攻击资源标注方法及装置制造方法及图纸

本公开提供了一种攻击资源标注方法，涉及大数据与人工智能领域。该方法包括：获取人工标记攻击实体集；根据图神经网络算法对所述人工标记攻击实体集以及当前未标记攻击实体集进行半监督学习训练，获取推荐攻击实体集；根据所述人工标记攻击实体集和所述推荐攻击实体集，获取当前已标记攻击实体集；根据所述当前已标记攻击实体集以及当前未标记攻击实体集对所述攻击资源标注预测模型进行半监督训练，直至满足预设条件为止，将满足所述预设条件时的攻击资源标注预测模型作为目标攻击资源标注预测模型；根据所述目标攻击资源标注预测模型，输出所有攻击实体的标注结果。采用本方法能够提高对攻击资源进行自动化标注的效率。率。率。

【技术实现步骤摘要】
攻击资源标注方法及装置


[0001]本公开涉及大数据与人工智能
，尤其涉及一种攻击资源标注方法、装置、电子设备及可读存储介质。

技术介绍

[0002]APT(Advanced Persistent Threat，高级可持续威胁)等攻击组织的新型攻击手段层出不穷，这些攻击通过技术手段进行隐蔽、伪装来逃避常规的检测手段，尤其是针对关键基础设施的攻击或重要行业数据进行窃取，危害很大。
[0003]针对一些大型或关键目标的攻击往往具有团伙攻击的特点，无论是APT攻击还是勒索攻击等团伙攻击模式，在分析团伙行为时，需要将攻击者基础设施，攻击样本，IP，域名，以及恶意URL等进行全关联分析，发现其攻击模式的相似性或共现性等特点。针对这些关联特征进行分析，从而将多起告警事件进行聚合分析标注，以确定团伙攻击行为。
[0004]现有技术，首先获取目标IP的至少一个特征，然后生成该目标IP的特征集，再将目标IP的特征集输入预先训练好的目标识别模型，以此识别目标IP是否为攻击IP。但是当针对一起未知攻击组织的分析时，由于特征是未知的，所以无法使用常用的相似性特征、家族特征等自动分析手段分析，从而无法通过现有技术的手段识别攻击IP，这时通常只能采用人工分析的方法，但是仅靠人工分析标注，效率是很低的。
[0005]综上，在人机交互模式下，如何提高对攻击资源进行自动化标注的效率是当前亟需解决的问题。

