CN115622793A - 一种攻击类型识别方法、装置、电子设备及存储介质 - Google Patents

一种攻击类型识别方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN115622793A
CN115622793A CN202211419857.8A CN202211419857A CN115622793A CN 115622793 A CN115622793 A CN 115622793A CN 202211419857 A CN202211419857 A CN 202211419857A CN 115622793 A CN115622793 A CN 115622793A
Authority
CN
China
Prior art keywords
graph
graph structure
log
alarm
attention network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211419857.8A
Other languages
English (en)
Inventor
安晓宁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202211419857.8A priority Critical patent/CN115622793A/zh
Publication of CN115622793A publication Critical patent/CN115622793A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种攻击类型识别方法、装置、电子设备及存储介质,该方法包括:从待处理的多条告警日志的每条告警日志中提取出多个特征属性值,获得多组特征属性值;以告警日志为节点,以多组特征属性值之间的相似程度为边,构建图结构;对多条告警日志中的每条告警日志进行编码,获得节点的编码向量;使用图注意力网络模型根据节点的编码向量对图结构进行类型识别,获得图结构的攻击类型。由于图注意力网络模型在训练过程中已经学习了所有历史告警日志的规则,无需人工编写新规则,所以使用图注意力网络模型能够有效地预测出未知攻击。

Description

一种攻击类型识别方法、装置、电子设备及存储介质
技术领域
本申请涉及人工智能、计算机安全和网络安全的技术领域,具体而言,涉及一种攻击类型识别方法、装置、电子设备及存储介质。
背景技术
目前,识别出告警日志的攻击类型方式大都是,采用规则指纹库或者规则模板库来匹配出告警日志的攻击类型,具体例如:使用Pcap等软件采集告警日志,对告警日志进行预处理(例如:事件格式统一化、无用安全事件的过滤、重复事件归并处理),获得预处理后的日志;然后,使用规则指纹库或者规则模板库匹配出预处理后的日志对应的攻击类型。在具体的实践过程中发现,使用规则指纹库或者规则模板库难以预测出未知攻击类型。
发明内容
本申请实施例的目的在于提供一种攻击类型识别方法、装置、电子设备及存储介质,用于改善难以预测出未知攻击类型的问题。
本申请实施例提供了一种攻击类型识别方法,包括:从待处理的多条告警日志的每条告警日志中提取出多个特征属性值,获得多组特征属性值;以告警日志为节点,以多组特征属性值之间的相似程度为边,构建图结构;对多条告警日志中的每条告警日志进行编码,获得节点的编码向量;使用图注意力网络模型根据节点的编码向量对图结构进行类型识别,获得图结构的攻击类型。在上述方案的实现过程中,由于图注意力网络模型在训练过程中已经学习了所有历史告警日志的规则,无需人工编写新规则,所以使用图注意力网络模型进行类型识别,从而避免了在规则指纹库或者规则模板库加入人工编写未知攻击类型的新规则的情况,因此,使用图注意力网络模型有效地预测出未知攻击。
可选地,在本申请实施例中,对多条告警日志中的每条告警日志进行编码,包括:使用One-Hot编码对多条告警日志中的每条告警日志进行编码。
可选地,在本申请实施例中,构建图结构,包括:针对图结构中的任意两个节点,判断两个节点的特征属性值之间的相似程度是否大于相似度阈值;若是,则在图结构中创建一条连接两个节点之间的边。
可选地,在本申请实施例中,使用图注意力网络模型根据节点的编码向量对图结构进行类型识别,包括:根据图结构生成告警日志的邻接矩阵;使用图注意力网络模型根据节点的编码向量对邻接矩阵进行类型识别。在上述方案的实现过程中,通过使用图注意力网络模型根据节点的编码向量对邻接矩阵进行类型识别,从而避免了直接使用图结构来参与计算导致计算量大且内存消耗过多的问题,有效地降低了计算复杂度和内存消耗。
