CN116436700B - 网络安全事件的监测方法及其*** - Google Patents

Abstract

本发明公开了一种网络安全事件的监测方法及其***。其首先将网络安全事件历史数据通过网络安全事件特征提取器以得到多个网络安全事件语义特征向量，接着，将所述多个网络安全事件语义特征向量排列后通过网络安全事件间关联特征提取器以得到网络安全事件间关联特征矩阵后通过空间注意力模块以得到网络安全事件间关联强化特征矩阵，然后，将网络安全在线数据通过网络安全事件特征提取器以得到网络安全在线特征向量，接着，计算所述网络安全在线特征向量与所述网络安全事件间关联强化特征矩阵之间的乘积以得到分类特征向量，将所述分类特征向量通过分类器以得到用于表示是否产生网络安全告警提示的分类结果。这样，可以提高网络安全防护水平。

Description

网络安全事件的监测方法及其***

技术领域

本申请涉及网络通信安全领域，且更为具体地，涉及一种网络安全事件的监测方法及其***。

背景技术

随着数字化时代的到来，网络安全问题变得越来越重要。恶意攻击、数据泄露等安全事件给个人生命财产和企业运营带来了极大的威胁。因此，在网络通信安全领域中，如何快速准确地监测网络安全事件成为了研究的焦点。

传统的网络安全监测方法主要是基于阈值触发预警的方式。但是，在实际进行网络安全监测时，触发预警的阈值通常是静态设置的，难以适应复杂的网络环境和各种不同类型的攻击，导致网络安全事件监测的准确性不高。并且，在现有的网络安全事件监测方案中，需要人工进行阈值参数的调整工作，过度依赖于人工经验，不能满足网络安全事件响应的智能化程度的要求，同时也无法适应日益严峻的网络安全形势。

因此，期望一种优化的网络安全事件的监测方案。

发明内容

有鉴于此，本发明公开提出了一种网络安全事件的监测方法及其***，可以进行网络安全的实时准确监测，并对于网络安全异常数据进行告警提示，以帮助运维人员及时发现和解决问题，提高网络安全事件响应的智能化程度，进而提高网络安全防护水平。

根据本发明公开的一方面，提供了一种网络安全事件的监测方法，其包括：获取网络安全事件历史数据，以及，网络安全在线数据；将所述网络安全事件历史数据中的各个网络安全事件分别通过基于长短期记忆网络模型的网络安全事件特征提取器以得到多个网络安全事件语义特征向量；将所述多个网络安全事件语义特征向量排列为二维特征矩阵后通过基于卷积神经网络模型的网络安全事件间关联特征提取器以得到网络安全事件间关联特征矩阵；将所述网络安全事件间关联特征矩阵通过空间注意力模块以得到网络安全事件间关联强化特征矩阵；将所述网络安全在线数据通过所述基于长短期记忆网络模型的网络安全事件特征提取器以得到网络安全在线特征向量；以所述网络安全在线特征向量作为查询特征向量，计算其与所述网络安全事件间关联强化特征矩阵之间的乘积以得到分类特征向量；以及将所述分类特征向量通过分类器以得到分类结果，所述分类结果用于表示是否产生网络安全告警提示。

在一种可能的实现方式中，将所述网络安全事件历史数据中的各个网络安全事件分别通过基于长短期记忆网络模型的网络安全事件特征提取器以得到多个网络安全事件语义特征向量，包括：将所述网络安全事件历史数据中的各个网络安全事件进行分词处理后通过所述基于长短期记忆网络模型的网络安全事件特征提取器的词嵌入层以得到多个网络安全事件词特征向量；在每一个所述基于长短期记忆网络模型的网络安全事件特征提取器中：通过所述基于长短期记忆网络模型的网络安全事件特征提取器的前向长短期记忆网络提取所述多个网络安全事件词特征向量中当前网络安全事件词特征向量的第一前文特征；通过所述基于长短期记忆网络模型的网络安全事件特征提取器的反向长短期记忆网络提取所述多个网络安全事件词特征向量中当前网络安全事件词特征向量的第一后文特征；以及基于每个网络安全事件词特征向量的所述第一前文特征和所述第一后文特征获得所述多个网络安全事件词特征向量的第一中间特征向量，所述第一中间特征向量为下一层所述基于长短期记忆网络模型的网络安全事件特征提取器的输入。

在一种可能的实现方式中，将所述多个网络安全事件语义特征向量排列为二维特征矩阵后通过基于卷积神经网络模型的网络安全事件间关联特征提取器以得到网络安全事件间关联特征矩阵，包括：使用所述基于卷积神经网络模型的网络安全事件间关联特征提取器的各层在层的正向传递中对输入数据分别进行卷积处理、沿通道维度的池化处理和非线性激活处理以由所述基于卷积神经网络模型的网络安全事件间关联特征提取器的最后一层输出所述网络安全事件间关联特征矩阵，其中，所述基于卷积神经网络模型的网络安全事件间关联特征提取器的第一层的输入为所述二维特征矩阵。

