CN115987544A - 一种基于威胁情报的网络安全威胁预测方法及系统 - Google Patents

一种基于威胁情报的网络安全威胁预测方法及系统 Download PDF

Info

Publication number
CN115987544A
CN115987544A CN202211286276.1A CN202211286276A CN115987544A CN 115987544 A CN115987544 A CN 115987544A CN 202211286276 A CN202211286276 A CN 202211286276A CN 115987544 A CN115987544 A CN 115987544A
Authority
CN
China
Prior art keywords
threat
intelligence
information
attack
threat intelligence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202211286276.1A
Other languages
English (en)
Inventor
党芳芳
闫丽景
贾志强
李丁丁
张晓良
赵珣
柴艳玉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
North China Electric Power University
State Grid Henan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Henan Electric Power Co Ltd
Original Assignee
North China Electric Power University
State Grid Henan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Henan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by North China Electric Power University, State Grid Henan Electric Power Co Ltd, Information and Telecommunication Branch of State Grid Henan Electric Power Co Ltd filed Critical North China Electric Power University
Priority to CN202211286276.1A priority Critical patent/CN115987544A/zh
Publication of CN115987544A publication Critical patent/CN115987544A/zh
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于威胁情报的网络安全威胁预测方法及系统。方法包括:搜集情报信息,包括内部威胁情报和外部威胁情报;对搜集到的内部威胁情报和外部威胁情报做标准化处理,统一情报格式;对标准化后的威胁情报进行特征编码向量化;利用基于深度神经网络算法的分类模型对经过特征编码的威胁情报进行分类,从中提取高质量威胁情报,从高质量威胁情报中提取上下文数据分析攻击意图并预测攻击行为;对于非高质量威胁情报,基于攻击者和防御者之间的博弈关系使用混合策略纳什均衡来预测攻击行为。本发明在攻击威胁预测准确率高的情况下,同时具有较快的检测效率,满足电力行业系统的网络安全检测需求。