可选地,在本申请实施例中,在使用图注意力网络模型根据节点的编码向量对图结构进行类型识别之前,还包括:获取样本数据和样本标签,样本数据包括:样本日志对应的图结构和编码向量,样本标签是图结构的攻击类型;以样本数据为训练数据,以样本标签为训练标签,对图注意力网络进行训练,获得图注意力网络模型。在上述方案的实现过程中,通过对图注意力网络进行训练,获得图注意力网络模型,从而使用图注意力网络模型对告警日志的图结构和编码向量进行类型识别,从而避免了在规则指纹库或者规则模板库加入人工编写未知攻击类型的新规则的情况,因此,使用图注意力网络模型能够有效地预测出未知攻击类型。
可选地,在本申请实施例中,对图注意力网络进行训练,包括:使用图注意力网络对样本日志对应的图结构和编码向量进行预测,获得图结构的预测类型;计算图结构的预测类型与样本标签中的攻击类型之间的损失值;根据损失值对图注意力网络进行训练。
本申请实施例还提供了一种攻击类型识别装置,包括:告警日志提取模块,用于从待处理的多条告警日志的每条告警日志中提取出多个特征属性值,获得多组特征属性值;特征属性确定模块,用于以告警日志为节点,以多组特征属性值之间的相似程度为边,构建图结构;编码向量获得模块,用于对多条告警日志中的每条告警日志进行编码,获得节点的编码向量;攻击类型识别模块,用于使用图注意力网络模型根据节点的编码向量对图结构进行类型识别,获得图结构的攻击类型。
可选地,在本申请实施例中,编码向量获得模块,包括:One-Hot编码子模块,用于使用One-Hot编码对多条告警日志中的每条告警日志进行编码。
可选地,在本申请实施例中,节点边图构建单元,包括:相似程度判断子单元,用于针对图结构中的任意两个节点,判断两个节点的特征属性值之间的相似程度是否大于相似度阈值;节点的边创建子单元,用于若两个节点之间的相似程度大于相似度阈值,则在图结构中创建一条连接两个节点之间的边。
可选地,在本申请实施例中,攻击类型识别模块,包括:邻接矩阵生成子模块,用于根据图结构生成告警日志的邻接矩阵;网络模型识别子模块,用于使用图注意力网络模型根据节点的编码向量对邻接矩阵进行类型识别。
可选地,在本申请实施例中,攻击类型识别装置,还包括:数据标签获取模块,用于获取样本数据和样本标签,样本数据包括:样本日志对应的图结构和编码向量,样本标签是样本日志对应图结构的攻击类型;网络模型训练模块,用于以样本数据为训练数据,以样本标签为训练标签,对图注意力网络进行训练,获得图注意力网络模型。
可选地,在本申请实施例中,网络模型训练模块,包括:预测类别获得子模块,用于使用图注意力网络根据样本日志的编码向量对样本日志对应的图结构进行预测,获得图结构的预测类型;损失值计算子模块,用于计算图结构的预测类型与样本标签中的攻击类型之间的损失值;注意力网络训练子模块,用于根据损失值对图注意力网络进行训练。
本申请实施例还提供了一种电子设备,包括:处理器和存储器,存储器存储有处理器可执行的机器可读指令,机器可读指令被处理器执行时执行如上面描述的方法。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如上面描述的方法。
本申请实施例的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请实施例中的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出的本申请实施例提供的攻击类型识别方法的流程示意图;
图2示出的本申请实施例提供的告警日志构建的图结构的示意图;
图3示出的本申请实施例提供的攻击类型识别装置的结构示意图;
图4示出的本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请实施例中的一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请实施例的详细描述并非旨在限制要求保护的本申请实施例的范围,而是仅仅表示本申请实施例中的选定实施例。基于本申请实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请实施例保护的范围。
可以理解的是,本申请实施例中的“第一”、“第二”用于区别类似的对象。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
在介绍本申请实施例提供的攻击类型识别方法之前,先介绍本申请实施例中所涉及的一些概念:
入侵检测系统(Intrusion Detection Systems,IDS),是指依照一定的安全策略,通过软件或者硬件对网络和系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性的软件系统。
入侵预防系统(Intrusion Prevention System,IPS),又称为入侵侦测与预防系统(intrusion detection and prevention systems,IDPS),是计算机网络安全设施,是对防病毒软件和防火墙的补充。