在一种可能的实现方式中，将所述网络安全事件间关联特征矩阵通过空间注意力模块以得到网络安全事件间关联强化特征矩阵，包括：在所述空间注意力模块的各层在层的正向传递过程中对输入数据分别进行：对输入数据进行卷积处理以生成卷积特征图；对所述卷积特征图进行池化处理以生成池化特征图；对所述池化特征图进行非线性激活以生成激活特征图；计算所述激活特征图的各个位置沿通道维度的均值以生成空间特征矩阵；计算所述空间特征矩阵中各个位置的类Softmax函数值以获得空间得分矩阵；以及计算所述空间特征矩阵和所述空间得分矩阵的按位置点乘以获得特征矩阵；其中，所述空间注意力模块的最后一层输出的所述特征矩阵为所述网络安全事件间关联强化特征矩阵。

在一种可能的实现方式中，将所述网络安全在线数据通过所述基于长短期记忆网络模型的网络安全事件特征提取器以得到网络安全在线特征向量，包括：将所述网络安全在线数据进行分词处理后通过所述基于长短期记忆网络模型的网络安全事件特征提取器的词嵌入层以得到多个网络安全在线数据词特征向量；在每一个所述基于长短期记忆网络模型的网络安全事件特征提取器中：通过所述基于长短期记忆网络模型的网络安全事件特征提取器的前向长短期记忆网络提取所述多个网络安全在线数据词特征向量中当前网络安全在线数据词特征向量的第二前文特征；通过所述基于长短期记忆网络模型的网络安全事件特征提取器的反向长短期记忆网络提取所述多个网络安全在线数据词特征向量中当前网络安全在线数据词特征向量的第二后文特征；以及基于每个网络安全在线数据词特征向量的所述第二前文特征和所述第二后文特征获得所述多个网络安全在线数据词特征向量的第二中间特征向量，所述第二中间特征向量为下一层所述基于长短期记忆网络模型的网络安全事件特征提取器的输入。

在一种可能的实现方式中，还包括用于对所述基于长短期记忆网络模型的网络安全事件特征提取器、所述空间注意力模块、所述基于卷积神经网络模型的网络安全事件间关联特征提取器和所述分类器进行训练的训练步骤。

在一种可能的实现方式中，所述训练步骤，包括：获取训练数据，所述训练数据包括训练网络安全事件历史数据，训练网络安全在线数据，以及，所述是否产生网络安全告警提示的真实值；将所述训练网络安全事件历史数据中的各个训练网络安全事件分别通过所述基于长短期记忆网络模型的网络安全事件特征提取器以得到多个训练网络安全事件语义特征向量；将所述多个训练网络安全事件语义特征向量排列为训练二维特征矩阵后通过所述基于卷积神经网络模型的网络安全事件间关联特征提取器以得到训练网络安全事件间关联特征矩阵；将所述训练网络安全事件间关联特征矩阵通过所述空间注意力模块以得到训练网络安全事件间关联强化特征矩阵；将所述训练网络安全在线数据通过所述基于长短期记忆网络模型的网络安全事件特征提取器以得到训练网络安全在线特征向量；以所述训练网络安全在线特征向量作为查询特征向量，计算其与所述训练网络安全事件间关联强化特征矩阵之间的乘积以得到训练分类特征向量；将所述训练分类特征向量通过所述分类器以得到分类损失函数值；计算所述训练分类特征向量和所述训练网络安全在线特征向量的伪循环差异惩罚因数作为伪循环差异惩罚损失函数值；以及

以所述分类损失函数值和所述伪循环差异惩罚损失函数值的加权和作为损失函数值，并通过梯度下降的反向传播来对所述基于长短期记忆网络模型的网络安全事件特征提取器、所述空间注意力模块、所述基于卷积神经网络模型的网络安全事件间关联特征提取器和所述分类器进行训练。

在一种可能的实现方式中，将所述训练分类特征向量通过所述分类器以得到分类损失函数值，包括：所述分类器以如下分类公式对所述训练分类特征向量进行处理以得到训练分类结果，所述分类公式为：，其中，/>到/>为权重矩阵，/>到/>为偏置向量，/>为所述训练分类特征向量；以及

计算所述训练分类结果与所述真实值之间的交叉熵值作为所述分类损失函数值。

在一种可能的实现方式中，计算所述训练分类特征向量和所述训练网络安全在线特征向量的伪循环差异惩罚因数作为伪循环差异惩罚损失函数值，包括：以如下损失公式计算所述训练分类特征向量和所述训练网络安全在线特征向量的伪循环差异惩罚因数作为所述伪循环差异惩罚损失函数值；其中，所述损失公式为：，其中，/>是所述训练分类特征向量，/>是所述训练网络安全在线特征向量，/>为所述训练分类特征向量和所述训练网络安全在线特征向量之间的距离矩阵，/>表示矩阵的Frobenius范数，/>是特征向量的长度，/>是所述训练分类特征向量和所述训练网络安全在线特征向量之间的距离，/>是向量的二范数，/>表示以2为底的对数函数，且/>和/>为加权超参数，是所述伪循环差异惩罚损失函数值，/>是向量减法，/>是向量加法。

