一种威胁类型识别方法及装置制造方法及图纸

本发明专利技术实施例提供了一种威胁类型识别方法及装置，涉及网络安全技术领域，可以确定未知威胁类型的域名的威胁类型。本发明专利技术实施例的方案包括：构建待识别矩阵，待识别矩阵包括属性矩阵和关系矩阵，属性矩阵包括待识别域名的属性信息以及已知威胁类型的目标域名的属性信息，关系矩阵包括待识别域名与目标域名的相似度。然后将待识别矩阵输入威胁类型识别模型，获取威胁类型识别模型输出的待识别域名属于各威胁类型的概率，并将概率最大的威胁类型作为待识别域名的威胁类型，威胁类型识别模型用于根据待识别域名的属性信息、目标域名的属性信息以及待识别域名与目标域名之间的相似度，确定待识别域名属于各威胁类型的概率。

A threat type identification method and device

【技术实现步骤摘要】
一种威胁类型识别方法及装置
本专利技术涉及网络安全
，特别是涉及一种威胁类型识别方法及装置。
技术介绍
网络攻击者通常利用大量的网络基础设施来进行网络攻击，网络攻击一般涉及域名和互联网协议(InternetProtocol，IP)地址。例如，攻击者可以采用各种传播手段，将互联网上大量的主机感染僵尸程序病毒，被感染的主机通过控制信道接收攻击者的指令，从而窃取其他设备的隐私数据、向其他设备发送垃圾邮件等。这些被感染僵尸程序病毒的主机组成的网络称为僵尸网络。为了应对复杂多变的网络攻击，越来越多的组织开始利用开放的网络共享网络威胁情报。网络威胁情报描述了现存的网络威胁，且描述了面对网络威胁可以采取的应对手段。但是目前网络中仍存在未知威胁类型的域名的威胁，因此确定未知威胁类型的域名的威胁类型十分重要。
技术实现思路
本专利技术实施例的目的在于提供一种威胁类型识别方法及装置，以确定未知威胁类型的域名的威胁类型。具体技术方案如下：第一方面，本专利技术实施例提供了一种威胁类型识别方法，所述方法包括：构建待识别矩阵，所述待识别矩阵包括属性矩阵和关系矩阵，所述属性矩阵包括待识别域名的属性信息以及已知威胁类型的目标域名的属性信息，所述关系矩阵包括所述待识别域名与所述目标域名的相似度，所述待识别域名与所述目标域名之间的相似度基于所述待识别域名与所述目标域名之间的关联关系确定，所述关联关系包括所述待识别域名和所述目标域名与同一个元素或同一个元素图存在关联关系的间接关系，所述元素图中包括的各元素之间存在关联关系，所述元素包括互联网协议IP地址、邮箱地址和/或恶意软件哈希值；将所述待识别矩阵输入威胁类型识别模型；获取所述威胁类型识别模型输出的所述待识别域名属于各威胁类型的概率，并将概率最大的威胁类型作为所述待识别域名的威胁类型，所述威胁类型识别模型用于根据所述待识别域名的属性信息、所述目标域名的属性信息以及所述待识别域名与所述目标域名之间的相似度，确定所述待识别域名属于各威胁类型的概率。可选的，所述威胁类型识别模型通过以下步骤训练获得：获取样本矩阵以及样本矩阵对应的多个样本域名的实际威胁类型，所述样本矩阵包括由多个样本域名的属性信息构成的属性矩阵以及用于表示所述多个样本域名中每两个样本域名之间的相似度的关系矩阵；将所述样本矩阵输入神经网络模型，并获取神经网络模型识别的所述多个样本域名属于各威胁类型的概率；根据神经网络模型识别的所述多个样本域名属于各威胁类型的概率和所述多个样本域名的实际威胁类型，计算损失函数值；根据所述损失函数值，判断神经网络模型是否收敛；若神经网络模型收敛，则获得所述威胁类型识别模型；若神经网络模型未收敛，则根据所述损失函数值，调整神经网络模型的模型参数，并进行下一次训练。