网络安全设备(Network Security Device,NSD),是指部署在调度内部网与外部网之间、专用网与公共网之间的一组软件和硬件设备,用于构成内部网与外部网之间、专用网与公共网之间界面上的保护屏障。此处的NSD可以包括横向隔离装置、纵向加密认证装置、防火墙、防病毒系统、入侵检测系统(IDS)或入侵预防系统(IPS)等。
需要说明的是,本申请实施例提供的攻击类型识别方法可以被电子设备执行,这里的电子设备是指具有执行计算机程序功能的设备终端或者服务器,设备终端例如:智能手机、个人电脑、平板电脑、个人数字助理或者移动上网设备等。服务器是指通过网络提供计算服务的设备,服务器例如:x86服务器以及非x86服务器,非x86服务器包括:大型机、小型机和UNIX服务器。
下面介绍该攻击类型识别方法适用的应用场景,这里的应用场景包括但不限于:使用该攻击类型识别方法提高或增强横向隔离装置、纵向加密认证装置、防火墙、防病毒系统、入侵检测系统(IDS)或入侵预防系统(IPS)等网络安全设备(NSD)的功能,使得NSD不仅仅能够识别出是否存在攻击,而且能够根据告警日志识别出已知攻击类型和未知攻击类型,并针对不同的攻击类型(已知攻击类型和/或未知攻击类型)作出不同的安全防御措施,从而更好地提高电子设备的安全性或网络的安全性。
请参见图1示出的本申请实施例提供的攻击类型识别方法的流程示意图;该攻击类型识别方法的主要思路是,由于图注意力网络模型在训练过程中已经学习了所有历史告警日志的规则,所以使用图注意力网络模型能够识别出图结构中的未知攻击,从而克服了无法识别出未知攻击的缺陷。上述攻击类型识别方法的实施方式可以包括:
步骤S110:从待处理的多条告警日志的每条告警日志中提取出多个特征属性值,获得多组特征属性值。
上述步骤S110的可选实施方式包括:在从待处理的多条告警日志的每条告警日志中提取出多个特征属性值之前,还可以先采集上述的告警日志,具体例如:假设告警日志是IDS设备采集的告警日志,且该告警日志包括11个特征属性。然后,可以使用日志采集与处理程序模块从该告警日志中提取出9个分类特征属性和2个数值特征属性,9个分类特征属性分别是:日志标识(sid)、产生标识(gid)、接收时刻(rev)、日志内容(msg)、日志来源(src)、来源端口(srcport)、目标设备(dst)、目标端口(dstport)和生存时间值(Time ToLive,TTL),数值特征属性可以包括:长度(dgmlen)和ip报文大小(iplen)。可以理解的是,上述还可以将日志表示(sid)、产生标识(gid)、接收时刻(rev)和日志内容(msg)作为联合主键的唯一标识,可以使用该唯一标识来索引告警日志,因此可以将该唯一标识存储至规则索引文件中。因此,从采集的每条告警日志中提取出多个特征属性值(例如上述的11个特征属性值),将每条告警日志的多个特征属性值确定为一组特征属性值,从而获得多组特征属性值。
步骤S120:以告警日志为节点,以多组特征属性值之间的相似程度为边,构建图结构。
请参见图2示出的本申请实施例提供的告警日志构建的图结构的示意图;可以理解的是,上述步骤S120中的构建图结构的实施方式有很多种,包括但不限于:如果告警日志是多条,那么可以直接将多条告警日志构建成图结构,具体例如:以告警日志为节点,以多组特征属性值之间的相似程度为边,构建上述的图结构。因此,步骤S120的实施方式具体在下面详细描述。
步骤S130:对多条告警日志中的每条告警日志进行编码,获得节点的编码向量。
步骤S140:使用图注意力网络模型根据节点的编码向量对图结构进行类型识别,获得图结构的攻击类型。
图注意力网络(Graph Attention Network,GAN),是一种使用了图注意力机制的图神经网络,图注意力网络将注意力机制引入到基于空间域的图神经网络,与基于谱域的图卷积神经网络不同,图注意力网络不需要使用拉普拉斯等矩阵进行复杂的计算,仅通过一阶邻居节点的表征来更新节点特征。可以理解的是,图注意力网络模型是指图注意力网络被训练之后的神经网络模型,在使用注意力网络模型时,可以是从磁盘的模型序列化文件中读取出注意力网络模型。
在上述方案的实现过程中,由于图注意力网络模型在训练过程中已经学习了所有历史告警日志的规则,无需人工编写新规则,所以使用图注意力网络模型对告警日志对应的图结构进行类型识别,从而避免了在规则指纹库或者规则模板库加入人工编写未知攻击类型的新规则的情况,因此,使用图注意力网络模型能够有效地预测出未知攻击类型。
作为上述步骤S120的第一种可选实施方式,可以根据告警日志和其历史日志构建图结构,该实施方式可以包括:
步骤S121:根据告警日志和告警日志对应的历史日志构建图结构。
上述步骤S121的实施方式例如:请参照图2,先将告警日志和告警日志对应的历史日志确定为图结构中的节点,然后,获取出告警日志的属性向量和历史日志的属性向量,并使用公式
Figure BDA0003942605570000081
计算出两个节点之间的相似程度;其中,ai和aj表示两个不同的节点,即第i个节点和第j个节点,k表示该节点中属性向量中的属性编号,即该节点中的第k个属性向量,wk表示第k个属性向量的权重,wk可以设置为常量向量,