Description

一种基于威胁情报的网络安全威胁预测方法及系统
技术领域
本发明涉及一种基于威胁情报的网络安全威胁预测方法及系统,属于电力系统信息安全检测与防御技术领域。
背景技术
随着计算机网络大规模、多应用、大数据化的发展,网络体系结构变得越来越复杂,在这种背景下,计算机病毒、恶意软件、木马遥控等网络攻击造成的影响越来越严重。近年来,诸如APT等高级攻击手段在国防、金融和能源行业造成了严重损失。传统网络安全防护主要采取攻击行为感知、收集与分析、通报等防御手段,通过部署防火墙、入侵检测系统等安全产品,配置相应访问控制策略和审计策略,对网络安全状况进行监测。当发生网络安全事件时,采取相应应急响应和抵御措施,事后进行备份与恢复操作。虽然这种防护模式能抵御一定的网络安全攻击,但仍具有滞后性,事件处理效果受限于安全事件的识别能力、响应速度、响应时长及事后数据备份与恢复的效率。防护方对攻击行为和安全事件识别的能力直接影响后续应急补救措施以及数据备份、恢复方式和时机的选择。在实际案例中,经常发生对安全事件成因的误判而导致应急手段失误,由此引发系统遭到攻击的情况屡见不鲜。
研究有效的网络安全威胁预测方法具有迫切的现实意义,已成为研究热点之一。威胁情报(Threat Intelligence)是通过大数据、分布式系统或其他特定收集方式获取,包括漏洞、威胁、特征、行为等一系列证据的知识集合及可操作性建议,可还原已发生的和预测未来可能发生的网络攻击,为用户决策提供参考依据,帮助用户避免或减小网络攻击带来的损失。但现有的技术不能从总体上对网络环境中的威胁行为做到及时响应和提前防御,并且不能同时兼顾威胁预测的预测效率和准确性。
发明内容
发明目的:针对现有技术的不足,本发明提供了一种基于威胁情报的网络安全威胁预测方法及系统,提高电力系统或其他工控系统的网络安全防御能力。
技术方案:一种基于威胁情报的网络安全威胁预测方法,包括以下步骤:
搜集情报信息,包括内部威胁情报和外部威胁情报,内部威胁情报是指来源于目标系统中的安全事件信息,外部威胁情报是指由情报提供者提供的开源情报或威胁情报;
对搜集到的内部威胁情报和外部威胁情报进行标准化处理,统一情报格式;
对标准化后的威胁情报进行特征编码向量化;
利用基于深度神经网络算法的分类模型对经过特征编码的威胁情报进行分类,将威胁情报分为可信、不可信、无法判断三类;
利用高质量情报匹配规则从可信的内部威胁情报中匹配出高质量威胁情报,剩余的则为非高质量威胁情报;
从高质量威胁情报中提取上下文数据,分析攻击意图并预测攻击行为;
基于攻击者和防御者之间的博弈关系,使用混合策略纳什均衡预测基于非高质量威胁情报的攻击行为。
进一步地,对威胁情报做标准化处理包括:
依据公式
Figure BDA0003900056720000021
进行时间相似度的计算,α为常参,ti、tj分别代表两条情报的攻击发现时间的分钟值;
依据公式
Figure BDA0003900056720000022
进行攻击源相似度计算,Si表示第i个攻击的攻击源,Sj表示第j个攻击的攻击源;
依据公式
Figure BDA0003900056720000023
进行被攻击源相似度计算,θ为[0,1]内常参,D1和D2分别代表两条威胁情报的攻击目标集合,分子和分母分别代表交集和并集的个数;
依据公式Sim(Ai,Aj)=Simtime×Simattack×Simdefense进行情报相似度计算,Ai,Aj表示多个来源情报{A1,A2,A3…,An}中的任意两个;
根据相似度计算结果进行威胁情报的数据归并,根据描述网络威胁信息的标准化语言得到标准STIX情报数据。
进一步地,对标准化后的威胁情报进行特征编码向量化包括:
采用onehot特征编码将每个情报来源映射到不同维度上,对n个不同的情报源进行顺序编号,将情报来源映射到n维的0、1特征空间,作为威胁情报来源特征;
基于同一情报在不同时间段的多次发布时间,记录最近的N次发布时间,作为威胁情报时间特征;
基于威胁情报内容,提取攻击类型、IP地址/域名经度、IP地址/域名纬度、恶意IP地址个数、恶意域名个数、恶意URL个数、恶意文本样本个数,作为威胁情报内容特征;
基于黑名单库,获取威胁情报中IP地址、域名、文件Hash、URL与黑名单库中的重叠个数,作为基于黑名单库的特征编码。
进一步地,基于深度神经网络算法的分类模型包括输入层、输出层和多个全连接层3部分,输入层神经元负责接收特征输入,全连接层和输出层通过功能神经元对输入进行函数处理,其中函数处理由一个线性函数
Figure BDA0003900056720000031
与一个激活函数构成,xi为上一层神经元的输入,wi为上一层神经元与当前神经元的连接权,b为偏置,s为神经元层数;分类模型输出层将威胁情报分为可信、不可信、无法判断三类。
进一步地,分类模型的训练包括:
通过激活函数和随机化连接权值对深度神经网络进行初始化,设定无标签输入情报集x,利用特征编码得到编码矢量h1,将h1作为输入,在[0,1]区间内取随机数设置权值;
利用激活函数得到第一层训练编码矢量X1和对应连接权集合W1,将第一层训练结果通过随机连接权和激活函数的方式得到第二层训练编码矢量X2和对应的连接权集合W2,重复执行此步骤直至得到第N层特征向量Xn对应的连接权Wn
添加Softmax分类器,通过假设函数计算概率,利用最小化负对数似然函数作为分类器损失函数,并通过最小化损失函数值调节顶层网络参数Wn+1
利用误差反向传播算法对网络进行微调。
进一步地,利用高质量情报匹配规则从可信的内部威胁情报中匹配出高质量威胁情报包括:
将每条可信的内部威胁情报与所有可信的外部威胁情报进行遍历匹配,当出现攻击类型相同、漏洞标识相同、风险标识相同、恶意软件Hash值相等且攻击工具相同的匹配结果时,该内部威胁情报为高质量威胁情报。
进一步地,混合策略纳什均衡包括:
网络攻防博弈模型表示为
Figure BDA0003900056720000034
其中Pa和Pd分别代表攻击方和防御方,
Figure BDA0003900056720000032
Figure BDA0003900056720000033
分别代表攻击方和防御方策略,Ua和Ud分别代表攻击方和防御方的收益;
在混合策略下,攻击方和防御方的收益预期分别为:
Figure BDA0003900056720000041
Figure BDA0003900056720000042
由博弈均衡的定义可知,均衡收益的收益期望Ea(Pa,Pd),Ed(Pa,Pd)优于任何其它策略,根据零和博弈基本理论,利用布鲁韦尔不动点定理,可得到AD–GM模型纳什均衡存在性定理,混合策略
