攻击行为的识别方法、装置、设备、介质及程序产品与流程

1.本公开涉及信息安全领域，可应用金融科技领域或其他领域，具体涉及一种攻击行为的识别方法、装置、设备、介质及程序产品。


背景技术：

2.现有的网络安全技术中，通过ssl vpn对网络攻击行为的识别主要是基于专家规则进行识别，包括对于账号认证失败的次数、异常登录时间、非变更窗口配置操作等。然而，基于专家规则进行网络攻击行为识别的方法，很难构建一套完备的规则库，有时难以区别真正攻击和正常操作，以致于造成漏报或误报，降低安全运维效率，增加企业风险。
3.公开内容
4.有鉴于此，本公开提供一方面提供一种攻击行为的识别方法，包括：获取历史日志数据，对所述历史日志数据进行预处理，生成包括目标属性的数据样本；利用所述数据样本对深度神经网络进行训练，得到预测模型，其中，所述深度神经网络采用卷积神经网络和双向循环网络结合的基础网络结构，所述卷积神经网络采用channel和spatial相结合的注意力机制，所述双向循环网络采用基于残差的网络结构；基于所述预测模型，预测当前日志数据是否为存在攻击行为的日志数据。
5.根据本公开的实施例，其中，所述对所述历史日志数据进行预处理包括：获取先验知识，其中，所述先验知识为基于专家规则识别攻击行为产生的信息；根据所述先验知识剔除所述历史日志数据中的部分数据；提取剩余数据的至少一个属性；基于xgboost对所述至少一个属性进行训练，得到包括目标属性的样本数据。
6.根据本公开的实施例，其中，所述提取剩余数据的至少一个属性包括：基于二叉回归树的特征选择方法提取剩余数据的至少一个属性。
7.根据本公开的实施例，其中，所述基于xgboost对所述至少一个属性进行训练包括：采用标签平滑的方式对所述至少一个属性进行训练。
8.根据本公开的实施例，其中，所述利用所述数据样本对深度神经网络进行训练包括：对所述数据样本进行卷积运算；基于channel注意力机制对卷积运算结果进行特征提取，得到第一特征；基于spatial注意力机制对卷积运算结果进行特征提取，得到第二特征；将所述第一特征与第二特征进行融合，得到所述数据样本对应的特征；将所述数据样本对应的特征输入双向循环网络进行训练，得到所述预测模型。
9.根据本公开的实施例，其中，所述对所述数据样本进行卷积运算包括：在所述数据样本的数量大于预设数量时，对所述数据样本对应的矩阵的预定行与列进行卷积运算；在所述数据样本的数量不大于预设数量时，对所述数据样本对应的矩阵的所有行与列进行卷积运算。
10.根据本公开的实施例，所述对所述历史日志数据进行预处理还包括：分析所述至少一个属性的规律，根据所述规律对所述剩余数据进行处理，以规范所述剩余数据。
11.根据本公开的实施例，其中，所述日志数据包括包含攻击行为的日志数据及不包
含攻击行为的日志数据；所述对历史日志数据进行预处理还包括：获取先验知识，其中，所述先验知识为基于专家规则识别攻击行为产生的信息；根据所述先验知识增加包含攻击行为的日志数据的数量。
12.根据本公开的实施例，其中，所述基于所述预测模型，预测当前日志数据是否为存在攻击行为的日志数据包括：基于所述预测模型，预测所述当前日志数据发生攻击行为的概率；判断所述概率是否大于预设值，若是，则当前日志数据为存在攻击行为的日志数据。
13.根据本公开的实施例，所述方法还包括：对于存在攻击行为的日志数据，根据所述日志数据分析该日志数据对应的用户行为，根据用户行为发送告警信号或阻断用户进行访问。
14.根据本公开的实施例，其中，所述历史日志数据为ssl vpn日志数据。
15.本公开另一方面提供一种攻击行为的识别装置，包括：获取模块，用于获取历史日志数据；预处理模块，用于对所述历史日志数据进行预处理，生成包括目标属性的数据样本；训练模块，用于利用所述数据样本对深度神经网络进行训练，得到预测模型，其中，所述深度神经网络采用卷积神经网络和双向循环网络结合的基础网络结构，所述卷积神经网络采用channel和spatial相结合的注意力机制，所述双向循环网络采用基于残差的网络结构；预测模块，用于基于所述预测模型，预测当前日志数据是否为存在攻击行为的日志数据。
16.根据本公开的实施例，其中，所述预处理模块包括：第一获取单元，用于获取先验知识，其中，所述先验知识为基于专家规则识别攻击行为产生的信息；剔除单元，用于根据所述先验知识剔除所述历史日志数据中的部分数据；提取单元，用于提取剩余数据的至少一个属性；第一训练单元，用于基于xgboost对所述至少一个属性进行训练，得到包括目标属性的样本数据。
17.根据本公开的实施例，其中，所述提取单元提取剩余数据的至少一个属性包括：基于二叉回归树的特征选择方法提取剩余数据的至少一个属性。
