【技术实现步骤摘要】
一种基于告警语义的多步攻击检测模型预训练方法
[0001]本专利技术涉及多步攻击检测模型预训练领域,具体涉及一种基于告警语义的多步攻击检测模型预训练方法。
技术介绍
[0002]Ourston等人在2003年将隐马尔可夫模型首次应用于多步攻击检测,利用HMM对告警序列进行标注。Xue等人针对隐马尔可夫模型在多步攻击检测中观测值难以确定的问题,提出了一种多步攻击检测与预测方法。该文献通过Baum
‑
Welch算法对现有的隐马尔可夫模型更新,然后使用Forward算法识别属于攻击场景的告警,最后使用Viterbi算法标注告警并预测下一个可能的告警。Ghafir等人首次提出了一种用于APT攻击检测和预测的新型入侵检测系统。该论文包含了两个部分,第一部分作者通过对杀链(Cyber Kill Chain)中包含的每个攻击阶段的流量特征进行检测,实现了攻击场景的重建。第二部分攻击解码,这个阶段利用隐马尔可夫模型(HMM)来确定最可能的APT阶段序列,并根据APT阶段序列来预测攻击者的下一步攻击。Tu等人针对隐马尔可夫模...
【技术保护点】
【技术特征摘要】
1.一种基于告警语义的多步攻击检测模型预训练方法,其特征在于,包括:利用离线告警序列得到告警描述嵌入向量;利用所述告警描述嵌入向量对多步攻击检测模型进行预训练处理。2.权利要求1所述的一种基于告警语义的多步攻击检测模型预训练方法,其特征在于,所述利用离线告警序列得到告警描述嵌入向量包括:获取告警规则对应的告警文本;利用所述告警文本基于基础词语进行划分处理得到告警单词文本;利用所述告警单词文本基于停用词表进行停用词去除处理得到告警单词基础文本;利用所述告警单词基础文本得到告警描述嵌入模型;将所述告警单词基础文本输入告警描述嵌入模型得到告警描述嵌入向量;其中,停用词表为停用语气助词词表。3.如权利要求2所述的一种基于告警语义的多步攻击检测模型预训练方法,其特征在于,利用所述告警单词基础文本得到告警描述嵌入模型包括:利用所述告警单词基础文本作为训练集;利用所述训练集为输入,所述训练集中告警单词基础文本对应的告警描述嵌入向量为输出,基于Doc2Vec的PV
‑
DBOW版本进行训练得到告警描述嵌入模型。4.如权利要求1所述的一种基于告警语义的多步攻击检测模型预训练方法,其特征在于,利用所述告警描述嵌入向量对多步攻击检测模型进行预训练处理包括:利用所述告警描述嵌入向量根据当前多步攻击阶段建立当前多步攻击阶段的告警嵌入向量隶属度矩阵;利用所述当前多步攻击阶段的告警嵌入向量隶属度矩阵计算当前多步攻击阶段的簇中心;利用所述当前多步攻击阶段的簇中心迭代更新计算告警嵌入向量隶属度矩阵;利用所述告警嵌入向量隶属度矩阵获取对应多步攻击阶段位置;利用告警嵌入向量隶属度矩阵计算HMM发射概率矩阵;利用所述HMM发射概率矩阵得到预训练结果。5.如权利要求4所述的一种基于告警语义的多步攻击检测模型预训练方法,其特征在于,利用所述当前多步攻击阶段的告警嵌入向量隶属度矩阵计算当前多步攻击阶段的簇中心的计算式如下:其中,C
j
为第j个多步攻击阶段的簇中心,N为多步攻击阶段数量,u
ij
为嵌入向量隶属度矩...
【专利技术属性】
技术研发人员:张旭,于洋,王浩铭,吴铤,齐永兴,
申请(专利权)人:北京航空航天大学杭州创新研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。