CN117725597B - 一种基于时空记忆网络的漏洞威胁预测方法 - Google Patents

Abstract

本发明公开了一种基于时空记忆网络的漏洞威胁预测方法，包括以下步骤：将漏洞威胁事件文本数据映射到嵌入空间；将过去漏洞威胁事件的嵌入存储到低级内存库中；将低级内存库中的嵌入事件映射到高级语义内存库中；检索低级内存库和高级语义内存库中的嵌入信息，预测出漏洞威胁；为漏洞分配权重，展示漏洞的优先级和潜在影响；本方案具有更好的预测漏洞威胁、为漏洞分配权重和展示漏洞的优先级和潜在影响，使漏洞管理更加具有针对性、更全面地了解漏洞管理的紧急性，从而制定更明智的安全决策、提高了漏洞管理的智能性、效率和综合性，加强了漏洞全生命周期管理的能力，以确保系统和数据的安全的特点。

Description

一种基于时空记忆网络的漏洞威胁预测方法

技术领域

本发明涉及网络安全的漏洞全生命周期管理领域，特别涉及一种基于时空记忆网络的漏洞威胁预测方法。

背景技术

信息技术迅猛发展，网络安全已成为组织和企业必须重视的关键问题。漏洞全生命周期管理在这一背景下显得尤为重要，是一种系统性方法，旨在识别、评估、修复和监控计算机系统和应用程序中的安全漏洞，以降低漏洞带来的风险，确保系统和数据的完整性和机密性。传统的漏洞管理方法已不足以适应不断演进的网络攻击和漏洞利用技术。时空信息，包括漏洞历史数据、漏洞报告的时间序列信息以及与漏洞相关的上下文数据，是理解漏洞趋势和威胁预测的关键要素。传统方法未能充分利用这些信息，导致难以全面理解和解决安全威胁。深度学习技术在这一背景下崭露头角，为漏洞管理领域带来了新的可能性，特别适用于处理大规模数据和提取其中的模式，已在图像识别、自然语言处理和音频处理等领域取得显著成果。

在信息安全领域，深度学习被应用于威胁检测、恶意软件识别和漏洞管理等任务。深度学习技术的应用在漏洞管理中表现出许多潜力。它可以帮助自动化漏洞识别、评估和修复建议的生成，提高漏洞管理的效率。此外，深度学习还能够分析漏洞数据中的复杂关联性和模式，以帮助组织更好地理解漏洞趋势和潜在威胁。时空记忆网络Spatio-TemporalMemory Network是深度学习中的一种架构，特别适用于处理序列数据。它包含记忆单元，能够在长时间序列数据中捕获信息的时空关系。这一特性使得时空记忆网络在漏洞趋势分析和威胁预测中具有独特的优势。时空记忆网络可以处理漏洞历史数据、漏洞报告的时间序列信息，以及与漏洞相关的上下文数据。它有潜力识别漏洞趋势中的长期依赖关系和变化模式，从而帮助组织更好地预测漏洞的可能出现以及潜在威胁的变化。由于无法充分利用时空信息，传统方法在全面理解和解决安全威胁方面存在一定困难。为解决这一问题，本发明引入了时空记忆网络，更好地捕获了信息之间的时空关系，从而在漏洞威胁预测方面取得了更高的精度。

发明内容

为实现上述目的，本发明提供了一种基于时空记忆网络的漏洞威胁预测方法，包括以下步骤：

S1，将漏洞威胁事件文本数据映射到嵌入空间；

S2，将过去漏洞威胁事件的嵌入存储到低级内存库中；

S3，将低级内存库中的嵌入事件映射到高级语义内存库中；

S4，检索低级内存库和高级语义内存库中的嵌入信息，预测出漏洞威胁；

S5，为漏洞分配权重，展示漏洞的优先级和潜在影响。

作为本发明的一种优选方式，步骤S1还包括：

S101，对漏洞威胁事件文本数据进行预处理；

S102，通过预训练好的BERT模型，将清洗后的漏洞威胁事件文本数据输入到BERT模型中，通过BERT模型为漏洞威胁事件文本数据中的每个词或子词生成上下文相关的初级嵌入向量；