可选的，所述多个样本域名中每两个样本域名之间的相似度，通过以下公式获得：其中，Φk为第k种元路径或元图，Φk＝{Φk|k＝1,2,…,n}，n为元路径和元图的种类总数，为两个域名在Φk下的路径数量，βk为Φk的权重，并满足βk>0且MIS(vi,vj)为第i个域名与第j个域名之间的相似度。可选的，神经网络模型通过以下公式识别每个样本域名属于各威胁类型的概率：其中，Z为该样本域名属于各威胁类型的概率，X为所述属性矩阵，B为所述关系矩阵，表示对xi进行归一化应用在矩阵的行，ReLU(·)＝max(0,·)，IN为单位矩阵，W(0)和W(1)为神经网络模型的权重。可选的，所述损失函数值通过以下公式计算：其中，H为损失函数值，N′为存在对应的威胁类型的域名的数量，K为威胁类型的数量，lk(vi)用于表示第i个节点vi是否属于威胁类型k，Zk(vi)用于表示神经网络模型预测的第i个节点vi属于威胁类型k的概率。可选的，所述元素还包括域名；在所述构建待识别矩阵之前，所述方法还包括：从第一数据源中获取不同种类的节点之间的关联关系，并构建威胁情报异质图，所述威胁情报异质图中的每个节点对应一个元素，每个节点所属的种类为该节点对应的元素的种类；所述构建待识别矩阵，包括：获取所述待识别域名的属性信息以及所述目标域名的属性信息，并构建所述属性矩阵；根据所述威胁情报异质图，确定所述待识别域名与所述目标域名的相似度；根据所述待识别域名与所述目标域名的相似度，构建所述关系矩阵。可选的，所述构建威胁情报异质图，包括：从第二数据源中获取同一类型的节点之间的关联关系，并基于不同种类的节点之间的关联关系以及同一类型的节点之间的关联关系，构建威胁情报异质图。第二方面，本专利技术实施例提供了一种威胁类型识别装置，所述装置包括：构建模块，用于构建待识别矩阵，所述待识别矩阵包括属性矩阵和关系矩阵，所述属性矩阵包括待识别域名的属性信息以及已知威胁类型的目标域名的属性信息，所述关系矩阵包括所述待识别域名与所述目标域名的相似度，所述待识别域名与所述目标域名之间的相似度基于所述待识别域名与所述目标域名之间的关联关系确定，所述关联关系包括所述待识别域名和所述目标域名与同一个元素或同一个元素图存在关联关系的间接关系，所述元素图中包括的各元素之间存在关联关系，所述元素包括互联网协议IP地址、邮箱地址和/或恶意软件哈希值；输入模块，用于将所述构建模块构建的所述待识别矩阵输入威胁类型识别模型；获取模块，用于获取所述威胁类型识别模型输出的所述待识别域名属于各威胁类型的概率，并将概率最大的威胁类型作为所述待识别域名的威胁类型，所述威胁类型识别模型用于根据所述待识别域名的属性信息、所述目标域名的属性信息以及所述待识别域名与目标域名之间的相似度，确定所述待识别域名属于各威胁类型的概率。可选的，所述装置还包括训练模块，所述训练模块用于：获取样本矩阵以及样本矩阵对应的多个样本域名的实际威胁类型，所述样本矩阵包括由多个样本域名的属性信息构成的属性矩阵以及用于表示所述多个样本域名中每两个样本域名之间的相似度的关系矩阵；将所述样本矩阵输入神经网络模型，并获取神经网络模型识别的所述多个样本域名属于各威胁类型的概率；根据神经网络模型识别的所述多个样本域名属于各威胁类型的概率和所述多个样本域名的实际威胁类型，计算损失函数值；根据所述损失函数值，判断神经网络模型是否收敛；若神经网络模型收敛，则获得所述威胁类型识别模型；若神经网络模型未收敛，则根据所述损失函数值，调整神经网络模型的模型参数，并进行下一次训练。可选的，所述多个样本域名中每两个样本域名之间的相似度，通过以下公式获得：其中，Φk为第k种元路径或元图，Φk＝{Φk|k＝1,2,…,n}，n为元路径和元图的种类总数，为两个域名在Φk下的路径数量，βk为Φk的权重，并满足βk>0且MIS(vi,vj)为第i个域名与第j个域名之间的相似度。可选的，神经网络模型通过以下公式识别每个样本域本文档来自技高网...

【技术保护点】
1.一种威胁类型识别方法，其特征在于，所述方法包括：/n构建待识别矩阵，所述待识别矩阵包括属性矩阵和关系矩阵，所述属性矩阵包括待识别域名的属性信息以及已知威胁类型的目标域名的属性信息，所述关系矩阵包括所述待识别域名与所述目标域名的相似度，所述待识别域名与所述目标域名之间的相似度基于所述待识别域名与所述目标域名之间的关联关系确定，所述关联关系包括所述待识别域名和所述目标域名与同一个元素或同一个元素图存在关联关系的间接关系，所述元素图中包括的各元素之间存在关联关系，所述元素包括互联网协议IP地址、邮箱地址和/或恶意软件哈希值；/n将所述待识别矩阵输入威胁类型识别模型；/n获取所述威胁类型识别模型输出的所述待识别域名属于各威胁类型的概率，并将概率最大的威胁类型作为所述待识别域名的威胁类型，所述威胁类型识别模型用于根据所述待识别域名的属性信息、所述目标域名的属性信息以及所述待识别域名与所述目标域名之间的相似度，确定所述待识别域名属于各威胁类型的概率。/n

【技术特征摘要】
1.一种威胁类型识别方法，其特征在于，所述方法包括：
构建待识别矩阵，所述待识别矩阵包括属性矩阵和关系矩阵，所述属性矩阵包括待识别域名的属性信息以及已知威胁类型的目标域名的属性信息，所述关系矩阵包括所述待识别域名与所述目标域名的相似度，所述待识别域名与所述目标域名之间的相似度基于所述待识别域名与所述目标域名之间的关联关系确定，所述关联关系包括所述待识别域名和所述目标域名与同一个元素或同一个元素图存在关联关系的间接关系，所述元素图中包括的各元素之间存在关联关系，所述元素包括互联网协议IP地址、邮箱地址和/或恶意软件哈希值；
将所述待识别矩阵输入威胁类型识别模型；
获取所述威胁类型识别模型输出的所述待识别域名属于各威胁类型的概率，并将概率最大的威胁类型作为所述待识别域名的威胁类型，所述威胁类型识别模型用于根据所述待识别域名的属性信息、所述目标域名的属性信息以及所述待识别域名与所述目标域名之间的相似度，确定所述待识别域名属于各威胁类型的概率。


2.根据权利要求1所述的方法，其特征在于，所述威胁类型识别模型通过以下步骤训练获得：
获取样本矩阵以及样本矩阵对应的多个样本域名的实际威胁类型，所述样本矩阵包括由多个样本域名的属性信息构成的属性矩阵以及用于表示所述多个样本域名中每两个样本域名之间的相似度的关系矩阵；
将所述样本矩阵输入神经网络模型，并获取神经网络模型识别的所述多个样本域名属于各威胁类型的概率；
根据神经网络模型识别的所述多个样本域名属于各威胁类型的概率和所述多个样本域名的实际威胁类型，计算损失函数值；
根据所述损失函数值，判断神经网络模型是否收敛；若神经网络模型收敛，则获得所述威胁类型识别模型；若神经网络模型未收敛，则根据所述损失函数值，调整神经网络模型的模型参数，并进行下一次训练。


3.根据权利要求2所述的方法，其特征在于，所述多个样本域名中每两个样本域名之间的相似度，通过以下公式获得：



其中，Φk为第k种元路径或元图，Φk＝{Φk|k＝1,2,…,n}，n为元路径和元图的种类总数，为两个域名在Φk下的路径数量，βk为Φk的权重，并满足βk>0且MIS(vi,vj)为第i个域名与第j个域名之间的相似度。


4.根据权利要求2所述的方法，其特征在于，神经网络模型通过以下公式识别每个样本域名属于各威胁类型的概率：



其中，Z为该样本域名属于各威胁类型的概率，X为所述属性矩阵，B为所述关系矩阵，表示对xi进行归一化应用在矩阵的行，ReLU(·)＝max(0,·)，IN为单位矩阵，W(0)和W(1)为神经网络模型的权重。


5.根据权利要求2所述的方法，其特征在于，所述损失函数值通过以下公式计算：



其中，H为损失函数值，N′为存在对应的威胁类型的域名的数量，K为威胁类型的数量，lk(vi)用于表示第i个节点vi是否属于威胁类型k，Zk(vi)用于表示神经网络模型预测的第i个节点vi属于威胁类型k的概率。


6.根据权利要求1所述的方法，其特征在于，所述元素还包括域名；在...

【专利技术属性】
技术研发人员：李小勇，高雅丽，彭浩，郭宁，常超舜，苑洁，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：北京;11