[发明专利]基于深度学习的顺序网络攻击预测分析方法

权利要求书

1.基于深度学习的顺序网络攻击预测分析方法，其特征在于，包括以下步骤：

步骤S1：构建依赖图；将不同源的历史审计日志数据，抽取系统操作事件转换为依赖图，通过依赖图指示攻击行为和非攻击行为；

步骤S2：抽取时间戳事件；完成攻击行为和非攻击行为的事件的提取并按时间顺序进行时间戳标记；

步骤S3：构建恶意事件序列；基于时间戳事件集合，从不同检测点开始抽取恶意事件序列，还原出可能存在的不同攻击场景；

步骤S4：深度学习模型进行学习；恶意事件序列转换成恶意事件数字向量，深度学习模型通过抽取恶意事件数字向量，学习已有的攻击场景；

步骤S5：恶意事件预测；对新的恶意时间序列由深度学习模型进行判别，对下一个时间节点最有可能发生的恶意事件给出推测。

2.根据权利要求1所述的基于深度学习的顺序网络攻击预测分析方法，其特征在于，在步骤S1中依赖图的构建方法包括：

依赖图由节点组成，节点代表主体和对象，代表主体的节点和代表对象的节点统称为事件实体，代表主体的节点和代表对象的节点与边相连，边代表主体和对象之间的操作；

构建依赖图之后还包括依赖图优化，依赖图的优化方法包括：

(1)删除了攻击节点和攻击症状节点不可达的节点和边；(2)删除了同一主体和对象之间没有导致状态变化的重复动作的边；(3)合并相同事件的不同主体和对象描述。

3.根据权利要求1所述的基于深度学习的顺序网络攻击预测分析方法，其特征在于，步骤S3中，

所述恶意事件序列为由检测点开始挖掘的，与恶意实体有直接或间接关系的攻击事件所形成的时间序列。

4.根据权利要求1所述的基于深度学习的顺序网络攻击预测分析方法，其特征在于，步骤S4中恶意事件序列转换成恶意事件数字向量包括：

采用了词表示嵌入的方法将恶意事件序列转化为恶意事件数字向量。

5.根据权利要求1所述的基于深度学习的顺序网络攻击预测分析方法，其特征在于，所述深度学习模型采用双向长短时记忆网络(BiLSTM)以及单向长短时记忆网络(LSTM)结构堆叠的方式，对新的恶意事件进行判别。

6.根据权利要求1所述的基于深度学习的顺序网络攻击预测分析方法，其特征在于，步骤S5中恶意事件预测包括：

首先通过已知的攻击检测点，进行攻击场景重构，或者是基于n个时间节点内的依赖图，得到新的恶意事件序列，

然后对形成的恶意事件序列进行向量化处理，再输入到已经训练好的深度学习模型中；

深度学习模型对新的恶意事件分别进行判别，对下一个时间节点最有可能发生的恶意事件给出推测。