18.根据本公开的实施例，其中，所述训练单元基于xgboost对所述至少一个属性进行训练包括：采用标签平滑的方式对所述至少一个属性进行训练。
19.根据本公开的实施例，其中，所述训练模块包括：运算单元，用于对所述数据样本进行卷积运算；第一提取单元，用于基于channel注意力机制对卷积运算结果进行特征提取，得到第一特征；第二提取单元，用于基于spatial注意力机制对卷积运算结果进行特征提取，得到第二特征；融合单元，用于将所述第一特征与第二特征进行融合，得到所述数据样本对应的特征；第二训练单元，用于将所述数据样本对应的特征输入双向循环网络进行训练，得到所述预测模型。
20.根据本公开的实施例，其中，所述运算单元对所述数据样本进行卷积运算包括：在所述数据样本的数量大于预设数量时，对所述数据样本对应的矩阵的预定行与列进行卷积运算；在所述数据样本的数量不大于预设数量时，对所述数据样本对应的矩阵的所有行与列进行卷积运算。
21.根据本公开的实施例，其中，所述预处理模块还包括：分析单元，用于分析所述至少一个属性的规律，根据所述规律对所述剩余数据进行处理，以规范所述剩余数据。
22.根据本公开的实施例，其中，所述日志数据包括包含攻击行为的日志数据及不包
含攻击行为的日志数据；所述预处理模块还包括：第二获取单元，用于获取先验知识，其中，所述先验知识为基于专家规则识别攻击行为产生的信息；增加单元，用于根据所述先验知识增加包含攻击行为的日志数据的数量。
23.根据本公开的实施例，其中，所述预测模块包括：预测单元，用于基于所述预测模型，预测所述当前日志数据发生攻击行为的概率；判断单元，用于判断所述概率是否大于预设值，若是，则当前日志数据为存在攻击行为的日志数据。
24.根据本公开的实施例，所述装置还包括：分析模块，用于对于存在攻击行为的日志数据，根据所述日志数据分析该日志数据对应的用户行为，发送模块，用于根据用户行为发送告警信号或阻断用户进行访问。
25.本公开的另一个方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如上所述的方法。
26.本公开的另一方面提供了一种计算机可读存储介质，存储有计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。
27.本公开的另一方面提供了一种计算机程序，所述计算机程序包括计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。
附图说明
28.图1示意性示出了根据本公开实施例的攻击行为的识别方法及装置的系统架构100；
29.图2示意性示出了根据本公开一实施例的攻击行为的识别方法的流程图；
30.图3示意性示出了根据本公开一实施例的历史日志数据预处理的方法流程图；
31.图4示意性示出了根据本公开又一实施例的历史日志数据预处理的方法流程图；
32.图5示意性示出了根据本公开实施例的利用数据样本对深度神经网络进行训练的方法流程图；
33.图6示意性示出了根据本公开实施例的卷积运算的方法流程图；
34.图7示意性示出了根据本公开实施例的选择预定行或列进行卷积运算的流程图；
35.图8示意性示出了根据本公开实施例的对所有行或列进行卷积运算的流程图；
36.图9示意性示出了根据本公开实施例的基于预测模型预测当前日志数据是否为存在攻击行为的日志数据的方法流程图；
37.图10示意性示出了根据本公开又一实施例的攻击行为的识别方法的流程图；
38.图11示意性示出了根据本公开一实施例的攻击行为的识别装置的框图；
39.图12示意性示出了根据本公开另一实施例的攻击行为的识别装置的框图；
40.图13示意性示出了根据本公开一实施例的预处理模块的框图；
41.图14示意性示出了根据本公开又一实施例的预处理模块的框图；
42.图15示意性示出了根据本公开实施例的训练模块的框图；
43.图16示意性示出了根据本公开实施例的预测模块的框图；
44.图17示意性示出了根据本公开实施例的适于实现上文描述的方法的电子设备的框图。
具体实施方式
45.以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。
46.在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
47.在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。