S103，将初级嵌入向量送入卷积层，通过卷积层在初级嵌入向量中提取特征，并在每个卷积层后，使用非线性激活函数，引入非线性性质，增强特征的表达能力，获得高级嵌入向量；

S104，将初级嵌入向量与高级嵌入向量进行合并形成拼接向量，将拼接向量输入空间注意力模块，生成具有空间注意力的向量，通过多层感知机对具有空间注意力的向量进行增强，获得强化后的向量，将强化后的向量与拼接向量相加，得到终极嵌入向量。

作为本发明的一种优选方式，步骤S101中，所述预处理包括：分词、去除停用词和标点符号。

作为本发明的一种优选方式，步骤S103中，所述卷积层包括：5*5、3*3、1*1的卷积层。

作为本发明的一种优选方式，5*5的卷积层用于捕获上下文信息，3*3的卷积层用于细化特征，1*1的卷积层用于降低维度。

作为本发明的一种优选方式，步骤S2还包括：

S201，按照时间顺序对终极嵌入向量进行分类，每个时间段的事件通过条件变分自动编码器生成固定大小的基础事件特征向量，维度为32*32*L；

S202，将基础事件特征向量沿着时间维度拼接，形成低级记忆库，其维度为t*32*32*L，其中，t表示时间的总数，32*32表示每个时间段内有32*32个基础事件特征向量，L表示每个基础事件特征向量的向量长度。

作为本发明的一种优选方式，步骤S3还包括：

S301，在高级语义记忆库中，存储一组紧凑的N个向量，构成低级记忆库的高级摘要，高级语义记忆库通过BERT将低级记忆库中的基础事件特征向量转换为高级事件特征。

作为本发明的一种优选方式，步骤S4还包括：

S401，在漏洞威胁的预测过程中，将当前事件映射为终极嵌入向量，随后逐一计算终极嵌入向量与低级内存库中向量的余弦相似度，选取相似度最高的前20个基础特征向量，并将它们与对应的余弦相似度相乘，通过对乘积的基础特征向量进行求和，得到当前事件的低级综合嵌入特征向量；

S402，同时通过多层感知机，将高级语义记忆库和当前事件的终极嵌入向量作为输入，得到高级综合嵌入特征向量；

S403，将得到的低级综合嵌入特征向量和高级综合嵌入特征向量拼接在一起，通过CBAM模块和残差块进行特征的融合，得到终极的综合嵌入特征。

作为本发明的一种优选方式，步骤S5还包括：

S501，使用Transfomer的解码器部分将综合嵌入特征转换为文本信息，该文本信息即为预测出的漏洞威胁和漏洞潜在的影响；

S502，同时将综合嵌入特征送入多重感知机，输出漏洞威胁指数；

S503，将得出的漏洞威胁和漏洞潜在的影响，依照得到的漏洞威胁指数进行排序，进行下一步的管理操作。

区别于现有技术，上述技术方案所达到的有益效果有：

（1）本方法通过将漏洞威胁事件映射到嵌入空间以及将其映射到高级语义内存库，本方法通过检索低级内存库和高级语义内存库中的嵌入信息，充分利用过去的的漏洞威胁事件信息，可以更好的预测漏洞威胁；（2）本方法为漏洞分配权重和展示漏洞的优先级和潜在影响，使漏洞管理更加具有针对性；（3）本方法通过深入分析漏洞的潜在威胁级别和影响，组织能够更全面地了解漏洞管理的紧急性，从而制定更明智的安全决策；（4）本方法通过结合深度学习和时空记忆网络的方法，提高了漏洞管理的智能性、效率和综合性，加强了漏洞全生命周期管理的能力，以确保系统和数据的安全；（5）本方法为信息安全专业人员提供了更好的资源，以抵御不断演进的威胁。

