[发明专利]一种攻击意图识别方法及装置

说明书

本申请涉及网络安全技术领域，尤其涉及一种攻击意图识别方法及装置，获取告警载荷数据，并对所述告警载荷数据进行特征提取，获得所述告警载荷数据的载荷特征，其中，所述告警载荷数据为产生告警信息的原始输入的数据；基于已训练的攻击意图识别模型，以所述载荷特征为输入参数，根据所述攻击意图识别模型中的回归函数和所述载荷特征向量，确定所述告警载荷数据的攻击意图向量，其中，所述回归函数为根据载荷特征样本和攻击意图向量样本通过迭代训练获得的；根据所述攻击意图向量，确定所述告警信息指示的攻击行为的攻击意图，这样，通过预先训练的攻击意图模型确定告警信息所指示的攻击行为的攻击意图，能够提高识别攻击意图的准确度。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种攻击意图识别方法及装置。

背景技术

目前，检测系统每天产生告警信息的数量非常多，然而，这些海量的告警信息中，绝大多数的告警信息的实际价值都很低，不需要关注，只有极少数关键的告警信息是需要去关注的。

为了从大量的告警信息中快速查找到这些关键的告警信息，需要识别攻击行为的攻击意图，现有技术中，可以通过贝叶斯网络推理进而识别攻击行为的攻击意图，但是，现有技术中的这种识别方式需要人工定义攻击场景和攻击规则，因此，现有技术中的这种识别方式效率不高。

发明内容

本申请实施例提供一种攻击意图识别方法及装置，以提高对攻击意图识别的效率和准确度。

本申请实施例提供的具体技术方案如下：

一种攻击意图识别方法，包括：

获取告警载荷数据，并对所述告警载荷数据进行特征提取，获得所述告警载荷数据的载荷特征，其中，所述告警载荷数据为产生告警信息的原始输入的数据；

基于已训练的攻击意图识别模型，以所述载荷特征为输入参数，根据所述攻击意图识别模型中的回归函数和所述载荷特征，确定所述告警载荷数据的攻击意图向量，其中，所述回归函数为根据载荷特征样本和攻击意图向量样本通过迭代训练获得的；

根据所述攻击意图向量，确定所述告警信息指示的攻击行为的攻击意图。

可选的，对所述告警载荷数据进行特征提取，具体包括：

获取所述告警载荷数据的各属性信息，其中，所述属性信息至少包括文件路径、IP地址、域名、URL、操作系统命令、脚本函数名、SQL关键字、系统表名、混淆函数名；

对所述各属性信息进行去重处理，获得去重后的各属性信息；

获取预设的模板属性信息，并对所述模板属性信息在所述去重后的各属性信息中出现的次数进行次数统计，获得所述告警载荷数据的各属性信息的计数统计结果；

将所述计数统计结果作为所述告警载荷数据的载荷特征。

可选的，获取告警载荷数据之后，进一步包括：

若确定所述告警载荷数据中包括编码块，则通过所述编码块的内容模式识别所述编码块的编码类型，根据所述编码类型，确定对应的预设解码方式，对所述编码块进行解码，获得解码结果数据，若确定所述解码结果数据中包含有编码块，则对所述解码结果数据中的编码块进行解码，直至所述解码结果数据中未包含编码块，则停止解码；

则对所述告警载荷数据进行特征提取，具体包括：

对所述告警载荷数据和所述解码结果数据进行特征提取。

可选的，若所述回归函数为第一超平面和第二超平面，则根据所述意图识别模型中的回归函数和所述载荷特征向量，确定所述告警载荷数据的攻击意图向量，具体包括：