【技术实现步骤摘要】
基于LSTM和攻击者信息的攻击阶段预测方法
[0001]本专利技术涉及一种基于LSTM模型和攻击者历史信息的攻击预测方法,属于攻击预测领域。
技术介绍
[0002]为了预测后续的攻击,通常需要记录攻击者的行为,并建立攻击的描述以供以后使用。Bou
‑
Harb等人将网络攻击解剖为以下步骤:
[0003]1.网络扫描
[0004]2.枚举
[0005]3.入侵企图
[0006]4.提升权限
[0007]5.执行恶意任务
[0008]6.部署恶意软件/后门
[0009]7.执行恶意任务
[0010]8.删除证据并退出
[0011]许多类型的网络攻击遵循这个简单的事件序列,这可以在网络流量或目标系统上观察到。对正在进行的攻击的预测本质上非常简单。如果我们看到一系列符合攻击模型的事件,我们可以假设攻击将根据模型继续进行。因此,我们可以预测对手的下一步行动。然而,对攻击的模糊描述不能用于算法预测,因此,需要对攻击进行更正式的描述,例如,以攻击图的形式。此外,存在许多不同类型的攻击,因此需要为所有将要被预测的攻击创建一个模型。历史上,最初的方法依赖于攻击库,必须手动填充,这需要大量的努力和持续更新。因此,现代方法更多地依赖数据挖掘来自动生成攻击模式,用于攻击预测。攻击预测的方法和模型非常多,从离散模型(如攻击图)到连续模型(如时间序列),其中主要依赖于网络攻击的离散模型,以马尔可夫模型和隐马尔可夫模型为代表。使用离散模型进行攻击预测可以从已经 ...
【技术保护点】
【技术特征摘要】
1.基于LSTM和攻击者信息的攻击阶段预测方法,其特征在于包括以下步骤:步骤一:首先收集所需预测的资产的历史警告数据;并对历史警告数据中出现的攻击者的历史攻击信息进行收集;步骤二:然后通过对收集到的历史数据进行归一化的预处理,构造待训练的LSTM模型的训练样本数据和测试样本数据;步骤三:通过训练样本数据得到预先训练的LSTM模型,然后通过构造的验证样本数据和测试样本数据微调训练得到的LSTM模型参数,F1指标达到0.75时,停止参数的微调,将微调后的LSTM模型作为攻击预测模型;步骤四:将预处理后的目标资产的一段时间的历史数据作为LSTM模型的输入数据,通过LSTM模型对输入数据进行学习,最终LSTM模型输出得到未来可能收到的攻击的阶段。2.根据权利要求1所述的基于LSTM和攻击者信息的攻击阶段预测方法,其特征在于:步骤1中,收集目标资产1年的所受攻击的警告数据;并对该警告数据中攻击者的历史攻击信息进行收集,对于部分攻击者缺失的历史信息均补0处理。3.根据权利要求1所述的基于LSTM和攻击者信息的攻击阶段预测方法,其特征在于:步骤2中,构造待训练的LSTM模型的输入特征向量,并按照80%,10%,10%的比例划分为训练样本数据、验证样本数据、测试样本数据。4.根据权利要求1所述的基于LSTM和攻击者信息的攻击阶段预测方法,其特征在于:LSTM模型的输入特征向量为n
×
32的矩阵,矩阵的n行分别为目标资产近n次所受网络攻击的相关数据,每一行分别由32个维度组成;全部维度分为3部分;第一部分由目标资产警告数据组成;第二部分为攻击时网络流量数据;第三部分为攻击者历史信息的数据。5.根据权利要求1所述的基于LSTM和攻击者信息的攻击阶段预测方法,其特征在于:由目标资产警告数据得到维度:攻击开始时间start_time、攻击结束时间end_time、警告在所处多阶段攻击链条中所处的步骤序号、警告的方法序号、攻击者IP地址的四部分;警告中的攻击开始时间和攻击结束时间通常为时间戳的数据格式,即10位或13位的整数,其中10位为秒为单位,13位为毫秒为单位;后续以10位的时间戳作为标准。6.根据权利要求1所述的基于LSTM和攻击者信息的攻击阶段预测方法,其特征在于:攻击者的历史信息数据分为以下多个维度:根据网络攻击开始时间start_time的前5天的历史数据,每天的数据统计为以下维度,该警告信息中的攻击者从时间start_time
‑
24
×
60
×
60~start_time统计全部的攻击次数,即从网络攻击开始时间的1天前,到网络攻击开始时间的攻击次数累计数量,该警告信息中的攻击者从时间start_time
‑
24
×
60
×
60~start_time
‑
16
×
60
×
60统计全部的攻击次数,即从网络攻击开始时间的1天前,到网络攻击开始时间的8小时前攻击次数累计数量,该警告信息中的攻击者从时间start_time
‑
24
×
60
×
60~start_time
‑
16
×
60
×
60统计全部的攻击次数,即从网络攻击开始时间的1天前,到网络攻击开始时间的16小时前攻击次数累计数量,该警告信息中的攻击者从时间start_time
‑
16
×
60
×
60到start_time
‑8×
...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。