Figure BDA0003942605570000082
表示用来计算告警日志ai的第k个属性向量与历史日志aj的第k个属性向量之间的相似程度。以告警日志或历史日志为节点,以相似程度为边,构建图结构;其中,相似程度还可以采用余弦距离、欧氏距离(Euclidean Distance)、汉明距离(Hamming Distance)或信息熵(Information Entropy)等等,当然也可以自己计算,具体相似程度的计算过程将在下面详细地说明。
作为上述步骤S121的一种可选实施方式,在构建图结构时,可以根据多个特征属性值之间的相似程度来构建,该实施方式可以包括:
步骤S121a:计算出多个特征属性值中任意两个特征属性值之间的相似程度。
上述步骤S121a的实施方式具体例如:针对图结构中的任意两个节点,先使用公式
Figure BDA0003942605570000083
计算出两个节点之间的相似程度;其中,ai和aj表示两个节点的属性向量,k表示属性向量中的属性编号,即该节点中的第k个属性向量,wk表示第k个属性向量的权重,wk可以设置为常量向量,
Figure BDA0003942605570000084
表示用来计算告警日志ai的第k个属性向量与告警日志aj的第k个属性向量之间的相似程度。上述的相似程度又被称为相似性,相似程度的计算过程可以使用公式
Figure BDA0003942605570000091
来计算,其中,ai和aj表示两个节点的属性向量,k表示属性向量中的属性编号,即该节点中的第k个属性向量。
步骤S121b:以告警日志为节点,以告警日志与告警日志之间的相似程度为边,构建图结构。
上述步骤S121b中的构建图结构的实施方式可以包括:判断两个节点之间的相似程度是否大于相似度阈值。若两个节点之间的相似程度大于相似度阈值,则在图结构中创建一条连接两个节点之间的边,也就是说,对于预设的相似度阈值sthreshold来说,如果告警日志节点ai的第k个属性与告警日志节点aj的第k个属性之间的相似程度大于相似度阈值sthreshold,则在节点ai和节点aj之间创建一条边来完善图结构。
作为上述步骤S120的第二种可选实施方式,上述的告警日志可以是多条告警日志,因此,此时直接根据多条告警日志构建图结构即可,该实施方式可以包括:
步骤S122:以告警日志为节点,以第一告警日志的特征属性值与第二告警日志的特征属性值之间的相似程度为边,构建图结构。
上述步骤S122的实施方式具体例如:先将多条告警日志确定为图结构中的节点,然后,获取出多条告警日志中的每条告警日志的特征属性值,并计算出两个节点的特征属性值之间的相似程度(即计算出第一告警日志的一组特征属性值与第二告警日志的二组特征属性值之间的相似程度,此处的相似程度的计算过程与上面类似,因此此处不再赘述)。以告警日志为节点,以第一告警日志的一组特征属性值与第二告警日志的二组特征属性值之间的相似程度为边,构建图结构。
作为上述步骤S130的一种可选实施方式,在对告警日志进行编码时,可以使用One-Hot编码对多条告警日志中的每条告警日志进行编码,该实施方式可以包括:
步骤S131:使用One-Hot编码对多条告警日志中的每条告警日志的多个特征属性值进行编码,获得告警日志的编码向量。
上述步骤S131的实施方式例如:该告警日志的编码向量是可以直接对告警日志中的多个特征属性值(例如11个特征属性值)进行独热(OneHot)编码,当然也可以是对告警日志中的多个特征属性值中筛选出来的几个特征属性值(例如从11个特征属性值中筛选出的4个特征属性值)进行独热(OneHot)编码,从而获得该告警日志在图结构中对应的编码向量,即该告警日志的编码向量,具体例如:将图结构中的每个节点初始化为一个长度为n的零向量,n为规则索引文件中四元组的总数,然后根据该节点的日志表示(sid)、产生标识(gid)、接收时刻(rev)和日志内容(msg)生成OneHot编码,也就是说,使用One-Hot编码对该告警日志的日志表示(sid)、产生标识(gid)、接收时刻(rev)和日志内容(msg)进行编码,然后,将该告警日志节点的OneHot编码作为该告警日志的编码向量。
作为上述步骤S130的二种可选实施方式,在对告警日志进行编码时,可以使用变分自动编码器(Variational Auto-Encoder,VAE)对多条告警日志中的每条告警日志进行编码,该实施方式可以包括:
步骤S132:使用变分自动编码器VAE对多条告警日志中的每条告警日志进行编码,获得告警日志的编码向量。
上述步骤S131的实施方式例如:先对变分自动编码器VAE进行训练,获得训练后的变分自动编码器VAE,其中,VAE可以包括解码器和编码器,然后,可以使用训练后的变分自动编码器VAE中的编码器对多条告警日志中的每条告警日志进行编码,获得告警日志的编码向量。此处的VAE指一种深度生成模型(Deep Generative Model),也是一种无监督学习算法;VAE的主要作用是能够学习一个函数(模型),使得输出数据的分布尽可能地逼近原始数据分布。