Figure BDA0003900056720000043
在AD-GM模型中达到了纳什均衡,其中
Figure BDA0003900056720000044
满足:
Figure BDA0003900056720000045
m、n分别代表攻击策略数量和防御策略数量,Pai表示攻击方采取第i个攻击策略的概率,Pdj表示防御者采取第j个防御策略的概率,
Figure BDA0003900056720000046
表示采取第i个攻击策略和第j个防御策略后攻击者的收益,
Figure BDA0003900056720000047
表示采取第i个攻击策略和第j个防御策略后防御者的收益,
Figure BDA0003900056720000048
表示采取了第i个攻击策略,其中1<=i<=m;
Figure BDA0003900056720000049
表示采取了第j个防御策略,其中1<=j<=n;
Figure BDA00039000567200000410
分别表示攻击者和防御者的最优混合策略,当攻击者选择策略
Figure BDA00039000567200000411
防御者选择对应的策略
Figure BDA00039000567200000412
时,双方的收益均达到最优。
一种基于威胁情报的网络安全威胁预测系统,包括:
情报收集模块,用于搜集情报信息,所述情报信息包括内部威胁情报和外部威胁情报,内部威胁情报是指来源于目标系统中的安全事件信息,外部威胁情报是指由情报提供者提供的开源情报或威胁情报;
数据处理模块,用于对搜集到的内部威胁情报和外部威胁情报进行标准化处理,统一情报格式;以及对标准化后的威胁情报进行特征编码向量化;
威胁预测模块,用于根据经过特征编码的情报信息预测安全威胁,包括:
情报分类单元,利用基于深度神经网络算法的分类模型对经过特征编码的威胁情报进行分类,将威胁情报分为可信、不可信、无法判断三类;
情报级别确定单元,利用高质量情报匹配规则从可信的内部威胁情报中匹配出高质量威胁情报,剩余的则为非高质量威胁情报;
第一情报分析及预测单元,用于从高质量威胁情报中提取上下文数据,分析攻击意图并预测攻击行为;
第二情报分析及预测单元,用于基于攻击者和防御者之间的博弈关系,使用混合策略纳什均衡预测基于非高质量威胁情报的攻击行为。
本发明还提供一种计算机设备,包括:一个或多个处理器;存储器;以及一个或多个程序,其中所述一个或多个程序被存储在所述存储器中,并且被配置为由所述一个或多个处理器执行,所述程序被处理器执行时实现如上所述的基于威胁情报的网络安全威胁预测方法的步骤。
本发明还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的基于威胁情报的网络安全威胁预测方法的步骤。
有益效果:本发明通过构建两种不同的预测模型,提高攻击威胁预测准确率。首先利用基于深度神经网络算法结合Softmax分类器对威胁情报进行分类,结合高质量威胁情报匹配规则,得到可信的高质量的威胁情报。其次,利用博弈论的思想结合混合策略纳什均衡算法对高质量匹配规则匹配不到的非高质量内部情报进行攻防模拟找到攻击者的最优攻击策略。最后,根据高质量的威胁情报上下文分析以及从攻击者最优攻击策略出发对网络环境提供及时的防御措施。该方法在攻击威胁预测准确率高的情况下,同时有着较快的检测效率,满足电力行业系统的网络安全检测需求。本发明可用于电力系统以及其他工控系统的网络安全防御。
附图说明
图1为本发明所述的威胁情报标准化的流程图;
图2为本发明所述的情报源onehot特征编码示意图;
图3为本发明所述的基于深度神经网络算法的情报评估模型的验证流程图;
图4为本发明所述的高质量内部威胁情报匹配流程图;
图5为本发明所述的基于威胁情报的网络安全威胁预测流程图。
具体实施方式
下面结合附图对本发明的技术方案作进一步说明。
本发明提出了一种基于威胁情报的网络安全威胁预测方法,首先对威胁情报进行搜集,然后对搜集到的威胁情报做STIX标准化处理,通过构建基于深度神经网络算法的分类模型并利用高质量情报匹配规则从网络威胁情报中提取高质量威胁情报,从高质量威胁情报中提取上下文数据分析攻击意图并预测攻击行为。在缺乏高质量威胁情报的情况下,基于攻击者和防御者之间的博弈关系,使用混合策略纳什均衡来预测攻击行为。本方法可为安全管理员提前防御提供精准、可靠、全面的判断依据。
本发明还提出了一种基于威胁情报的网络安全威胁预测系统,包括情报搜集模块、数据处理模块以及威胁预测模块。
情报搜集模块主要用于情报信息的获取,情报信息主要分为内部情报和外部情报。内部情报数据源主要包括:安全系统数据、网络系统数据、业务系统数据、安全人员上报数据、资产信息数据及各类日志数据等,可通过syslog、snmp等协议获取。外部情报分为互联网数据源和第三方数据源,互联网数据源包括:IP指纹、IP定位数据、Web指纹、DNS数据、Whois数据、社工数据、漏洞库等数据,可通过爬虫等方式获取;第三方数据源包括:公开情报源、合作交换源、供应商的商业源,可通过共享和购买等方式获取。
数据处理模块负责多源数据的预处理和特征编码,其中预处理包括数据清洗、数据标准化、数据封装,经过预处理后的数据才能应用于下一阶段的编码。数据清洗是对威胁信息数据进行筛选、校验、去噪等处理。数据标准化是对多源异构数据统一处理格式化为STIX格式的数据,形成标准化的威胁信息数据。数据封装是对格式化后的数据利用XML格式封装,形成统一的威胁情报共享协议。
威胁预测模块根据经过特征编码的情报信息预测安全威胁,其包含两种预测模型,一种是通过基于深度神经网络算法的情报评估模型得到可信情报,继而利用高质量威胁情报匹配规则得到高质量威胁情报,并从中进行上下文数据分析找出攻击意图并预测攻击行为;另一种是通过攻防博弈建模基于目标系统中攻防之间的博弈,并使用混合策略纳什均衡来预测攻击行为。如结合下文描述将更清楚地了解到的,威胁预测模块包括:情报分类单元,利用基于深度神经网络算法的分类模型对经过特征编码的威胁情报进行分类,将威胁情报分为可信、不可信、无法判断三类;情报级别确定单元,利用高质量情报匹配规则从可信的内部威胁情报中匹配出高质量威胁情报,剩余的则为非高质量威胁情报;第一情报分析及预测单元,用于从高质量威胁情报中提取上下文数据,分析攻击意图并预测攻击行为;以及第二情报分析及预测单元,用于基于攻击者和防御者之间的博弈关系,使用混合策略纳什均衡预测基于非高质量威胁情报的攻击行为。
