网络信息安全防护系统及其方法与流程

本技术涉及网络安全，且更为具体地，涉及一种网络信息安全防护系统及其方法。

背景技术：

1、随着互联网的飞速发展，网络信息安全防护越来越引起重视，而对网络安全日志分析在网络安全领域中扮演着重要的角色。网络安全日志可以记录网络中的各种操作和事件，通过分析这些日志可以识别出异常的行为，如非法登录、数据泄露、恶意攻击等，及时发现这些异常行为可帮助防止安全事件的发生。在网络安全事件发生后，网络安全日志可以被作为证据来追溯攻击者的行踪和技术手段，对于网络安全事件调查和取证具有重要作用。

2、入侵系统和网络的攻击手段是多样的，在进行日志分析时需要考虑到这些攻击手段的多样性，并且及时识别出网络中的异常事件，做出相应的响应。

3、因此，期待一种网络信息安全防护系统及其方法。

技术实现思路

1、为了解决上述技术问题，提出了本技术。本技术的实施例提供了一种网络信息安全防护系统及其方法，其首先收集和整理网络安全日志数据，以及对网络安全存在威胁的事件集合，然后提取其中的关键特征信息，通过查找网络安全日志中是否存在对网络安全存在威胁的事件，来做出相应的响应。该方案可以实现对网络安全日志的分析、建模和分类，及时发现网络中的异常事件，保障网络安全。

2、相应地，根据本技术的一个方面，提供了一种网络信息安全防护系统，其包括：

3、数据获取模块，用于获取网络安全日志和对网络安全存在威胁的事件集合；

4、网络安全日志语义编码模块，用于将所述网络安全日志进行分词处理后通过基于转换器的第一上下文编码器以得到网络安全日志特征向量；

5、危险事件语义编码模块，用于将所述对网络安全存在威胁的事件集合进行分词处理后通过基于转换器的第二上下文编码器以得到危险事件特征向量；

6、关联编码模块，用于将所述网络安全日志特征向量和所述危险事件特征向量进行关联编码以得到关联特征矩阵；

7、空间增强模块，用于将所述关联特征矩阵通过空间注意力模块以得到分类特征矩阵；以及

8、管理结果生成模块，用于将所述分类特征矩阵通过分类器以得到分类结果，所述分类结果用于表示网络安全日志中是否存在对网络安全存在威胁的事件。

9、在上述网络信息安全防护系统中，所述网络安全日志语义编码模块，包括：第一分词单元，用于对所述网络安全日志进行分词处理以获得多个网络安全信息词；第一词嵌入单元，用于将所述多个网络安全信息词通过嵌入层以将所述多个网络安全信息词中各个网络安全信息词转化为网络安全信息词嵌入向量以得到网络安全信息词嵌入向量的序列，其中，所述嵌入层使用可学习的嵌入矩阵对所述各个网络安全信息词进行嵌入编码；以及，第一上下文语义编码单元，用于将所述网络安全信息词嵌入向量的序列通过所述基于转换器的第一上下文编码器以得到所述网络安全日志特征向量。

10、在上述网络信息安全防护系统中，所述危险事件语义编码模块，包括：第二分词单元，用于对所述对网络安全存在威胁的事件集合进行分词处理以获得多个危险事件信息词；第二词嵌入单元，用于将所述多个危险事件信息词通过嵌入层以将所述多个危险事件信息词中各个危险事件信息词转化为危险事件信息词嵌入向量以得到危险事件信息词嵌入向量的序列，其中，所述嵌入层使用可学习的嵌入矩阵对所述各个危险事件信息词进行嵌入编码；以及，第二上下文语义编码单元，用于将所述危险事件信息词嵌入向量的序列通过所述基于转换器的第二上下文编码器以得到所述危险事件特征向量。

11、在上述网络信息安全防护系统中，所述关联编码模块，用于：以如下关联公式对所述网络安全日志特征向量和所述危险事件特征向量进行关联编码以得到关联特征矩阵；

12、其中，所述关联公式为：

13、

14、其中，va表示所述网络安全日志特征向量，表示所述网络安全日志特征向量的转置向量，vb表示所述危险事件特征向量，m表示所述关联特征矩阵，表示矩阵相乘。

15、在上述网络信息安全防护系统中，所述空间增强模块，包括：深度卷积编码单元，用于使用所述空间注意力模块的卷积编码部分对所述关联特征矩阵进行深度卷积编码以得到初始卷积特征图；空间注意力单元，用于将所述初始卷积特征图输入所述空间注意力模块的空间注意力部分以得到空间注意力图；激活单元，用于将所述空间注意力图通过softmax激活函数以得到空间注意力特征图；计算单元，用于计算所述空间注意力特征图和所述初始卷积特征图的按位置点乘以得到增强特征图；以及，池化单元，用于对所述增强特征图进行沿通道维度的全局均值池化处理以得到所述分类特征矩阵。

