【技术实现步骤摘要】
基于LSTM和GAT算法的网络攻击行为检测方法、系统及终端
[0001]本申请涉及计算机网络安全
,特别是涉及一种基于LSTM(Long Short
‑
Term Memory,长短期记忆,时间序列预测模型)和GAT(Graph Attention Network,图神经网络)算法的网络攻击行为检测方法、系统及终端。
技术介绍
[0002]随着通信技术和计算机技术的发展,网络环境越来越开放,标准化的软硬件设施越来越多样化,同时,互联网环境中的网络攻击行为也越来越多,这些网络攻击行为极有可能穿透信息系统和物理系统的边界,将网络系统置于危险境地。因此,如何对网络攻击行为进行检测,从而及时发现并阻止网络攻击行为,是个重要的技术问题。
[0003]对网络攻击行为进行检测的传统方法,通常是误用检测,也就是基于签名的入侵检测。具体地,该检测方法基于已知特征和模式的知识来检测网络攻击,这些特征和模型即为签名。最后,通过将这些签名与新检测到的网络流量进行比较来检攻击行为。
[0004]然而,目前对网络攻...
【技术保护点】
【技术特征摘要】
1.一种基于LSTM和GAT算法的网络攻击行为检测方法,其特征在于,所述方法包括:基于待检测的网络攻击行为序列,生成嵌入向量集合,所述嵌入向量集合中的每个嵌入向量可被LSTM模块和GAT模块识别,且任一嵌入向量与一个网络攻击行为指令相匹配;将每个嵌入向量分别输入LSTM模块和GAT模块,分别获取序列模式向量和结构模式向量,所述LSTM模块用于获取任一网络攻击行为的上下文关系,所述GAT模块用于获取任一网络攻击行为指令与其他所有网络攻击行为指令的相关性得分;对所述序列模式向量和结构模式向量进行对比学习,获取对比损失得分;将所述序列模式向量和结构模式向量输入多层感知机,获取预测损失得分;根据所述对比损失得分和预测损失得分,利用混合损失训练数据增强编码器和分类器,获取网络攻击行为检测结果。2.根据权利要求1所述的一种基于LSTM和GAT算法的网络攻击行为检测方法,其特征在于,所述基于待检测的网络攻击行为序列,生成嵌入向量集合,包括:获取待检测的网络攻击行为序列,所述网络攻击行为序列中包含多个网络攻击行为指令;通过编码,将网络攻击行为序列中的每个网络攻击行为指令转化为数值类型的网络攻击行为指令;将所述数值类型的网络攻击行为指令嵌入到一维向量中。3.根据权利要求1所述的一种基于LSTM和GAT算法的网络攻击行为检测方法,其特征在于,对所述序列模式向量和结构模式向量进行对比学习,获取对比损失得分的方法,包括:对比序列模式向量和结构模式向量之间原有空间分布的实际距离,获取对比结果;根据所述对比结果,采用余弦相似度的方法,计算得出对比损失得分。4.根据权利要求1所述的一种基于LSTM和GAT算法的网络攻击行为检测方法,其特征在于,所述混合损失包括:编码对比损失和标签分类损失。5.一种基于LSTM和GAT算法的网络攻击行为检测系统,其特征在于,所述系统包括:嵌入向量集合生成模块,用于基于待检测的网络攻击行为...
【专利技术属性】
技术研发人员:曲延盛,陈剑飞,王云霄,盛华,刘子函,赵丽娜,李明,黄华,程兴防,张婕,
申请(专利权)人:国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。