本發(fā)明涉及信息安全，尤其涉及一種基于行為圖的攻擊模式識(shí)別方法、裝置、設(shè)備以及介質(zhì)。

背景技術(shù)：

1、在當(dāng)前的網(wǎng)絡(luò)安全環(huán)境中，攻擊行為日益復(fù)雜，傳統(tǒng)的安全防護(hù)措施面臨著巨大的挑戰(zhàn)。攻擊者使用多步攻擊鏈、跨平臺(tái)和跨設(shè)備的手段進(jìn)行入侵，導(dǎo)致單一的數(shù)據(jù)源和傳統(tǒng)的規(guī)則匹配技術(shù)難以有效識(shí)別復(fù)雜的攻擊行為，為此，攻擊行為模式識(shí)別成為了一項(xiàng)關(guān)鍵技術(shù)。

2、基于規(guī)則的檢測方法是最早期也是最廣泛使用的攻擊檢測技術(shù)，由于依賴于預(yù)定義的規(guī)則和簽名，無法識(shí)別新的攻擊手段和未見過的威脅。同時(shí)，規(guī)則匹配的精度有限，容易因?yàn)樵肼晹?shù)據(jù)或正常操作的偏差產(chǎn)生誤報(bào)。在后期維護(hù)方面，規(guī)則需要持續(xù)更新和優(yōu)化，耗費(fèi)大量人力資源。

技術(shù)實(shí)現(xiàn)思路

1、基于此，本發(fā)明提供了一種基于行為圖的攻擊模式識(shí)別方法、裝置、設(shè)備以及介質(zhì)，以解決基于規(guī)則的攻擊行為檢測識(shí)別精度有限，無法識(shí)別未知攻擊的問題。

2、第一方面，本發(fā)明實(shí)施例提供了一種基于行為圖的攻擊模式識(shí)別方法，該方法包括：

3、實(shí)時(shí)采集人工網(wǎng)絡(luò)操作所產(chǎn)生的多種數(shù)據(jù)源下的行為數(shù)據(jù)，并將各數(shù)據(jù)源下的行為數(shù)據(jù)進(jìn)行預(yù)處理，得到與各數(shù)據(jù)源分別對(duì)應(yīng)的行為特征數(shù)據(jù)信息；

4、將各所述行為特征數(shù)據(jù)信息分別輸入至預(yù)先訓(xùn)練的增強(qiáng)圖神經(jīng)網(wǎng)絡(luò)模型中，得到與各數(shù)據(jù)源分別對(duì)應(yīng)的目標(biāo)行為圖；

5、將各所述目標(biāo)行為圖分別輸入至預(yù)先構(gòu)建的雙模式識(shí)別模型中進(jìn)行攻擊行為識(shí)別，并根據(jù)識(shí)別結(jié)果，在預(yù)設(shè)的攻擊響應(yīng)映射庫中查找與識(shí)別結(jié)果匹配的響應(yīng)措施，自動(dòng)執(zhí)行系統(tǒng)防御操作。

6、第二方面，本發(fā)明實(shí)施例提供了一種基于行為圖的攻擊模式識(shí)別裝置，該裝置包括：

7、行為特征提取模塊，用于實(shí)時(shí)采集人工網(wǎng)絡(luò)操作所產(chǎn)生的多種數(shù)據(jù)源下的行為數(shù)據(jù)，并將各數(shù)據(jù)源下的行為數(shù)據(jù)進(jìn)行預(yù)處理，得到與各數(shù)據(jù)源分別對(duì)應(yīng)的行為特征數(shù)據(jù)信息；

8、行為圖構(gòu)建模塊，用于將各所述行為特征數(shù)據(jù)信息分別輸入至預(yù)先訓(xùn)練的增強(qiáng)圖神經(jīng)網(wǎng)絡(luò)模型中，得到與各數(shù)據(jù)源分別對(duì)應(yīng)的目標(biāo)行為圖；

9、攻擊行為識(shí)別模塊，用于將各所述目標(biāo)行為圖分別輸入至預(yù)先構(gòu)建的雙模式識(shí)別模型中進(jìn)行攻擊行為識(shí)別，并根據(jù)識(shí)別結(jié)果，在預(yù)設(shè)的攻擊響應(yīng)映射庫中查找與識(shí)別結(jié)果匹配的響應(yīng)措施，自動(dòng)執(zhí)行系統(tǒng)防御操作。

10、第三方面，本發(fā)明實(shí)施例提供了一種電子設(shè)備，所述電子設(shè)備包括：

11、至少一個(gè)處理器；以及

12、與所述至少一個(gè)處理器通信連接的存儲(chǔ)器；其中，

13、所述存儲(chǔ)器存儲(chǔ)有可被所述至少一個(gè)處理器執(zhí)行的計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被所述至少一個(gè)處理器執(zhí)行，以使所述至少一個(gè)處理器能夠執(zhí)行本發(fā)明任一實(shí)施例所述的一種基于行為圖的攻擊模式識(shí)別方法。

14、第四方面，還提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)指令，所述計(jì)算機(jī)指令用于使處理器執(zhí)行時(shí)實(shí)現(xiàn)本發(fā)明任一實(shí)施例所述的一種基于行為圖的攻擊模式識(shí)別方法。

