[发明专利]基于安全图谱神经网络实现主动欺骗防御策略自适应方法

说明书

本发明涉及一种基于安全图谱神经网络实现主动欺骗防御策略自适应方法，属于网络安全技术领域。基于安全图谱神经网络实现主动欺骗防御策略自适应的方法，所述方法执行以下步骤：步骤一：获取历史和实时攻击者行为事件数据，涉及许多势态数据指标；步骤二：使用改进的图神经网络算法则将图顶点和边关系特征嵌入模型训练学习特征规律；步骤三：测试和评估经过神经网络自编码器和解码器的图重构结果，预测攻击者和蜜罐之间丢失的链接；步骤四：新输入数据，生成出图结构和节点属性，进而改变蜜罐部署策略；步骤五：基于图谱数据，可融合协同过滤算法进一步挖掘攻击者的隐式偏好，自适应地向攻击者推荐和投放诱饵。

技术领域

本发明涉及网络安全技术领域，更具体的说是涉及一种基于安全图谱神经网络实现主动欺骗防御策略自适应的方法。

背景技术

从被动网络防御到主动防御，蜜罐具有干扰迷惑可检测未知攻击，并且数据集小，误报漏报率低等优势。随之攻击势态的复杂和变化，蜜罐本身只是一种静态、固定不动的易被识别的和逃脱的。所以传统蜜罐本上是一种“被动式主动防御”手段，无法预知攻击者接下来的未知攻击和路径。随着对抗的防战，反制蜜罐手段也在不断出现，因此，智能化的部署蜜罐、蜜饵、蜜标和密网依据攻击者的行为，针对特定业务区域蜜罐系统的应用服务端口进行自动化改变，结合内网静态和外部动态网络攻击知识图谱能够自适应对链接进行预测根据特定业务区域的攻击态势和攻击类型，提升应用服务端口的部署效率，提升蜜罐系统的诱捕率和真实性。

使蜜罐系统具备认知智能，指让机器获得推理能力，理解数据、语言、过程，进而解释现象的能力，以及推理、规划等一系列人类所独有的认知能力。人工智能的发展从低到高可分为三个阶段：运算智能、感知智能、认知智能。运算智能是最初级的阶段，主要指计算机拥有快速计算和记忆存储能力。感知智能阶段建立在运算智能的基础上，指机器能够拥有视觉、听觉等能力。而认知智能则是更高级的阶段，指机器能够实现“理解与思考”。例如，深度学习技术能够让机器从视频中识别出猫咪，但无法让机器理解为什么视频中的猫咪喜欢玩毛线球，更不具备在发现猫咪不开心时给猫咪扔毛线球的智能。

发明内容

有鉴于此，本发明提供了一种基于攻击势态的分析，构建主动防御技术蜜罐相关知识图谱(KG)，并结合优化后的图神经网络实现蜜网的自适应部署和策略响应。

为实现上述目的，本发明提供如下技术方案，主要包括：

基于安全图谱神经网络实现主动欺骗防御策略自适应的方法，所述方法执行以下步骤：

步骤一：获取历史和实时攻击者行为事件数据，涉及许多势态数据指标；

步骤二：使用改进的图神经网络算法则将图顶点和边关系特征嵌入模型训练学习特征规律；

步骤三：测试和评估经过神经网络自编码器和解码器的图重构结果，预测攻击者和蜜罐之间丢失的链接；

步骤四：新输入数据，生成出图结构和节点属性，进而改变蜜罐部署策略；

步骤五：基于图谱数据，可融合协同过滤算法进一步挖掘攻击者的隐式偏好，自适应地向攻击者推荐和投放诱饵。

优选的，所述步骤一中，需向量化图的实体顶点的属性特征和边特征。构建因果意图关系，进行关联分析构建攻击知识图谱为下一步势态检测、估计、决策做准备；

使用随机游走和生成表示向量两个部分；首先利用随机游走算法(Randomwalk)从图中提取顶点和攻击序列；将生成的序列看作由单词组成的句子，所有的序列可以看作一个大的语料库，word2vec或者TF-IDF将每一个顶点表示为一个维度为d的向量，每一个边表示为维度为N的攻击序列向量。

优选的，所述步骤一中的实体顶点为IP主机、服务、漏洞、端口、网段、告警、文件、日志，普通用户、管理者、维护者的一种或者多种。