网络入侵检测方法及系统与流程

1.本技术涉及网络安全技术领域，具体而言，涉及一种网络入侵检测方法及系统。


背景技术：

2.在网络入侵检测流程中，入侵目的检测是一个关键步骤，关系到后续的网络安全防护升级的考虑依据。然而相关技术中的入侵目的通常是在入侵报警后进行人为开发工作分析的，分析效率低下，并且入侵目的预测的可靠性不够，也难以保证获得更可靠的后续网络安全防护决策的依据。


技术实现要素：

3.本技术提供一种网络入侵检测方法及系统。
4.第一方面，本技术实施例提供一种网络入侵检测方法，应用于网络入侵检测系统，包括：
5.从网络安全防护进程的网络监控数据日志中获取待追踪的目标网络入侵数据；
6.从所述目标网络入侵数据中追踪网络入侵实体数据，并从所述网络入侵实体数据中追踪网络入侵轨迹数据；
7.依据所述网络入侵轨迹数据中表达的入侵渗透数据进行入侵目的预测，生成第一入侵目的预测信息，其中所述入侵渗透数据表征所述网络入侵轨迹数据中的入侵渗透对象的渗透路由信息和运行实况侵害信息；
8.从所述目标网络入侵数据中提取多个网络入侵实体数据，生成网络入侵思维网络；
9.依据所述网络入侵思维网络中表达的网络入侵实体的状态连通特征进行入侵目的预测，生成第二入侵目的预测信息，其中所述网络入侵实体的状态连通特征表征所述网络入侵思维网络中的网络入侵实体之间的状态迁移特征和网络入侵实体之间的状态联动特征；
10.依据所述第一入侵目的预测信息和所述第二入侵目的预测信息，生成所述目标网络入侵数据对应的目标入侵目的分布；
11.依据各所述目标网络入侵数据对应的目标入侵目的分布向所述网络安全防护进程对应的网络安全服务器进行网络入侵检测结果提醒。
12.譬如，所述方法通过ai模型进行执行，所述ai模型包括入侵目的预测网络和目标入侵目的预测网络，所述方法还包括：
13.获取第一模板网络监控数据团和第二模板网络监控数据团，所述第一模板网络监控数据团包括多个第一模板网络监控数据，所述第一模板网络监控数据是从目标网络入侵数据的网络入侵实体数据中追踪的网络入侵轨迹数据，所述第二模板网络监控数据团包括多个第二模板网络监控数据，所述第二模板网络监控数据是从目标网络入侵数据中获取的网络入侵思维网络；
14.依据所述第一模板网络监控数据团对所述入侵目的预测网络进行参数层调优和选取，其中所述入侵目的预测网络用于依据所述网络入侵轨迹数据中表达的入侵渗透数据进行入侵目的预测，生成第一入侵目的预测信息，其中所述入侵渗透数据表征所述网络入侵轨迹数据中的入侵渗透对象的渗透路由信息和运行实况侵害信息；
15.依据所述第二模板网络监控数据团对所述目标入侵目的预测网络进行参数层调优和选取，其中所述目标入侵目的预测网络用于依据所述网络入侵思维网络中表达的网络入侵实体的状态连通特征进行入侵目的预测，生成第二入侵目的预测信息，其中所述网络入侵实体的状态连通特征表征所述网络入侵思维网络中的网络入侵实体之间的状态迁移特征和网络入侵实体之间的状态联动特征；
16.相比现有技术，通过从网络安全防护进程的网络监控数据日志中获取待追踪的目标网络入侵数据，从所述目标网络入侵数据中追踪网络入侵实体数据，并从所述网络入侵实体数据中追踪网络入侵轨迹数据，依据所述网络入侵轨迹数据确定所述目标网络入侵数据对应的目标入侵目的分布，依据各所述目标网络入侵数据对应的目标入侵目的分布向所述网络安全防护进程对应的网络安全服务器进行网络入侵检测结果提醒，由此通过网络监控数据日志的自动化网络入侵轨迹追踪和入侵目的分析，提高入侵目标的分析精度，以便于生成更可靠的后续网络安全防护决策的依据。
附图说明
17.图1为本技术实施例提供的一种网络入侵检测方法步骤流程示意图；
18.图2为本技术的实施例提供的用于执行图1中的网络入侵检测方法的网络入侵检测系统的架构示意框图。
具体实施方式
19.下面将依据本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。依据本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本技术保护的范围。
20.step110，从网络安全防护进程的网络监控数据日志中获取待追踪的目标网络入侵数据。
21.目标网络入侵数据是指具体通过网络事件监控输出的网络安全防护进程的各种网络事件监控数据，待追踪的目标网络入侵数据是暂未确定对应的目标入侵目的分布的目标网络入侵数据，后续的描述中会示例性说明确定该目标网络入侵数据对应的目标入侵目的分布。
22.step120，从目标网络入侵数据中追踪网络入侵实体数据，并从网络入侵实体数据中追踪网络入侵轨迹数据。
23.针对一些示例性的实施方式，首先对目标网络入侵数据进行网络入侵实体追踪，生成目标网络入侵数据的网络入侵实体数据分布，该网络入侵实体数据分布中包括上述目标网络入侵数据的每一个网络入侵实体数据。针对一些示例性的实施方式，从该网络入侵实体数据分布中获得网络入侵实体数据，进行对应的入侵目的预测。
24.针对一些示例性的实施方式，在从该网络入侵实体数据分布中获得网络入侵实体数据之后，分析该网络入侵实体数据中是否具有入侵渗透对象，如果具有则使用该网络入侵实体数据进行对应的入侵渗透对象入侵目的预测，如果不具有则可以再次从网络入侵实体数据分布中获得网络入侵实体数据。
25.针对一些示例性的实施方式，在获得上述网络入侵实体数据分布之后，可以将并依据有入侵渗透对象的网络入侵实体数据从网络入侵实体数据分布中移除，生成目标网络入侵实体数据分布。然后从目标网络入侵实体数据分布中获得网络入侵实体数据，进行依据入侵渗透对象入侵目的预测。
26.针对一些示例性的实施方式，对网络入侵实体数据的获得方案不作详细限定。例如，可以随机从网络入侵实体数据分布中获得网络入侵实体数据，进行对应的入侵渗透对象入侵目的预测。再例如，也可以从网络入侵实体数据分布中获得设定安全防护升级计划的网络入侵实体数据，进行对应的入侵渗透对象入侵目的预测。
27.针对一些示例性的实施方式，从网络入侵实体数据分布中获得的网络入侵实体数据的数量也没有必要限制。对于获得的每一个网络入侵实体数据，分别进行对应的入侵渗透对象入侵目的预测。
28.针对一些示例性的实施方式，可以依据神经网络模型分析网络入侵实体数据中的网络入侵轨迹节点，生成网络入侵轨迹数据。例如，神经网络模型可以是cnn模型。
29.step130，依据网络入侵轨迹数据中表达的入侵渗透数据进行入侵目的预测，生成第一入侵目的预测信息，其中入侵渗透数据表征网络入侵轨迹数据中的入侵渗透对象的渗透路由信息和运行实况侵害信息。
30.针对一些示例性的实施方式，在进行入侵渗透对象入侵目的预测的过程中，依据网络入侵轨迹数据中表达的入侵渗透数据进行入侵目的预测，生成第一入侵目的预测信息。第一入侵目的预测信息代表上述目标网络入侵数据对应的目标入侵目的分布，或者从目标网络入侵数据中追踪的网络入侵实体数据是否为入侵渗透对象的协同网络入侵实体数据。
31.针对一些示例性的实施方式，依据入侵目的预测网络对上述网络入侵轨迹数据进行入侵目的预测，生成第一入侵目的预测信息。入侵目的预测网络可以是依据深度学习训练获得，关于该入侵目的预测网络的具体示例可以参见下述实施例。
32.step140，从目标网络入侵数据中提取多个网络入侵实体数据，生成网络入侵思维网络。
33.针对一些示例性的实施方式，生成上述网络入侵实体数据分布中的多个网络入侵实体数据，聚合该多个网络入侵实体数据生成网络入侵思维网络。针对一些示例性的实施方式，可以随机追踪上述网络入侵实体数据分布中的多个网络入侵实体数据，聚合该多个网络入侵实体数据生成网络入侵思维网络。在另针对一些示例性的实施方式，生成上述网络入侵实体数据分布中连续的多个网络入侵实体数据，聚合该多个网络入侵实体数据生成网络入侵思维网络。对于从目标网络入侵数据中提取多个网络入侵实体数据的实施方案不作限定。该网络入侵思维网络，用于进行入侵渗透对象入侵目的预测。
34.本实施例中，网络入侵思维网络中表达的各个网络入侵实体数据的顺序，可以与其在目标网络入侵数据中的顺序一致，由此表达目标网络入侵数据中的入侵渗透对象的时
域变化。
35.step150，依据网络入侵思维网络中表达的网络入侵实体的状态连通特征进行入侵目的预测，生成第二入侵目的预测信息，其中网络入侵实体的状态连通特征表征网络入侵思维网络中的网络入侵实体之间的状态迁移特征和网络入侵实体之间的状态联动特征。
36.网络入侵思维网络中的网络入侵实体之间的状态迁移特征体现目标网络入侵数据中入侵渗透对象在不同阶段的关系变化。网络入侵思维网络中的网络入侵实体之间的状态联动特征体现目标网络入侵数据中入侵渗透对象的关系更新变化以及目标网络入侵数据的关系更新变化。依据网络入侵思维网络中表达的网络入侵实体的状态连通特征进行入侵目的预测，生成第二入侵目的预测信息。第二入侵目的预测信息代表上述目标网络入侵数据对应的目标入侵目的分布。
37.针对一些示例性的实施方式，依据目标入侵目的预测网络对网络入侵思维网络进行入侵目的预测，生成第二入侵目的预测信息。目标入侵目的预测网络可以是依据深度学习获得，关于该目标入侵目的预测网络的具体介绍参见以下实施例。
38.针对一些示例性的实施方式，从上述网络入侵实体数据分布中获得多个网络入侵实体数据，生成初始网络入侵思维网络。对初始网络入侵思维网络中的每一个网络入侵实体数据进行网络入侵实体的状态连通特征实时优化，传递至最新的实体状态连通特征，生成状态连通特征实时优化后的网络入侵实体数据。将各个状态连通特征实时优化后的网络入侵实体数据依据状态连通特征流向进行入侵思维网络构建，生成依据状态连通特征流向进行分布的网络入侵实体数据。依据各个依据状态连通特征流向进行分布的网络入侵实体数据，生成网络入侵思维网络，该网络入侵思维网络作为目标入侵目的预测网络的输入数据。进一步地，可以从上述网络入侵实体数据分布中获得多个网络入侵实体数据，生成初始网络入侵思维网络。对初始网络入侵思维网络中的每一个网络入侵实体数据进行网络入侵实体的状态连通特征实时优化，传递至最新的实体状态连通特征，生成状态连通特征实时优化后的网络入侵实体数据。最后将各个所述状态连通特征实时优化后的网络入侵实体数据依据状态连通特征流向进行入侵思维网络构建，生成依据状态连通特征流向进行分布的网络入侵实体数据，依据依据状态连通特征流向进行分布的网络入侵实体数据得到以上网络入侵思维网络。
39.step160，依据第一入侵目的预测信息和第二入侵目的预测信息，生成目标网络入侵数据对应的目标入侵目的分布。
40.step170，依据各所述目标网络入侵数据对应的目标入侵目的分布向所述网络安全防护进程对应的网络安全服务器进行网络入侵检测结果提醒。
41.采用以上技术方案，通过从网络安全防护进程的网络监控数据日志中获取待追踪的目标网络入侵数据，从所述目标网络入侵数据中追踪网络入侵实体数据，并从所述网络入侵实体数据中追踪网络入侵轨迹数据，依据所述网络入侵轨迹数据确定所述目标网络入侵数据对应的目标入侵目的分布，依据各所述目标网络入侵数据对应的目标入侵目的分布向所述网络安全防护进程对应的网络安全服务器进行网络入侵检测结果提醒，由此通过网络监控数据日志的自动化网络入侵轨迹追踪和入侵目的分析，提高入侵目标的分析精度，以便于生成更可靠的后续网络安全防护决策的依据。
42.针对一些示例性的实施方式，接下来对依据网络入侵轨迹数据进行入侵目的预测
的方法流程进行介绍说明。
43.step210，从目标网络入侵数据中追踪网络入侵实体数据，并从网络入侵实体数据中追踪网络入侵轨迹数据。
44.本步骤可以参见以上针对step120的介绍说明。
45.step220，从网络入侵轨迹数据中追踪第一入侵渗透数据，第一入侵渗透数据表征入侵渗透对象的渗透路径字段向量分布。
46.针对一些示例性的实施方式，入侵目的预测网络包括第一入侵目的预测网络。针对一些示例性的实施方式，依据第一入侵目的预测网络从网络入侵轨迹数据中追踪第一入侵渗透数据，并依据该第一入侵渗透数据进行入侵目的预测。
47.step230，依据第一入侵渗透数据进行入侵目的预测，生成第一中间入侵目的预测信息。
48.第一中间入侵目的预测信息用于指示目标网络入侵数据对应的目标入侵目的分布，或者说从目标网络入侵数据中追踪的网络入侵实体数据是否为入侵渗透对象的协同网络入侵实体数据。
49.针对一些示例性的实施方式，第一入侵目的预测网络包括第一编码结构、第一特征去噪结构和第一入侵目的预测结构，其中第一编码结构被配置于对网络入侵轨迹数据进行编码，生成第一入侵渗透编码特征分布；第一特征去噪结构被配置于对第一入侵渗透编码特征分布进行特征去噪，生成第一入侵渗透数据；第一入侵目的预测结构用于依据第一入侵渗透数据进行入侵目的预测，生成第一中间入侵目的预测信息。
50.例如，第一编码结构依据cnn实现对网络入侵轨迹数据进行编码，生成第一入侵渗透编码特征分布；第一特征去噪结构依据对第一入侵渗透编码特征分布进行特征去噪，生成第一入侵渗透数据。
51.step240，从网络入侵轨迹数据中追踪第二入侵渗透数据，第二入侵渗透数据表征入侵渗透对象的运行实况侵害信息。
52.针对一些示例性的实施方式，入侵目的预测网络还包括第二入侵目的预测网络。针对一些示例性的实施方式，依据第二入侵目的预测网络从网络入侵轨迹数据中追踪第二入侵渗透数据，并依据该第二入侵渗透数据进行入侵目的预测。
53.step250，依据第二入侵渗透数据进行入侵目的预测，生成第二中间入侵目的预测信息。
54.第二中间入侵目的预测信息用于指示目标网络入侵数据对应的目标入侵目的分布，或者说从目标网络入侵数据中追踪的网络入侵实体数据是否为入侵渗透对象的协同网络入侵实体数据。
55.针对一些示例性的实施方式，第二入侵目的预测网络包括第二编码结构、第二特征去噪结构和第二入侵目的预测结构，其中第二编码结构被配置于对网络入侵轨迹数据进行编码，生成第二入侵渗透编码特征分布；第二特征去噪结构被配置于对第二入侵渗透编码特征分布进行特征去噪，生成第二入侵渗透数据；第二入侵目的预测结构用于依据第二入侵渗透数据进行入侵目的预测，生成第二中间入侵目的预测信息。
56.例如，第二编码结构依据cnn实现对网络入侵轨迹数据进行编码，生成第二入侵渗透编码特征分布；第二特征去噪结构依据对第二入侵渗透编码特征分布进行特征去噪，生
成第二入侵渗透数据；第二入侵目的预测结构可以实现依据第二入侵渗透数据进行是否存在入侵目的的预测置信度，生成第二中间入侵目的预测信息。
57.第一入侵目的预测网络的架构和第二入侵目的预测网络的架构可以一致也可以不同。例如，第一入侵目的预测网络和第二入侵目的预测网络所包含的编码结构数量、编码结构的具体参数层可以存在区别。在参数层调优和选取过程中中，依据第一模板网络监控数据对第一入侵目的预测网络进行参数层调优和选取，即可得到依据入侵渗透对象的渗透路径字段向量分布进行入侵目的预测的第一入侵目的预测网络；相对应的，依据第一模板网络监控数据对第二入侵目的预测网络进行参数层调优和选取，即可得到依据入侵渗透对象的运行实况侵害信息进行入侵目的预测的第二入侵目的预测网络。
58.step260，依据第一中间入侵目的预测信息和第二中间入侵目的预测信息，生成第一入侵目的预测信息。
59.针对一些示例性的实施方式，响应于第一中间入侵目的预测信息和第二中间入侵目的预测信息表征目标网络入侵数据存在协同入侵目的数据，则生成表征目标网络入侵数据存在协同入侵目的数据的第一入侵目的预测信息；响应于第一中间入侵目的预测信息和第二中间入侵目的预测信息中的任意一个表征目标网络入侵数据不存在协同入侵目的数据，则生成表征目标网络入侵数据不存在协同入侵目的数据的第一入侵目的预测信息。如此，如果任意一个中间入侵目的预测信息判定为不存在协同入侵目的数据，即可生成不存在协同入侵目的数据的第一入侵目的预测信息，从而提高入侵目的预测的可靠性。
60.在另针对一些示例性的实施方式，响应于第一中间入侵目的预测信息和第二中间入侵目的预测信息中的任意一个表征目标网络入侵数据存在协同入侵目的数据，则生成表征目标网络入侵数据存在协同入侵目的数据的第一入侵目的预测信息；响应于第一中间入侵目的预测信息和第二中间入侵目的预测信息表征目标网络入侵数据不存在协同入侵目的数据，则生成表征目标网络入侵数据不存在协同入侵目的数据的第一入侵目的预测信息。依据这种方式，在两个中间入侵目的预测信息均判定为不存在协同入侵目的数据时，生成不存在协同入侵目的数据的第一入侵目的预测信息，从而提高入侵目的预测的可靠性。
61.此外，在第一中间入侵目的预测信息表征目标网络入侵数据是入侵渗透对象的协同缺陷状态信息，第二中间入侵目的预测信息表征目标网络入侵数据不存在协同入侵目的数据时，可以依据生产优化来分析目标网络入侵数据对应的目标入侵目的分布；或者，在第一中间入侵目的预测信息表征目标网络入侵数据不存在协同入侵目的数据，第二中间入侵目的预测信息表征目标网络入侵数据是入侵渗透对象的协同缺陷状态信息时，也可以依据生产优化来分析目标网络入侵数据对应的目标入侵目的分布。
62.下面介绍以上的入侵目的预测网络。该入侵目的预测网络例如可以包括第一入侵目的预测网络和第二入侵目的预测网络。
63.例如，首先将网络入侵轨迹数据进行单位数据提取，生成的多个网络入侵轨迹单位数据，将多个网络入侵轨迹单位数据传递至第一入侵目的预测网络和第二入侵目的预测网络中。以第一入侵目的预测网络为例，依据第一编码结构从多个网络入侵轨迹单位数据中追踪第一入侵渗透数据；将第一入侵渗透数据传递至第一特征去噪结构，对第一入侵渗透数据进行特征去噪处理，生成特征去噪处理后的第一入侵渗透数据；将特征去噪处理后的第一入侵渗透数据传递至第一入侵目的预测结构，生成第一中间入侵目的预测信息。相
对应地，依据第二编码结构从多个网络入侵轨迹单位数据中追踪第二入侵渗透数据；将第二入侵渗透数据传递至第二特征去噪结构，对第二入侵渗透数据进行特征去噪处理，生成特征去噪处理后的第二入侵渗透数据；将特征去噪处理后的第二入侵渗透数据传递至第二入侵目的预测结构，生成第二中间入侵目的预测信息。最后，依据第一中间入侵目的预测信息和第二中间入侵目的预测信息，生成第一入侵目的预测信息。
64.针对一些示例性的实施方式，对第一入侵目的预测网络和第二入侵目的预测网络的执行时序不作具体限定，第二入侵目的预测网络可以在第一入侵目的预测网络之后开始执行，也可以在第一入侵目的预测网络之前开始执行，或者与第一入侵目的预测网络同时开始执行。
65.针对一些示例性的实施方式，对依据网络入侵思维网络进行入侵渗透对象入侵目的预测的方法流程进行介绍说明。
66.step410，从目标网络入侵数据中提取多个网络入侵实体数据，生成网络入侵思维网络。
67.本步骤可以参见针对step140的实施例描述部分。
68.step420，对网络入侵思维网络进行入侵实体传播特征编码，生成多个入侵实体传播特征，入侵实体传播特征表征网络入侵思维网络的具有入侵传播流向关系的传播编码特征。
69.对网络入侵思维网络进行入侵实体传播特征编码是指对网络入侵思维网络中入侵实体传播特征间成员内的网络入侵实体数据进行编码，入侵实体传播特征编码用于追踪网络入侵思维网络的具有入侵传播流向关系的传播编码特征。具有入侵传播流向关系的传播编码特征是指网络入侵思维网络中入侵实体传播特征间片段内的网络入侵实体数据的网络入侵实体之间的状态迁移特征和网络入侵实体之间的状态联动特征的聚合变量。例如，将网络入侵思维网络分为多个入侵实体传播特征段网络入侵思维网络，针对各入侵实体传播特征段网络入侵思维网络进行入侵实体传播特征编码，生成多个入侵实体传播特征。
70.step430，对多个入侵实体传播特征进行入侵实体传播迁移特征编码，生成多个入侵实体传播迁移特征，入侵实体传播迁移特征表征网络入侵思维网络的具有入侵传播流向迁移关系的传播编码特征。
71.step440，对多个入侵实体传播迁移特征进行交叉迁移特征编码，生成多个入侵实体交叉迁移特征，入侵实体交叉迁移特征表征网络入侵思维网络的网络入侵实体存在交叉迁移的传播编码特征。
72.对多个入侵实体传播迁移特征进行交叉迁移特征编码是指追踪每张入侵实体传播迁移特征的入侵实体交叉迁移特征，交叉迁移特征编码用于追踪网络入侵思维网络的网络入侵实体存在交叉迁移的传播编码特征。网络入侵实体存在交叉迁移的传播编码特征是指网络入侵思维网络中网络入侵实体数据的深层网络入侵实体之间的状态联动特征。例如，对多个入侵实体传播迁移特征分别进行交叉迁移特征编码，生成多个入侵实体交叉迁移特征。
73.step450，对多个入侵实体交叉迁移特征进行交叉迁移延伸特征编码，生成目标入侵实体交叉迁移特征，目标入侵实体交叉迁移特征表征网络入侵思维网络的存在交叉迁移
延伸特征的传播编码特征。
74.对多个入侵实体交叉迁移特征进行交叉迁移延伸特征编码是指对网络入侵思维网络中的相邻网络入侵实体数据之间进行交叉迁移延伸特征变量的追踪，交叉迁移延伸特征编码用于追踪网络入侵思维网络的目标入侵实体交叉迁移特征。目标入侵实体交叉迁移特征是指网络入侵思维网络中的网络入侵实体之间的状态迁移特征和网络入侵实体之间的状态联动特征的聚合特征。
75.针对一些示例性的实施方式，对多个入侵实体交叉迁移特征进行交叉迁移延伸特征编码，生成目标入侵实体交叉迁移特征包括：对所述多个入侵实体交叉迁移特征进行分团，生成入侵实体交叉迁移特征团；依据多个预设扩充模式的传播编码特征扩充结构，对入侵实体交叉迁移特征团分别进行特征扩充，生成多个扩充特征团，扩充特征团代表网络入侵思维网络的扩充入侵实体交叉迁移特征；对多个扩充特征团进行聚合，生成聚合扩充特征团；对聚合扩充特征团进行特征去噪，生成目标入侵实体交叉迁移特征。
76.step460，依据目标入侵实体交叉迁移特征进行入侵目的预测，生成第二入侵目的预测信息。
77.针对一些示例性的实施方式，目标入侵目的预测网络包括入侵实体传播特征编码结构、入侵实体传播迁移特征编码结构、交叉迁移特征编码结构、迁移编码结构和第三入侵目的预测结构。
78.入侵实体传播特征编码结构被配置于对网络入侵思维网络进行入侵实体传播特征编码，生成多个入侵实体传播特征。
79.入侵实体传播迁移特征编码结构被配置于对多个入侵实体传播特征进行入侵实体传播迁移特征编码，生成多个入侵实体传播迁移特征。
80.交叉迁移特征编码结构被配置于对多个入侵实体传播迁移特征进行交叉迁移特征编码，生成多个入侵实体交叉迁移特征。
81.迁移编码结构被配置于对多个入侵实体交叉迁移特征进行交叉迁移延伸特征编码，生成目标入侵实体交叉迁移特征。
82.第三入侵目的预测结构用于依据目标入侵实体交叉迁移特征进行入侵目的预测，生成第二入侵目的预测信息。
83.譬如，以上方法可以依据ai模型实现，所述ai模型包括入侵目的预测网络和目标入侵目的预测网络。该方法可以包括如下步骤。
84.1、获取第一模板网络监控数据团和第二模板网络监控数据团，第一模板网络监控数据团包括多个第一模板网络监控数据，第一模板网络监控数据是从目标网络入侵数据的网络入侵实体数据中追踪的网络入侵轨迹数据，第二模板网络监控数据团包括多个第二模板网络监控数据，第二模板网络监控数据是从目标网络入侵数据中获取的网络入侵思维网络。
85.2、依据第一模板网络监控数据团对入侵目的预测网络进行参数层调优和选取，其中入侵目的预测网络用于依据网络入侵轨迹数据中表达的入侵渗透数据进行入侵目的预测，生成第一入侵目的预测信息，其中入侵渗透数据表征网络入侵轨迹数据中的入侵渗透对象的渗透路由信息和运行实况侵害信息。
86.3、依据第二模板网络监控数据团对目标入侵目的预测网络进行参数层调优和选
取，其中目标入侵目的预测网络用于依据网络入侵思维网络中表达的网络入侵实体的状态连通特征进行入侵目的预测，生成第二入侵目的预测信息，其中网络入侵实体的状态连通特征表征网络入侵思维网络中的网络入侵实体之间的状态迁移特征和网络入侵实体之间的状态联动特征。
87.针对一些示例性的实施方式，依据第二入侵目的预测信息和第二模板网络监控数据对应的训练评估参数，计算目标入侵目的预测网络对应的损失函数值，依据该损失函数值对目标入侵目的预测网络进行训练，直至目标入侵目的预测网络收敛时，生成最终获得的目标入侵目的预测网络。
88.譬如，在以上方案的基础上，还可以进一步结合所述目标入侵目的分布获取针对所述网络安全防护进程进行防护升级的第一安全防护升级方案，并结合所述第一安全防护升级方案对所述网络安全防护进程相对应的安全防护程序进行安全防护升级，并在再次获取到针对网络安全防护进程的网络监控数据日志对应的进阶入侵目的分布后，分析所述目标入侵目的分布与所述进阶入侵目的分布是否存在特征联系的入侵目的；如果分析到所述目标入侵目的分布与所述进阶入侵目的分布存在特征联系的入侵目的时，追踪所述存在特征联系的入侵目的所对应的目标网络监控数据团；对所述目标网络监控数据团进行频繁项事件数据解析，并对解析获得的频繁项事件数据进行靶向入侵目的提取，并结合提取的靶向入侵目的获取针对所述网络安全防护进程进行防护升级的第二安全防护升级方案，以结合所述第二安全防护升级方案对所述网络安全防护进程相对应的安全防护程序进行加强安全防护升级。
89.譬如，对解析获得的频繁项事件数据进行靶向入侵目的提取的步骤，包括：从解析获得的频繁项事件数据中获取网络事件监控应用在第一网络事件监控阶段对不同安全防护升级维度的安全防护升级运行进程的安全防护数据进行网络事件监控输出的多种目标网络事件数据；确定多种所述目标网络事件数据中包含的关联于前向威胁感知成员的第一目标网络事件数据；结合所述第一目标网络事件数据确定所述前向威胁感知成员在所述第一网络事件监控阶段内的靶向事件数据；结合所述靶向事件数据确定所述前向威胁感知成员的目标靶向入侵目的。
90.譬如，生成多种所述目标网络事件数据中包含的关联于前向威胁感知成员的第一目标网络事件数据包括：对多种所述目标网络事件数据进行知识图谱格式整理，输出多种所述目标网络事件数据中包含的满足目标知识图谱结构的第二目标网络事件数据；确定所述第二目标网络事件数据中包含的不同安全防护升级维度的安全防护升级运行进程的第一威胁感知成员属性信息；将所述第一威胁感知成员属性信息与威胁感知成员属性信息库中的第二威胁感知成员属性信息进行关联性引用，输出所述第一威胁感知成员属性信息中涵盖的关联于所述前向威胁感知成员的第三威胁感知成员属性信息，其中，所述威胁感知成员属性信息库中包括与第一目标威胁感知成员存在关联性引用关系的多种威胁感知成员属性信息，所述第一目标威胁感知成员包括与所述前向威胁感知成员类型一致的至少一个目标威胁感知成员；将所述第二目标网络事件数据中包含的与所述第三威胁感知成员属性信息对应的目标网络事件数据确定为所述第一目标网络事件数据。
91.譬如，结合所述靶向事件数据确定所述前向威胁感知成员的目标靶向入侵目的包括：确定对应于所述靶向事件数据中包含的各目标威胁实况特征段对应的目标目标网络事
件数据的目标威胁实况特征段项；对应于各所述目标威胁实况特征段，分别执行如下步骤，输出第一靶向入侵目的：分析所述靶向事件数据中是否包含第一威胁实况特征段和第二威胁实况特征段；其中，所述第一威胁实况特征段为在产生所述目标威胁实况特征段的前向威胁实况时空域所产生的，且所述第一威胁实况特征段的第一威胁实况特征段项相对于所述目标威胁实况特征段项最关联，所述第二威胁实况特征段为在产生所述目标威胁实况特征段的后向威胁实况时空域所产生的，且第二威胁实况特征段的第二威胁实况特征段项相对于所述目标威胁实况特征段项最关联，所述第一威胁实况特征段对应的威胁实况特征成员和所述目标威胁实况特征段对应的威胁实况特征成员不同且所述第二威胁实况特征段对应的威胁实况特征成员和所述目标威胁实况特征段对应的威胁实况特征成员不同；响应于所述靶向事件数据中包含所述第一威胁实况特征段和所述第二威胁实况特征段，且所述第一威胁实况特征段项与所述目标威胁实况特征段项的特征距离大于设定特征距离，所述第二威胁实况特征段项与所述目标威胁实况特征段项的特征距离大于所述设定特征距离，将所述目标威胁实况特征段对应的威胁实况特征成员所对应的业务运行计划确定为所述第一靶向入侵目的；响应于所述靶向事件数据中仅包含所述第一威胁实况特征段，且所述第一威胁实况特征段项与所述目标威胁实况特征段项的特征距离大于所述设定特征距离，将所述第一威胁实况特征段对应的威胁实况特征成员所对应的业务运行计划确定为所述第一靶向入侵目的；响应于所述靶向事件数据中仅包含所述第二威胁实况特征段，且所述第二威胁实况特征段项与所述目标威胁实况特征段项的特征距离大于所述设定特征距离，将所述第二威胁实况特征段对应的威胁实况特征成员所对应的业务运行计划确定为所述第一靶向入侵目的；结合所述第一靶向入侵目的确定所述目标靶向入侵目的。
92.譬如，响应于第一威胁实况特征段和第二威胁实况特征段的后向威胁实况时空域，所述方法还包括：在所述第一威胁实况特征段项与所述目标威胁实况特征段项的特征距离不大于所述设定特征距离和/或所述第二威胁实况特征段项与所述目标威胁实况特征段项的特征距离不大于所述设定特征距离，生成所述第一目标网络事件数据中包含的威胁实况特征段；在所述威胁实况特征段中涵盖的关联于同一威胁实况的信息的第一目标聚集量大于设定聚集量，结合所述靶向事件数据确定所述第一靶向入侵目的；结合所述第一靶向入侵目的确定所述目标靶向入侵目的。
93.譬如，在所述威胁实况特征段中涵盖的关联于同一威胁实况的信息的第一目标聚集量大于设定聚集量，结合所述靶向事件数据确定所述第一靶向入侵目的包括：结合所述靶向事件数据确定是否包含第一设定威胁实况特征段项范围，其中，所述第一设定威胁实况特征段项范围为产生第三威胁实况特征段的第三威胁实况特征段项到产生第四威胁实况特征段的第四威胁实况特征段项的威胁实况特征段项范围，所述第三威胁实况特征段为在产生所述目标威胁实况特征段的前向威胁实况时空域所产生的，且所述第三威胁实况特征段项相对于产生所述目标威胁实况特征段项最关联，所述第四威胁实况特征段为在产生所述目标威胁实况特征段的后向威胁实况时空域所产生的，且所述第四威胁实况特征段项相对于所述目标威胁实况特征段项最关联，所述第三威胁实况特征段对应的威胁实况特征成员和所述目标威胁实况特征段对应的威胁实况特征成员不同且所述第四威胁实况特征段对应的威胁实况特征成员和所述目标威胁实况特征段对应的威胁实况特征成员不同，所述第三威胁实况特征段项以及所述第四威胁实况特征段项与所述目标威胁实况特征段项
的特征距离均大于所述设定特征距离；响应于不包含所述第一设定威胁实况特征段项范围，将所述靶向事件数据中包含的前向产生到所述前向威胁感知成员的威胁实况特征成员以及最后一次产生到所述前向威胁感知成员的威胁实况特征成员所对应的业务运行计划确定为所述第一靶向入侵目的；响应于涵盖所述第一设定威胁实况特征段项范围，生成所述目标威胁实况特征段项与所述第一设定威胁实况特征段项范围的威胁实况连通数据信息，结合所述威胁实况连通数据信息以及所述第一设定威胁实况特征段项范围确定所述第一靶向入侵目的。
94.譬如，结合所述威胁实况连通数据信息以及所述第一设定威胁实况特征段项范围确定所述第一靶向入侵目的包括：响应于所述威胁实况连通数据信息表征所述目标威胁实况特征段项位于所述第一设定威胁实况特征段项范围中涵盖的任意存在关联性引用关系的第二设定威胁实况特征段项范围和第三设定威胁实况特征段项范围之间，将所述第二设定威胁实况特征段项范围的终端威胁实况特征段项和所述第三设定威胁实况特征段项范围的起端威胁实况特征段项所产生的威胁实况特征成员所对应的业务运行计划确定为所述第一靶向入侵目的；响应于所述威胁实况连通数据信息表征所述目标威胁实况特征段项位于所述靶向事件数据的第一个威胁实况特征段项与所述第一设定威胁实况特征段项范围中涵盖的威胁实况特征段项最先的第四设定威胁实况特征段项范围，将所述第一个威胁实况特征段项和所述第四设定威胁实况特征段项范围的起端威胁实况特征段项所产生到的威胁实况特征成员所对应的业务运行计划确定为所述第一靶向入侵目的；响应于所述威胁实况连通数据信息表征所述目标威胁实况特征段项位于所述第一设定威胁实况特征段项范围中涵盖的威胁实况特征段项最后的第五设定威胁实况特征段项范围与所述靶向事件数据的最终的威胁实况特征段项之间时，将所述第五设定威胁实况特征段项范围的终端威胁实况特征段项和所述最终的威胁实况特征段项所产生到的威胁实况特征成员所对应的业务运行计划确定为所述第一靶向入侵目的。
95.譬如，结合所述第一靶向入侵目的确定所述目标靶向入侵目的包括：获取所述前向威胁感知成员在第二网络事件监控阶段内的第二靶向入侵目的；结合所述第一靶向入侵目的以及所述第二靶向入侵目的确定所述目标靶向入侵目的。
96.依据同一发明构思，本技术实施例还提供一种网络入侵检测系统，参阅图2，图2为本技术实施例提供的网络入侵检测系统100的架构图，网络入侵检测系统100可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器(central processing units，cpu)112(例如，一个或一个以上处理器)和存储器111。其中，存储器111可以是短暂存储或持久存储。存储在存储器111的程序可以包括一个或一个以上模块，各模块可以包括对网络入侵检测系统100中的一系列指令操作。更进一步地，中央处理器112可以设置为与存储器111通信，在网络入侵检测系统100上执行存储器111中的一系列指令操作。
97.网络入侵检测系统100还可以包括一个或一个以上电源，一个或一个以上通信单元113，一个或一个以上加载到输出接口，和/或，一个或一个以上操作系统，例如windows servertm，mac os xtm，unixtm,linuxtm，freebsdtm等等。
98.上述实施例中由网络入侵检测系统所执行的步骤可以依据图2所示的网络入侵检测系统结构。
99.另外，本技术实施例还提供了一种存储介质，所述存储介质用于存储计算机程序，
所述计算机程序用于执行上述实施例提供的方法。
100.本技术实施例还提供了一种包括指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例提供的方法。
101.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质可以是下述介质中的至少一种：只读存储器(英文：read-only memory，缩写：rom)、ram、磁碟或者光盘等各种可以存储程序代码的介质。
102.需要说明的是，本说明书中的每个实施例均采用递进的方式描述，每个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其它实施例的不同之处。尤其，对于设备及系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
103.以上所述，仅为本技术的一种具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应该以权利要求的保护范围为准。