本申請涉及網絡安全技術領域，尤其涉及一種攻擊意圖識別方法及裝置，獲取告警載荷數據，并對所述告警載荷數據進行特征提取，獲得所述告警載荷數據的載荷特征，其中，所述告警載荷數據為產生告警信息的原始輸入的數據；基于已訓練的攻擊意圖識別模型，以所述載荷特征為輸入參數，根據所述攻擊意圖識別模型中的回歸函數和所述載荷特征向量，確定所述告警載荷數據的攻擊意圖向量，其中，所述回歸函數為根據載荷特征樣本和攻擊意圖向量樣本通過迭代訓練獲得的；根據所述攻擊意圖向量，確定所述告警信息指示的攻擊行為的攻擊意圖，這樣，通過預先訓練的攻擊意圖模型確定告警信息所指示的攻擊行為的攻擊意圖，能夠提高識別攻擊意圖的準確度。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種攻擊意圖識別方法及裝置。

背景技術

目前，檢測系統每天產生告警信息的數量非常多，然而，這些海量的告警信息中，絕大多數的告警信息的實際價值都很低，不需要關注，只有極少數關鍵的告警信息是需要去關注的。

為了從大量的告警信息中快速查找到這些關鍵的告警信息，需要識別攻擊行為的攻擊意圖，現有技術中，可以通過貝葉斯網絡推理進而識別攻擊行為的攻擊意圖，但是，現有技術中的這種識別方式需要人工定義攻擊場景和攻擊規則，因此，現有技術中的這種識別方式效率不高。

發明內容

本申請實施例提供一種攻擊意圖識別方法及裝置，以提高對攻擊意圖識別的效率和準確度。

本申請實施例提供的具體技術方案如下：

一種攻擊意圖識別方法，包括：

獲取告警載荷數據，并對所述告警載荷數據進行特征提取，獲得所述告警載荷數據的載荷特征，其中，所述告警載荷數據為產生告警信息的原始輸入的數據；

基于已訓練的攻擊意圖識別模型，以所述載荷特征為輸入參數，根據所述攻擊意圖識別模型中的回歸函數和所述載荷特征，確定所述告警載荷數據的攻擊意圖向量，其中，所述回歸函數為根據載荷特征樣本和攻擊意圖向量樣本通過迭代訓練獲得的；

根據所述攻擊意圖向量，確定所述告警信息指示的攻擊行為的攻擊意圖。

可選的，對所述告警載荷數據進行特征提取，具體包括：

獲取所述告警載荷數據的各屬性信息，其中，所述屬性信息至少包括文件路徑、IP地址、域名、URL、操作系統命令、腳本函數名、SQL關鍵字、系統表名、混淆函數名；

對所述各屬性信息進行去重處理，獲得去重后的各屬性信息；

獲取預設的模板屬性信息，并對所述模板屬性信息在所述去重后的各屬性信息中出現的次數進行次數統計，獲得所述告警載荷數據的各屬性信息的計數統計結果；

將所述計數統計結果作為所述告警載荷數據的載荷特征。

可選的，獲取告警載荷數據之后，進一步包括：

若確定所述告警載荷數據中包括編碼塊，則通過所述編碼塊的內容模式識別所述編碼塊的編碼類型，根據所述編碼類型，確定對應的預設解碼方式，對所述編碼塊進行解碼，獲得解碼結果數據，若確定所述解碼結果數據中包含有編碼塊，則對所述解碼結果數據中的編碼塊進行解碼，直至所述解碼結果數據中未包含編碼塊，則停止解碼；

則對所述告警載荷數據進行特征提取，具體包括：

對所述告警載荷數據和所述解碼結果數據進行特征提取。

可選的，若所述回歸函數為第一超平面和第二超平面，則根據所述意圖識別模型中的回歸函數和所述載荷特征向量，確定所述告警載荷數據的攻擊意圖向量，具體包括：