[发明专利]基于安全图谱神经网络实现主动欺骗防御策略自适应方法

权利要求书

1.基于安全图谱神经网络实现主动欺骗防御策略自适应的方法，其特征在于，所述方法执行以下步骤：

步骤一：获取历史和实时攻击者行为事件数据，涉及许多势态数据指标；

步骤二：使用改进的图神经网络算法则将图顶点和边关系特征嵌入模型训练学习特征规律；

步骤三：测试和评估经过神经网络自编码器和解码器的图重构结果，预测攻击者和蜜罐之间丢失的链接；

步骤四：新输入数据，生成出图结构和节点属性，进而改变蜜罐部署策略；

步骤五：基于图谱数据，可融合协同过滤算法进一步挖掘攻击者的隐式偏好，自适应地向攻击者推荐和投放诱饵。

2.根据权利要求1所述的基于安全图谱神经网络实现主动欺骗防御策略自适应方法，其特征在于，所述步骤一中，需向量化图的实体顶点的属性特征和边特征。构建因果意图关系，进行关联分析构建攻击知识图谱为下一步势态检测、估计、决策做准备；

使用随机游走和生成表示向量两个部分；首先利用随机游走算法(Randomwalk)从图中提取顶点和攻击序列；将生成的序列看作由单词组成的句子，所有的序列可以看作一个大的语料库，word2vec或者TF-IDF将每一个顶点表示为一个维度为d的向量，每一个边表示为维度为N的攻击序列向量。

3.根据权利要求2所述的基于安全图谱神经网络实现主动欺骗防御策略自适应方法，其特征在于，所述步骤一中的实体顶点为IP主机、服务、漏洞、端口、网段、告警、文件、日志，普通用户、管理者、维护者的一种或者多种。

4.根据权利要求1所述的基于安全图谱神经网络实现主动欺骗防御策略自适应方法，其特征在于，所述步骤二中的图神经网络可以对非欧氏空间的数据进行建模，捕获数据的内部依赖关系，本质是一种非监督学习框架，目标是通过编码机学习到低维的节点和结构向量，然后通过解码机达到生成。

5.根据权利要求4所述的基于安全图谱神经网络实现主动欺骗防御策略自适应方法，其特征在于，所述步骤二中的图神经网络算法，基于变分图自编码器VGAE，所述VGAE的编码器由图卷积网络(GCN)组成。它以邻接矩阵A和特征矩阵X作为输入。并生成潜在变量Z作为输出。第一个GCN层生成一个低维特征矩阵；它被定义为：

Atlde是对称归一化邻接矩阵；

第二个GCN层生成μ和logo2，其中：

若将两层GCN的数字结合在一起，将得到：

产生μ和logo2；

进而可以使用参数化技巧计算Z:

Z＝μ十σ*∈

其中ε～N(0,1)；

所述解码器由潜在的变量Z之间的内积定义，所述解码器的输出量是重构的邻接矩阵A-hat，其定义为：

其中σ(*)是逻辑sigmoid函数；

所述解码器表示为：

所述解码器表示为：

6.根据权利要求1所述的基于安全图谱神经网络实现主动欺骗防御策略自适应方法，其特征在于，所述步骤三过程中，如未发现新的链接预测顶点和实体关系，这时需要加入外部动态安全图谱来进行比对，引入STIX2.0框架分析攻击指标(IOC)判断威胁度和意图之后分配最优响应。

7.根据权利要求1所述的基于安全图谱神经网络实现主动欺骗防御策略自适应方法，其特征在于，所述步骤四中的新输入数据为捕获到的攻击实体和关系，所述节点属性为攻击意图和行为序列。

8.根据权利要求1所述的基于SDN技术大规模构建欺骗诱捕仿真主机的系统，其特征在于，所述步骤五中，所述解码器生成的结构有效化解推荐引擎冷启动问题，借助推荐策略可进行二次编解码重构。