作为上述步骤S140的一种可选实施方式,在使用图注意力网络模型对图结构和编码向量进行类型识别时,可以先将图结构转换为邻接矩阵,然后使用邻接矩阵和编码向量来识别,该实施方式可以包括:
步骤S141:根据图结构生成告警日志的邻接矩阵。
上述步骤S141的实施方式例如:为了降低计算复杂度和内存消耗,在具体的实施过程中,可以先将图结构转换为稀疏的邻接矩阵,即根据图结构生成告警日志的邻接矩阵,然后再使用图注意力网络模型对邻接矩阵和编码向量进行类型识别。上述的邻接矩阵可以使用A来表示,具体可以使用公式
Figure BDA0003942605570000111
来计算获得;其中,ai和aj表示两个不同的节点,即第i个节点和第j个节点,sthreshold表示预设的相似度阈值,s(ai,aj)表示第i个节点和第j个节点之间的相似程度,1表示第i个节点和第j个节点之间的相似程度大于相似度阈值,因此,需要在第i个节点和第j个节点之间增加一条邻接边,而0表示第i个节点和第j个节点之间不需要增加邻接边。
步骤S142:使用图注意力网络模型根据节点的编码向量对邻接矩阵进行类型识别,获得告警日志对应图结构的攻击类型。
上述步骤S142的实施方式例如:先从设备磁盘中的序列化文件中加载训练后的图注意力网络模型,并使用训练后的图注意力网络模型根据编码向量对邻接矩阵进行类型识别,即将编码向量和邻接矩阵喂给图注意力网络模型,该图注意力网络模型可以输出固定大小时间窗口的警告日志对应的攻击类型,从而获得该告警日志对应图结构的攻击类型。可以理解的是,使用图注意力网络模型根据编码向量对邻接矩阵进行类型识别时,若该邻接矩阵是由一条告警日志和该告警日志对应的历史日志构建的,那么在图注意力网络模型输出所有日志对应的攻击类型之后,可以从所有日志对应的攻击类型中过滤掉历史日志的攻击类型,即可获得该条告警日志的攻击类型。上述过滤掉历史日志的攻击类型的原因是,由于历史日志的攻击类型是已知的,且每条日志都有唯一编码与攻击类型是对应的,因此可以从所有日志对应的攻击类型中过滤掉历史日志的攻击类型。
作为上述步骤S140的一种可选实施方式,在使用图注意力网络模型对图结构和编码向量进行类型识别之前或者之后,还可以对图注意力网络模型进行训练,该实施方式可以包括:
步骤S143:获取样本数据和样本标签,样本数据包括:样本日志对应的图结构和编码向量,样本标签是样本日志对应图结构的攻击类型。
上述步骤S143的实施方式例如:从网络安全设备(NSD)中获取样本日志,该样本日志可以是文件中存储的多条告警日志(又被称为警告日志),此时可以将该文件中的告警日志构建成图结构,图结构中的每个节点可以表示一条告警日志,而图结构中节点与节点之间的边可以表示两个节点之间的相似值(该相似值是根据节点的特征属性值之间的相似程度确定的)。具体例如:将该文件中的每一条告警日志确定为图结构中的一个节点,并将该告警日志的多个特征属性值(例如11个特征属性值)作为图中节点的属性向量,然后,计算出每个节点的属性向量与其它节点的属性向量之间的相似程度,针对图结构中的任意两个节点,判断两个节点之间的相似程度是否大于相似度阈值。若两个节点之间的相似程度大于相似度阈值,则在图结构中创建一条连接两个节点之间的边。
上述的样本标签可以是人工标注获得的,也可以是机器学习算法自动标注获得的,具体例如:若样本日志的攻击类型为DDoS攻击,则将该样本日志的样本标签标注为0;若样本日志的攻击类型为HTTPTunnel,则将该样本日志的样本标签标注为1;若样本日志的攻击类型为DNSTunnel,则将该样本日志的样本标签标注为2;其他攻击类型的样本标签则标注为3。
可以理解的是,上述的样本日志的编码向量是可以直接对样本日志中的多个特征属性值(例如11个特征属性值)进行独热(OneHot)编码,从而获得该样本日志在图结构中对应的编码向量,即该样本日志的编码向量,具体例如:将图结构中的每个节点初始化为一个长度为n的零向量,n为规则索引文件中四元组的总数,然后根据该节点的日志表示(sid)、产生标识(gid)、接收时刻(rev)和日志内容(msg)生成OneHot编码,并将该节点的OneHot编码作为该样本日志的编码向量。
步骤S144:以样本数据为训练数据,以样本标签为训练标签,对图注意力网络进行训练,获得图注意力网络模型。
作为上述步骤S144的一种可选实施方式,对图注意力网络进行训练的实施方式可以包括:
步骤S144a:使用图注意力网络根据样本日志的编码向量对样本日志对应的图结构进行预测,获得样本日志对应图结构的预测类型。
上述的步骤S144a的实施方式例如:图注意力网络模型可以对所有节点训练一个共享的权重矩阵W,将图结构对应权重矩阵中的每个节点特征F映射到F'。在计算出图结构中的注意力时,将节点i与邻接节点j的特征Fi和Fj分别使用权重矩阵映射到Fi'和Fj',并拼接两个输出向量。之后使用图注意力网络中的前馈神经网络a将拼接向量映射到实数上。为了在计算注意力时保留节点i的信息,图注意力网络使用LeakyReLU作为激活函数来对输出向量进行激活,获得激活后的特征向量,最后通过softmax对激活后的特征向量进行归一化,得到最终具有注意力系数的预测类型。
