[发明专利]攻击行为的识别方法、装置、设备、介质及程序产品

说明书

本公开提供一种攻击行为的识别方法，涉及信息安全领域，可应用金融科技领域，该方法包括：获取历史日志数据；对所述历史日志数据进行预处理，生成包括目标属性的数据样本；利用所述数据样本对深度神经网络进行训练，得到预测模型，其中，所述深度神经网络采用卷积神经网络和双向循环网络结合的基础网络结构，所述卷积神经网络采用channel和spatial相结合的注意力机制，所述双向循环网络采用基于残差的网络结构；基于所述预测模型，预测当前日志数据是否为存在攻击行为的日志数据。本公开还提供一种攻击行为的识别装置、电子设备、计算机可读存储介质及计算机程序产品。

技术领域

本公开涉及信息安全领域，可应用金融科技领域或其他领域，具体涉及一种攻击行为的识别方法、装置、设备、介质及程序产品。

背景技术

现有的网络安全技术中，通过SSL VPN对网络攻击行为的识别主要是基于专家规则进行识别，包括对于账号认证失败的次数、异常登录时间、非变更窗口配置操作等。然而，基于专家规则进行网络攻击行为识别的方法，很难构建一套完备的规则库，有时难以区别真正攻击和正常操作，以致于造成漏报或误报，降低安全运维效率，增加企业风险。

公开内容

有鉴于此，本公开提供一方面提供一种攻击行为的识别方法，包括：获取历史日志数据，对所述历史日志数据进行预处理，生成包括目标属性的数据样本；利用所述数据样本对深度神经网络进行训练，得到预测模型，其中，所述深度神经网络采用卷积神经网络和双向循环网络结合的基础网络结构，所述卷积神经网络采用channel和spatial相结合的注意力机制，所述双向循环网络采用基于残差的网络结构；基于所述预测模型，预测当前日志数据是否为存在攻击行为的日志数据。

根据本公开的实施例，其中，所述对所述历史日志数据进行预处理包括：获取先验知识，其中，所述先验知识为基于专家规则识别攻击行为产生的信息；根据所述先验知识剔除所述历史日志数据中的部分数据；提取剩余数据的至少一个属性；基于XGBOOST对所述至少一个属性进行训练，得到包括目标属性的样本数据。

根据本公开的实施例，其中，所述提取剩余数据的至少一个属性包括：基于二叉回归树的特征选择方法提取剩余数据的至少一个属性。

根据本公开的实施例，其中，所述基于XGBOOST对所述至少一个属性进行训练包括：采用标签平滑的方式对所述至少一个属性进行训练。

根据本公开的实施例，其中，所述利用所述数据样本对深度神经网络进行训练包括：对所述数据样本进行卷积运算；基于channel注意力机制对卷积运算结果进行特征提取，得到第一特征；基于spatial注意力机制对卷积运算结果进行特征提取，得到第二特征；将所述第一特征与第二特征进行融合，得到所述数据样本对应的特征；将所述数据样本对应的特征输入双向循环网络进行训练，得到所述预测模型。

根据本公开的实施例，其中，所述对所述数据样本进行卷积运算包括：在所述数据样本的数量大于预设数量时，对所述数据样本对应的矩阵的预定行与列进行卷积运算；在所述数据样本的数量不大于预设数量时，对所述数据样本对应的矩阵的所有行与列进行卷积运算。

根据本公开的实施例，所述对所述历史日志数据进行预处理还包括：分析所述至少一个属性的规律，根据所述规律对所述剩余数据进行处理，以规范所述剩余数据。

根据本公开的实施例，其中，所述日志数据包括包含攻击行为的日志数据及不包含攻击行为的日志数据；所述对历史日志数据进行预处理还包括：获取先验知识，其中，所述先验知识为基于专家规则识别攻击行为产生的信息；根据所述先验知识增加包含攻击行为的日志数据的数量。

根据本公开的实施例，其中，所述基于所述预测模型，预测当前日志数据是否为存在攻击行为的日志数据包括：基于所述预测模型，预测所述当前日志数据发生攻击行为的概率；判断所述概率是否大于预设值，若是，则当前日志数据为存在攻击行为的日志数据。