根据本发明的实施方式,基于威胁情报的网络安全威胁预测系统和基于威胁情报的网络安全威胁预测方法是对应的关系,应当理解,系统各个功能模块的功能可以根据方法中的操作步骤具体实现。为了对本发明的技术方案的实现、优点、特征有更清楚的了解,下面从威胁情报分类、威胁情报数据的标准化、威胁情报的特征编码、基于深度神经网络算法的情报评估模型构建、攻防博弈模型的构建等方面对本发明的实施方式做出详细阐述。
A、威胁情报分类
威胁情报包含大量安全事件信息。但是,并非所有安全事件信息都适用于本发明的方法。为了提高数据准确性,获取安全事件的相关上下文数据,本发明引入了高质量威胁情报的概念,同时提出了基于深度神经网络算法的情报评估模型,以获取高质量的威胁情报。内部威胁情报、外部威胁情报和高质量威胁情报的定义如下:
定义1:内部威胁情报:内部威胁情报来源于目标系统中的安全事件信息,并通过将相关数据集成到安全设备中获得,如安全信息和事件管理(SIEM)工具和入侵检测系统(IDS)。
定义2:外部威胁情报:由情报提供者提供的开源情报或威胁情报。
定义3:高质量威胁情报:外部威胁情报存在安全事件的上下文数据或相关信息,对防御具有指导意义。
B、威胁情报数据的标准化
在情报数据格式方面,目前主要标准有CybOX、STIX、TAXII 3种。CybOX(cyberobservables expression)提供了一个标准化的威胁情报表达方法,主要用于规范描述在通信和网络操作中观察到事件的状态属性。STIX(structured threat informationexpression)设计了一套结构化威胁信息表达式,通过威胁源、攻击动机、攻击手段、防御措施等特征表达威胁攻击细节,是目前最普遍使用的威胁情报数据格式。TAXII(trustedautomated exchange of indicator information)则定义了数据传输共享的规范,在实施时可以跨组织、产品和服务边界共享网络威胁情报。目前主要基于CybOX进行情报描述,基于STIX进行格式定义,基于TAXII进行情报共享。
为了便于高质量威胁情报的提取以及威胁情报共享,在进行威胁预测之前,必须统一内部和外部威胁情报格式。本发明使用结构化威胁信息表达(STIX)作为内部和外部威胁情报格式。STIX是一种用于交换网络威胁情报的语言和序列化格式,STIX体系结构由多个网络威胁信息组成,如网络观察、指标、事件、攻击者使用的策略、技术和程序(TTP)、攻击目标、应对方案、攻击活动和威胁源。根据本发明的实施方式,威胁情报的STIX标准化流程如下:
步骤201:威胁情报来源判别。
步骤202:如果威胁情报是通过共享或购买方式获取的已经标准化为STIX格式的威胁情报,则直接进入步骤205。
步骤203:如果是企业安全设备自产情报,一般为固定的syslog格式日志,则进行正则匹配,提取出关键数据,然后进入步骤205。
步骤204:如果是开源情报共享平台,先调用第三方接口和数据挖掘方法进行数据富化,然后进入步骤205。
步骤205:依据公式
Figure BDA0003900056720000081
进行时间相似度的计算,α为常参,ti、tj分别代表两条情报的攻击发现时间的分钟值,其将两条情报的时间差由[0,+∞]映射到[0,1]空间中。当两条情报发现时间完全一致时,其时间相似度为1,其间隔时间越长,情报相似度越小。
步骤206:依据公式
Figure BDA0003900056720000082
进行攻击源相似度计算,Si表示第i个攻击的攻击源,Sj表示第j个攻击的攻击源,攻击源是否相同是两条情报是否相似的最基本特征。当攻击源相同时,攻击相似度为1,否则为0。
步骤207:依据公式
Figure BDA0003900056720000083
进行被攻击源相似度计算,通过比较两条情报的攻击目标重叠部分,考虑部分开源情报数据缺少被攻击目标数据,设置了常参θ在[0,1]范围作为调节因子。D1和D2分别代表两条威胁情报的攻击目标集合,分子和分母分别代表交集和并集的个数。
步骤208:依据公式Sim(Ai,Aj)=Simtime×Simattack×Simdefense进行威胁相似度计算,基于多个来源情报{A1,A2,A3…,An},其中任意两个来源情报Ai,Aj间相似度计算可用此公式计算求得。
步骤209:根据相似度计算结果进行威胁情报的数据归并,例如,根据应用场景调节设置具体的阈值(本文取0.75),然后将计算出来的相似度大于等于该阈值的威胁情报归为一类。根据STIX描述网络威胁信息的标准化语言得到标准STIX情报数据。
在利用数据标准化方法将情报归并转换为标准结构化数据后,还需要从这些情报中提取出高质量威胁情报,以此提高攻击溯源和威胁预测的准确性和可靠性。本发明首先利用特征编码的方式将情报数据抽象表达出来,然后采用深度神经网络算法训练质量分类模型,将威胁情报分为可信、不可信、无法判断三类。然后,构建高质量情报匹配规则,将可信的内部威胁情报利用高质量情报匹配规则进行匹配分类,依据匹配结果分为高质量威胁情报和非高质量威胁情报。根据分类结果,本发明分别从情报来源、发布时间、情报内容、黑名单匹配程度四个方面对情报数据进行特征编码并向量化。
C、威胁情报的特征编码
情报来源很大程度反映出一条情报的可信程度,一般来说,多源情报比单源情报质量更高,知名威胁情报厂商、专业情报评估机构比个人情报数据质量更高。由于情报来源间关联性小,为了保证每个情报来源特征独立性,这里采用onehot特征编码将每个情报源映射到不同维度上。对n个不同的情报源,对其顺序编号,分别将其映射到n维的0、1特征空间。
图2为本发明所述的情报源onehot特征编码示意图。设情报来源为:badIPs、malware、天际友盟、微步在线、VirusTotal等。
步骤301:开始onehot编码。
步骤302:对不同情报来源进行编号,从1开始,直到n。
步骤303:构造每个威胁情报来源的onehot编码。
步骤304:构造n维的onehot矩阵。
步骤305:onehot编码结束。
除了对攻击源onehot编码之外,本发明还提出以下三种维度的特征编码,分别对威胁情报从四个维度进行特征编码。
威胁情报具有很强的时效性,发布时间也是评价情报质量的重要特征指标。一般来说,当前时间离情报发布时间越近,其质量越高,其次,对于同一情报在不同时间段多次发布,通过记录最近3次发步时间,能够表征情报的波动趋势,如表1所示,基于时间维度的特征编码,有助于分析当前情报的可信程度。
表1基于时间维度的特征编码
Figure BDA0003900056720000101