根据本发明公开的另一方面，提供了一种网络安全事件的监测***，其包括：数据获取模块，用于获取网络安全事件历史数据，以及，网络安全在线数据；第一网络安全事件特征提取模块，用于将所述网络安全事件历史数据中的各个网络安全事件分别通过基于长短期记忆网络模型的网络安全事件特征提取器以得到多个网络安全事件语义特征向量；网络安全事件间关联特征提取模块，用于将所述多个网络安全事件语义特征向量排列为二维特征矩阵后通过基于卷积神经网络模型的网络安全事件间关联特征提取器以得到网络安全事件间关联特征矩阵；空间注意力编码模块，用于将所述网络安全事件间关联特征矩阵通过空间注意力模块以得到网络安全事件间关联强化特征矩阵；第二网络安全事件特征提取模块，用于将所述网络安全在线数据通过所述基于长短期记忆网络模型的网络安全事件特征提取器以得到网络安全在线特征向量；查询计算模块，用于以所述网络安全在线特征向量作为查询特征向量，计算其与所述网络安全事件间关联强化特征矩阵之间的乘积以得到分类特征向量；以及分类模块，用于将所述分类特征向量通过分类器以得到分类结果，所述分类结果用于表示是否产生网络安全告警提示。

根据本公开的实施例，其首先将网络安全事件历史数据通过网络安全事件特征提取器以得到多个网络安全事件语义特征向量，接着，将所述多个网络安全事件语义特征向量排列后通过网络安全事件间关联特征提取器以得到网络安全事件间关联特征矩阵后通过空间注意力模块以得到网络安全事件间关联强化特征矩阵，然后，将网络安全在线数据通过网络安全事件特征提取器以得到网络安全在线特征向量，接着，计算所述网络安全在线特征向量与所述网络安全事件间关联强化特征矩阵之间的乘积以得到分类特征向量，最后，将所述分类特征向量通过分类器以得到用于表示是否产生网络安全告警提示的分类结果。这样，可以提高网络安全防护水平。

根据下面参考附图对示例性实施例的详细说明，本发明公开的其它特征及方面将变得清楚。

附图说明

包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本发明公开的示例性实施例、特征和方面，并且用于解释本公开的原理。

图1示出根据本发明公开的实施例的网络安全事件的监测方法的应用场景图。

图2示出根据本发明公开的实施例的网络安全事件的监测方法的流程图。

图3示出根据本发明公开的实施例的网络安全事件的监测方法的架构示意图。

图4示出根据本发明公开的实施例的网络安全事件的监测方法进一步包括的训练步骤的流程图。

图5示出根据本发明公开的实施例的网络安全事件的监测***的框图。

具体实施方式

下面将结合附图对本申请实施例中的技术方案进行清楚、完整地描述，显而易见地，所描述的实施例仅是本申请的部分实施例，而不是全部的实施例。基于本申请实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，也属于本申请保护的范围。

如本申请和权利要求书中所示，除非上下文明确提示例外情形，“一”、“一个”、“一种”和/或“该”等词并非特指单数，也可包括复数。一般说来，术语“包括”与“包含”仅提示包括已明确标识的步骤和元素，而这些步骤和元素不构成一个排它性的罗列，方法或者设备也可能包含其他的步骤或元素。

本申请中使用了流程图用来说明根据本申请的实施例的***所执行的操作。应当理解的是，前面或下面操作不一定按照顺序来精确地执行。相反，根据需要，可以按照倒序或同时处理各种步骤。同时，也可以将其他操作添加到这些过程中，或从这些过程移除某一步或数步操作。

以下将参考附图详细说明本发明公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面，但是除非特别指出，不必按比例绘制附图。

在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。

另外，为了更好的说明本公开，在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解，没有某些具体细节，本发明公开同样可以实施。在一些实例中，对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述，以便于凸显本发明公开的主旨。

如上所述，在实际进行网络安全监测时，触发预警的阈值通常是静态设置的，难以适应复杂的网络环境和各种不同类型的攻击，导致网络安全事件监测的准确性不高。并且，在现有的网络安全事件监测方案中，需要人工进行阈值参数的调整工作，过度依赖于人工经验，不能满足网络安全事件响应的智能化程度的要求，同时也无法适应日益严峻的网络安全形势。因此，期望一种优化的网络安全事件的监测方案。

相应地，考虑到在实际进行网络安全事件监测过程中，网络安全事件历史数据能够帮助了解网络中发生的各种安全事件及其特征，同时通过对这些数据的分析，可以发现网络安全事件的规律和趋势，识别出高风险区域和高风险行为，以及掌握各种攻击手段和攻击者的行为特征。这样有助于及时发现并应对网络攻击，并提高网络安全防护水平。

基于此，在本申请的技术方案中，期望基于网络安全事件历史数据和网络安全在线数据进行综合分析来进行网络安全的监测预警。但是，由于所述网络安全事件历史数据中存在有较多的网络安全事件，需要对于这些网络安全事件进行语义分析理解，从而基于各个网络安全事件的语义理解关联特征来进行网络安全事件的规律和趋势分析。并且，由于所述网络安全在线数据也具有自己的语义特征信息。因此，在此过程中，难点在于如何进行所述网络安全事件历史数据的语义关联特征和所述网络安全在线数据的语义理解特征之间的关联性特征信息的充分表达，以此来进行网络安全的实时准确监测，并对于网络安全异常数据进行告警提示，以帮助运维人员及时发现和解决问题，提高网络安全事件响应的智能化程度，进而提高网络安全防护水平。

