[发明专利]一种网络深度威胁检测方法

说明书

本发明公开了一种网络深度威胁检测方法，属于人工智能技术领域，通过获得深度威胁原理、生成海量样本图谱、生成样本向量集合、生成用户图谱、生成用户向量等步骤判断是否存在深度威胁，并且在将存在深度威胁的图谱存入海量样本图谱，实现检测能力的不断进化。本发明从图谱和向量空间的角度，进行深度威胁检测，检测较快且较为准确，在检测过程中可实现检测能力自主进化，有利于在检测的同时优化检测性能。

技术领域

本发明属于人工智能技术领域，具体涉及一种网络深度威胁检测方法。

背景技术

随着现代网络尤其是互联网的不断发展和应用，网络已成为人们生活和工作的一部分。与此同时，来自各个层面的网络威胁也与日俱增，层出不穷。如何发现和检测网络威胁保障网络安全摆在每个网络用户尤其是网络运维人员的面前。

目前各企事业单位都加大了网络安全建设的投入力度，部署了各种类型的安全设备或系统，如入侵检测系统(IDS)、入侵防御系统(IPS)、防火墙、杀毒软件等。但这些基于特征规则的传统安全设备只能检测已知攻击，漏报和误报均较高。

安全运营中心(SOC)对安全系统的大量日志进行整合，不仅数据源单一，而且缺乏提供精准分析的能力与手段，安全分析人员从这些海量数据分析出有效线索无异于大海捞针。因此，SOC并未对网络安全积极防御起到有效作用。

电网数字化和智能化程度不断提高，与此同时，随着智能化时代的迈入，电网日益受到来自互联网的计算机病毒、逻辑炸弹、木马的攻击，信息安全防护的难度大幅增加，对电力信息安全和智能电网的发展提出新的挑战。电网信息系统安全数据的采集和存储能力、信息系统安全威胁的发现感知能力、立体化纵深防御能力等方面，都面临着相比过去传统信息系统的安全防护体系更高的技术和管理规范化要求。尤其是在相关安全情报数据的数量、速度、种类的迅速膨胀的情况下，海量异构数据的融合、存储、管理和利用对传统的安全分析方法提出了重大的挑战。

由于网络攻击行为通常分散在各地，攻击过程由多步骤实施，具有一定的复杂性，仅靠单个网络安全设备的日志信息无法完全还原出攻击原貌，这严重制约了网络安全分析人员评估整个网络环境的运行状态以及用户的活动情况。

发明内容

为了解决现有技术存在的所述问题，本发明目的在于提供一种从图谱和向量空间的角度进行深度威胁分析且可自主优化的网络深度威胁检测方法。

本发明所采用的技术方案为：

一种网络深度威胁检测方法，包括以下步骤：

S1)获得深度威胁原理：运用IDA Pro静态反汇编、OllyDbg动态调试技术，逆向分析深度威胁样本(通常是可执行文件exe或动态链接库dll)，获得深度威胁原理。也可通过互联网搜索深度威胁相关资料，例如厂商报告、学术论文、技术文章等，获得深度威胁原理。

深度威胁原理包括深度威胁使用攻击技术(CAPEC)、漏洞编号(CVE)、控制方式(CC)、扩散策略(攻击间隔、攻击数量、攻击目标选择)等；

S2)生成海量样本图谱：

S21)设置不同环境参数，生成大量模拟环境，环境参数包括网络节点数量、存在漏洞的节点数量、安装有防护软件的节点数量等；

S22)根据步骤S1)的深度威胁原理，在不同模拟环境中，设置不同的攻击时长进行推演，生成海量样本图谱(百万级)。图谱是由节点和连线构成的，其中，攻击者和目标是节点，攻击行为是节点之间的连线。理论上环境参数和攻击时长的组合是无限的，因此，样本图谱全集也是无限的，记作G，而生成的海量样本图谱实际是样本图谱子集，记作G₀，

S3)生成样本向量集合：