情报内容描述攻击者采取行动时间、地点和攻击手段。有效分析威胁情报内容,有助于感知威胁态势,描绘出攻击发生的情境,为安全从业人员快速提供预警消息。如表2所示,基于内容维度的特征编码提取攻击类型、IP地址/域名经度、IP地址/域名维度、恶意IP地址个数、恶意域名个数、恶意URL个数、恶意文本样本个数7个特征。其中攻击类型与上下文情报源编码方式相同,将不同类型的攻击方式映射到不同维度。
表2基于内容维度的特征编码
Figure BDA0003900056720000102
黑名单库是对历史恶意IP地址、恶意域名、恶意文件Hash、恶意URL的所有记录,如表3所示。虽然库中大部分数据可能已失效,但是情报内容中的IP地址、域名等数据与库中的重叠个数可以说明当前情报数据的可信程度。
表3基于黑名单库的特征编码
Figure BDA0003900056720000111
D、基于深度神经网络算法的情报评估模型构建
为了对威胁情报进行质量评估,对情报数据进行特征提取后,本发明采用深度神经网络算法训练质量分类模型。深度神经网络在网络结构上由输入层、输出层和多个全连接层3部分组成,输入层神经元负责接收特征输入,全连接层和输出层通过功能神经元对输入进行函数处理。函数处理与局部模型和感知机相同,由一个线性函数
Figure BDA0003900056720000112
Figure BDA0003900056720000113
(xi为上一层神经元的输入,wi为上一层神经元与当前神经元的连接权)与一个激活函数构成,b为偏置,s为神经元层数。
为解决多层网络训练的问题,无监督逐层训练应运而生,其借鉴贪心算法的思想,每次只训练一层全连接层节点,训练过程中将上一层全连接层的输出作为本层输入,逐层预训练完成后,再利用BP等算法对网络进行有监督微调,提高模型的准确率。
模型训练分为以下几个步骤:
步骤401:通过激活函数和随机化连接权值首先对深度神经网络初始化。设定无标签输入情报集x,利用特征编码得到编码矢量h1
步骤402:将h1作为输入,在[0,1]区间内取随机数设置权值。
步骤403:利用激活函数
Figure BDA0003900056720000114
得到第一层训练编码矢量X1和对应连接权集合W1
步骤404:将第一层训练结果通过随机连接权和激活函数的方式得到第二层训练编码矢量X2和对应的连接权集合W2
步骤405:重复步骤404,直至得到第N层特征向量Xn对应的连接权Wn
步骤406:添加Softmax分类器,通过假设函数计算概率,利用最小化负对数似然函数作为分类器loss,为了提高分类精度,可通过最小化loss调节顶层网络参数Wn+1
假设训练的数据集{(x(1),y(1)),(x(2),y(2)),…,(x(n),y(n))},对于标签集合y(i)∈{1,2,3}分别代表情报可信、不可信、无法确定3种类型,概率可以利用假设函数来计算。假设函数如下所示:
Figure BDA0003900056720000121
其中,w是分类器的模型参数。loss的计算公式如下:
Figure BDA0003900056720000122
步骤407:利用误差反向传播算法对网络进行微调。根据已标注的情报数据,利用样本标签与模型输出结果的误差,结合梯度下降优化算法进行有监督训练,网络参数{W11,W12,…Wnm}的更新过程如下:
Figure BDA0003900056720000123
其中,γ是神经网络的学习率,Wij是微调后更新的权值,通过过反向传播算法不断微调网络权值,提高神经网络的训练精度。
本发明实施例中从badIPs、malware、天际友盟等9个威胁情报源中获取威胁情报数据,经过富化、相似度计算以及标准化处理后,得到2010条标准化为STIX格式的情报,其中攻击类型有15种。经专业安全专家人工标记,分为可信1477条,不可信127条,无法确定406条三类。
下面对模型进行验证评估。图3为本发明所述的基于深度神经网络算法的情报评估模型的验证流程示意图。其验证包括如下步骤:
步骤501:从情报来源、发布时间、情报内容、黑名单库匹配程度4个方面提取情报特征,利用9个威胁情报来源数据,15种攻击类型进行验证,故将编码后的情报用一个38维特征向量表示。
步骤502:将数据分成k份(本文取k为5),每次从中取一份作为测试集,其余k-1份作为训练集,共进行k次,分别计算每次测试集的准确率和召回率。因为每次测试数据中可信、不可信、无法判断的数据量是已知的(人工标记过的),所以利用模型分类后的结果,计算准确率和召回率,作为评价算法模型的优劣的依据。
步骤503:为了预防后期网络陷入局部最优,采用无监督逐层贪婪预训练初始化网络参数,然后计算Softmax分类器loss值,采用反向误差传播算法更新网络权值,使得分类效果更优。
步骤504:将测试集数据通过全连接层映射到多维可分空间中,并用Softmax计算分类结果。
实验将本发明算法与决策树算法、SVM算法分别进行训练比对,对比结果如表4:
表4各算法分类结果比对
Figure BDA0003900056720000131
通过验证可知,本发明采用的基于深度神经网络算法训练质量分类模型具有很高的查准率和查全率。SVM算法和决策树算法所采用的Sklean库中自带的分类器与本发明所提出的分类模型算法相比,本发明算法更适合威胁情报的分类。
对于得到的可信情报,因为外部威胁情报的攻击描述是确定且可靠的,所以可以构建高质量威胁情报匹配规则,对于可信的内部威胁情报进行匹配,根据匹配结果获取内部威胁情报中的高质量情报。参照图4,整个匹配规则如下:
步骤601:输入每条可信的内部威胁情报与所有可信的外部威胁情报进行遍历匹配。
步骤602:如果内部威胁情报攻击类型唯一标识号与外部威胁情报攻击类型唯一标识号相等,跳到步骤603;否则,跳到步骤601。
步骤603:如果内部威胁情报漏洞和风险的唯一标识号与外部威胁情报漏洞和风险的唯一标识号相等,跳到步骤604,否则,跳到步骤601。
步骤604:如果内部威胁情报恶意软件Hash值与外部威胁情报恶意软件Hash值相等,且两者SDO对象描述的攻击工具名称也一样,则此内部威胁情报是高质量的。否则,跳到步骤601。
为了实现网络安全攻击威胁预测,对于得到的高质量威胁情报,其包含目标系统中的安全事件上下文数据,包括攻击者、TTP、攻击目标和攻击意图等关键信息,防御者可以根据威胁信息对目标系统进行有针对性的加固。对于非高质量威胁情报,构建目标系统中攻防博弈模型(AD–GM),使用混合策略纳什均衡来预测攻击行为。
E、攻防博弈模型(AD–GM)的构建
在网络空间的攻击和防御中,攻击方和防御方的目标是对立的,双方采取的策略是有针对性的。本发明根据双方关系的特点,采用非合作零和博弈模型对网络的攻击和防御进行建模。网络攻防博弈模型可以表示为
Figure BDA0003900056720000141