近年来，深度学习以及神经网络已经广泛应用于计算机视觉、自然语言处理、文本信号处理等领域。深度学习以及神经网络的发展为挖掘所述网络安全事件历史数据的语义关联特征和所述网络安全在线数据的语义理解特征之间的关联性特征信息提供了新的解决思路和方案。

具体地，在本申请的技术方案中，首先，获取网络安全事件历史数据，以及，网络安全在线数据。应可以理解，网络安全事件历史数据和实时在线数据中存在有关于网络中发生的各种安全事件及其特征信息。因此，通过对这些数据的分析，能够发现网络安全事件的规律和趋势，从而便于识别出高风险区域和高风险行为，以及掌握各种攻击手段和攻击者的行为特征。这样有助于及时发现并应对网络攻击，并提高网络安全防护水平。同时，根据历史数据分析的结果，还可以制定更加精准有效的网络安全策略和预测未来可能发生的安全事件，从而更好地保护网络的安全。

然后，考虑到由于所述网络安全事件历史数据中存在有多个网络安全事件，若想对于网络安全事件的规律和趋势进行准确分析把握，需要充分捕捉到所述各个网络安全事件之间的语义关联特征信息，在此之前，需要分别对于所述各个网络安全事件进行语义理解。因此，在本申请的技术方案中，进一步将所述网络安全事件历史数据中的各个网络安全事件分别通过基于长短期记忆网络模型的网络安全事件特征提取器中进行特征挖掘，以分别提取出所述各个网络安全事件的语义理解特征信息，从而得到多个网络安全事件语义特征向量。应可以理解，所述网络安全事件特征提取器采用的长短期记忆神经网络模型（LSTM，Long Short-Term Memory）通过增加输入门、输出门和遗忘门，使得神经网络的权重能够自我更新，在网络模型参数固定的情况下，不同通道的权重尺度可以动态改变，从而能够避免梯度消失或者梯度膨胀的问题，有利于提高对于所述各个网络安全事件的语义理解精度。

进一步地，为了能够捕捉到所述各个网络安全事件的语义特征之间的关联性特征信息，以对于网络安全事件的规律和趋势进行准确把握，从而识别出高风险区域和高风险行为，在本申请的技术方案中，进一步将所述多个网络安全事件语义特征向量排列为二维特征矩阵后通过基于卷积神经网络模型的网络安全事件间关联特征提取器中进行处理，以提取出所述网络安全事件历史数据中各个网络安全事件的语义特征之间的高维隐含关联特征信息，从而得到网络安全事件间关联特征矩阵。

应可以理解，在实际进行网络安全监测时，所述各个网络安全事件的语义关联在不同的事件类型之间呈现出不同的语义关联特征。因此，在本申请的技术方案中，需要将网络安全事件中的重要语义关联特征进行强化表达，以此来提高后续对于网络安全预警的精度。鉴于注意力机制能够选择聚焦位置，产生更具分辨性的特征表示，且加入注意力模块后的特征会随着网络的加深产生适应性的改变。基于此，在本申请的技术方案中，进一步将所述网络安全事件间关联特征矩阵通过空间注意力模块以得到网络安全事件间关联强化特征矩阵。应可以理解，所述空间注意力模块所提取到的关联特征则反映了空间维度特征差异的权重，用来抑制或强化不同空间位置的特征，也就是说，所述空间注意力模块可以通过对所述网络安全事件间关联特征矩阵不同区域的权重调整，使得在后续分类任务中，分类器能够更加注重那些对分类结果贡献最大的区域，从而提高分类的准确性。

进一步地，对于所述网络安全在线数据来说，由于所述网络安全在线数据也具有着上下文的语义关联特征信息，因此，同样地，将所述网络安全在线数据通过所述基于长短期记忆网络模型的网络安全事件特征提取器中进行语义特征挖掘，以提取出所述网络安全在线数据中基于中短距离依赖关联的上下文语义关联特征信息，从而得到网络安全在线特征向量。

然后，以所述网络安全在线特征向量作为查询特征向量，计算其与所述网络安全事件间关联强化特征矩阵之间的乘积，以此来将所述述网络安全在线特征向量映射到所述网络安全事件间关联强化特征矩阵的高维特征空间中，从而得到用于表示所述网络安全事件历史数据的语义关联特征和所述网络安全在线数据的语义理解特征之间的关联性特征信息的分类特征向量，即以所述网络安全事件历史数据中各个网络安全事件的语义关联特征为基础背景下关于所述网络安全在线数据的语义特征信息。

接着，进一步再将所述分类特征向量通过分类器中进行分类处理，以得到用于表示是否产生网络安全告警提示的分类结果。也就是，在本申请的技术方案中，所述分类器的标签包括产生网络安全告警提示(第一标签)，以及，不产生网络安全告警提示(第二标签)，其中，所述分类器通过软最大值函数来确定所述分类特征向量属于哪个分类标签。值得注意的是，这里的所述第一标签p1和所述第二标签p2并不包含人为设定的概念，实际上在训练过程当中，计算机模型并没有“是否产生网络安全告警提示”这种概念，其只是有两种分类标签且输出特征在这两个分类标签下的概率，即p1和p2 之和为一。因此，是否产生网络安全告警提示的分类结果实际上是通过分类标签转化为符合自然规律的二分类的类概率分布，实质上用到的是标签的自然概率分布的物理意义，而不是“是否产生网络安全告警提示”的语言文本意义。应可以理解，在本申请的技术方案中，所述分类器的分类标签为是否产生网络安全告警提示的控制策略标签，因此，在得到所述分类结果后，可基于所述分类结果来进行网络安全的实时准确监测，并对于网络安全异常数据进行告警提示，以帮助运维人员及时发现和解决问题，提高网络安全事件响应的智能化程度。

