[发明专利]一种网络攻击预测模型调整方法及设备

权利要求书

1.一种网络攻击预测模型调整方法，其特征在于，所述方法包括，

基于安全事件日志生成每个被攻击设备的被攻击事件序列；

使用所有被攻击设备的被攻击事件序列集合训练得到LSTM模型LSTM(W₁，W₂)；

使用所述训练得到的模型将所有所述被攻击事件序列嵌入到多维向量空间；

将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类，得到N个簇；

使用每个所述簇中的多维向量空间内的点对应的被攻击事件序列微调所述LSTM模型，得到每个簇的调整后LSTM模型LSTM其中(1≤i≤N)，以使网络防攻击设备基于每个所述簇的调整后LSTM模型，对网络中出现的实时攻击序列的后续攻击事件进行预测。

2.根据权利要求1所述的方法，其特征在于，所述基于安全事件日志生成每个被攻击设备的被攻击事件序列包括，

根据所述安全事件日志记录的每个攻击事件的攻击事件目的IP地址，将所述安全事件日志记录的所有攻击事件划分为多个组；其中，每个攻击事件至少包含攻击事件目的IP地址、攻击类型、攻击时间；

依据每个组的攻击事件包含的攻击时间对每个组中的所有攻击事件的攻击类型进行排序。

3.根据权利要求1所述的方法，其特征在于，所述聚类算法包括K-means聚类算法、层次聚类法，密度聚类法。

4.根据权利要求3所述的方法，其特征在于，使用每个所述簇中的多维向量空间内的点对应的被攻击事件序列微调所述LSTM模型进行微调包括，

将每个所述簇中每个点对应的被攻击事件序列作为训练数据输入到所述LSTM模型的LSTM(W₁，W₂)；其中，所述LSTM模型的LSTM(W₁，W₂)的LSTM模型参数W₁不变；

调整全连接层的参数W2，得到每个所述簇的调整后LSTM模型LSTM其中(1≤i≤N)。

5.根据权利要求3所述的方法，其特征在于，所述聚类算法为K-means聚类算法，所述将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类，得到N个簇包括，

逐个计算每个被攻击事件序列在多维向量空间内的点与K个质心的距离，选择每个被攻击事件序列在多维向量空间内的点的最短距离的质心及其所属的簇，

将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类，得到K个簇。

6.一种网络攻击预测模型调整设备，其特征在于，所述设备包括处理器以及存储器；所述存储器用于存储处理器可执行指令；其中，所述处理器通过运行所述存储器中的处理器可执行指令用以执行以下操作，

基于安全事件日志生成每个被攻击设备的被攻击事件序列；

使用所有被攻击设备的被攻击事件序列集合训练得到LSTM模型LSTM(W₁，W₂)；

使用所述训练得到的模型将所有所述被攻击事件序列嵌入到多维向量空间；

将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类，得到N个簇；

使用每个所述簇中的多维向量空间内的点对应的被攻击事件序列微调所述LSTM模型，得到每个簇的调整后LSTM模型LSTM其中(1≤i≤N)，以使网络防攻击设备基于每个所述簇的调整后LSTM模型，对网络中出现的实时攻击序列的后续攻击事件进行预测。

7.根据权利要求6所述的设备，其特征在于，所述处理器通过运行所述存储器中的指令执行所述基于安全事件日志生成每个被攻击设备的被攻击事件序列包括以下操作，

根据所述安全事件日志记录的每个攻击事件的攻击事件目的IP地址，将所述安全事件日志记录的所有攻击事件划分为多个组；其中，每个攻击事件至少包含攻击事件目的IP地址、攻击类型、攻击时间；

依据每个组的攻击事件包含的攻击时间对每个组中的所有攻击事件的攻击类型进行排序。