其中Pa和Pd分别代表攻击方和防御方,
Figure BDA0003900056720000142
Figure BDA0003900056720000143
分别代表攻击方和防御方策略,Ua和Ud分别代表攻击方和防御方的收益。
首先,根据目标系统中的漏洞信息,获取攻击者可能采取的策略,然后使用相应的防御方法作为防御策略集。通过计算攻击者和防御者不同策略的收益,可以根据实现纳什均衡的混合策略的概率分布来实现攻击行为的预测。在游戏过程中,攻防双方都在追求自身利益的最大化。双方的收益取决于双方采取的策略。任何一方都采取行动策略来产生报酬和成本,收益是报酬和成本之间的差异。
定义4:攻击成本(AC),攻击者采取攻击行动所产生的成本,包括硬件和软件资源、时间、劳动力成本和可能的限制。攻击的威胁程度越高,攻击的成本就越高。参考林肯实验室攻击分类来量化AC,具体值如表5所示。
表5攻击分类
Figure BDA0003900056720000144
定义5:防御成本(DC),采取防御措施的成本。根据防御策略的类别,防御策略分为:无防御
Figure BDA0003900056720000145
监测保护措施DS,预防保护措施DF,维修保护措施DR,防御成本
Figure BDA0003900056720000146
分别是0,4,8,10,如表6所示。
表6防御分类
Figure BDA0003900056720000151
定义6:攻击奖励(AR),攻击行为对系统的影响。它由攻击成功率、攻击威胁程度(AL)和对目标系统的破坏程度Ka得出。通过对历史数据的统计分析,获得了攻击成功率。AL值如表1所示,Ka计算方法为Ka=W×T。
Ka由资产权重W和攻击损伤T确定。W受目标系统的机密性C、完整性I和可用性A的影响,可以表示为W=(C,I,A),C,I,A根据重要、一般和不重要三个度,值分别为10、5和1。T可以表示为T=(L,M,H),L,M,H代表低、中、高三种级别的破坏,取值为1,2,3。总之,Ka可以表示为一维向量。
在零和博弈中,双方的收益相对相等,即Ua=-Ud。其中:
攻击者收益表示为:Ua=AR+DC-AC。
防御者收益表示为:Ud=AC-DC-AR。
在网络攻防博弈中,攻击方和防御方的策略选择是独立的、同时的。在混合策略下,双方的利润预期为:
Figure BDA0003900056720000152
Figure BDA0003900056720000153
根据非合作博弈论原理,利用Brouwer不动点定理,可以得出攻防博弈模型中存在纳什均衡的结论。也就是说,混合策略
Figure BDA0003900056720000154
在AD-GM模型中达到了纳什均衡,其中
Figure BDA0003900056720000155
满足:
Figure BDA0003900056720000161
m、n分别代表攻击策略数量和防御策略数量,Pai表示攻击方采取第i个攻击策略的概率,Pdj表示防御者采取第j个防御策略的概率,
Figure BDA0003900056720000162
表示采取第i个攻击策略和第j个防御策略后攻击者的收益,
Figure BDA0003900056720000163
表示采取第i个攻击策略和第j个防御策略后防御者的收益,
Figure BDA0003900056720000164
表示采取了第i个攻击策略,其中1<=i<=m;
Figure BDA0003900056720000165
表示采取了第j个防御策略,其中1<=j<=n;
Figure BDA0003900056720000166
分别表示攻击者和防御者的最优混合策略。
总之,混合策略
Figure BDA0003900056720000167
是攻击者的最佳选择,也是攻击者最可能采用的策略。防御者可以根据攻击者的最优策略采取防御措施。即,当攻击者选择策略
Figure BDA0003900056720000168
防御者选择对应的策略
Figure BDA0003900056720000169
时,双方的收益均达到最优。
图5为本发明所述的基于威胁情报的网络安全威胁预测流程示意图。其整个预测流程如下:
步骤701:收集威胁情报:从企业WAF、漏扫设备、入侵检测系统、入侵防御系统、资产采集系统、态势感知系统等获取内部威胁情报;从互联网渠道、威胁情报供应商、开源情报共享平台等获取外部威胁情报。
步骤702:将威胁情报进行不同维度的相似度计算,聚合情报标准化为STIX格式,具体标准化方法参照前述步骤201-209的描述。
步骤703:将标准化后的威胁情报进行特征编码向量化,具体编码方法参照前述前述“C、威胁情报的特征编码”中的描述。
步骤704:利用威胁情报评估模型对威胁情报进行评估分类。威胁情报评估模型的具体结构、训练和验证过程参照前述“D、基于深度神经网络算法的情报评估模型构建”的描述。
步骤705:根据高质量威胁情报匹配规则,得到内部高质量威胁情报,继而利用高质量威胁情报上下文分析识别攻击意图并预测攻击,由于高质量的威胁情报是以STIX标准进行格式化的,其所描述的攻击类型、攻击手段、攻击意图等信息是明确的,所以可以直接从情报中获取出攻击者、TTP、攻击目标和攻击意图,从而进行相应的防御。
步骤706:利用优化后的攻防博弈模型对非高质量威胁情报进行攻击预测。所述优化后的攻防博弈模型具体参照“E、攻防博弈模型(AD–GM)的构建”的描述。
步骤707:安全管理员根据预测结果和攻击意图进行攻击溯源分析和提前防御。
本发明还提供一种计算机设备,包括:一个或多个处理器;存储器;以及一个或多个程序,其中所述一个或多个程序被存储在所述存储器中,并且被配置为由所述一个或多个处理器执行,所述程序被处理器执行时实现如上所述的基于威胁情报的网络安全威胁预测方法的步骤。
本发明还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的基于威胁情报的网络安全威胁预测方法的步骤。
本发明提出的基于威胁情报的网络安全威胁预测方法,基于深度神经网络构建的威胁情报评估模型得到可信情报,然后利用高质量威胁情报匹配规则获取高质量情报,得到的高质量威胁情报具有很高的分析价值,可以直接进行攻击溯源和攻击预测。基于博弈论思想结合混合策略纳什均衡算法对非高质量情报分析得到攻击者最佳攻击策略并据此制定最佳防御策略。本发明提高了网络安全的实时性与有效性,同时综合了多源数据,从而从总体上对网络环境的安全进行把控。本发明在攻击威胁预测准确率高的情况下,同时具有较快的检测效率,满足电力行业系统的网络安全检测需求。

