[发明专利]基于深度学习的顺序网络攻击预测分析方法

说明书

本发明涉及一种基于深度学习的顺序网络攻击预测分析方法，包括以下步骤：步骤S1：构建依赖图，通过依赖图指示攻击行为和非攻击行为；步骤S2：抽取时间戳事件；完成攻击行为和非攻击行为的事件的提取并按时间顺序进行时间戳标记；步骤S3：构建恶意事件序列，还原出可能存在的不同攻击场景；步骤S4：深度学习模型学习已有的攻击场景；步骤S5：恶意事件预测；对新的恶意时间序列由深度学习模型进行判别，对下一个时间节点最有可能发生的恶意事件给出推测。本发明对顺序攻击进行基于日志的研究，通过依赖图对可能存在的攻击场景完成简单的追溯，再通过深度学习模型学习到以往的攻击者的行为，对于未来可能发生的攻击事件进行预测。

技术领域

本发明涉及网络安全检测及预测领域，尤其是基于深度学习的顺序网络攻击预测分析方法。

背景技术

随着时间的流逝，网络入侵的类型已经从原始的特洛伊木马和病毒转变为当前更常见的由无数的单独攻击组成的更复杂的顺序网络攻击。顺序网络攻击(Sequentialnetwork attacks，SNA)往往以多阶段网络攻击(multi-stage network attacks，MSA)的形式存在，其代表性的存在形式便是高级持久威胁(APT)。

顺序网络攻击需要执行一系列的攻击步骤，但是，各个步骤可能是良性的，也可能是恶意的，极个别的，每个攻击阶段都可以表现为良性阶段，不会引起任何怀疑。此外，攻击可能持续数周或数年，由于攻击阶段之间的时间变化，传统的入侵检测系统(IDS)可能无法检测到这些攻击。因此需要一种新的预测分析方法对其进行处理，在其攻击早期对其进行揭示，并尽可能的预判攻击者进一步的攻击策略，为网络管理员提供攻击防范的依据。

发明内容

本发明要解决的技术问题是：提供一种基于深度学习的顺序网络攻击预测分析方法，能够对下一个时间节点最有可能发生的恶意事件给出推测，为网络管理员提供攻击防范的依据。

本发明解决其技术问题所采用的技术方案是：基于深度学习的顺序网络攻击预测分析方法，包括以下步骤：

步骤S1：构建依赖图；将不同源的历史审计日志数据，抽取系统操作事件转换为依赖图，通过依赖图指示攻击行为和非攻击行为；

步骤S2：抽取时间戳事件；完成攻击行为和非攻击行为的事件的提取并按时间顺序进行时间戳标记；

步骤S3：构建恶意事件序列；基于时间戳事件集合，从不同检测点开始抽取恶意事件序列，还原出可能存在的不同攻击场景；

步骤S4：深度学习模型进行学习；恶意事件序列转换成恶意事件数字向量，深度学习模型通过抽取恶意事件数字向量，学习已有的攻击场景；

步骤S5：恶意事件预测；对新的恶意时间序列由深度学习模型进行判别，对下一个时间节点最有可能发生的恶意事件给出推测。

具体地，在步骤S1中依赖图的构建方法包括：

依赖图由节点组成，节点代表主体和对象，代表主体的节点和代表对象的节点统称为事件实体，代表主体的节点和代表对象的节点与边相连，边代表主体和对象之间的操作。

构建依赖图之后还包括依赖图优化，依赖图的优化方法包括：

(1)删除了攻击节点和攻击症状节点不可达的节点和边；(2)删除了同一主体和对象之间没有导致状态变化的重复动作的边；(3)合并相同事件的不同主体和对象描述。

具体地，步骤S3中，所述恶意事件序列为由检测点开始挖掘的，与恶意实体有直接或间接关系的攻击事件所形成的时间序列。

具体地，步骤S4中恶意事件序列转换成恶意事件数字向量包括：

采用了词表示嵌入的方法将恶意事件序列转化为恶意事件数字向量。