48.在使用类似于“a、b和c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b和c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。在使用类似于“a、b或c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b或c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。
49.附图中示出了一些方框图和/或流程图。应理解，方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外，本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式，该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。
50.在本公开的技术方案中，所涉及的用户信息的获取，存储和应用等，均符合相关法律法规的规定，采取了必要保密措施，且不违背公序良俗。
51.本公开的实施例提供一种攻击行为的识别方法，包括：获取历史日志数据。对历史日志数据进行预处理，生成包括目标属性的数据样本。利用数据样本对深度神经网络进行训练，得到预测模型，其中，深度神经网络采用卷积神经网络和双向循环网络结合的基础网络结构，卷积神经网络采用channel和spatial相结合的注意力机制，双向循环网络采用基于残差的网络结构。基于预测模型，预测当前日志数据是否为存在攻击行为的日志数据。
52.图1示意性示出了根据本公开实施例的攻击行为的识别方法及系统的系统架构100。需要注意的是，图1所示仅为可以应用本公开实施例的系统架构的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
53.如图1所示，根据该实施例的系统架构100可以包括客户端101、102，网络103及服务器104。网络103用于在客户端101、102和服务器104之间提供通信链路。
54.客户端101、102例如可以是具有显示屏并且可接入输入设备以进行信息输入的各种电子设备，包括但不限于智能手机、平板电脑、台式pc、膝上型pc、上网本计算机、工作站、服务器、游戏机等，电子设备可用于登录相应的账号发起访问请求访问信息及进行业务操作，包括但不限于文本、音频、视频等。网络103可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。其中有线方式例如可以是采用线缆及以下多种接口中的任一种连接：光纤通道、红外线接口、d型数据接口、串行接口、usb接口、usb type
‑
c接口或dock接口，无线方式例如可以是采用无线通信方式连接的，其中的无线通信例如可采用蓝牙、wi
‑
fi、infrared、zigbee等多个无线技术标准中的任一个。服务器104可以是能够通过网络103接收客户端登录账号进行信息访问及业务操作的服务器，还可以是实时对信息访问及业务操作过程中产生的日志数据进行分析，以识别信息访问及业务操作过程是否存在攻击行为的服务器。根据本公开的实施例，服务器104通过网络103获取客户端101、102上存储的历史日志数据，对历史日志数据进行预处理，生成包括目标属性的数据样本，利用数据样本对深度神经网络进行训练，得到预测模型，其中，深度神经网络采用卷积神经网络和双向循环网络结合的基础网络结构，卷积神经网络采用channel和spatial相结合的注意力机制，双向循环网络采用基于残差的网络结构，基于预测模型，预测当前日志数据是否为存在攻击行为的日志数据。
55.需要说明的是，本公开实施例所提供的攻击行为的识别方法可以由服务器104执行。相应地，本公开实施例所提供的攻击行为的识别装置可以设置于服务器104中。或者，本公开实施例所提供的攻击行为的识别方法也可以由不同于服务器104且能够与客户端101、102和/或服务器104通信的服务器或服务器集群执行。相应地，本公开实施例所提供的攻击行为的识别装置也可以设置于不同于服务器104且能够与客户端101、102和/或服务器104通信的服务器或服务器集群中。或者，本公开实施例所提供的攻击行为的识别方法也可以部分由服务器104执行，部分由客户端101、102执行。相应的，本公开实施例所提供的攻击行为的识别装置也可以部分设置于服务器104中，部分设置于客户端101、102中。
56.应该理解，图1中的客户端、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的客户端、网络和服务器。