特别地，在本申请的技术方案中，以所述网络安全在线特征向量作为查询特征向量，计算其与所述网络安全事件间关联强化特征矩阵之间的乘积得到所述分类特征向量时，是将所述网络安全事件间关联强化特征矩阵所表达的网络安全事件的语义特征的空间强化的特征样本内-样本间关联特征映射到所述网络安全在线特征向量所表达的网络安全在线数据的双向进程-远程数据语义关联特征空间内，以得到所述分类特征向量。但是，由于所述网络安全在线特征向量与所述网络安全事件间关联强化特征矩阵在特征阶次和表达维度上的差异，映射得到的所述分类特征向量可能与所述网络安全在线特征向量的特征分布之间存在分布不平衡，从而影响所述分类特征向量的表达效果，也就影响了所述分类特征向量通过分类器得到的分类结果的准确性。

因此，本申请的申请人在针对所述分类特征向量的分类损失函数之外，进一步引入针对所述分类特征向量，例如记为和所述网络安全在线特征向量，例如记为/>的伪循环差异惩罚因数作为损失函数，具体表示为：，/>为特征向量/>和/>之间的距离矩阵，即所述距离矩阵的第/>位置的特征值是特征向量/>的第/>个特征值/>与特征向量/>的第/>个特征值/>之间的距离，/>表示矩阵的Frobenius范数，/>是特征向量的长度，/>是特征向量/>和/>之间的距离，例如欧式距离，/>是向量的二范数，/>表示以2为底的对数，且/>和/>为加权超参数。

这里，考虑到所述分类特征向量和所述网络安全在线特征向量/>之间的不平衡分布会在基于梯度下降的反向传播的模型训练过程当中导致梯度传播异常，从而形成模型参数更新的伪循环，所述伪循环差异惩罚因数通过引入用于表达特征值的密切关联数值对的空间关系和数值关系两者的惩罚因数，来在最小化损失函数的模型训练过程中，将模型参数更新的伪循环视为真实循环，以通过梯度传播的模拟激活的方式来实现所述分类特征向量/>和所述网络安全在线特征向量/>各自的特征分布的渐进耦合，从而改进所述分类特征向量和所述网络安全在线特征向量之间存在的特征分布的分布不平衡，以提升所述分类特征向量的表达效果，从而提升所述分类特征向量通过分类器得到的分类结果的准确性。这样，能够实时准确地进行网络安全监测，并对于网络安全异常数据进行告警提示，以帮助运维人员及时发现和解决问题，提高网络安全事件响应的智能化程度，进而提高网络安全防护水平。

图1示出根据本公开的实施例的网络安全事件的监测方法的应用场景图。如图1所示，在该应用场景中，首先，获取网络安全事件历史数据（例如，图1中所示意的D1），以及，网络安全在线数据（例如，图1中所示意的D2），然后，将所述网络安全事件历史数据和所述网络安全在线数据输入至部署有网络安全事件的监测算法的服务器中（例如，图1中所示意的S），其中，所述服务器能够使用所述网络安全事件的监测算法对所述网络安全事件历史数据和所述网络安全在线数据进行处理以得到用于表示是否产生网络安全告警提示的分类结果。

在介绍了本申请的基本原理之后，下面将参考附图来具体介绍本申请的各种非限制性实施例。

图2示出根据本发明公开的实施例的网络安全事件的监测方法的流程图。如图2所示，根据本申请实施例的网络安全事件的监测方法，包括步骤：S110，获取网络安全事件历史数据，以及，网络安全在线数据；S120，将所述网络安全事件历史数据中的各个网络安全事件分别通过基于长短期记忆网络模型的网络安全事件特征提取器以得到多个网络安全事件语义特征向量；S130，将所述多个网络安全事件语义特征向量排列为二维特征矩阵后通过基于卷积神经网络模型的网络安全事件间关联特征提取器以得到网络安全事件间关联特征矩阵；S140，将所述网络安全事件间关联特征矩阵通过空间注意力模块以得到网络安全事件间关联强化特征矩阵；S150，将所述网络安全在线数据通过所述基于长短期记忆网络模型的网络安全事件特征提取器以得到网络安全在线特征向量；S160，以所述网络安全在线特征向量作为查询特征向量，计算其与所述网络安全事件间关联强化特征矩阵之间的乘积以得到分类特征向量；以及，S170，将所述分类特征向量通过分类器以得到分类结果，所述分类结果用于表示是否产生网络安全告警提示。

图3示出根据本发明公开的实施例的网络安全事件的监测方法的架构示意图。如图3所示，在该网络架构中，首先，获取网络安全事件历史数据，以及，网络安全在线数据；接着，将所述网络安全事件历史数据中的各个网络安全事件分别通过基于长短期记忆网络模型的网络安全事件特征提取器以得到多个网络安全事件语义特征向量；然后，将所述多个网络安全事件语义特征向量排列为二维特征矩阵后通过基于卷积神经网络模型的网络安全事件间关联特征提取器以得到网络安全事件间关联特征矩阵；接着，将所述网络安全事件间关联特征矩阵通过空间注意力模块以得到网络安全事件间关联强化特征矩阵；然后，将所述网络安全在线数据通过所述基于长短期记忆网络模型的网络安全事件特征提取器以得到网络安全在线特征向量；接着，以所述网络安全在线特征向量作为查询特征向量，计算其与所述网络安全事件间关联强化特征矩阵之间的乘积以得到分类特征向量；最后，将所述分类特征向量通过分类器以得到分类结果，所述分类结果用于表示是否产生网络安全告警提示。

更具体地，在步骤S110中，获取网络安全事件历史数据，以及，网络安全在线数据。网络安全事件历史数据和实时在线数据中存在有关于网络中发生的各种安全事件及其特征信息

更具体地，在步骤S120中，将所述网络安全事件历史数据中的各个网络安全事件分别通过基于长短期记忆网络模型的网络安全事件特征提取器以得到多个网络安全事件语义特征向量。由于所述网络安全事件历史数据中存在有多个网络安全事件，若想对于网络安全事件的规律和趋势进行准确分析把握，需要充分捕捉到所述各个网络安全事件之间的语义关联特征信息，在此之前，需要分别对于所述各个网络安全事件进行语义理解。因此，在本申请的技术方案中，进一步将所述网络安全事件历史数据中的各个网络安全事件分别通过基于长短期记忆网络模型的网络安全事件特征提取器中进行特征挖掘，以分别提取出所述各个网络安全事件的语义理解特征信息，从而得到多个网络安全事件语义特征向量。

相应地，在一种可能的实现方式中，将所述网络安全事件历史数据中的各个网络安全事件分别通过基于长短期记忆网络模型的网络安全事件特征提取器以得到多个网络安全事件语义特征向量，包括：将所述网络安全事件历史数据中的各个网络安全事件进行分词处理后通过所述基于长短期记忆网络模型的网络安全事件特征提取器的词嵌入层以得到多个网络安全事件词特征向量；在每一个所述基于长短期记忆网络模型的网络安全事件特征提取器中：通过所述基于长短期记忆网络模型的网络安全事件特征提取器的前向长短期记忆网络提取所述多个网络安全事件词特征向量中当前网络安全事件词特征向量的第一前文特征；通过所述基于长短期记忆网络模型的网络安全事件特征提取器的反向长短期记忆网络提取所述多个网络安全事件词特征向量中当前网络安全事件词特征向量的第一后文特征；以及，基于每个网络安全事件词特征向量的所述第一前文特征和所述第一后文特征获得所述多个网络安全事件词特征向量的第一中间特征向量，所述第一中间特征向量为下一层所述基于长短期记忆网络模型的网络安全事件特征提取器的输入。

更具体地，在步骤S130中，将所述多个网络安全事件语义特征向量排列为二维特征矩阵后通过基于卷积神经网络模型的网络安全事件间关联特征提取器以得到网络安全事件间关联特征矩阵。这样，可以提取出所述网络安全事件历史数据中各个网络安全事件的语义特征之间的高维隐含关联特征信息。

应可以理解，卷积神经网络(Convolutional Neural Network，CNN)是一种人工神经网络，在图像识别等领域有着广泛的应用。卷积神经网络可以包括输入层、隐藏层和输出层，其中，隐藏层可以包括卷积层、池化(pooling)层、激活层和全连接层等，上一层根据输入的数据进行相应的运算，将运算结果输出给下一层，输入的初始数据经过多层的运算之后得到一个最终的结果。

相应地，在一种可能的实现方式中，将所述多个网络安全事件语义特征向量排列为二维特征矩阵后通过基于卷积神经网络模型的网络安全事件间关联特征提取器以得到网络安全事件间关联特征矩阵，包括：使用所述基于卷积神经网络模型的网络安全事件间关联特征提取器的各层在层的正向传递中对输入数据分别进行卷积处理、沿通道维度的池化处理和非线性激活处理以由所述基于卷积神经网络模型的网络安全事件间关联特征提取器的最后一层输出所述网络安全事件间关联特征矩阵，其中，所述基于卷积神经网络模型的网络安全事件间关联特征提取器的第一层的输入为所述二维特征矩阵。

更具体地，在步骤S140中，将所述网络安全事件间关联特征矩阵通过空间注意力模块以得到网络安全事件间关联强化特征矩阵。在实际进行网络安全监测时，所述各个网络安全事件的语义关联在不同的事件类型之间呈现出不同的语义关联特征。因此，在本申请的技术方案中，需要将网络安全事件中的重要语义关联特征进行强化表达，以此来提高后续对于网络安全预警的精度。注意力机制能够选择聚焦位置，可以产生更具分辨性的特征表示，且加入注意力模块后的特征会随着网络的加深产生适应性的改变。

相应地，在一种可能的实现方式中，将所述网络安全事件间关联特征矩阵通过空间注意力模块以得到网络安全事件间关联强化特征矩阵，包括：在所述空间注意力模块的各层在层的正向传递过程中对输入数据分别进行：对输入数据进行卷积处理以生成卷积特征图；对所述卷积特征图进行池化处理以生成池化特征图；对所述池化特征图进行非线性激活以生成激活特征图；计算所述激活特征图的各个位置沿通道维度的均值以生成空间特征矩阵；计算所述空间特征矩阵中各个位置的类Softmax函数值以获得空间得分矩阵；以及，计算所述空间特征矩阵和所述空间得分矩阵的按位置点乘以获得特征矩阵；其中，所述空间注意力模块的最后一层输出的所述特征矩阵为所述网络安全事件间关联强化特征矩阵。

更具体地，在步骤S150中，将所述网络安全在线数据通过所述基于长短期记忆网络模型的网络安全事件特征提取器以得到网络安全在线特征向量。所述网络安全在线数据也具有着上下文的语义关联特征信息，因此，同样地，将所述网络安全在线数据通过所述基于长短期记忆网络模型的网络安全事件特征提取器中进行语义特征挖掘，以提取出所述网络安全在线数据中基于中短距离依赖关联的上下文语义关联特征信息，从而得到网络安全在线特征向量。

相应地，在一种可能的实现方式中，将所述网络安全在线数据通过所述基于长短期记忆网络模型的网络安全事件特征提取器以得到网络安全在线特征向量，包括：将所述网络安全在线数据进行分词处理后通过所述基于长短期记忆网络模型的网络安全事件特征提取器的词嵌入层以得到多个网络安全在线数据词特征向量；在每一个所述基于长短期记忆网络模型的网络安全事件特征提取器中：通过所述基于长短期记忆网络模型的网络安全事件特征提取器的前向长短期记忆网络提取所述多个网络安全在线数据词特征向量中当前网络安全在线数据词特征向量的第二前文特征；通过所述基于长短期记忆网络模型的网络安全事件特征提取器的反向长短期记忆网络提取所述多个网络安全在线数据词特征向量中当前网络安全在线数据词特征向量的第二后文特征；以及，基于每个网络安全在线数据词特征向量的所述第二前文特征和所述第二后文特征获得所述多个网络安全在线数据词特征向量的第二中间特征向量，所述第二中间特征向量为下一层所述基于长短期记忆网络模型的网络安全事件特征提取器的输入。

更具体地，在步骤S160中，以所述网络安全在线特征向量作为查询特征向量，计算其与所述网络安全事件间关联强化特征矩阵之间的乘积以得到分类特征向量。以此来将所述述网络安全在线特征向量映射到所述网络安全事件间关联强化特征矩阵的高维特征空间中，从而得到用于表示所述网络安全事件历史数据的语义关联特征和所述网络安全在线数据的语义理解特征之间的关联性特征信息的分类特征向量，即以所述网络安全事件历史数据中各个网络安全事件的语义关联特征为基础背景下的关于所述网络安全在线数据的语义特征信息。

更具体地，在步骤S170中，将所述分类特征向量通过分类器以得到分类结果，所述分类结果用于表示是否产生网络安全告警提示。在得到所述分类结果后，可基于所述分类结果来进行网络安全的实时准确监测，并对于网络安全异常数据进行告警提示，以帮助运维人员及时发现和解决问题，提高网络安全事件响应的智能化程度。

应可以理解，分类器的作用是利用给定的类别、已知的训练数据来学习分类规则和分类器，然后对未知数据进行分类（或预测）。逻辑回归（logistics）、SVM等常用于解决二分类问题，对于多分类问题（multi-class classification），同样也可以用逻辑回归或SVM，只是需要多个二分类来组成多分类，但这样容易出错且效率不高，常用的多分类方法有Softmax分类函数。

相应地，在一种可能的实现方式中，所述的网络安全事件的监测方法，其还包括用于对所述基于长短期记忆网络模型的网络安全事件特征提取器、所述空间注意力模块、所述基于卷积神经网络模型的网络安全事件间关联特征提取器和所述分类器进行训练的训练步骤。其中，如图4所示，所述训练步骤，包括：S210，获取训练数据，所述训练数据包括训练网络安全事件历史数据，训练网络安全在线数据，以及，所述是否产生网络安全告警提示的真实值；S220，将所述训练网络安全事件历史数据中的各个训练网络安全事件分别通过所述基于长短期记忆网络模型的网络安全事件特征提取器以得到多个训练网络安全事件语义特征向量；S230，将所述多个训练网络安全事件语义特征向量排列为训练二维特征矩阵后通过所述基于卷积神经网络模型的网络安全事件间关联特征提取器以得到训练网络安全事件间关联特征矩阵；S240，将所述训练网络安全事件间关联特征矩阵通过所述空间注意力模块以得到训练网络安全事件间关联强化特征矩阵；S250，将所述训练网络安全在线数据通过所述基于长短期记忆网络模型的网络安全事件特征提取器以得到训练网络安全在线特征向量；S260，以所述训练网络安全在线特征向量作为查询特征向量，计算其与所述训练网络安全事件间关联强化特征矩阵之间的乘积以得到训练分类特征向量；S270，将所述训练分类特征向量通过所述分类器以得到分类损失函数值；S280，计算所述训练分类特征向量和所述训练网络安全在线特征向量的伪循环差异惩罚因数作为伪循环差异惩罚损失函数值；以及，S290，以所述分类损失函数值和所述伪循环差异惩罚损失函数值的加权和作为损失函数值，并通过梯度下降的反向传播来对所述基于长短期记忆网络模型的网络安全事件特征提取器、所述空间注意力模块、所述基于卷积神经网络模型的网络安全事件间关联特征提取器和所述分类器进行训练。

