[发明专利]一种网络攻击预测模型调整方法及设备

说明书

本申请提供了一种网络攻击预测模型调整方法及设备。该方法包括，基于安全事件日志生成各被攻击设备的被攻击事件序列；使用所有被攻击设备的被攻击事件序列集合训练得到LSTM模型LSTM(W₁，W₂)；使用训练得到的模型将所有被攻击事件序列嵌入到多维向量空间；将所有被攻击事件序列在多维向量空间内的点进行聚类，得到N个簇；使用每个簇中的多维向量空间内的点对应的被攻击事件序列微调LSTM模型，得到每个簇的调整后LSTM模型其中(1≤i≤M)，以使网络防攻击设备基于每个簇的调整后LSTM模型，对网络中实时攻击序列的后续攻击事件进行预测。

技术领域

本申请涉及通信技术，一种网络攻击预测模型调整方法及设备。

背景技术

在互联网环境下，Web服务器、VPN(Virtual Private Network，虚拟专用网络)服务器、邮件服务器等互联网业务服务器都是黑客攻击的重点目标。企业往往采用防火墙、IDS(Intrusion Detection System，入侵检测系统)、WAF(Web Application Firewall，Web应用防护系统)等网络安全设备对互联网业务服务器进行防护，并记录发生在各个业务服务器上的网络攻击行为。

随着网络技术的发展，网络攻击发生的频率越来越高，造成的危害也越来越大。网络攻击的及时检测与快速响应虽然能缓解网络攻击造成的危害，但是却不能避免或者消除这种危害。如果能在网络攻击发生前进行准确的预测，并实施有效的防御措施，可以最大程度地降低网络攻击造成的危害。

建立防攻击预测模型预测网络内可能发生的攻击，可以有助提前实施有效网络安全防御措施。然而，攻击者的网络攻击具有针对性，会对不同类型的主机采用不同模式的网络攻击，如果采用一种防攻击预测模型预测不同类型网络设备的网络攻击这会导致网络攻击预测的准确性降低。

发明内容

本申请的目的在于提供一种网络攻击预测模型调整方法及设备，将基于所有被攻击设备的攻击事件训练的网络攻击预测模型，按照被攻击设备类型被调整为多个预测模型，使网络防攻击设备根据每个预测模型不同类型的被攻击设备进行网络攻击预测。

为实现上述目的，本申请提供给了一种网络攻击预测模型调整方法，该方法包括，基于安全事件日志生成每个被攻击设备的被攻击事件序列；使用所有被攻击设备的被攻击事件序列集合训练得到LSTM模型LSTM(W₁，W₂)；使用训练得到的模型将所有被攻击事件序列嵌入到多维向量空间；将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类，得到N个簇；使用每个簇中的多维向量空间内的点对应的被攻击事件序列微调LSTM模型，得到每个簇的调整后LSTM模型LSTM(W₁，)，其中(1≤i≤N)，以使网络防攻击设备基于每个簇的调整后LSTM模型，对网络中出现的实时攻击序列的后续攻击事件进行预测。

为实现上述发明目的，本申请还提供了一种网络攻击预测模型调整设备，设备包括处理器以及存储器；存储器用于存储处理器可执行指令；其中，处理器通过运行存储器中的处理器可执行指令用以执行以下操作，基于安全事件日志生成每个被攻击设备的被攻击事件序列；使用所有被攻击设备的被攻击事件序列集合训练得到LSTM模型LSTM(W₁，W₂)；使用训练得到的模型将所有被攻击事件序列嵌入到多维向量空间；将所有被攻击事件序列在多维向量空间内的点基于聚类算法进行聚类，得到N个簇；使用每个簇中的多维向量空间内的点对应的被攻击事件序列微调LSTM模型，得到每个簇的调整后LSTM模型LSTM(W₁，)，其中(1≤i≤N)，以使网络防攻击设备基于每个簇的调整后LSTM模型，对网络中出现的实时攻击序列的后续攻击事件进行预测。

本申请的有益效果在于，为不同类型的设备建立不同的网络攻击预测模型，提高了网络攻击预测模型的精细度，使得网络防攻击设备根据调整后的不同类型设备的网络攻击预测模型进行网络攻击预测，提高了网络防攻击设备预测网络攻击的准确性。