一种基于文本学习的APT网络攻击溯源方法技术

本发明专利技术公开了一种基于文本学习的APT攻击溯源方法，包括如下步骤：(1)采集系统内核日志数据、收集威胁情报；(2)数据预处理，将系统内核日志数据和CTI报告处理成实体到实体的文本结构；(3)标记化，使用标记器将预处理后的数据分割成较小单元；(4)预训练模型，将BERT作为预训练模型，使用分割后的数据对其进行训练；(5)下游任务训练，使用一小组标记的数据使用LSTM模型来对模型进行微调，使得模型能够输出所有的可疑事件；(6)给定用于测试的系统日志数据，使用该模型找到攻击事件，根据事件之间的因果关系，串连攻击事件，构建攻击链路图。本发明专利技术采用BERT模型作为预训练模型，能够更好地捕捉文本数据中的语义和上下文信息，使得后续模型能够从更高层次理解和表示文本数据。

【技术实现步骤摘要】

本专利技术涉及网络安全和深度学习，具体而言，涉及一种基于文本学习的apt网络攻击溯源方法。

技术介绍

1、随着网络空间的不断发展，高级持续威胁(advancedpersistent threats，apts)对系统安全构成了越来越严重的威胁，可能导致系统遭受入侵、数据泄露和跨各个领域的损害。当安全警报被触发时，应迅速进行攻击溯源，以确定攻击的原因和范围，并及时采取适当的措施，以最大限度地减少攻击的影响，并预防未来类似的攻击。

2、另一方面，随着大数据时代的到来，深度学习技术在网络安全领域展现了巨大的潜力。深度学习通过分析大量的网络数据和日志信息，能够从中学习并识别潜在的攻击行为，为安全团队提供实时的威胁检测和响应能力。常用于网络攻击溯源的深度学习模型包括rnn(循环神经网络)、lstm(长短期记忆网络)、cnn(卷积神经网络)、bert(基于transformer的双向编码器表征)等。然而，由于系统日志表达了系统运行的状态，具有复杂的因果关系，一般的深度学习模型可能无法有效的提取和表示关键的特征。而如果只使用日志数据，包含的攻击数据较少，可能会本文档来自技高网...

【技术保护点】

1.一种基于文本学习的APT网络攻击溯源方法，其特征在于，包括如下步骤：

2.根据权利要求1所述的一种基于文本学习的APT网络攻击溯源方法，其特征在于，所述步骤1)中采集文本格式的系统日志，一条日志表示一个系统事件，用于模型训练的数据。

3.根据权利要求1所述的一种基于文本学习的APT网络攻击溯源方法，其特征在于，所述步骤2)具体步骤如下：

4.根据权利要求1所述的一种基于文本学习的APT网络攻击溯源方法，其特征在于，所述步骤3)具体步骤如下：

5.根据权利要求1所述的一种基于文本学习的APT网络攻击溯源方法，其特征在于，所述步骤4)具体步...

【技术特征摘要】

1.一种基于文本学习的apt网络攻击溯源方法，其特征在于，包括如下步骤：

2.根据权利要求1所述的一种基于文本学习的apt网络攻击溯源方法，其特征在于，所述步骤1)中采集文本格式的系统日志，一条日志表示一个系统事件，用于模型训练的数据。

3.根据权利要求1所述的一种基于文本学习的apt网络攻击溯源方法，其特征在于，所述步骤2)具体步骤如下：

4.根据权利要求1所述的一种基于文本学习...

【专利技术属性】
技术研发人员：何文雅，朱添田，
申请(专利权)人：浙江工业大学台州研究院，
类型：发明
国别省市：