Claims (10)

1.一种基于威胁情报的网络安全威胁预测方法,其特征在于,包括以下步骤:
搜集情报信息,包括内部威胁情报和外部威胁情报,内部威胁情报是指来源于目标系统中的安全事件信息,外部威胁情报是指由情报提供者提供的开源情报或威胁情报;
对搜集到的内部威胁情报和外部威胁情报进行标准化处理,统一情报格式;
对标准化后的威胁情报进行特征编码向量化;
利用基于深度神经网络算法的分类模型对经过特征编码的威胁情报进行分类,将威胁情报分为可信、不可信、无法判断三类;
利用高质量情报匹配规则从可信的内部威胁情报中匹配出高质量威胁情报,剩余的则为非高质量威胁情报;
从高质量威胁情报中提取上下文数据,分析攻击意图并预测攻击行为;
基于攻击者和防御者之间的博弈关系,使用混合策略纳什均衡预测基于非高质量威胁情报的攻击行为。
2.根据权利要求1所述的方法,其特征在于,对威胁情报做标准化处理包括:
依据公式
Figure FDA0003900056710000011
进行时间相似度的计算,α为常参,ti、tj分别代表两条情报的攻击发现时间的分钟值;
依据公式
Figure FDA0003900056710000012
进行攻击源相似度计算,Si表示第i个攻击的攻击源,Sj表示第j个攻击的攻击源;
依据公式
Figure FDA0003900056710000013
进行被攻击源相似度计算,θ为[0,1]内常参,D1和D2分别代表两条威胁情报的攻击目标集合,分子和分母分别代表交集和并集的个数;
依据公式Sim(Ai,Aj)=Simtime×Simattack×Simdefense进行情报相似度计算,Ai,Aj表示多个来源情报{A1,A2,A3…,An}中的任意两个;
根据相似度计算结果进行威胁情报的数据归并,根据描述网络威胁信息的标准化语言得到标准STIX情报数据。
3.根据权利要求1所述的方法,其特征在于,对标准化后的威胁情报进行特征编码向量化包括:
采用onehot特征编码将每个情报来源映射到不同维度上,对n个不同的情报源进行顺序编号,将情报来源映射到n维的0、1特征空间,作为威胁情报来源特征;
基于同一情报在不同时间段的多次发布时间,记录最近的N次发布时间,作为威胁情报时间特征;
基于威胁情报内容,提取攻击类型、IP地址/域名经度、IP地址/域名纬度、恶意IP地址个数、恶意域名个数、恶意URL个数、恶意文本样本个数,作为威胁情报内容特征;
基于黑名单库,获取威胁情报中IP地址、域名、文件Hash、URL与黑名单库中的重叠个数,作为基于黑名单库的特征编码。
4.根据权利要求1所述的方法,其特征在于,基于深度神经网络算法的分类模型包括输入层、输出层和多个全连接层3部分,输入层神经元负责接收特征输入,全连接层和输出层通过功能神经元对输入进行函数处理,其中函数处理由一个线性函数
Figure FDA0003900056710000021
与一个激活函数构成,xi为上一层神经元的输入,wi为上一层神经元与当前神经元的连接权,b为偏置,s为神经元层数;分类模型输出层将威胁情报分为可信、不可信、无法判断三类。
5.根据权利要求4所述的方法,其特征在于,分类模型的训练包括:
通过激活函数和随机化连接权值对深度神经网络进行初始化,设定无标签输入情报集x,利用特征编码得到编码矢量h1,将h1作为输入,在[0,1]区间内取随机数设置权值;
利用激活函数得到第一层训练编码矢量X1和对应连接权集合W1,将第一层训练结果通过随机连接权和激活函数的方式得到第二层训练编码矢量X2和对应的连接权集合W2,重复执行此步骤直至得到第N层特征向量Xn对应的连接权Wn
添加Softmax分类器,通过假设函数计算概率,利用最小化负对数似然函数作为分类器损失函数,并通过最小化损失函数值调节顶层网络参数Wn+1
利用误差反向传播算法对网络进行微调。
6.根据权利要求1所述的方法,其特征在于,利用高质量情报匹配规则从可信的内部威胁情报中匹配出高质量威胁情报包括:
将每条可信的内部威胁情报与所有可信的外部威胁情报进行遍历匹配,当出现攻击类型相同、漏洞标识相同、风险标识相同、恶意软件Hash值相等且攻击工具相同的匹配结果时,该内部威胁情报为高质量威胁情报。
7.根据权利要求1所述的方法,其特征在于,混合策略纳什均衡包括:
网络攻防博弈模型表示为
Figure FDA0003900056710000031
其中Pa和Pd分别代表攻击方和防御方,
Figure FDA0003900056710000032
Figure FDA0003900056710000033
分别代表攻击方和防御方策略,Ua和Ud分别代表攻击方和防御方的收益;
在混合策略下,攻击方和防御方的收益预期分别为:
Figure FDA0003900056710000034
Figure FDA0003900056710000035
由博弈均衡的定义可知,均衡收益的收益期望Ea(Pa,Pd),Ed(Pa,Pd)优于任何其它策略,根据零和博弈基本理论,利用布鲁韦尔不动点定理,可得到AD–GM模型纳什均衡存在性定理,混合策略
Figure FDA0003900056710000036
在AD-GM模型中达到了纳什均衡,其中
Figure FDA0003900056710000037
满足:
Figure FDA0003900056710000038
m、n分别代表攻击策略数量和防御策略数量,Pai表示攻击方采取第i个攻击策略的概率,Pdj表示防御者采取第j个防御策略的概率,
Figure FDA0003900056710000039
表示采取第i个攻击策略和第j个防御策略后攻击者的收益,
Figure FDA00039000567100000310
表示采取第i个攻击策略和第j个防御策略后防御者的收益,
Figure FDA00039000567100000311
表示采取了第i个攻击策略,其中1<=i<=m;
Figure FDA00039000567100000312
表示采取了第j个防御策略,其中1<=j<=n;
Figure FDA00039000567100000313
分别表示攻击者和防御者的最优混合策略,当攻击者选择策略
Figure FDA00039000567100000314
防御者选择对应的策略
Figure FDA00039000567100000315
时,双方的收益均达到最优。
8.一种基于威胁情报的网络安全威胁预测系统,其特征在于,包括:
情报收集模块,用于搜集情报信息,所述情报信息包括内部威胁情报和外部威胁情报,内部威胁情报是指来源于目标系统中的安全事件信息,外部威胁情报是指由情报提供者提供的开源情报或威胁情报;
数据处理模块,用于对搜集到的内部威胁情报和外部威胁情报进行标准化处理,统一情报格式;以及对标准化后的威胁情报进行特征编码向量化;
威胁预测模块,用于根据经过特征编码的情报信息预测安全威胁,包括:
情报分类单元,利用基于深度神经网络算法的分类模型对经过特征编码的威胁情报进行分类,将威胁情报分为可信、不可信、无法判断三类;
情报级别确定单元,利用高质量情报匹配规则从可信的内部威胁情报中匹配出高质量威胁情报,剩余的则为非高质量威胁情报;
第一情报分析及预测单元,用于从高质量威胁情报中提取上下文数据,分析攻击意图并预测攻击行为;
第二情报分析及预测单元,用于基于攻击者和防御者之间的博弈关系,使用混合策略纳什均衡预测基于非高质量威胁情报的攻击行为。
9.一种计算机设备,其特征在于,包括:
一个或多个处理器;
存储器;以及
一个或多个程序,其中所述一个或多个程序被存储在所述存储器中,并且被配置为由所述一个或多个处理器执行,所述程序被处理器执行时实现如权利要求1-7中任一项所述的基于威胁情报的网络安全威胁预测方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任一项所述的基于威胁情报的网络安全威胁预测方法的步骤。
CN202211286276.1A 2022-10-20 2022-10-20 一种基于威胁情报的网络安全威胁预测方法及系统 Withdrawn CN115987544A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211286276.1A CN115987544A (zh) 2022-10-20 2022-10-20 一种基于威胁情报的网络安全威胁预测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211286276.1A CN115987544A (zh) 2022-10-20 2022-10-20 一种基于威胁情报的网络安全威胁预测方法及系统

