一种基于机器学习的入侵行为预警方法和装置与流程

本技术涉及网络安全领域，尤其涉及一种基于机器学习的入侵行为预警方法和装置。

背景技术：

1、近年来，区块链技术因其去中心化、不可篡改和透明性等特点，在金融、医疗、物联网和供应链管理等领域得到了广泛应用。然而，区块链生态系统的快速发展也带来了网络安全问题的显著增加。攻击者通过智能合约漏洞、恶意节点行为、双花攻击等手段，对区块链网络的安全性造成了威胁。因此，针对区块链网络的入侵行为进行实时、准确的预警，已成为保障区块链生态安全的核心任务之一。

2、然而，目前传统的基于简单机器学习的入侵预警方法存在显著的技术缺陷。首先，这些方法大多采用单一的学习方式，例如基于特定特征的分类或回归模型，然而，上述方法未能充分考虑不同特征之间的复杂交互关系和潜在的动态变化，仅依赖静态或局部特征进行判断，从而无法捕捉区块链中复杂且多维的行为模式，存在误报率和漏报率较高的问题。

3、因此，亟需一种基于机器学习的入侵行为预警方法和装置。

技术实现思路

1、本技术提供一种基于机器学习的入侵行为预警方法和装置，解决了传统的基于简单机器学习的入侵预警方法仅依赖静态或局部特征进行判断，从而无法捕捉区块链中复杂且多维的行为模式，存在误报率和漏报率较高的问题。

2、在本技术的第一方面提供了一种基于机器学习的入侵行为预警方法，方法包括：响应于用户针对网络入侵行为的监测操作，获取网络安全监测数据，网络安全监测数据包括区块链交易数据、智能合约代码数据以及执行事件日志数据；通过静态特征工程提取，获取网络安全监测数据中的第一入侵行为特征；通过动态特征工程提取，获取网络安全监测数据中的第二入侵行为特征；对第一入侵行为特征和第二入侵行为特征进行特征融合，并输出特征融合后的目标入侵行为特征；构建入侵行为预警模型，并通过输入目标入侵行为特征，根据入侵行为预警模型输出预警结果。

3、可选地，通过静态特征工程提取，获取网络安全监测数据中的第一入侵行为特征，具体包括：获取网络安全监测数据中的合约状态变化数据，合约状态变化数据包括内存状态量变化数据、堆栈状态量变化数据以及寄存器状态量变化数据；判断合约状态变化数据中是否存在状态变量数据；若合约状态变化数据中存在状态变量数据，通过静态特征工程提取，获取网络安全监测数据中的第一入侵行为特征，第一入侵行为特征包括合约修改特征、执行路径特征以及回滚行为特征。

4、可选地，通过动态特征工程提取，获取网络安全监测数据中的第二入侵行为特征，具体包括：根据网络安全监测数据，构建交互网络，交互网络的节点为区块链中的多个交易合约，交互网络的边为多个交易合约之间的调用关系；判断交互网络中是否存在针对交易合约进行攻击的调用链；若交互网络中存在针对交易合约进行攻击的调用链，通过动态特征工程提取，获取网络安全监测数据中的第二入侵行为特征。

5、可选地，对第一入侵行为特征和第二入侵行为特征进行特征融合，并输出特征融合后的目标入侵行为特征：构建融合层权重矩阵和目标偏执项，通过融合层权重矩阵和目标偏执项，对第一入侵行为特征和第二入侵行为特征进行加权求和；将进行加权求和后的入侵行为特征作为目标入侵行为特征，并通过如下公式输出目标入侵行为特征：

6、

7、其中，ffusion为目标入侵行为特征，σ为激活函数，wfusion为融合层权重矩阵，vn(t)为第n个第一入侵行为特征，f1(t)为第一入侵行为特征对应的第一特征向量，f2为第二入侵行为特征对应的第二特征向量，λ1为第一入侵行为特征对应的加权系数，λ2为第二入侵行为特征对应的加权系数，bfusion为目标偏执项，且bfusion＝b1+b2，b1为第一入侵行为特征对应的维度，b2为第二入侵行为特征对应的维度，wm(hv(k))为第m个第二入侵行为特征，hv(k)为第v个交易合约在第k层图卷积后的特征表示，为第v个交易合约的相邻点集合，u为相邻点集合中的任意一个交易合约，w(k)为图卷积网络的权重矩阵，hu(k-1)表示第u个交易合约在第k-1层图卷积后的特征表示，bk为第k层图卷积的偏执项。

8、可选地，构建融合层权重矩阵和目标偏执项，具体包括：设置初始融合层权重矩阵和初始偏置项，并构建损失函数；计算损失函数相对于融合层权重矩阵的第一梯度，计算损失函数相对于目标偏执项的第二梯度；根据第一梯度和第二梯度，通过梯度下降更新初始融合层权重矩阵和初始偏置项；将满足预设收敛条件的更新后的初始融合层权重矩阵和初始偏置项，作为融合层权重矩阵和目标偏执项。

9、可选地，构建入侵行为预警模型，具体包括：获取历史网络安全监测数据，历史网络安全监测数据包括历史区块链交易数据、历史智能合约代码数据以及历史执行事件日志数据；通过特征提取工程，获取历史网络安全监测数据中的入侵行为特征训练数据；通过入侵行为特征训练数据构建入侵行为预警模型。

10、可选地，通过输入目标入侵行为特征，根据入侵行为预警模型输出预警结果，具体包括：通过输入目标入侵行为特征，根据入侵行为预警模型输出目标预警阈值；判断目标预警阈值是否大于预设预警阈值；若目标预警阈值大于预设预警阈值，则确认预警结果为遭遇网络入侵行为；若目标预警阈值小于或等于预设预警阈值，则确认预警结果为未遭遇网络入侵行为。

11、在本技术的第二方面提供了一种基于机器学习的入侵行为预警装置，装置包括获取模块以及处理模块，其中，

12、获取模块，用于响应于用户针对网络入侵行为的监测操作，获取网络安全监测数据，网络安全监测数据包括区块链交易数据、智能合约代码数据以及执行事件日志数据；通过静态特征工程提取，获取网络安全监测数据中的第一入侵行为特征；通过动态特征工程提取，获取网络安全监测数据中的第二入侵行为特征。

13、处理模块，用于对第一入侵行为特征和第二入侵行为特征进行特征融合，并输出特征融合后的目标入侵行为特征；构建入侵行为预警模型，并通过输入目标入侵行为特征，根据入侵行为预警模型输出预警结果。

14、在本技术的第三方面提供了一种电子设备，包括处理器、存储器、用户接口及网络接口，存储器用于存储指令，用户接口和网络接口用于给其他设备通信，处理器用于执行存储器中存储的指令，以使电子设备执行如上述任意一项的方法。

15、在本技术的第四方面提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行如上述任意一项的方法。

16、本技术实施例中提供的一个或多个技术方案，至少具有如下技术效果或优点：

17、1、当用户针对网络入侵行为进行监测操作时，获取网络安全监测数据，并通过静态特征工程提取，获取网络安全监测数据中的第一入侵行为特征，通过动态特征工程提取，获取网络安全监测数据中的第二入侵行为特征，从而对第一入侵行为特征和第二入侵行为特征进行特征融合，并输出特征融合后的目标入侵行为特征，构建入侵行为预警模型，并通过输入目标入侵行为特征，根据入侵行为预警模型输出预警结果，进而通过多特征融合，实现对区块链网络中潜在入侵行为的精准识别和实时预警，大大提升了网络安全入侵行为预警的准确度，解决了传统的基于简单机器学习的入侵预警方法仅依赖静态或局部特征进行判断，从而无法捕捉区块链中复杂且多维的行为模式，存在误报率和漏报率较高的问题。

18、2、通过构建融合层权重矩阵和目标偏执项，并根据融合层权重矩阵和目标偏执项，对第一入侵行为特征和第二入侵行为特征进行加权求和，从而将加权求和后的入侵行为特征作为目标入侵行为特征，进而充分融合静态特征与动态特征的优势，强化了目标入侵行为特征的表达能力，为入侵行为预警模型的预测提供了高质量的数据基础。

19、3、设置初始融合层权重矩阵和初始偏置项，并构建损失函数，计算损失函数相对于融合层权重矩阵的第一梯度，计算损失函数相对于目标偏执项的第二梯度，根据第一梯度和第二梯度，通过梯度下降更新初始融合层权重矩阵和初始偏置项，从而将满足预设收敛条件的更新后的初始融合层权重矩阵和初始偏置项，作为融合层权重矩阵和目标偏执项，进而确保特征融合过程能够动态调整权重和偏置，最大化目标入侵行为特征的表达能力，优化特征间的关联性。