附图说明

图1为具体实施方式所述方法流程图。

图2为具体实施方式所述在全面的多源网络安全活动数据集上的P-R曲线图。

图3为具体实施方式所述在入侵检测数据集上的P-R曲线图。

图4为具体实施方式所述平均绝对误差图。

图5为具体实施方式所述MAR平均绝对误差的标准偏差图。

图6为具体实施方式所述前十预测准确率图。

具体实施方式

为详细说明技术方案的技术内容、构造特征、所实现目的及效果，以下结合具体实施例并配合附图详予说明。

如图1所示，本实施例提供了一种基于时空记忆网络的漏洞威胁预测方法，包括以下步骤：

S1，将漏洞威胁事件文本数据映射到嵌入空间；

S2，将过去漏洞威胁事件的嵌入存储到低级内存库中；

S3，将低级内存库中的嵌入事件映射到高级语义内存库中；

S4，检索低级内存库和高级语义内存库中的嵌入信息，预测出漏洞威胁；

S5，为漏洞分配权重，展示漏洞的优先级和潜在影响。

在本实施例的具体实施过程中，步骤S1还包括：

S101，对漏洞威胁事件文本数据进行预处理；包括分词、去除停用词、标点符号和其他文本清洗操作，这可以确保漏洞威胁事件文本数据在输入BERT之前是干净的；

S102，利用已经预训练好的BERT模型，将清洗后的漏洞威胁事件文本数据输入到BERT模型中，通过BERT模型为漏洞威胁事件文本数据中的每个词或子词生成上下文相关的初级嵌入向量；这些向量捕获了文本的语义信息，在本实施例中，将其称为初级嵌入向量；

S103，将初级嵌入向量送入一系列卷积层，包括5*5、3*3和1*1的卷积层，这些卷积层的目的是在初级嵌入向量中提取更高级别的特征，5*5卷积层可以捕获较大的上下文信息，3*3卷积层可以进一步细化特征，而1*1卷积层可以降低维度，然后在每个卷积层后，应用非线性激活函数，如：ReLU（Rectified Linear Unit），以引入非线性性质，增强特征的表达能力，在本实施例中，将其称为高级嵌入向量；

S104，将初级嵌入向量与高级嵌入向量进行合并形成一个拼接向量，随后，将拼接向量输入到一个空间注意力模块，生成具有空间注意力的向量，通过多层感知机对具有空间注意力的向量进行增强，获得强化后的向量，将强化后的向量与拼接向量相加，得到终极嵌入向量。

在上述实施例的具体实施过程中，步骤S2还包括：

S201，按照时间顺序对终极嵌入向量进行分类，每个时间段的事件通过条件变分自动编码器生成了固定大小的基础事件特征向量，其维度为32*32*L；随后，S202，将基础事件特征向量沿着时间维度拼接，形成一个低级记忆库，其维度为t*32*32*L，其中，t表示时间的总数，32*32表示每个时间段内有32*32个基础事件特征向量，L表示每个基础事件特征向量的向量长度。

在上述实施例的具体实施过程中，步骤S3还包括：

S301，在高级语义记忆库中，存储一组紧凑的N个向量，它们构成低级记忆库的高级摘要，这个高级语义记忆库通过BERT将低级记忆库中的基础事件特征向量转换为更具有代表性的高级事件特征。

在上述实施例的具体实施过程中，步骤S4还包括：

S401，在漏洞威胁的预测过程中，首先利用步骤S101-S104的方法，将当前事件映射为终极嵌入向量，随后逐一计算终极嵌入向量与低级内存库中向量的余弦相似度，接着，选取相似度最高的前20个基础特征向量，并将它们与对应的余弦相似度相乘，最后，通过对这些乘积的基础特征向量进行求和，得到当前事件的低级综合嵌入特征向量；