Publications (1)

Publication Number Publication Date
CN115987544A true CN115987544A (zh) 2023-04-18

Family

ID=85957095

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211286276.1A Withdrawn CN115987544A (zh) 2022-10-20 2022-10-20 一种基于威胁情报的网络安全威胁预测方法及系统

Country Status (1)

Country Link
CN (1) CN115987544A (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116506235A (zh) * 2023-06-29 2023-07-28 北京优特捷信息技术有限公司 一种威胁情报处理方法、装置、设备及存储介质
CN117113337A (zh) * 2023-07-27 2023-11-24 广州大学 入侵检测系统安全规则的自动生成方法、装置及存储介质
CN117729003A (zh) * 2023-12-12 2024-03-19 福建云创信安信息科技有限公司 基于机器学习的威胁情报可信分析系统及方法
CN117955745A (zh) * 2024-03-26 2024-04-30 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) 融合网络流量特征和威胁情报的网络攻击同源性分析方法
CN118627516A (zh) * 2024-08-12 2024-09-10 杭州字节方舟科技有限公司 一种自然语言威胁情报抽取分析方法及系统
CN118740513A (zh) * 2024-08-05 2024-10-01 国网河南省电力公司信息通信分公司 基于行为建模的网络攻击识别方法
CN119005161A (zh) * 2024-10-24 2024-11-22 南京中新赛克科技有限责任公司 基于威胁情报的编排脚本自动生成方法
CN119109655A (zh) * 2024-09-03 2024-12-10 武汉谦钡商贸有限公司 基于大数据的网络安全防护方法以及系统
CN119377358A (zh) * 2024-12-26 2025-01-28 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) 一种面向多源信息冲突的威胁情报可信度分析方法

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116506235A (zh) * 2023-06-29 2023-07-28 北京优特捷信息技术有限公司 一种威胁情报处理方法、装置、设备及存储介质
CN117113337A (zh) * 2023-07-27 2023-11-24 广州大学 入侵检测系统安全规则的自动生成方法、装置及存储介质
CN117729003A (zh) * 2023-12-12 2024-03-19 福建云创信安信息科技有限公司 基于机器学习的威胁情报可信分析系统及方法
CN117955745A (zh) * 2024-03-26 2024-04-30 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) 融合网络流量特征和威胁情报的网络攻击同源性分析方法
CN118740513A (zh) * 2024-08-05 2024-10-01 国网河南省电力公司信息通信分公司 基于行为建模的网络攻击识别方法
CN118627516A (zh) * 2024-08-12 2024-09-10 杭州字节方舟科技有限公司 一种自然语言威胁情报抽取分析方法及系统
CN119109655A (zh) * 2024-09-03 2024-12-10 武汉谦钡商贸有限公司 基于大数据的网络安全防护方法以及系统
CN119005161A (zh) * 2024-10-24 2024-11-22 南京中新赛克科技有限责任公司 基于威胁情报的编排脚本自动生成方法
CN119005161B (zh) * 2024-10-24 2025-04-01 南京中新赛克科技有限责任公司 基于威胁情报的编排脚本自动生成方法
CN119377358A (zh) * 2024-12-26 2025-01-28 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) 一种面向多源信息冲突的威胁情报可信度分析方法

Similar Documents

Publication Publication Date Title
Thirimanne et al. Deep neural network based real-time intrusion detection system
CN115987544A (zh) 一种基于威胁情报的网络安全威胁预测方法及系统
Kotenko et al. Systematic literature review of security event correlation methods
WO2023077617A1 (zh) 一种网络安全态势自适应主动防御系统及方法
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
Li et al. Data fusion for network intrusion detection: a review
Imran et al. Intrusion detection in networks using cuckoo search optimization
Eid et al. Comparative study of ML models for IIoT intrusion detection: impact of data preprocessing and balancing
CN113904881A (zh) 一种入侵检测规则误报处理方法和装置
Liu et al. Multi-step attack scenarios mining based on neural network and Bayesian network attack graph
CN109871711B (zh) 海洋大数据共享分发风险控制模型及方法
Chen et al. Intrusion detection system in cloud computing environment
CN118869373B (zh) 基于事理知识图谱的网络攻击预警及溯源方法、系统及装置
CN119449452A (zh) 一种基于Transformer和图注意力网络模型的网络威胁推演系统及方法
CN119766522A (zh) 一种基于知识图谱的网络安全态势感知预测方法
CN118972172A (zh) 一种云环境网络安全态势感知方法及系统
CN118504009A (zh) 一种基于多数据源的动态数据隔离方法和系统
Shirafkan et al. An intrusion detection system using deep cellular learning automata and semantic hierarchy for enhancing rpl protocol security
Sallay An Integrated Multilayered Framework for IoT Security Intrusion Decisions.
Chen et al. Research on hierarchical network security situation awareness data fusion method in big data environment
Dey et al. Daemon: dynamic auto-encoders for contextualised anomaly detection applied to security monitoring
CN116545679A (zh) 一种工业情境安全基础框架及网络攻击行为特征分析方法
Dhingra et al. RLET: a lightweight model for ubiquitous multi-class intrusion detection in sustainable and secured smart environment
Song Public cloud network intrusion and internet legal supervision based on abnormal feature detection
Tang et al. AIGCN: Attack Intention Detection for Power System Using Graph Convolutional Networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20230418