牲攻击调查的关键语义的情况下降低日志复杂性。
在攻击场景构建与分析方面,本发明同时考虑了邻域图以及n时间节点内依赖图两个不同角度的恶意事件序列构建。不同于当前主流的被动式攻击检测,以及通过攻击依赖图针对已经发生的攻击事件进行攻击回溯等网络安全管理用例,本发明主要关注于如何进行主动式攻击预测。通过构建基于四元组(主体,行动,对象,时间戳)恶意事件的攻击事件序列,在其攻击早期对其进行揭示,并尽可能的预判攻击者进一步可能发动的攻击操作。
本发明尽量减少专家分析知识的需求,为了保留上下文的语义关系,采用了词表示嵌入的方法来将序列转化为数字向量,采用双向长短时记忆网络(BiLSTM)以及单向长短时记忆网络(LSTM)结构堆叠的方式,更好的捕捉攻击事件序列中双向的依赖关系。
以上述依据本发明的理想实施例为启示,通过上述的说明内容,相关工作人员完全可以在不偏离本项发明技术思想的范围内,进行多样的变更以及修改。本项发明的技术性范围并不局限于说明书上的内容,必须要根据权利要求范围来确定其技术性范围。
Claims (4)
1.基于深度学习的顺序网络攻击预测分析方法,其特征在于,包括以下步骤:
步骤S1:构建依赖图;将不同源的历史审计日志数据,抽取系统操作事件转换为依赖图,通过依赖图指示攻击行为和非攻击行为;
步骤S2:抽取时间戳事件;完成攻击行为和非攻击行为的事件的提取并按时间顺序进行时间戳标记;
步骤S3:构建恶意事件序列;基于时间戳事件集合,从不同检测点开始抽取恶意事件序列,还原出可能存在的不同攻击场景;
步骤S4:深度学习模型进行学习;恶意事件序列转换成恶意事件数字向量,深度学习模型通过抽取恶意事件数字向量,学习已有的攻击场景;
步骤S5:恶意事件预测;对新的恶意事件序列由深度学习模型进行判别,对下一个时间节点最有可能发生的恶意事件给出推测;
步骤S4中恶意事件序列转换成恶意事件数字向量包括:
采用了词表示嵌入的方法将恶意事件序列转化为恶意事件数字向量;
步骤S5中恶意事件预测包括:
首先通过已知的攻击检测点,进行攻击场景重构,或者是基于n个时间节点内的依赖图,得到新的恶意事件序列,
然后对形成的恶意事件序列进行向量化处理,再输入到已经训练好的深度学习模型中;
深度学习模型对新的恶意事件分别进行判别,对下一个时间节点最有可能发生的恶意事件给出推测。
2.根据权利要求1所述的基于深度学习的顺序网络攻击预测分析方法,其特征在于,在步骤S1中依赖图的构建方法包括:
依赖图由节点组成,节点代表主体和对象,代表主体的节点和代表对象的节点统称为事件实体,代表主体的节点和代表对象的节点与边相连,边代表主体和对象之间的操作;
构建依赖图之后还包括依赖图优化,依赖图的优化方法包括:
(1)删除了攻击节点和攻击症状节点不可达的节点和边;(2)删除了同一主体和对象之间没有导致状态变化的重复动作的边;(3)合并相同事件的不同主体和对象描述。
3.根据权利要求1所述的基于深度学习的顺序网络攻击预测分析方法,其特征在于,步骤S3中,
所述恶意事件序列为由检测点开始挖掘的,与恶意实体有直接或间接关系的攻击事件所形成的事件序列。
4.根据权利要求1所述的基于深度学习的顺序网络攻击预测分析方法,其特征在于,所述深度学习模型采用双向长短时记忆网络以及单向长短时记忆网络结构堆叠的方式,对新的恶意事件进行判别。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211202173.2A CN115567305B (zh) | 2022-09-29 | 2022-09-29 | 基于深度学习的顺序网络攻击预测分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211202173.2A CN115567305B (zh) | 2022-09-29 | 2022-09-29 | 基于深度学习的顺序网络攻击预测分析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115567305A CN115567305A (zh) | 2023-01-03 |
| CN115567305B true CN115567305B (zh) | 2024-05-07 |
Family
ID=84743473
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211202173.2A Active CN115567305B (zh) | 2022-09-29 | 2022-09-29 | 基于深度学习的顺序网络攻击预测分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115567305B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116886379B (zh) * | 2023-07-21 | 2024-05-14 | 鹏城实验室 | 网络攻击重构方法、模型的训练方法及相关装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9967265B1 (en) * | 2015-09-29 | 2018-05-08 | EMC IP Holding Company LLC | Detecting malicious online activities using event stream processing over a graph database |
| CN112333195A (zh) * | 2020-11-10 | 2021-02-05 | 西安电子科技大学 | 基于多源日志关联分析的apt攻击场景还原检测方法及系统 |
| CN112839039A (zh) * | 2021-01-05 | 2021-05-25 | 四川大学 | 一种网络威胁事件攻击场景交互式自动还原方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11089035B2 (en) * | 2017-12-11 | 2021-08-10 | Radware Ltd. | Techniques for predicting subsequent attacks in attack campaigns |
| US11423146B2 (en) * | 2019-08-27 | 2022-08-23 | Nec Corporation | Provenance-based threat detection tools and stealthy malware detection |
-
2022
- 2022-09-29 CN CN202211202173.2A patent/CN115567305B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9967265B1 (en) * | 2015-09-29 | 2018-05-08 | EMC IP Holding Company LLC | Detecting malicious online activities using event stream processing over a graph database |