S402，同时通过一个多层感知机，将高级语义记忆库和当前事件的终极嵌入向量作为输入，得到高级综合嵌入特征向量；

S403，将步骤S401和步骤S402得到的低级综合嵌入特征向量和高级综合嵌入特征向量拼接在一起，通过CBAM模块和残差块进行特征的融合，得到终极的综合嵌入特征。

在上述实施例的具体实施过程中，步骤S5还包括：

S501，使用Transfomer的解码器部分将综合嵌入特征转换为文本信息，该文本信息即为预测出的漏洞威胁和漏洞潜在的影响；

S502，同时将综合嵌入特征送入多重感知机，输出漏洞威胁指数；

S503，将步骤S501得出的漏洞威胁和漏洞潜在的影响，依照步骤S502得到的漏洞威胁指数进行排序，进行下一步的管理操作；组织能够更全面地了解漏洞管理的紧急性，从而制定更明智的安全决策。

本实施例结合了漏洞全生命周期管理、深度学习和时空记忆网络的创新性思想，可以有效的提供更准确和智能的漏洞趋势分析和威胁预测；通过收集、分析和利用大量漏洞数据，以及应用时空记忆网络的学习能力，本方法有望在信息安全领域实现显著的创新和改进，将有助于组织更好地理解漏洞生态系统，及时采取措施来加强安全，减少潜在威胁对系统和数据的影响；本方法还具备自动化能力，可以用于预测漏洞威胁并指出潜在的影响，这将在漏洞全生命周期管理中提供更高的智能化和效率。

本实施例使用的数据集是Comprehensive, Multi-Source Cyber-SecurityEvents全面的多源网络安全活动数据集，以及ADFA入侵检测数据集。其中Comprehensive,Multi-Source Cyber-Security Events数据集是从网络上的各种网站和各种漏洞数据库中获取的，其中包括网络安全和漏洞信息以及网络文本数据。ADFA数据集包含各种入侵的数据。经过大量实验证明，如图2至图6所示，KNNE即为本发明，本发明表现出比最先进的方法更佳的性能。具体而言，在HITS@10预测结果前十位的准确命中率，该数值越高越好方面，本发明的性能比传统方法LSPn高出了23%。

在图2中，观察到了本发明在全面的多源网络安全活动数据集上的表现，与几种基准方法进行了对比。明显可见，本发明在不同召回率水平下均优于基准方法。当召回率为5%时，本发明的准确率为0.91，而LSPn、RsnarT和ARP分别为0.9、0.89和0.88。随着召回率提高至50%，本发明的准确率为0.73，而LSPn、RsnarT和ARP分别为0.7、0.68和0.55。当召回率达到90%时，本发明的准确率为0.25，而LSPn、RsnarT和ARP分别为0.13、0.1和0.08。

关于ADFA数据集，在图3中展示了实验结果，当召回率为5%时，本发明的准确率为0.946，而LSPn、RsnarT和ARP的准确率分别为0.927、0.914和0.905。然而，当召回率增加至50%时，本发明的准确率略有下降，降至0.809，而LSPn、RsnarT和ARP分别为0.721、0.698和0.665。当召回率达到90%时，本发明的准确率下降至0.26，而LSPn、RsnarT和ARP的准确率分别为0.133、0.102和0.08。

在图4中，可以观察本发明和基线方法在全面的多源网络安全活动数据集上进行威胁预测的表现。明显可见，本发明在性能方面明显优于基线方法。本发明的MAR平均绝对误差值比排名第二的LSPn方法高出了22个百分点。

图5展示了MAR的标准偏差，可以明显看出，本发明的偏差最小，比LSPn方法低了154个百分点。

最后，图6揭示了本发明在HITS@10预测结果前十个命中准确率，该指标越高越好下的性能表现：平均预测准确率为0.92，高出LSPn方法23个百分点。

需要说明的是，尽管在本文中已经对上述各实施例进行了描述，但并非因此限制本发明的专利保护范围。因此，基于本发明的创新理念，对本文所述实施例进行的变更和修改，或利用本发明说明书及附图内容所作的等效结构或等效流程变换，直接或间接地将以上技术方案运用在其他相关的技术领域，均包括在本发明的专利保护范围之内。