步骤S144b:计算样本日志对应的预测类型与样本标签中的攻击类型之间的损失值。
上述步骤S144b的实施方式例如:使用均方误差(Mean Square Error,MSE)、交叉熵损失函数、平方损失函数、指数损失函数(exponential loss)、0-1损失函数(zero-oneloss)或者绝对值损失函数等等计算样本日志的预测类型与样本标签中的攻击类型之间的损失值。
步骤S144c:根据损失值对图注意力网络进行训练。
上述步骤S144c的实施方式包括:以样本数据为训练数据,以样本标签为训练标签,在对图注意力网络进行训练时,图注意力网络对该样本数据的攻击类型进行预测,从而获得预测出的攻击类型,然后,使用损失函数计算出预测出的攻击类型与样本标签中的攻击类型之间的损失值;最后根据该损失值对图注意力网络进行训练,直到神经网络的正确率不再升高或者迭代次数(epoch)数量大于预设阈值时,即可获得图注意力网络模型,其中,上述的预设阈值也可以根据具体情况进行设置,例如设置为100或者1000等等。
请参见图3示出的本申请实施例提供的攻击类型识别装置的结构示意图;本申请实施例提供了一种攻击类型识别装置200,包括:
告警日志提取模块210,用于从待处理多条告警日志的每条的告警日志中提取出多个特征属性值,获得多组特征属性值。
特征属性确定模块220,用于以告警日志为节点,以多组特征属性值之间的相似程度为边,构建图结构。
编码向量获得模块230,用于对多条告警日志中的每条告警日志进行编码,获得节点的编码向量。攻击类型识别模块240,用于使用图注意力网络模型根据节点的编码向量对图结构进行类型识别,获得图结构的攻击类型。
可选地,在本申请实施例中,编码向量获得模块,包括:
One-Hot编码子模块,用于使用One-Hot编码对多条告警日志中的每条告警日志进行编码。
可选地,在本申请实施例中,节点边图构建单元,包括:
相似程度判断子单元,用于针对图结构中的任意两个节点,判断两个节点的特征属性值之间的相似程度是否大于相似度阈值。
节点的边创建子单元,用于若两个节点之间的相似程度大于相似度阈值,则在图结构中创建一条连接两个节点之间的边。
可选地,在本申请实施例中,攻击类型识别模块,包括:
邻接矩阵生成子模块,用于根据图结构生成告警日志的邻接矩阵。
网络模型识别子模块,用于使用图注意力网络模型根据节点的编码向量对邻接矩阵进行类型识别。
可选地,在本申请实施例中,攻击类型识别装置,还包括:
数据标签获取模块,用于获取样本数据和样本标签,样本数据包括:样本日志对应的图结构和编码向量,样本标签是样本日志的攻击类型。
网络模型训练模块,用于以样本数据为训练数据,以样本标签为训练标签,对图注意力网络进行训练,获得图注意力网络模型。
可选地,在本申请实施例中,网络模型训练模块,包括:
预测类别获得子模块,用于使用图注意力网络根据样本日志的编码向量对样本日志对应的图结构进行预测,获得样本日志对应图结构的预测类型。
损失值计算子模块,用于计算图结构的预测类型与样本标签中的攻击类型之间的损失值。
注意力网络训练子模块,用于根据损失值对图注意力网络进行训练。
应理解的是,该装置与上述的攻击类型识别方法实施例对应,能够执行上述方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该装置包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在装置的操作系统(operating system,OS)中的软件功能模块。
请参见图4示出的本申请实施例提供的电子设备的结构示意图。本申请实施例提供的一种电子设备300,包括:处理器310和存储器320,存储器320存储有处理器310可执行的机器可读指令,机器可读指令被处理器310执行时执行如上的方法。
本申请实施例还提供了一种计算机可读存储介质330,该计算机可读存储介质330上存储有计算机程序,该计算机程序被处理器310运行时执行如上的方法。其中,计算机可读存储介质330可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请实施例提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其他的方式实现。以上所描述的装置实施例仅是示意性的,例如,附图中的流程图和框图显示了根据本申请实施例的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以和附图中所标注的发生顺序不同。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这主要根据所涉及的功能而定。