15、本發(fā)明實(shí)施例的技術(shù)方案，通過構(gòu)建圖神經(jīng)網(wǎng)絡(luò)模型，對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行圖行為建模，能夠更準(zhǔn)確地捕捉網(wǎng)絡(luò)流量中的異常行為模式。同時(shí)，引入雙模式識(shí)別模型，相較于傳統(tǒng)的基于規(guī)則或統(tǒng)計(jì)的方法，能夠更全面地分析網(wǎng)絡(luò)流量的特征，從而提高攻擊模式識(shí)別的準(zhǔn)確性，顯著提升網(wǎng)絡(luò)安全防護(hù)能力，及時(shí)發(fā)現(xiàn)并阻止?jié)撛诘木W(wǎng)絡(luò)攻擊，對(duì)于保護(hù)企業(yè)敏感信息、維護(hù)網(wǎng)絡(luò)安全穩(wěn)定具有重要意義。

16、應(yīng)當(dāng)理解，本部分所描述的內(nèi)容并非旨在標(biāo)識(shí)本發(fā)明的實(shí)施例的關(guān)鍵或重要特征，也不用于限制本發(fā)明的范圍。本發(fā)明的其它特征將通過以下的說明書而變得容易理解。

技術(shù)特征：

1.一種基于行為圖的攻擊模式識(shí)別方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，在將各所述行為特征數(shù)據(jù)信息分別輸入至預(yù)先訓(xùn)練的增強(qiáng)圖神經(jīng)網(wǎng)絡(luò)模型中之前，還包括：

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，在將各所述目標(biāo)行為圖分別輸入至預(yù)先構(gòu)建的雙模式識(shí)別模型中進(jìn)行攻擊行為識(shí)別之前，還包括：

4.根據(jù)權(quán)利要求3所述的方法，其特征在于，使用將每種數(shù)據(jù)源下的所述增強(qiáng)行為圖作為訓(xùn)練集，輸入至初始雙模式識(shí)別模型中，對(duì)初始雙模式識(shí)別模型中的規(guī)則識(shí)別模型和深度學(xué)習(xí)模型的權(quán)重配比進(jìn)行調(diào)整，得到最優(yōu)權(quán)重配比的雙模式識(shí)別模型，包括：

5.根據(jù)權(quán)利要求3所述的方法，其特征在于，將各所述目標(biāo)行為圖分別輸入至預(yù)先構(gòu)建的雙模式識(shí)別模型中進(jìn)行攻擊行為識(shí)別，包括：

6.根據(jù)權(quán)利要求5所述的方法，其特征在于，通過所述深度學(xué)習(xí)模型對(duì)所述當(dāng)前目標(biāo)行為圖進(jìn)行異常識(shí)別，包括：

7.根據(jù)權(quán)利要求1-6任一項(xiàng)所述的方法，其特征在于，在將各所述目標(biāo)行為圖分別輸入至預(yù)先構(gòu)建的雙模式識(shí)別模型中進(jìn)行攻擊行為識(shí)別之后，還包括：

8.一種基于行為圖的攻擊模式識(shí)別裝置，其特征在于，包括：

9.一種電子設(shè)備，其特征在于，所述電子設(shè)備包括：

10.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其特征在于，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)指令，所述計(jì)算機(jī)指令用于使處理器執(zhí)行時(shí)實(shí)現(xiàn)權(quán)利要求1-7中任一項(xiàng)所述的一種基于行為圖的攻擊模式識(shí)別方法。

技術(shù)總結(jié)
本發(fā)明公開了一種基于行為圖的攻擊模式識(shí)別方法、裝置、設(shè)備以及介質(zhì)。該方法包括：實(shí)時(shí)采集多種數(shù)據(jù)源下的行為數(shù)據(jù)，并將各數(shù)據(jù)源下的行為數(shù)據(jù)進(jìn)行預(yù)處理，得到與各數(shù)據(jù)源對(duì)應(yīng)的行為特征數(shù)據(jù)信息；將各行為特征數(shù)據(jù)信息分別輸入至預(yù)先訓(xùn)練的增強(qiáng)圖神經(jīng)網(wǎng)絡(luò)模型中，得到與各數(shù)據(jù)源對(duì)應(yīng)的目標(biāo)行為圖；將各所述目標(biāo)行為圖分別輸入至預(yù)先構(gòu)建的雙模式識(shí)別模型中進(jìn)行攻擊行為識(shí)別，根據(jù)識(shí)別結(jié)果，在預(yù)設(shè)的攻擊響應(yīng)映射庫中查找與識(shí)別結(jié)果匹配的響應(yīng)措施，自動(dòng)執(zhí)行系統(tǒng)防御操作。本發(fā)明實(shí)施例通過構(gòu)建圖神經(jīng)網(wǎng)絡(luò)模型以及引入雙模式識(shí)別模型，提高了攻擊模式識(shí)別的準(zhǔn)確性，對(duì)于保護(hù)企業(yè)敏感信息、維護(hù)網(wǎng)絡(luò)安全穩(wěn)定具有重要意義。

技術(shù)研發(fā)人員：吳澳焜
受保護(hù)的技術(shù)使用者：北京優(yōu)特捷信息技術(shù)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/12