网络攻击预警方法、装置、电子设备和和存储介质与流程

本发明涉及网络安全，尤其涉及一种网络攻击预警方法、装置、电子设备和和存储介质。

背景技术：

1、随着信息技术的发展，网络安全问题日益凸显。在网络攻击的诸多形式中，高级持续性威胁攻击(advanced persistent threat，简称apt)作为一种高级的跨域网络攻击手段，具有高针对性、持续性、隐蔽性和阶段性等特点，使得传统网络防御系统对apt攻击的检测和反制存在困难。apt攻击是一种极为复杂且有高度持续性的网络攻击方式，通常由有强大背景支持的组织或个人进行支持。往往对国家安全、企业秘密以及个人隐私构成严重威胁。

2、目前，针对apt攻击防护业内常用的处理手段有两种：一种是机械化的单点检测手段，但是apt攻击复杂多变，单点检测手段难以适应apt攻击的复杂程度；另一种是通过训练模型来辅助apt攻击检测，但是现有的模型主要通过网络流量监控发现异常的网络入侵流量，用户无法知晓当前入侵的程度以及后续的入侵趋势，导致入侵防御存在滞后性，因而亟需改进。

技术实现思路

1、本发明提供一种网络攻击预警方法、装置、电子设备和和存储介质，用以解决现有技术中对复杂多变的apt攻击入侵防御存在滞后性的缺陷，实现了提前预测网络攻击继续转移的概率，降低了网络攻击入侵后攻击继续渗透的可能性，提高了网络安全防护效率。

2、根据本发明的第一方面，提供一种网络攻击预警方法，所述方法包括：

3、响应于检测到网络攻击的任一攻击阶段，则获取与所述任一攻击阶段相关的日志数据，其中，所述网络攻击为包括多个攻击阶段的高级持续性威胁攻击；

4、将所述日志数据输入到预先训练的攻击行为画像模型中，其中，所述预先训练的攻击行为画像模型用于预测由所述任一攻击阶段转移到下一攻击阶段的转移概率并输出；

5、将所述预先训练的攻击行为画像模型输出的所述转移概率与预设值进行比较；

6、响应于所述预先训练的攻击行为画像模型输出的所述转移概率超过预设值，则发出危险告警。

7、在一些可能的实现方式中，所述预先训练的攻击行为画像模型通过以下步骤训练得到：

8、利用联邦学习中心服务器对cnn-lstm模型进行初始化并作为全局模型；

9、将所述全局模型作为当前全局模型下发到多个不同的网络域中，得到与每个网络域对应的本地模型；

10、针对每个网络域，从网络域中每个网络设备上部署的入侵检测系统收集警报数据并使用收集到的警报数据确定攻击场景，利用所述攻击场景对操作系统产生的日志数据进行社区发现得到日志社区，以及使用所述日志社区训练网络域对应的本地模型；

11、响应于任一网络域对应的本地模型训练完成，则将训练完成时的模型参数上传到所述联邦学习中心服务器；

12、响应于每个网络域对应的模型参数均上传到所述联邦学习中心服务器，则利用所述联邦学习中心服务器对本次上传的模型参数进行聚合，并使用聚合后的模型参数更新全局模型；

13、返回所述将所述全局模型作为当前全局模型下发到多个不同的网络域中，得到与每个网络域对应的本地模型的步骤，直至用于评价当前全局模型的性能指标达到预设标准或迭代次数达到预设迭代次数；

14、利用联邦学习中心服务器将最后一次得到的全局模型作为预先训练的攻击行为画像模型并下发到多个不同的网络域中。

15、在一些可能的实现方式中，所述从网络域中每个网络设备上部署的入侵检测系统收集警报数据并使用收集到的警报数据确定攻击场景，包括：

16、从每个网络设备部署的入侵检测系统获取已产生的警报数据；

17、分别从每个警报数据中提取第一有效信息，并基于所述第一有效信息构建与每个警报数据对应的警报实例；

18、将每个警报实例分别与预设攻击阶段和警报实例据映射关系进行匹配，得到每个警报实例所属攻击阶段；

19、计算属于不同攻击类型的警报实例之间相似性，并基于所述相似性构建警报簇；

20、基于预设条件对所构建的警报簇进行筛选，并将筛选后的警报簇作为所述攻击场景，其中，所述预设条件为同一警报簇中所属攻击阶段在后的警报实例对应的警报时间与所属攻击阶段在前的警报实例对应的警报时间差值大于等于零且小于等于预设时间。

21、在一些可能的实现方式中，所述相似性根据如下公式一计算得到：

22、

23、其中，i和j分别表示两个不同的警报实例，vicipi表示警报实例i的受害者ip，vicipj表示警报实例j的受害者ip，若simij＝[0,1]时，则删除前两个警报实例构成的警报簇并构建一个包含最新两个警报实例的新警报簇，若simij＝[1,1]时，则无需创建新的警报簇。

24、在一些可能的实现方式中，所述利用所述攻击场景对操作系统产生的日志数据进行社区发现得到日志社区，包括：

25、对每个警报簇执行以下操作：

26、基于警报簇中最早的警报时间确定日志提取的起始时间；

27、从产生警报簇的网络设备对应的操作系统中，依据所述起始时间提取与警报实例相关的日志数据；

28、分别从每个相关的日志数据中提取第二有效信息，并基于所述第二有效信息构建与每个相关的日志数据对应的日志实例；

29、计算各个日志实例之间的相似度，并基于所述相似度构建日志行为模式图，并将所述日志行为模式图中的每个日志实例均作为日志社区；

30、以遍历方式从日志实例中选取一个作为目标日志实例，并对所述目标日志实例执行以下操作：

31、将目标日志实例从所属的日志社区移动到相关日志实例所属的日志社区中；

32、计算移动后的相关日志所属的日志社区对应的社区适配值；

33、基于所述社区适配值重新确定日志社区，并返回所述将目标日志实例从所属的日志社区移动到相关日志实例所属的日志社区中的步骤，直至每个日志社区所包括的日志实例均不再变化。

34、在一些可能的实现方式中，所述相似度根据如下公式二至公式七计算得到：

35、re(ki,kj)＝αrec(ki,kj)+βreo(ki,kj)    公式二；

36、

37、β＝1-α    公式四；

38、

39、

40、

41、其中，ki和kj表示两个不同的日志实例，re(ki,kj)表示日志实例ki和日志实例kj的相似度，α、rec(ki,kj)、β、reo(ki,kj)、rec(ki,kj)均为计算相似度的中间参量，o(ki)表示与日志实例ki相关的日志实例，o(kj)表示与日志实例kj相关的日志实例，表示阻尼系数。

42、在一些可能的实现方式中，所述基于所述社区适配值重新确定日志社区，包括：

43、响应于移动后的相关日志所属的日志社区对应的社区适配值增大，则删除目标日志实例原本所属的日志社区；

44、响应于移动后的相关日志所属的日志社区对应的社区适配值未增大，则将目标日志实例从相关日志实例所属的日志社区中移回目标日志实例原本所属的日志社区。

45、根据本发明的第二方面，还提供了一种网络攻击预警装置，所述装置包括：

46、获取模块，用于响应于检测到网络攻击的任一攻击阶段，则获取与所述任一攻击阶段相关的日志数据，其中，所述网络攻击为包括多个攻击阶段的高级持续性威胁攻击；

47、预测模块，用于将所述日志数据输入到预先训练的攻击行为画像模型中，其中，所述预先训练的攻击行为画像模型用于预测由所述任一攻击阶段转移到下一攻击阶段的转移概率并输出；

48、比较模块，用于将所述预先训练的攻击行为画像模型输出的所述转移概率与预设值进行比较；

49、告警模块，用于响应于所述预先训练的攻击行为画像模型输出的所述转移概率超过预设值，则发出危险告警。

50、根据本发明的第三方面，还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述网络攻击预警方法。

51、根据本发明的第四方面，还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述网络攻击预警方法。

52、本发明提供的一种网络攻击预警方法，在检测到高级持续性威胁攻击的任一攻击阶段时，获取与任一攻击阶段相关的日志，并将获取到的日志输入到预先训练的攻击行为画像模型中以得到由任一攻击阶段转移到下一攻击阶段的转移概率，从而根据该转移概率发出危险告警，实现了提前预测网络攻击继续转移的概率，降低了网络攻击入侵后攻击继续渗透的可能性，提高了网络安全防护效率。

53、此外，本发明的一种网络攻击预警、一种电子设备和一种非暂态计算机可读存储介质，同样能实现上述技术效果，这里不再赘述。