另外,在本申请实施例中的各个实施例的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。此外,在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请实施例的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
以上的描述,仅为本申请实施例的可选实施方式,但本申请实施例的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请实施例揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请实施例的保护范围之内。

Claims (10)

1.一种攻击类型识别方法,其特征在于,包括:
从待处理的多条告警日志的每条告警日志中提取出多个特征属性值,获得多组特征属性值;
以所述告警日志为节点,以所述多组特征属性值之间的相似程度为边,构建图结构;
对所述多条告警日志中的每条告警日志进行编码,获得所述节点的编码向量;
使用图注意力网络模型根据所述节点的编码向量对所述图结构进行类型识别,获得所述图结构的攻击类型。
2.根据权利要求1所述的方法,其特征在于,所述对所述多条告警日志中的每条告警日志进行编码,包括:
使用One-Hot编码对所述多条告警日志中的每条告警日志进行编码。
3.根据权利要求1所述的方法,其特征在于,所述构建图结构,包括:
针对所述图结构中的任意两个节点,判断所述两个节点的特征属性值之间的相似程度是否大于相似度阈值;
若是,则在所述图结构中创建一条连接所述两个节点之间的边。
4.根据权利要求1所述的方法,其特征在于,所述使用图注意力网络模型根据所述节点的编码向量对所述图结构进行类型识别,包括:
根据所述图结构生成所述告警日志的邻接矩阵;
使用图注意力网络模型根据所述节点的编码向量对所述邻接矩阵进行类型识别。
5.根据权利要求1所述的方法,其特征在于,在所述使用图注意力网络模型根据所述节点的编码向量对所述图结构进行类型识别之前,还包括:
获取样本数据和样本标签,所述样本数据包括:样本日志对应的图结构和编码向量,所述样本标签是所述样本日志对应图结构的攻击类型;
以所述样本数据为训练数据,以所述样本标签为训练标签,对图注意力网络进行训练,获得所述图注意力网络模型。
6.根据权利要求5所述的方法,其特征在于,所述对图注意力网络进行训练,包括:
使用所述图注意力网络根据所述样本日志的编码向量对所述样本日志对应的图结构进行预测,获得所述图结构的预测类型;
计算所述图结构的预测类型与所述样本标签中的攻击类型之间的损失值;
根据所述损失值对所述图注意力网络进行训练。
7.一种攻击类型识别装置,其特征在于,包括:
告警日志提取模块,用于从待处理的多条告警日志的每条告警日志中提取出多个特征属性值,获得多组特征属性值;
特征属性确定模块,用于以所述告警日志为节点,以所述多组特征属性值之间的相似程度为边,构建图结构;
编码向量获得模块,用于对所述多条告警日志中的每条告警日志进行编码,获得所述节点的编码向量;攻击类型识别模块,用于使用图注意力网络模型根据所述节点的编码向量对所述图结构进行类型识别,获得所述图结构的攻击类型。
8.根据权利要求7所述的装置,其特征在于,所述编码向量获得模块,包括:
One-Hot编码子模块,用于使用One-Hot编码对所述多条告警日志中的每条告警日志进行编码。
9.一种电子设备,其特征在于,包括:处理器和存储器,所述存储器存储有所述处理器可执行的机器可读指令,所述机器可读指令被所述处理器执行时执行如权利要求1至6任一所述的方法。
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至6任一所述的方法。
CN202211419857.8A 2022-11-14 2022-11-14 一种攻击类型识别方法、装置、电子设备及存储介质 Pending CN115622793A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211419857.8A CN115622793A (zh) 2022-11-14 2022-11-14 一种攻击类型识别方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211419857.8A CN115622793A (zh) 2022-11-14 2022-11-14 一种攻击类型识别方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN115622793A true CN115622793A (zh) 2023-01-17

Family

ID=84878084