57.本公开实施例提供的攻击行为的识别方法，可以应用于金融科技领域。例如，在银行业或者其他金融机构，保存有广大用户的信息，这些信息与用户的财产安全密切相关，为了信息安全考虑，不同的银行工作人员可以有权限访问对应的信息或进行相应的业务操作，但不能访问所有的信息及进行所有业务操作。例如，银行工作人员甲具有专门的账号，可以访问属于银行工作人员甲权限范围内的信息或进行属于银行工作人员甲权限范围内业务操作，其他工作人员或外部人员并不能访问相关信息或进行相关业务操作，一旦其他工作人员或外部人员冒用银行工作人员甲的账号访问相关信息或进行相关业务操作，也即存在攻击行为时，可能会导致信息泄露，进而带来巨大损失。采用本公开实施例的攻击行为的识别方法，可以根据银行工作人员甲的账号登录产生的历史ssl vpn日志数据，快速准确地识别每次通过银行工作人员甲的账号登录时是否存在攻击行为，若存在攻击行为，及时发送警告或阻断攻击行为，以保证信息安全。
58.应当理解是，本公开实施例提供的攻击行为的识别方法不仅限于应用于金融科技领域，上述描述只是示例性的，对于需要进行攻击行为的识别的其他信息安全领域，例如其
它非金融产品的销售领域、电子商务领域、物流领域等，都可以应用本公开实施例的攻击行为的识别方法进行攻击行为的识别，及时发送警告或阻断攻击行为，以保证信息安全。
59.图2示意性示出了根据本公开一实施例的攻击行为的识别方法的流程图。
60.如图2所示，该攻击行为的识别方法例如可以包括操作s201～s204。
61.在操作s201，获取历史日志数据。
62.根据本公开的实施例，获取的历史日志数据可以是ssl vpn用户产生的日志数据。其中，ssl vpn是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的ipsec vpn相比，ssl通过简单易用的方法实现信息远程连通。由于ssl内嵌在浏览器中，它不需要象传统ipsec vpn一样必须为每一台客户机安装客户端软件，任何安装浏览器的设备都可以使用ssl vpn。
63.在操作s202，对历史日志数据进行预处理，生成包括目标属性的数据样本。
64.根据本公开的实施例，预处理的过程是为了剔除历史日志数据中多余的信息，并对历史日志数据进行规范化处理，以便于后续更好地进行预测模型的训练。
65.在操作s203，利用数据样本对深度衬经网络进行训练，得到预测模型，其中，深度神经网络采用卷积神经网络和双向循环网络结合的基础网络结构，卷积神经网络采用channel和spatial相结合的注意力机制，双向循环网络采用基于残差的网络结构。
66.在操作s204，基于预测模型，预测当前日志数据是否为存在攻击行为的日志数据。
67.根据本公开的实施例，攻击行为指的是当前操作产生的行为与过去迥异的行为，例如体现在登录时间异常，登录设备的ip地址和mac地址异常、访问的资源与过去通常访问的资源不一样、访问资源的习惯与过去通常访问习惯异常、账号注销时间与过去通常注销账号的时间不一样等等。
68.基于本公开实施例提供的攻击行为的识别方法，对获取的历史日志数据进行预处理，生成只保留重要属性的数据样本，可以更好地训练预测模型。基于深度神经网络训练预测模型时，通过channel注意力机制和spatial的注意力机制相结合，能够从不同的角度提取丰富的特征，最后将两者特征融合，可以提高特征提取的质量，从而提高预测模型识别的准确性，进而提高攻击行为识别的准确率，增强网络检测的能力。基于残差的网络结构，可以更高效地学习历史日志数据的时序性和长依赖的特点，从而能够快速检测用户访问行为的每一个环节的异常行为，进一步提高攻击行为识别的准确率，并提高了攻击行为的识别效率。
69.下面结合其他附图对图2所述的攻击行为的识别方法进行进一步介绍。
70.图3示意性示出了根据本公开一实施例的历史日志数据预处理的方法流程图。
71.如图3所示，预处理方法例如可以包括操作s301～操作s304。
72.在操作s301，获取先验知识，其中，先验知识为基于专家规则识别攻击行为产生的信息。
73.根据本公开的实施例，先验知识可以是本领域内的专家分析历史日志数据的特征及任务目标，得到的经验和专业知识。例如vpn账号注册时间、首次登录时间、登录用户的名称、登录时间、登录设备的ip地址和mac地址、尝试密码的次数、访问的资源、访问资源的习惯、注销时间等出现何种变化表示存在攻击行为。
74.在操作s302，根据先验知识剔除历史日志数据中的部分数据。
75.根据本公开实施例，由于获取的原始日志数据中可能存在对攻击行为的识别无促进作用的数据，将该部分数据直接用于预测模型的数据无疑会增加训练的数据量，使得神经网络需要学习很多无关的特征，降低学习的效率，并且可能会影响学习的准确性，因此，需要将该部分数据剔除。而基于先验知识便可以在保证有用数据的前提下，很好地将该部分数据剔除。