16、在上述网络信息安全防护系统中，所述管理结果生成模块，包括：展开单元，用于将所述分类特征矩阵按照行向量或者列向量展开为分类特征向量；全连接编码单元，用于使用所述分类器的全连接层对所述分类特征向量进行全连接编码以得到编码分类特征向量；以及，分类结果生成单元，用于将所述编码分类特征向量输入所述分类器的softmax分类函数以得到所述分类结果。

17、在上述网络信息安全防护系统中，还包括用于对所述基于转换器的第一上下文编码器、所述基于转换器的第二上下文编码器、所述空间注意力模块和所述分类器进行训练的训练模块；其中，所述训练模块，包括：训练数据获取单元，用于获取训练网络安全日志和对网络安全存在威胁的训练事件集合；训练网络安全日志语义编码单元，用于将所述训练网络安全日志进行分词处理后通过所述基于转换器的第一上下文编码器以得到训练网络安全日志特征向量；训练危险事件语义编码单元，用于将所述对网络安全存在威胁的训练事件集合进行分词处理后通过所述基于转换器的第二上下文编码器以得到训练危险事件特征向量；训练关联编码单元，用于将所述训练网络安全日志特征向量和所述训练危险事件特征向量进行关联编码以得到训练关联特征矩阵；训练空间增强单元，用于将所述训练关联特征矩阵通过所述空间注意力模块以得到训练分类特征矩阵；分类损失单元，用于将所述训练分类特征矩阵通过所述分类器以得到分类损失函数值；总参数概率性损失计算单元，用于计算所述训练分类特征矩阵的总参数概率性损失值；以及，模型训练单元，用于以所述分类损失函数值和所述总参数概率性损失值的加权和作为损失函数值对所述基于转换器的第一上下文编码器、所述基于转换器的第二上下文编码器、所述空间注意力模块和所述分类器进行训练。

18、在上述网络信息安全防护系统中，所述总参数概率性损失计算单元，用于：基于所述训练分类特征矩阵属于各个类别的后验概率和参数概率性损失值，以如下损失公式计算所述训练分类特征矩阵的所述总参数概率性损失值；

19、其中，所述损失公式为：

20、

21、其中yi是类别标签，x是所述训练分类特征矩阵，l(yi|x)是所述训练分类特征矩阵属于各个类别的参数概率性损失值，p(yi|x)是所述训练分类特征矩阵属于各个类别的后验概率，m为类别标签的总数，eloss表示所述训练分类特征矩阵的所述总参数概率性损失值。

22、根据本技术的另一个方面，提供了一种网络信息安全防护方法，其包括：

23、获取网络安全日志和对网络安全存在威胁的事件集合；

24、将所述网络安全日志进行分词处理后通过基于转换器的第一上下文编码器以得到网络安全日志特征向量；

25、将所述对网络安全存在威胁的事件集合进行分词处理后通过基于转换器的第二上下文编码器以得到危险事件特征向量；

26、将所述网络安全日志特征向量和所述危险事件特征向量进行关联编码以得到关联特征矩阵；

27、将所述关联特征矩阵通过空间注意力模块以得到分类特征矩阵；以及

28、将所述分类特征矩阵通过分类器以得到分类结果，所述分类结果用于表示网络安全日志中是否存在对网络安全存在威胁的事件。

29、在上述网络信息安全防护方法中，将所述网络安全日志进行分词处理后通过基于转换器的第一上下文编码器以得到网络安全日志特征向量，包括：对所述网络安全日志进行分词处理以获得多个网络安全信息词；将所述多个网络安全信息词通过嵌入层以将所述多个网络安全信息词中各个网络安全信息词转化为网络安全信息词嵌入向量以得到网络安全信息词嵌入向量的序列，其中，所述嵌入层使用可学习的嵌入矩阵对所述各个网络安全信息词进行嵌入编码；以及，将所述网络安全信息词嵌入向量的序列通过所述基于转换器的第一上下文编码器以得到所述网络安全日志特征向量。

30、与现有技术相比，本技术提供的网络信息安全防护系统及其方法，其首先收集和整理网络安全日志数据，以及对网络安全存在威胁的事件集合，然后提取其中的关键特征信息，通过查找网络安全日志中是否存在对网络安全存在威胁的事件，来做出相应的响应。该方案可以实现对网络安全日志的分析、建模和分类，及时发现网络中的异常事件，保障网络安全。