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211419857.8A Pending CN115622793A (zh) 2022-11-14 2022-11-14 一种攻击类型识别方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN115622793A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117216771A (zh) * 2023-11-09 2023-12-12 中机寰宇认证检验股份有限公司 一种二进制程序漏洞智能挖掘方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117216771A (zh) * 2023-11-09 2023-12-12 中机寰宇认证检验股份有限公司 一种二进制程序漏洞智能挖掘方法及系统
CN117216771B (zh) * 2023-11-09 2024-01-30 中机寰宇认证检验股份有限公司 一种二进制程序漏洞智能挖掘方法及系统

Similar Documents

Publication Publication Date Title
Muna et al. Identification of malicious activities in industrial internet of things based on deep learning models
CN111600919B (zh) 智能网络应用防护系统模型的构建方法和装置
WO2019175880A1 (en) Method and system for classifying data objects based on their network footprint
CN110933105B (zh) 一种Web攻击检测方法、系统、介质和设备
Alanazi et al. Anomaly Detection for Internet of Things Cyberattacks.
CN112492059A (zh) Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质
Zhao et al. Maldeep: A deep learning classification framework against malware variants based on texture visualization
CN115242559A (zh) 基于区块链和联邦学习的网络流量入侵检测方法
CN115080756A (zh) 一种面向威胁情报图谱的攻防行为和时空信息抽取方法
CN115622793A (zh) 一种攻击类型识别方法、装置、电子设备及存储介质
CN113553577B (zh) 基于超球面变分自动编码器的未知用户恶意行为检测方法及系统
KR20200133644A (ko) 악성 멀티미디어 파일을 분류하는 인공지능 기반 장치, 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체
Tsai et al. Toward more generalized malicious url detection models
CN117729027A (zh) 异常行为检测方法、装置、电子设备及存储介质
CN115102779B (zh) 预测模型的训练、访问请求的决策方法、装置、介质
KR102301295B1 (ko) 모델 추출 공격에 대한 인공신경망 워터마킹의 안전성 평가 방법
CN112087448B (zh) 安全日志提取方法、装置和计算机设备
CN115175192A (zh) 一种基于图神经网络的车联网入侵检测方法
CN114282218A (zh) 一种攻击检测方法、装置、电子设备及存储介质
Santoso et al. Malware Detection using Hybrid Autoencoder Approach for Better Security in Educational Institutions
CN113918941A (zh) 异常行为检测的方法、装置、计算设备和存储介质
CN111314327A (zh) 一种基于knn离群点检测算法的网络入侵检测方法及系统
Karthik et al. Residual based temporal attention convolutional neural network for detection of distributed denial of service attacks in software defined network integrated vehicular adhoc network
CN115913769B (zh) 基于人工智能的数据安全存储方法及系统
CN116611057B (zh) 数据安全检测方法及其系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination