本發(fā)明公開了一種基于時序點的網(wǎng)絡(luò)攻擊事件預(yù)測方法、系統(tǒng)、裝置及介質(zhì)，方法包括：獲取歷史攻擊事件數(shù)據(jù)，根據(jù)歷史攻擊事件數(shù)據(jù)生成第一事件序列，進(jìn)而確定第一事件特征以及事件發(fā)生時間；根據(jù)第一事件特征構(gòu)建第一事件圖譜，進(jìn)而通過圖嵌入算法對第一事件圖譜進(jìn)行處理，得到第一特征向量；將第一特征向量和事件發(fā)生時間輸入到預(yù)先構(gòu)建的循環(huán)神經(jīng)網(wǎng)絡(luò)中進(jìn)行深度點過程的模型訓(xùn)練，得到訓(xùn)練好的時序點過程模型；根據(jù)時序點過程模型預(yù)測得到下一次網(wǎng)絡(luò)攻擊事件的發(fā)生時間和事件類型。本發(fā)明通過圖嵌入將事件圖譜轉(zhuǎn)換成特征向量，利用深度點過程對特征向量和時間發(fā)生時間進(jìn)行訓(xùn)練，提高了網(wǎng)絡(luò)攻擊事件預(yù)測的準(zhǔn)確度，可廣泛應(yīng)用于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域，尤其是一種基于時序點的網(wǎng)絡(luò)攻擊事件預(yù)測方法、系統(tǒng)、裝置及介質(zhì)。

背景技術(shù)

在網(wǎng)絡(luò)安全領(lǐng)域，準(zhǔn)確的預(yù)測攻擊者下一步的活動是至關(guān)重要的。為了預(yù)測攻擊的持續(xù)性并預(yù)測即將發(fā)生的攻擊事件，通常需要收集攻擊者的行為并對其進(jìn)行攻擊建模以供以后使用。但忽略時間維度，所預(yù)測出的事件往往不能反映現(xiàn)實。因此，通過對一系列網(wǎng)絡(luò)攻擊的歷史事件進(jìn)行建模，將每個事件對應(yīng)其發(fā)生的時間和所屬的事件類型，基于這一系列歷史事件，可以高效預(yù)測下一次網(wǎng)絡(luò)攻擊事件的發(fā)生時間及其事件類型。

現(xiàn)有技術(shù)中，使用最廣泛的方法是基于規(guī)則的匹配以檢測系統(tǒng)異常的方式找到網(wǎng)絡(luò)攻擊事件。除此之外，使用機器學(xué)習(xí)方法預(yù)測網(wǎng)絡(luò)攻擊事件大致可以分為兩類：監(jiān)督學(xué)習(xí)，即對有標(biāo)簽的正常或異常樣本數(shù)據(jù)進(jìn)行訓(xùn)練，再預(yù)測新事件的事件類型以確定是否為網(wǎng)絡(luò)攻擊事件；無監(jiān)督學(xué)習(xí)，由于缺乏先驗知識，對無標(biāo)簽的樣本數(shù)據(jù)進(jìn)行聚類，通過離群點樣本以檢測網(wǎng)絡(luò)攻擊事件。洛克希德·馬丁公司的計算機事件響應(yīng)小組提出了殺傷鏈模型(Kill Chain)將攻擊者的攻擊過程分為了七個不同的攻擊階段。每個階段均有可用到的攻擊技術(shù)。該模型可將每個攻擊階段中的攻擊技術(shù)組合為一個有序的攻擊過程以達(dá)到對攻擊者行為的分析和預(yù)測。而變序馬爾可夫模型在時序問題中的預(yù)測是將該問題表述為離散時間序列預(yù)測任務(wù)，根據(jù)觀察到的攻擊序列的狀態(tài)，預(yù)測下一步最可能出現(xiàn)的狀態(tài)。

很明顯的，如果想要更加準(zhǔn)確的預(yù)測網(wǎng)絡(luò)攻擊事件，就需要讓模型與現(xiàn)實中的實際情況更加貼合，那么時間因素就必須被考慮，形成基于時序點的網(wǎng)絡(luò)攻擊事件預(yù)測。通過系統(tǒng)日志、流量分析、樣本分析等方式尋找網(wǎng)絡(luò)攻擊事件并根據(jù)殺傷鏈模型(Kill Chain)對其進(jìn)行攻擊建模是一種普遍的方式。在大規(guī)模數(shù)據(jù)中利用機器學(xué)習(xí)、深度學(xué)習(xí)等方法預(yù)測網(wǎng)絡(luò)攻擊事件的類型確實可以取得不錯的效果，但無法準(zhǔn)確預(yù)測其可能發(fā)生的時間點。

因此，當(dāng)前網(wǎng)絡(luò)攻擊事件預(yù)測面臨的時序點問題有以下幾點：首先，對網(wǎng)絡(luò)歷史攻擊事件進(jìn)行建模并形成先驗知識時，時間因素僅用于數(shù)據(jù)集中的數(shù)據(jù)排序。整理數(shù)據(jù)集中的數(shù)據(jù)形成按時間排序的事件序列，但在使用模型進(jìn)行檢測或分析時，時間維度并沒有被考慮進(jìn)去。其次，一些深度學(xué)習(xí)的方法，如LSTM等，在進(jìn)行檢測分析時將時間納入到了模型的考慮范圍中，將事件序列，但這些時間均是單位時間。還有一些傳統(tǒng)的時序點方式，如泊松過程、霍克斯過程等。這些方式的時序點預(yù)測過程對強度函數(shù)做了一些設(shè)定，其時間均是呈線形分布。而在現(xiàn)實世界中，歷史事件對強度函數(shù)的影響并不一定是線性累加或者持續(xù)時間恒定的。另一方面，由于攻擊類型復(fù)雜多樣，攻擊者逃逸技術(shù)愈發(fā)先進(jìn)，可收集到數(shù)據(jù)并不一定是全面的。傳統(tǒng)的時序點過程對數(shù)據(jù)的缺失處理不是很好，有時只能觀測到一部分事件。

發(fā)明內(nèi)容

本發(fā)明的目的在于至少一定程度上解決現(xiàn)有技術(shù)中存在的技術(shù)問題之一。

為此，本發(fā)明實施例的一個目的在于提供一種基于時序點的網(wǎng)絡(luò)攻擊事件預(yù)測方法，該方法通過圖嵌入將表征事件特征的事件圖譜轉(zhuǎn)換成特征向量，然后利用深度點過程技術(shù)對特征向量和時間發(fā)生時間進(jìn)行訓(xùn)練，通過循環(huán)神經(jīng)網(wǎng)絡(luò)模擬點過程的強度函數(shù)，充分考慮了時間因素對點過程強度函數(shù)的影響，提高了網(wǎng)絡(luò)攻擊事件預(yù)測的準(zhǔn)確度。

本發(fā)明實施例的另一個目的在于提供一種基于時序點的網(wǎng)絡(luò)攻擊事件預(yù)測系統(tǒng)。

為了達(dá)到上述技術(shù)目的，本發(fā)明實施例所采取的技術(shù)方案包括：