技术实现思路

[0006]为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种攻击资源标注方法，解决了攻击资源标注效率低问题。
[0007]为了实现上述目的，本公开实施例提供技术方案如下：
[0008]第一方面，本公开的实施例提供一种攻击资源标注方法，所述方法包括：
[0009]获取人工标记攻击实体集；
[0010]根据图神经网络算法对所述人工标记攻击实体集以及当前未标记攻击实体集进行半监督学习训练，获取推荐攻击实体集；
[0011]根据所述人工标记攻击实体集和所述推荐攻击实体集，获取当前已标记攻击实体集；
[0012]根据所述当前已标记攻击实体集以及当前未标记攻击实体集对所述攻击资源标注预测模型进行半监督训练，直至满足预设条件为止，将满足所述预设条件时的攻击资源标注预测模型作为目标攻击资源标注预测模型；
[0013]根据所述目标攻击资源标注预测模型，输出所有攻击实体的标注结果。
[0014]作为本公开实施例一种可选的实施方式，在获取人工标记攻击实体集之前，所述方法还包括：
[0015]构建攻击资源关联图谱；所述攻击资源关联图谱的攻击实体包括：网际互连协议IP、域名、恶意样本文件的唯一标识、统一资源定位符URL中的至少一种实体。
[0016]作为本公开实施例一种可选的实施方式，所述获取人工标记攻击实体集，包括：
[0017]对所述攻击资源关联图谱中的至少两个攻击实体标注两种标签类型，获取人工标记攻击实体集；
[0018]其中，所述攻击实体的标签类型包括：恶意攻击实体以及非恶意攻击实体。
[0019]作为本公开实施例一种可选的实施方式，所述根据图神经网络算法对所述人工标记攻击实体集以及当前未标记攻击实体集进行半监督学习训练，获取推荐攻击实体集，包括：
[0020]根据图神经网络算法对所述人工标记攻击实体集以及当前未标记攻击实体集进行半监督学习训练，生成攻击资源标注预测模型；
[0021]根据所述攻击资源标注预测模型，获取当前未标注实体的标签类型以及当前未标注实体的标签类型对应的概率；
[0022]根据所述当前未标注实体集的标签类型的概率进行排序，获取推荐攻击实体集。
[0023]作为本公开实施例一种可选的实施方式，所述根据所述当前未标注实体的标签类型的概率进行排序，获取推荐攻击实体集，包括：
[0024]根据所述当前未标注实体的恶意标签类型对应的概率由大到小依次排序，获取推荐攻击实体集。
[0025]作为本公开实施例一种可选的实施方式，所述方法还包括：
[0026]根据各种攻击实体之间的关联关系和各种攻击实体的属性信息训练所述攻击资源标注预测模型。
[0027]作为本公开实施例一种可选的实施方式，所述攻击实体的属性信息包括：
[0028]IP的地理信息、IP的C段信息、子域名以及域名信息。
[0029]第二方面，本公开实施例提供一种攻击资源标注装置，包括：
[0030]获取模块，用于获取人工标记攻击实体集；
[0031]推荐模块，用于根据图神经网络算法对所述人工标记攻击实体集以及当前未标记攻击实体集进行半监督学习训练，获取推荐攻击实体集；
[0032]确定模块，用于根据所述人工标记攻击实体集和所述推荐攻击实体集，获取当前已标记攻击实体集；
[0033]分析模块，用于根据所述当前已标记攻击实体集以及当前未标记攻击实体集对所述攻击资源标注预测模型进行半监督训练，直至满足预设条件为止，将满足所述预设条件时的攻击资源标注预测模型作为目标攻击资源标注预测模型；
[0034]输出模块，用于根据所述目标攻击资源标注预测模型，输出所有攻击实体的标注结果。
[0035]作为本公开实施例一种可选的实施方式，所述装置还包括：构建模块，所述构建模块具体用于：
[0036]构建攻击资源关联图谱；所述攻击资源关联图谱的攻击实体包括：网际互连协议IP、域名、恶意样本文件的唯一标识、统一资源定位符URL中的至少一种实体。
[0037]作为本公开实施例一种可选的实施方式，所述获取模块，具体用于：
[0038]对所述攻击资源关联图谱中的至少两个攻击实体标注两种标签类型，获取人工标记攻击实体集；
[0039]其中，所述攻击实体的标签类型包括：恶意攻击实体以及非恶意攻击实体。
[0040]作为本公开实施例一种可选的实施方式，所述推荐模块，具体用于：
[0041]生成单元，用于根据图神经网络算法对所述人工标记攻击实体集以及当前未标记攻击实体集进行半监督学习训练，生成攻击资源标注预测模型；
[0042]概率单元，用于根据所述攻击资源标注预测模型，获取当前未标注实体的标签类型以及当前未标注实体的标签类型对应的概率；
[0043]排序单元，用于根据所述当前未标注实体集的标签类型的概率进行排序，获取推荐攻击实体集。
[0044]作为本公开实施例一种可选的实施方式，所述排序单元，具体用于：
[0045]根据所述当前未标注实体的恶意标签类型对应的概率由大到小依次排序，获取推荐攻击实体集。
[0046]作为本公开实施例一种可选的实施方式，所述装置还包括训练模块，所述训练模块用于：
[0047]根据各种攻击实体之间的关联关系和各种攻击实体的属性信息训练所述攻击资源标注预测模型。
[0048]作为本公开实施例一种可选的实施方式，所述攻击实体的属性信息包本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击资源标注方法，其特征在于，包括：获取人工标记攻击实体集；根据图神经网络算法对所述人工标记攻击实体集以及当前未标记攻击实体集进行半监督学习训练，获取推荐攻击实体集；根据所述人工标记攻击实体集和所述推荐攻击实体集，获取当前已标记攻击实体集；根据所述当前已标记攻击实体集以及当前未标记攻击实体集对所述攻击资源标注预测模型进行半监督训练，直至满足预设条件为止，将满足所述预设条件时的攻击资源标注预测模型作为目标攻击资源标注预测模型；根据所述目标攻击资源标注预测模型，输出所有攻击实体的标注结果。2.根据权利要求1所述的方法，其特征在于，在获取人工标记攻击实体集之前，所述方法还包括：构建攻击资源关联图谱；所述攻击资源关联图谱的攻击实体包括：网际互连协议IP、域名、恶意样本文件的唯一标识、统一资源定位符URL中的至少一种实体。3.根据权利要求2所述的方法，其特征在于，所述获取人工标记攻击实体集，包括：对所述攻击资源关联图谱中的至少两个攻击实体标注两种标签类型，获取人工标记攻击实体集；其中，所述攻击实体的标签类型包括：恶意攻击实体以及非恶意攻击实体。4.根据权利要求1所述的方法，其特征在于，所述根据图神经网络算法对所述人工标记攻击实体集以及当前未标记攻击实体集进行半监督学习训练，获取推荐攻击实体集，包括：根据图神经网络算法对所述人工标记攻击实体集以及当前未标记攻击实体集进行半监督学习训练，生成攻击资源标注预测模型；根据所述攻击资源标注预测模型，获取当前未标注实体的标签类型以及当前未标注实体的标签类型对应的概率；根据所述当前未标注实体集的标签类型的概率进行排序，获取推荐攻击实体...

【专利技术属性】
技术研发人员：鲍青波，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：