76.在操作s303，提取剩余数据的至少一个属性。
77.根据本公开的实施例，ssl vpn用户操作日志有20多个不同的属性，包括vpn账号注册时间、首次登录时间、登录用户的名称、登录时间、登录设备的ip地址和mac地址、尝试密码的次数、访问的资源、访问资源的习惯、注销时间等。基于该写属性中的至少之一，可以分析攻击行为。可以基于二叉回归树的特征选择方法提取剩余数据的至少一个属性。
78.在操作s304，基于xgboost对至少一个属性进行训练，得到包括目标属性的样本数据。
79.根据本公开的实施例，可以从提取的属性中选择多种属性进行组合，输入进xgboost进行训练，根据结果，剔除对结果作用小的属性，多次迭代后保留下重要属性，从而生成只保留重要属性的数据样本。
80.根据本公开的实施例，为了避免使用xgboost对属性进行训练的过程中存在类别的过渡自信，容易造成模型泛化能力降低，出现过拟合问题，可以采用标签平滑的方式对至少一个属性进行训练。其中，标签平滑是一种损失函数的修正，可以提高图像分类的准确性。它将神经网络的训练目标从“1”调整为“1
‑
label smoothing adjustment”，这意味着神经网络被训练得对输出的答案不那么自信。默认值通常是0.1，这意味着目标答案是0.9(1
‑
0.1)，而不是1。由于不太确定，它作为一种正则化形式，提高了它对新数据的预测能力。
81.图4示意性示出了根据本公开又一实施例的历史日志数据预处理的方法流程图。
82.如图4所示，预处理方法例如还可以包括操作s401～操作s402。
83.在操作s401，获取先验知识，其中，先验知识为基于专家规则识别攻击行为产生的信息。
84.根据本公开的实施例，先验知识可以是本领域内的专家分析历史日志数据的特征及任务目标，得到的经验和专业知识。例如vpn账号注册时间、首次登录时间、登录用户的名称、登录时间、登录设备的ip地址和mac地址、尝试密码的次数、访问的资源、访问资源的习惯、注销时间等出现何种变化表示存在攻击行为。
85.在操作s402，根据先验知识增加包含攻击行为的日志数据的数量。
86.根据本公开的实施例，由于历史日志数据包括包含攻击行为的日志数据及不包含攻击行为的日志数据，在实际攻击行为预测过程中，包含攻击行为的日志数据(负样本)的数量有是要少于不包含攻击行为的日志数据(正样本)，而正负样本的均衡可进一步保证训练的模型的准确性。因此，针对负样本较少的情况，可以增加负样本的数量。增加负样本的数量例如可以是根据先验知识制定符合专家经验的线性插值规则，增加负样本的数量，例如对于数据样本a和数据样本a最邻近的数据样本b，在[a，b]中以符合专家经验的线性插值规则选择一点作为新样本。增加负样本的数量例如还可以包括在少数样本上采样与增加噪声；监督式数据扩充，即先训练一个初始模型，用该初始模型训练数据样本，在根据训练结果的分布对少数样本数据进行扩充。
[0087]
此外，除上述图3及图4所述的日志数据的预处理过程外，历史日志数据的预处理过程还可以包括：
[0088]
分析至少一个属性的规律，根据规律对剩余数据进行处理，以规范剩余数据。例如，对访问时间，考虑可能存在某种程度的周期性，采用函数sin(x)方式进行规范化处理。
[0089]
基于上述预处理过程，可以优化训练的数据样本，将原始的日志数据转换为只保留重要属性的数据样本，并且增加负样本的数量及规范数据样本，可以提高模型训练的高效性及准确性，进而提高攻击行为的识别效率及准确性。
[0090]
图5示意性示出了根据本公开实施例的利用数据样本对深度神经网络进行训练的方法流程图。
[0091]
如图5所示，该训练过程例如可以包括操作s501～s505。
[0092]
在操作s501，对数据样本进行卷积运算。
[0093]
根据本公开的实施例，数据样本一般会被转换为矩阵形式，通过设置卷积的步长及卷积核的大小对矩阵进行卷积运算。
[0094]
在操作s502，基于channel注意力机制对卷积运算结果进行特征提取，得到第一特征。
[0095]
在操作s503，基于spatial注意力机制对卷积运算结果进行特征提取，得到第二特征。
[0096]
在操作s504，将第一特征与第二特征进行融合，得到数据样本对应的特征。
[0097]
在操作s505，将数据样本对应的特征输入双向循环网络进行训练，得到最终的预测模型。
[0098]