Claims (5)

1.一种基于时空记忆网络的漏洞威胁预测方法，其特征在于，包括以下步骤：

S1，将漏洞威胁事件文本数据映射到嵌入空间；

S2，将过去漏洞威胁事件的嵌入存储到低级内存库中；

S3，将低级内存库中的嵌入事件映射到高级语义内存库中；

S4，检索低级内存库和高级语义内存库中的嵌入信息，预测出漏洞威胁；

S5，为漏洞分配权重，展示漏洞的优先级和潜在影响；

步骤S1还包括：

S101，对漏洞威胁事件文本数据进行预处理；

S102，通过预训练好的BERT模型，将清洗后的漏洞威胁事件文本数据输入到BERT模型中，通过BERT模型为漏洞威胁事件文本数据中的每个词或子词生成上下文相关的初级嵌入向量；

S103，将初级嵌入向量送入卷积层，通过卷积层在初级嵌入向量中提取特征，并在每个卷积层后，使用非线性激活函数，引入非线性性质，增强特征的表达能力，获得高级嵌入向量；

S104，将初级嵌入向量与高级嵌入向量进行合并形成拼接向量，将拼接向量输入空间注意力模块，生成具有空间注意力的向量，通过多层感知机对具有空间注意力的向量进行增强，获得强化后的向量，将强化后的向量与拼接向量相加，得到终极嵌入向量；

步骤S3还包括：

S301，在高级语义记忆库中，存储一组紧凑的N个向量，构成低级记忆库的高级摘要，高级语义记忆库通过BERT将低级记忆库中的基础事件特征向量转换为高级事件特征；

步骤S4还包括：

S401，在漏洞威胁的预测过程中，将当前事件映射为终极嵌入向量，随后逐一计算终极嵌入向量与低级内存库中向量的余弦相似度，选取相似度最高的前20个基础特征向量，并将它们与对应的余弦相似度相乘，通过对乘积的基础特征向量进行求和，得到当前事件的低级综合嵌入特征向量；

S402，同时通过多层感知机，将高级语义记忆库和当前事件的终极嵌入向量作为输入，得到高级综合嵌入特征向量；

S403，将得到的低级综合嵌入特征向量和高级综合嵌入特征向量拼接在一起，通过CBAM模块和残差块进行特征的融合，得到终极的综合嵌入特征；

步骤S5还包括：

S501，使用Transfomer的解码器部分将综合嵌入特征转换为文本信息，该文本信息即为预测出的漏洞威胁和漏洞潜在的影响；

S502，同时将综合嵌入特征送入多重感知机，输出漏洞威胁指数；

S503，将得出的漏洞威胁和漏洞潜在的影响，依照得到的漏洞威胁指数进行排序，进行下一步的管理操作。

2.根据权利要求1所述的基于时空记忆网络的漏洞威胁预测方法，其特征在于，步骤S101中，所述预处理包括：分词、去除停用词和标点符号。

3.根据权利要求1所述的基于时空记忆网络的漏洞威胁预测方法，其特征在于，步骤S103中，所述卷积层包括：5*5、3*3、1*1的卷积层。

4.根据权利要求3所述的基于时空记忆网络的漏洞威胁预测方法，其特征在于：5*5的卷积层用于捕获上下文信息，3*3的卷积层用于细化特征，1*1的卷积层用于降低维度。

5.根据权利要求1所述的基于时空记忆网络的漏洞威胁预测方法，其特征在于，步骤S2还包括：

S201，按照时间顺序对终极嵌入向量进行分类，每个时间段的事件通过条件变分自动编码器生成固定大小的基础事件特征向量，维度为32*32*L；

S202，将基础事件特征向量沿着时间维度拼接，形成低级记忆库，其维度为t*32*32*L，其中，t表示时间的总数，32*32表示每个时间段内有32*32个基础事件特征向量，L表示每个基础事件特征向量的向量长度。