基于图注意力网络和二维卷积相结合的APT攻击预测方法

本发明涉及网络攻防领域和深度学习领域，具体涉及一种基于图注意力网络和二维卷积相结合的apt攻击预测方法。

背景技术：

1、随着计算机和网络技术的爆炸式发展，在大数据环境下的网络威胁种类越来越多，网络攻击日益复杂化、持续化、组织化、武器化、智能化，凭借单一的认定方式难以识别所面临日益严峻的网络威胁，尤其是apt攻击。apt攻击不是一次性攻击，是一种持续性的攻击。在诸多apt案例研究中，研究发现，一旦网络被渗透，入侵者将尽可能的获取尽可能多的信息，而且这种行为一般是持续数月甚至数年之久。因此一次的网络被入侵，会导致信息不断的被泄露。传统的威胁防御系统如入侵检测系统(ids)，入侵检测和预防系统(idps)，高级安全设备(asa)通过监测网络流量、分析系统活动以及识别潜在的入侵行为，实现对网络攻击的及时响应。但apt攻击还具有隐蔽性的特点，通常使用新颖的技术来隐藏他们的行为，这就会导致传统的威胁预防系统产生高误报率。同时，apt攻击通常造成得社会威胁很大，攻击一旦发生，很难对apt攻击的行为进行预测。

2、因此，本发明提出了一种基于图注意力网络和二维卷积相结合的apt攻击预测方法。通过将抽取威胁情报中的实体按照对应的关系进行关联，按照对应的关系生成三元组并构建apt攻击知识图谱，再通过图注意力网络对apt攻击进行组织分类。将分类完的apt攻击数据中的三元组按照分类结果进行划分，再利用conve模型对构建的三元组进行训练，进而完成对apt攻击的预测。

技术实现思路

1、本发明为解决现有威胁预防系统误报率高，无法对apt攻击进行针对性的预测问题，提供一种基于图注意力网络和二维卷积相结合的apt攻击预测方法。

2、一种基于图注意力网络和二维卷积相结合的apt攻击预测方法，该方法由以下步骤实现：

3、步骤一、通过获取的apt威胁报告，构建关系矩阵a、特征矩阵x和三元组t；根据构建的三元组t，构建apt攻击知识图谱；

4、步骤二、将所述关系矩阵a和特征矩阵x输入到gat模型中，获得apt攻击的分类，根据apt攻击的分类结果将所述三元组t划分为，t2，……，ti；

5、步骤三、将所述t1，t2，……，ti依次输入到conve模型中，对apt攻击进行预测；

6、步骤四、初始化conve模型，设置训练次数epoch和阈值a；

7、步骤五、读取三元组ti，将三元组的头实体和关系映射到连续的向量空间中得到向量e＝[eh；er]，其中eh和er分别是头实体和关系的嵌入向量。

8、步骤六、将向量e通过卷积层进行卷积操作并输出f进行全连接操作和非线性relu激活函数处理，获得最终的特征映射结果m；

9、步骤七、采用得分函数对最终映射结果m计算预测得分score；

10、步骤八、判断epoch是否大于最大训练次数e，如果是，则执行步骤九，否则，执行步骤六，且epoch+1；

11、步骤九、循环执行步骤五-步骤八测试模型，将计算测试三元组的平均排名mr和命中率前10的用于评估该模型在apt攻击预测性能；

12、步骤十、将预测得分score和阈值a对比，如果大于a，判断该三元组关系存在，否则，三元组关系不存在；输出对apt攻击行为的预测结果。

13、本发明的有益效果：

14、本发明所述的apt攻击预测方法，可以在发现攻击得第一时间，将apt攻击进行分类，然后对攻击的行为进行针对性预测，大大提高对apt攻击预测的效率，更好的揭露apt攻击的全貌。

15、本发明所述的攻击预测方法，利用图注意力网络和二维卷积相结合的apt攻击预测方法，图注意力网络中的注意力机制可以使每个节点能够根据与邻居节点的关系分配动态权重，从而在信息传递过程中实现灵活的权重调整以及多头注意力机制提高了模型的表达能力，允许同时学习多组不同的注意力权重，从而更好地捕捉复杂图结构中的关系。二维卷积链路预测模型引入了卷积操作，模型能够有效捕捉实体和关系之间的局部模式以及通过形式化建模实体和关系的交互，并自动学习特征，将两个模型相互结合对apt攻击进行预测，可以大大提高apt攻击预测的效果。

技术特征：

1.基于图注意力网络和二维卷积相结合的apt攻击预测方法，其特征是：该方法由以下步骤实现：

2.根据权利要求1所述的基于图注意力网络和二维卷积相结合的apt攻击预测方法，其特征在于：步骤二中，apt模型进行攻击分类的具体过程为：

3.根据权利要求1所述的基于图注意力网络和二维卷积相结合的apt攻击预测方法，其特征在于：步骤六中，将向量e通过卷积层进行卷积操作，获得卷积层输出的第i个元素fi，用下式表示为：

技术总结
基于图注意力网络和二维卷积相结合的APT攻击预测方法，涉及网络攻防领域和深度学习领域，解决现有威胁预防系统误报率高，无法对APT攻击进行针对性的预测问题，本发明方法通过将抽取威胁情报中的实体按照对应的关系进行关联，按照对应的关系生成三元组并构建APT攻击知识图谱，使用图注意力网络对APT攻击进行组织分类，将分类完的APT攻击数据中的三元组按照分类结果进行划分，再利用ConvE模型对分类完的三元组训练，进而针对性的完成对APT攻击行为的预测，可以大大提高对PT攻击行为预测的效率。

技术研发人员：任维武,杜亚州,洪瑀
受保护的技术使用者：长春理工大学
技术研发日：
技术公布日：2024/6/5