[发明专利]基于时序点的网络攻击事件预测方法、系统、装置及介质

说明书

本发明公开了一种基于时序点的网络攻击事件预测方法、系统、装置及介质，方法包括：获取历史攻击事件数据，根据历史攻击事件数据生成第一事件序列，进而确定第一事件特征以及事件发生时间；根据第一事件特征构建第一事件图谱，进而通过图嵌入算法对第一事件图谱进行处理，得到第一特征向量；将第一特征向量和事件发生时间输入到预先构建的循环神经网络中进行深度点过程的模型训练，得到训练好的时序点过程模型；根据时序点过程模型预测得到下一次网络攻击事件的发生时间和事件类型。本发明通过图嵌入将事件图谱转换成特征向量，利用深度点过程对特征向量和时间发生时间进行训练，提高了网络攻击事件预测的准确度，可广泛应用于网络安全技术领域。

技术领域

本发明涉及网络技术领域，尤其是一种基于时序点的网络攻击事件预测方法、系统、装置及介质。

背景技术

在网络安全领域，准确的预测攻击者下一步的活动是至关重要的。为了预测攻击的持续性并预测即将发生的攻击事件，通常需要收集攻击者的行为并对其进行攻击建模以供以后使用。但忽略时间维度，所预测出的事件往往不能反映现实。因此，通过对一系列网络攻击的历史事件进行建模，将每个事件对应其发生的时间和所属的事件类型，基于这一系列历史事件，可以高效预测下一次网络攻击事件的发生时间及其事件类型。

现有技术中，使用最广泛的方法是基于规则的匹配以检测系统异常的方式找到网络攻击事件。除此之外，使用机器学习方法预测网络攻击事件大致可以分为两类：监督学习，即对有标签的正常或异常样本数据进行训练，再预测新事件的事件类型以确定是否为网络攻击事件；无监督学习，由于缺乏先验知识，对无标签的样本数据进行聚类，通过离群点样本以检测网络攻击事件。洛克希德·马丁公司的计算机事件响应小组提出了杀伤链模型(Kill Chain)将攻击者的攻击过程分为了七个不同的攻击阶段。每个阶段均有可用到的攻击技术。该模型可将每个攻击阶段中的攻击技术组合为一个有序的攻击过程以达到对攻击者行为的分析和预测。而变序马尔可夫模型在时序问题中的预测是将该问题表述为离散时间序列预测任务，根据观察到的攻击序列的状态，预测下一步最可能出现的状态。

很明显的，如果想要更加准确的预测网络攻击事件，就需要让模型与现实中的实际情况更加贴合，那么时间因素就必须被考虑，形成基于时序点的网络攻击事件预测。通过系统日志、流量分析、样本分析等方式寻找网络攻击事件并根据杀伤链模型(Kill Chain)对其进行攻击建模是一种普遍的方式。在大规模数据中利用机器学习、深度学习等方法预测网络攻击事件的类型确实可以取得不错的效果，但无法准确预测其可能发生的时间点。

因此，当前网络攻击事件预测面临的时序点问题有以下几点：首先，对网络历史攻击事件进行建模并形成先验知识时，时间因素仅用于数据集中的数据排序。整理数据集中的数据形成按时间排序的事件序列，但在使用模型进行检测或分析时，时间维度并没有被考虑进去。其次，一些深度学习的方法，如LSTM等，在进行检测分析时将时间纳入到了模型的考虑范围中，将事件序列，但这些时间均是单位时间。还有一些传统的时序点方式，如泊松过程、霍克斯过程等。这些方式的时序点预测过程对强度函数做了一些设定，其时间均是呈线形分布。而在现实世界中，历史事件对强度函数的影响并不一定是线性累加或者持续时间恒定的。另一方面，由于攻击类型复杂多样，攻击者逃逸技术愈发先进，可收集到数据并不一定是全面的。传统的时序点过程对数据的缺失处理不是很好，有时只能观测到一部分事件。

发明内容

本发明的目的在于至少一定程度上解决现有技术中存在的技术问题之一。

为此，本发明实施例的一个目的在于提供一种基于时序点的网络攻击事件预测方法，该方法通过图嵌入将表征事件特征的事件图谱转换成特征向量，然后利用深度点过程技术对特征向量和时间发生时间进行训练，通过循环神经网络模拟点过程的强度函数，充分考虑了时间因素对点过程强度函数的影响，提高了网络攻击事件预测的准确度。

本发明实施例的另一个目的在于提供一种基于时序点的网络攻击事件预测系统。

为了达到上述技术目的，本发明实施例所采取的技术方案包括：