[发明专利]攻击行为的识别方法、装置、设备、介质及程序产品

权利要求书

1.一种攻击行为的识别方法，包括：

获取历史日志数据；

对所述历史日志数据进行预处理，生成包括目标属性的数据样本；

利用所述数据样本对深度神经网络进行训练，得到预测模型，其中，所述深度神经网络采用卷积神经网络和双向循环网络结合的基础网络结构，所述卷积神经网络采用channel和spatial相结合的注意力机制，所述双向循环网络采用基于残差的网络结构；

基于所述预测模型，预测当前日志数据是否为存在攻击行为的日志数据。

2.根据权利要求1所述的攻击行为的识别方法，其中，所述对所述历史日志数据进行预处理包括：

获取先验知识，其中，所述先验知识为基于专家规则识别攻击行为产生的信息；

根据所述先验知识剔除所述历史日志数据中的部分数据；

提取剩余数据的至少一个属性；

基于XGBOOST对所述至少一个属性进行训练，得到包括目标属性的样本数据。

3.根据权利要求2所述的攻击行为的识别方法，其中，所述提取剩余数据的至少一个属性包括：

基于二叉回归树的特征选择方法提取剩余数据的至少一个属性。

4.根据权利要求2所述的攻击行为的识别方法，其中，所述基于XGBOOST对所述至少一个属性进行训练包括：

采用标签平滑的方式对所述至少一个属性进行训练。

5.根据权利要求1所述的攻击行为的识别方法，其中，所述利用所述数据样本对深度神经网络进行训练包括：

对所述数据样本进行卷积运算；

基于channel注意力机制对卷积运算结果进行特征提取，得到第一特征；

基于spatial注意力机制对卷积运算结果进行特征提取，得到第二特征；

将所述第一特征与第二特征进行融合，得到所述数据样本对应的特征；

将所述数据样本对应的特征输入双向循环网络进行训练，得到所述预测模型。

6.根据权利要求5所述的攻击行为的识别方法，其中，所述对所述数据样本进行卷积运算包括：

在所述数据样本的数量大于预设数量时，对所述数据样本对应的矩阵的预定行与列进行卷积运算；

在所述数据样本的数量不大于预设数量时，对所述数据样本对应的矩阵的所有行与列进行卷积运算。

7.根据权利要求2所述的攻击行为的识别方法，其中，所述对所述历史日志数据进行预处理还包括：

分析所述至少一个属性的规律，根据所述规律对所述剩余数据进行处理，以规范所述剩余数据。

8.根据权利要求1所述的攻击行为的识别方法，其中，所述历史日志数据包括包含攻击行为的日志数据及不包含攻击行为的日志数据；

所述对所述历史日志数据进行预处理还包括：

获取先验知识，其中，所述先验知识为基于专家规则识别攻击行为产生的信息；

根据所述先验知识增加包含攻击行为的日志数据的数量。

9.根据权利要求1所述的攻击行为的识别方法，其中，所述基于所述预测模型，预测当前日志数据是否为存在攻击行为的日志数据包括：

基于所述预测模型，预测所述当前日志数据发生攻击行为的概率；

判断所述概率是否大于预设值，若是，则当前日志数据为存在攻击行为的日志数据。

10.根据权利要求1所述的攻击行为的识别方法，所述方法还包括：

对于存在攻击行为的日志数据，根据所述日志数据分析该日志数据对应的用户行为；

根据用户行为发送告警信号或阻断用户进行访问。

11.根据权利要求1-10任一项所述的攻击行为的识别方法，其中，所述历史日志数据为SSL VPN日志数据。