基于本公开实施例提供的训练方法，通过channel注意力机制和spatial的注意力机制，能够从不同的角度提取丰富的特征，最后将两者特征融合，进一步提高特征提取的质量，从而提高预测模型识别的准确性，进而提高攻击行为识别的准确率。
[0099]
图6示意性示出了根据本公开实施例的卷积运算的方法流程图。
[0100]
如图6所示，该卷积运算方法例如可以包括操作s601～s603。
[0101]
在操作s601，判断数据样本的数量是否大于预设数量。
[0102]
根据本公开的实施例，预设数量可以根据实际需求设定，例如可以是1000条历史日志数据、2000条历史日志数据、3000条历史日志数据。具体本公开不做限制。
[0103]
在数据样本的数量大于预设数量时，执行操作s602。在数据样本的数量不大于预设数量时，执行操作s603。
[0104]
在操作s602，对数据样本对应的矩阵的预定行与列进行卷积运算。
[0105]
根据本公开的实施例，当数据样本较大时，为了缩短预测模型的训练时间，提高模型训练的效率，可以对数据样本对应的预定行或列进行卷积运算。
[0106]
图7示意性示出了根据本公开实施例的选择预定行或列进行卷积运算的流程图。
[0107]
如图7所示，将卷积核的大小设置为1，卷积的步长设置为2，在执行conv(1
×
1，stride＝2)时，第2、4行与列被跳过，再经过一个padding和一个conv(3
×
3，stride＝1)操作，得到一个3
×
3的矩阵。
[0108]
在操作s603，对数据样本对应的矩阵的所有行与列进行卷积运算。
[0109]
根据本公开的实施例，当数据样本较小时，模型训练的时间较短，不必考虑模型训
练的效率，此时可以对数据样本对应的所有行或列进行卷积运算。
[0110]
图8示意性示出了根据本公开实施例的对所有行或列进行卷积运算的流程图。
[0111]
如图7所示，将卷积核的大小设置为1，卷积的步长设置为1，在执行conv(1
×
1，stride＝1)时，没有行与列被跳过，再经过一个padding和一个conv(3
×
3，stride＝2)操作，同样得到一个3
×
3的矩阵。
[0112]
需要说明的是，在实际操作中，通常在时间效率和数据特征上寻求一种平衡，以更好地符合实际的应用需求。
[0113]
图9示意性示出了根据本公开实施例的基于预测模型预测当前日志数据是否为存在攻击行为的日志数据的方法流程图。
[0114]
如图9所示，该方法例如可以包括操作s901～s902。
[0115]
在操作s901，基于预测模型，预测当前日志数据发生攻击行为的概率。
[0116]
根据本公开实施例，由于预测模型是基于双向循环网络训练得到，使得该模型可以检测每个用户的每一个环节，筛选出与过去迥异的行为，从而确定攻击发生的概率。如用户登录时间与往常不同、常用登录设备的mac地址发生变化、访问资源的列表变化等，预测模型会为每个属性值分配不同的权重，各属性值叠加以预测攻击行为发生的概率。
[0117]
在操作s902，判断概率是否大于预设值，若是，则当前日志数据为存在攻击行为的日志数据。
[0118]
图10示意性示出了根据本公开又一实施例的攻击行为的识别方法的流程图。
[0119]
如图10所示，该攻击行为的识别方法例如还可以包括操作s205～s206。
[0120]
在操作s205，对于存在攻击行为的日志数据，根据日志数据分析该日志数据对应的用户行为。
[0121]
在操作s206，根据用户行为发送告警信号或阻断用户进行访问。
[0122]
由于攻击概率只能表明当前日志数据存在攻击行为，并不能完全反应攻击行为是产生在那个环节，并不能很好地判断是发送告警信号还是直接阻断访问。例如，一般情况下会限制访问的时间，到点后会需要注销登录。当一银行员工登录账号访问在其访问权限内的信息时，由于正当理由而非不正当操作导致其访问已超时，根据攻击概率此时产生的历史日志数据会存在攻击行为，若直接阻断其访问，可能会导致正常的业务操作。而通过对其行为分析，发现其攻击行为产生在访问超时环节，而并未方位没有权限的信息，此时可先发送告警信号提醒用户访问超时，将在预设时间断后阻断访问，而不是直接阻断访问，以便用户能够及时完成正常的业务操作。当发现其访问超过权限的信息时，便可以直接进行阻断。该种方式更加符合实际的业务需求。
[0123]
图11示意性示出了根据本公开一实施例的攻击行为的识别装置的框图。
[0124]
如图11所示，攻击行为的识别装置1100例如可以包括获取模块1110、预处理模块1120、训练模块1130及预测模块1140。
[0125]
获取模块1110，用于获取历史日志数据。
[0126]
预处理模块1120，用于对历史日志数据进行预处理，生成包括目标属性的数据样本。
[0127]
训练模块1130，用于利用数据样本对深度神经网络进行训练，得到预测模型，其中，深度神经网络采用卷积神经网络和双向循环网络结合的基础网络结构，卷积神经网络
采用channel和spatial相结合的注意力机制，双向循环网络采用基于残差的网络结构。
[0128]
预测模块1140，用于基于预测模型，预测当前日志数据是否为存在攻击行为的日志数据。
[0129]
图12示意性示出了根据本公开另一实施例的攻击行为的识别装置的框图。
[0130]
如图12所示，攻击行为的识别装置1100例如还可以包括分析模块1150及发送模块1160。
[0131]
分析模块1150，用于对于存在攻击行为的日志数据，根据所述日志数据分析该日志数据对应的用户行为。
[0132]
发送模块1160，用于根据用户行为发送告警信号或阻断用户进行访问。
[0133]
图13示意性示出了根据本公开一实施例的预处理模块的框图。
[0134]
如图13所示，该预处理模块1120例如可以包括第一获取单元1121、剔除单元1122、提取单元1123及第一训练单元1124。
[0135]
第一获取单元1121，用于获取先验知识，其中，先验知识为基于专家规则识别攻击行为产生的信息。
[0136]
剔除单元1122，用于根据先验知识剔除历史日志数据中的部分数据。
[0137]
提取单元1123，用于提取剩余数据的至少一个属性。
[0138]
第一训练单元1124，用于基于xgboost对至少一个属性进行训练，得到包括目标属性的样本数据。
[0139]
图14示意性示出了根据本公开又一实施例的预处理模块的框图。
[0140]
如图14所示，该预处理模块1120例如还可以包括第二获取单元1125、增加单元1126以及分析单元1127。
[0141]
第二获取单元1125，用于获取先验知识，其中，先验知识为基于专家规则识别攻击行为产生的信息。
[0142]
增加单元1126，用于根据先验知识增加包含攻击行为的日志数据的数量。
[0143]
分析单元1127，用于分析至少一个属性的规律，根据规律述剩余数据进行处理，以规范剩余数据。
[0144]
图15示意性示出了根据本公开实施例的训练模块的框图。
[0145]
如图15所示，该训练模块1130例如可以包括运算单元1131、第一提取单元1132、第二提取单元1133、融合单元1134及第二训练单元1135。
[0146]
运算单元1131，用于对数据样本进行卷积运算。
[0147]
第一提取单元1132，用于基于channel注意力机制对卷积运算结果进行特征提取，得到第一特征。
[0148]
第二提取单元1133，用于基于spatial注意力机制对卷积运算结果进行特征提取，得到第二特征。
[0149]
融合单元1134，用于将第一特征与第二特征进行融合，得到数据样本对应的特征。
[0150]
第二训练单元1135，用于将数据样本对应的特征输入双向循环网络进行训练，得到预测模型。
[0151]
图16示意性示出了根据本公开实施例的预测模块的框图。
[0152]
如图16所示，该预测模块1140例如可以包括预测单元1141及判断单元1142。
[0153]
预测单元1141，用于基于预测模型，预测当前日志数据发生攻击行为的概率。
[0154]
判断单元1142，用于判断概率是否大于预设值，若是，则当前日志数据为存在攻击行为的日志数据。
[0155]
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。
[0156]
例如，获取模块1110、预处理模块1120、训练模块1130、预测模块1140、分析模块1150及发送模块1160中的任意多个可以合并在一个模块/单元/子单元中实现，或者其中的任意一个模块/单元/子单元可以被拆分成多个模块/单元/子单元。或者，这些模块/单元/子单元中的一个或多个模块/单元/子单元的至少部分功能可以与其他模块/单元/子单元的至少部分功能相结合，并在一个模块/单元/子单元中实现。根据本公开的实施例，获取模块1110、预处理模块1120、训练模块1130、预测模块1140、分析模块1150及发送模块1160中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，获取模块1110、预处理模块1120、训练模块1130、预测模块1140、分析模块1150及发送模块1160中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。
[0157]
需要说明的是，本公开的实施例中攻击行为的识别装置部分与本公开的实施例中攻击行为的识别方法部分是相对应的，其具体实施细节及带来的技术效果也是相同的，在此不再赘述。
[0158]
图17示意性示出了根据本公开实施例的适于实现上文描述的方法的电子设备的框图。图17示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。
[0159]
如图17所示，根据本公开实施例的电子设备1700包括处理器1701，其可以根据存储在只读存储器(rom)1702中的程序或者从存储部分1708加载到随机访问存储器(ram)1703中的程序而执行各种适当的动作和处理。处理器1701例如可以包括通用微处理器(例如cpu)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(asic))，等等。处理器1701还可以包括用于缓存用途的板载存储器。处理器1701可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
[0160]
在ram 1703中，存储有电子设备1700操作所需的各种程序和数据。处理器1701、rom 1702以及ram1703通过总线1704彼此相连。处理器1701通过执行rom 1702和/或
ram1703中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，所述程序也可以存储在除rom1702和ram 1703以外的一个或多个存储器中。处理器1701也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
[0161]
根据本公开的实施例，电子设备1700还可以包括输入/输出(i/o)接口1705，输入/输出(i/o)接口1705也连接至总线1704。电子设备1700还可以包括连接至i/o接口1705的以下部件中的一项或多项：包括键盘、鼠标等的输入部分1706；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分1707；包括硬盘等的存储部分1708；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分1709。通信部分1709经由诸如因特网的网络执行通信处理。驱动器1710也根据需要连接至i/o接口1705。可拆卸介质1711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1710上，以便于从其上读出的计算机程序根据需要被安装入存储部分1708。
[0162]
根据本公开的实施例，根据本公开实施例的方法流程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读存储介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分1709从网络上被下载和安装，和/或从可拆卸介质1711被安装。在该计算机程序被处理器1701执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
[0163]
本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。
[0164]
根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质。例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、便携式紧凑磁盘只读存储器(cd
‑
rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0165]
例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的rom1702和/或ram 1703和/或rom 1702和ram 1703以外的一个或多个存储器。
[0166]
附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组
合来实现。本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合，即使这样的组合或结合没有明确记载于本公开中。特别地，在不脱离本公开精神和教导的情况下，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。