| CN112333195A (zh) * | 2020-11-10 | 2021-02-05 | 西安电子科技大学 | 基于多源日志关联分析的apt攻击场景还原检测方法及系统 |
| CN112839039A (zh) * | 2021-01-05 | 2021-05-25 | 四川大学 | 一种网络威胁事件攻击场景交互式自动还原方法 |
Non-Patent Citations (4)
| Title |
|---|
| A Review of APT Attack Detection Methods and Defense Strategies;Kai Xing;《2020 IEEE Fifth International Conference on Data Science in Cyberspace (DSC)》;20200821;全文 * |
| 基于深度学习技术的恶意攻击的分析与识别;张超群;韦川源;梁刚;黑小龙;朱旭东;;计算机应用研究;20200630(S1);全文 * |
| 基于系统溯源图的威胁发现与取证分析综述;冷涛;《通信学报》;20220722;全文 * |
| 面向智能攻击的行为预测研究;马钰锡;《软件学报》;20210509;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115567305A (zh) | 2023-01-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ElSayed et al. | A novel hybrid model for intrusion detection systems in SDNs based on CNN and a new regularization technique | |
| Muna et al. | Identification of malicious activities in industrial internet of things based on deep learning models | |
| Lee et al. | Cyber threat detection based on artificial neural networks using event profiles | |
| CN108494810B (zh) | 面向攻击的网络安全态势预测方法、装置及系统 | |
| Do et al. | Deep learning for phishing detection: Taxonomy, current challenges and future directions | |
| US10832083B1 (en) | Advanced image recognition for threat disposition scoring | |
| JP2019145107A (ja) | 機械学習モデルを用いてeメールネットワークを保護するサイバー脅威防御システム | |
| Tran et al. | An approach for host-based intrusion detection system design using convolutional neural network | |
| CN111783442A (zh) | 入侵检测方法、设备和服务器、存储介质 | |
| Tabash et al. | Intrusion detection model using naive bayes and deep learning technique. | |
| CN111538842A (zh) | 网络空间态势的智能感知和预测方法、装置和计算机设备 | |
| CN113486334A (zh) | 网络攻击预测方法、装置、电子设备及存储介质 | |
| Dou et al. | Pc 2 a: predicting collective contextual anomalies via lstm with deep generative model | |
| CN115567305B (zh) | 基于深度学习的顺序网络攻击预测分析方法 | |
| Muslihi et al. | Detecting SQL injection on web application using deep learning techniques: a systematic literature review | |
| Vijayalakshmi et al. | Hybrid dual-channel convolution neural network (DCCNN) with spider monkey optimization (SMO) for cyber security threats detection in internet of things | |
| Nandanwar et al. | Deep learning enabled intrusion detection system for Industrial IOT environment | |
| Goyal et al. | A semantic machine learning approach for cyber security monitoring | |
| Alosefer et al. | Predicting client-side attacks via behaviour analysis using honeypot data | |
| CN116545679A (zh) | 一种工业情境安全基础框架及网络攻击行为特征分析方法 | |
| Bar et al. | Scalable attack propagation model and algorithms for honeypot systems | |
| Priyansh et al. | Durbin: A comprehensive approach to analysis and detection of emerging threats due to network intrusion | |
| Termos et al. | Intrusion Detection System for IoT Based on Complex Networks and Machine Learning | |
| Lopez et al. | Detecting the Insider Threat with Long Short Term Memory (LSTM) Neural Networks | |
| Azeroual et al. | A framework for implementing an ml or dl model to improve intrusion detection systems (ids) in the ntma context, with an example on the dataset (cse-cic-ids2018) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |