一种获取APT多关系预测模型的方法、关系预测方法及装置与流程

本技术涉及网络安全领域，具体而言本技术实施例涉及一种获取apt多关系预测模型的方法、关系预测方法及装置。

背景技术：

1、在网络安全领域中，apt实体关系预测有广泛的应用。这项技术通过推断实体之间的关联，揭示隐藏在大量数据中的潜在威胁，从而协助分析人员建立apt攻击者的行为模式和攻击手段。此外，它还能够识别apt攻击活动中的关键行为和相关关系，进而生成更精确、有针对性的威胁情报报告。这些报告能够帮助防御方制定有效的防御策略和采取相关行动。已有的apt实体关系推断方法主要可以归类为以下几个类别：

2、1)基于特征的推测：利用采集到的apt攻击事件的日志数据或者报告提取实体间的特征信息，例如攻击者的端口信息、攻击目标的主机信息、攻击时间、地点等，再使用机器学习算法或数学建模算法对提取到的特征进行训练或拟合，再用以推断实体间的关系模式。

3、2)基于时序的推测：利用apt数据的时序信息和其他辅助特征，以预测apt攻击中各个实体之间的关联。apt攻击方往往利用长期多步的攻击方法来获取或破坏受害方有价值数据、资产和隐私信息等等，因此在攻击过程当中的前后步骤之间往往有较多明显的时序关系信息，同构分析这些时序的特征和分布，即可找到与之匹配相似关系数据，进而判断不同实体间的关系。

4、3)基于知识图谱的推测：将已有的apt信息利用知识图谱表达出来(知识图谱使用实体-实体-关系三元组的形式保存存在连接关系的数据)，再根据知识图谱中的关系推断方法(例如基于规则的推理、基于结构的推理以及基于分布式表示学习的推理等)，得到apt实体之间的关系。

5、4)基于贝叶斯的推测：数学中的贝叶斯概率模型可以利用已知的数据信息推算(拟合)出生成模型，再借用此生成模型来拟合未观测的数据以得到使得概率最大的分布，用该分布即可估测待推测数据得到实体间的关系。

6、然而相关技术方案均存在如下技术缺陷：只能推测两两实体之间的关联性，并不能根据apt实体的特征预测出所有潜在的关联实体。这种局限性导致了在实际应用中可能遗漏重要的关联关系，限制了威胁情报的全面性和准确性。

技术实现思路

1、本技术实施例的目的在于提供一种获取apt多关系预测模型的方法、关系预测方法及装置，采用本技术实施例能推测出实体间的多关系(即多个实体间存在的连接关系)，这种新型apt实体多关系预测方案可根据apt实体的特征预测出所有潜在的关联实体，可以有效解决以上不足。

2、第一方面，本技术实施例提供一种获取apt多关系预测模型的方法，所述方法包括：收集apt攻击报告或者相关日志组成原始报告信息集合；将所述原始报告信息集合转换为图结构；重复以下过程，直至对图神经网络的训练过程结束，得到apt多关系预测模型：基于所述图结构和所述图神经网络进行多边关系预测，得到以各实体为起点的多条路径以及每条路径的关系类型，其中，一条路径与两个不同实体之间的关系对应；计算与所述多条路径和所述关系类型对应的损失值，并根据所述损失值调整所述图神经网络的参数。

3、本技术的实施例通过构建的图结构，可以更好的利用图神经网络(graph neuralnetwork，gnn)处理与图结构有关的数据(即用边连接的节点结构)，因此对各实体的进行多关系预测就变成预测图中由某个实体为起点生成的多条路径，成功实现了根据apt实体的特征预测出所有潜在的关联实体(与一个节点对应的一条路径对应一个关联实体，则与一个节点对应的多条路径即与该节点对应实体有关联得多个实体)的技术目的。

4、在一些实施例中，所述将所述原始报告信息集合转换为图结构，包括：从所述原始报告信息集合中提取各apt实体以及实体特征；通过观测得到所述各apt实体之间的关系，得到观测关系；根据所述观测关系在相应节点间建立实体间的连接，得到邻接矩阵a；将所述各实体特征编码再拼接，得到特征矩阵x；根据所述邻接矩阵a和所述特征矩阵x构建所述图结构。

5、本技术的一些实施例通过挖掘邻接矩阵和特征矩阵来构建图结构，实现了准确构建图结构的技术目的。

6、在一些实施例中，所述图神经网络包括拓扑预测模块和关系预测模块，其中，所述基于所述图结构和所述图神经网络进行多边关系预测，得到以各实体为起点的多条路径以及每条路径的关系类型，包括：根据所述图结构对所述拓扑预测模块进行训练，得到所述多条路径；根据所述多条路径对所述关系预测模块进行训练，得到所述每条路径的关系类型；根据所述多条路径和所述每条路径的关系类型得到损失函数值，并根据所述损失函数值调整所述拓扑预测模块和所述关系预测模块的参数；重复上述过程直至训练结束得到目标拓扑预测模块和目标关系预测模块；将所述目标拓扑预测模块和所述目标关系预测模块作为所述apt多关系预测模型。

7、本技术的一些实施例通过拓扑预测模块和关系预测模块分别挖掘与各节点对应的潜在路径以及各潜在路径的关系类型。

8、在一些实施例中，所述各apt实体之间的关系包括：攻击、防御、协同和属于。

9、本技术的一些实施例的关系的类型包括多种。

10、在一些实施例中，所述邻接矩阵采用第一数值表征两个实体之间存在所述关系，并采用第二数值表征两个实体之间不存在所述关系。

11、本技术的一些实施例采用两个不同的数值用于区分两个实体之间是否存在关联关系。

12、在一些实施例中，所述图结构采用节点表征所述各apt实体，采用边表征对应两节点之间存在所述关系，且采用所述实体特征作为对应节点的待传播数据。

13、在一些实施例中，所述根据所述邻接矩阵a和所述特征矩阵x构建图结构，包括：将所述各apt实体作为所述图结构上的节点；根据所述邻接矩阵得到存在所述关系的成对节点，并在所述成对节点间采用边进行连接；根据所述特征矩阵得到所述各apt实体的实体特征，并将相应实体的实体特征作为相应节点的值。

14、本技术的一些实施例提供一种根据邻接矩阵和特征矩阵构建结构图的方法，进而可以利用相关技术的图神经网络对图结构上的数据进行聚合等相关处理，进而提升从原始apt数据中挖掘实体以及实体关系类型的技术目的。

15、在一些实施例中，所述拓扑预测模块包括第一迭代聚合模块以及深度dnn模块，其中，所述根据所述图结构对拓扑预测模块进行训练，得到所述多条路径，包括：通过所述第一迭代聚合模块的聚合算法实现基于所述图结构的信息传播机制，得到聚合特征表达h；通过所述深度dnn模块和所述聚合特征表达进行实体间的多关系路径预测，得到多关系路径矩阵p；读取所述多关系路径矩阵p中的邻接关系，得到所述多条路径。

16、本技术的一些实施例通过聚合迭代算法实现节点之间的特征互传，进而得到更加准确的邻接关系矩阵，挖掘出与一个实体相关的所有关联实体。

17、在一些实施例中，所述聚合算法为：

18、

19、其中，h(s)是每次迭代的输出，h(s)的初始状态h(0)为所述特征矩阵x，w为权重矩阵，和分别为优化邻接矩阵和与所述邻接矩阵对应的优化度矩阵，activation用于表征激活函数。

20、在一些实施例中，所述关系预测模块包括：第二迭代聚合模块以及深度网络模型，其中，所述根据所述多条路径对关系预测模块进行训练，得到所述每条路径的关系类型，包括：根据所述第二迭代聚合模块和所述多条路径得到聚合结果m，其中，所述聚合结果m包括聚合得到多个实体向量，所述聚合结果m中的各行分别用于表征一个实体；基于所述深度网络模型对所述聚合结果中的任意两个实体i和j进行关系分类，得到所述每条路径的关系类型。

21、本技术的一些实施例与拓扑预测模块一样，在将已经观测到的数据用以训练关系预测模块之前，需要对其进行apt信息进行聚合从而得到更加全面的实体数据表达。

22、在一些实施例中，所述第二迭代聚合模块采用gnn根据迭代公式更新训练用的apt实体数据，其中，

23、所述迭代公式如下：

24、

25、其中，m(s)为迭代过程中的中间输出，k(s-1)为权重矩阵，和分别为优化邻接矩阵和与所述优化邻接矩阵对应的优化度矩阵。

26、在一些实施例中，所述深度网络模型根据如下公式对所述任意两个实体i和j进行关系分类：

27、r＝softmax(mlp(mi:，mj:))

28、其中，mi表征与实体i对应的行向量，mj表征与实体j对应的行向量，mlp是一个多层感知器，r表征预测的关系类型。

29、第二方面，本技术的一些实施例提供一种获取apt多关系预测结果的方法，所述方法包括：获取待识别数据的图结构，得到待识别图；将所述待识别图输入采用如第一方面任意一个实施例得到的apt多关系预测模型中，得到关系预测结果，其中，所述关系预测结果包括组成任意子路径的任意两个实体以及与所述任意两个实体对应的关系。

30、在一些实施例中，所述获取待识别数据的图结构得到待识别图，包括：收集待识别apt攻击报告或者相关日志，得到待识别数据；分别提取所述待识别数据的各apt实体以及实体特征；观测得到所述各apt实体间关系；将所述各apt实体作为节点，根据所述观测到的apt实体间的关系建立实体间的连接，得到待识别邻接矩阵；将所述各apt实体的实体特征编码再拼接，得到待识别特征矩阵；根据所述待识别邻接矩阵和所述待识别特征矩阵构建所述图结构，得到所述待识别图。

31、第三方面，本技术的一些实施例提供一种获取apt多关系预测模型的装置，所述装置包括：原始报告信息集合获取模块，被配置为收集apt攻击报告或者相关日志组成原始报告信息集合；图结构获取模块，被配置为将所述原始报告信息集合转换为图结构；训练模块，被配置为重复以下过程，直至对图神经网络的训练过程结束，得到apt多关系预测模型：基于所述图结构和所述图神经网络进行多边关系预测，得到以各实体为起点的多条路径以及每条路径的关系类型，其中，一条路径与两个不同实体之间的关系对应；计算与所述多条路径和所述关系类型对应的损失值，并根据所述损失值调整所述图神经网络的参数。

32、第四方面，本技术的一些实施例提供一种获取apt多关系预测结果的装置，所述装置包括：待识别图获取模块，被配置为获取待识别数据的图结构，得到待识别图；关系预测结果获取模块，被配置为将所述待识别图输入采用如第一方面包括的任意一个实施例得到的apt多关系预测模型中，得到关系预测结果，其中，所述关系预测结果包括组成任意子路径的任意两个实体以及与所述任意两个实体对应的关系。

33、第五方面，本技术的一些实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时可实现如第一方面或第二方面任意实施例所述的方法。

34、第六方面，本技术的一些实施例提供一种电子设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，其中，所述处理器执行所述程序时可实现如第一方面或第二方面包括的任意实施例所述的方法。