相应地，在一种可能的实现方式中，将所述训练分类特征向量通过所述分类器以得到分类损失函数值，包括：所述分类器以如下分类公式对所述训练分类特征向量进行处理以得到训练分类结果，所述分类公式为：，其中，/>到/>为权重矩阵，/>到/>为偏置向量，/>为所述训练分类特征向量；以及，计算所述训练分类结果与所述真实值之间的交叉熵值作为所述分类损失函数值。

特别地，在本申请的技术方案中，以所述训练网络安全在线特征向量作为查询特征向量，计算其与所述训练网络安全事件间关联强化特征矩阵之间的乘积得到所述训练分类特征向量时，是将所述训练网络安全事件间关联强化特征矩阵所表达的网络安全事件的语义特征的空间强化的特征样本内-样本间关联特征映射到所述训练网络安全在线特征向量所表达的网络安全在线数据的双向进程-远程数据语义关联特征空间内，以得到所述训练分类特征向量。但是，由于所述训练网络安全在线特征向量与所述训练网络安全事件间关联强化特征矩阵在特征阶次和表达维度上的差异，映射得到的所述训练分类特征向量可能与所述训练网络安全在线特征向量的特征分布之间存在分布不平衡，从而影响所述训练分类特征向量的表达效果，也就影响了所述训练分类特征向量通过分类器得到的分类结果的准确性。因此，本申请的申请人在针对所述训练分类特征向量的分类损失函数之外，进一步引入针对所述训练分类特征向量和所述训练网络安全在线特征向量的伪循环差异惩罚因数作为损失函数。

相应地，在一种可能的实现方式中，计算所述训练分类特征向量和所述训练网络安全在线特征向量的伪循环差异惩罚因数作为伪循环差异惩罚损失函数值，包括：以如下损失公式计算所述训练分类特征向量和所述训练网络安全在线特征向量的伪循环差异惩罚因数作为所述伪循环差异惩罚损失函数值；其中，所述损失公式为：，其中，/>是所述训练分类特征向量，/>是所述训练网络安全在线特征向量，/>为所述训练分类特征向量和所述训练网络安全在线特征向量之间的距离矩阵，/>表示矩阵的Frobenius范数，/>是特征向量的长度，/>是所述训练分类特征向量和所述训练网络安全在线特征向量之间的距离，/>是向量的二范数，/>表示以2为底的对数函数，且/>和/>为加权超参数，是所述伪循环差异惩罚损失函数值，/>是向量减法，/>是向量加法。

这里，考虑到所述训练分类特征向量和所述训练网络安全在线特征向量之间的不平衡分布会在基于梯度下降的反向传播的模型训练过程当中导致梯度传播异常，从而形成模型参数更新的伪循环，所述伪循环差异惩罚因数通过引入用于表达特征值的密切关联数值对的空间关系和数值关系两者的惩罚因数，来在最小化损失函数的模型训练过程中，将模型参数更新的伪循环视为真实循环，以通过梯度传播的模拟激活的方式来实现所述训练分类特征向量和所述训练网络安全在线特征向量各自的特征分布的渐进耦合，从而改进所述训练分类特征向量和所述训练网络安全在线特征向量之间存在的特征分布的分布不平衡，以提升所述训练分类特征向量的表达效果，从而提升所述训练分类特征向量通过分类器得到的训练分类结果的准确性。这样，能够实时准确地进行网络安全监测，并对于网络安全异常数据进行告警提示，以帮助运维人员及时发现和解决问题，提高网络安全事件响应的智能化程度，进而提高网络安全防护水平。

综上，基于本申请实施例的网络安全事件的监测方法，其首先将网络安全事件历史数据通过网络安全事件特征提取器以得到多个网络安全事件语义特征向量，接着，将所述多个网络安全事件语义特征向量排列后通过网络安全事件间关联特征提取器以得到网络安全事件间关联特征矩阵后通过空间注意力模块以得到网络安全事件间关联强化特征矩阵，然后，将网络安全在线数据通过网络安全事件特征提取器以得到网络安全在线特征向量，接着，计算所述网络安全在线特征向量与所述网络安全事件间关联强化特征矩阵之间的乘积以得到分类特征向量，最后，将所述分类特征向量通过分类器以得到用于表示是否产生网络安全告警提示的分类结果。这样，可以提高网络安全防护水平。

图5示出根据本发明公开的实施例的网络安全事件的监测***100的框图。如图5所示，根据本申请实施例的网络安全事件的监测***100，包括：数据获取模块110，用于获取网络安全事件历史数据，以及，网络安全在线数据；第一网络安全事件特征提取模块120，用于将所述网络安全事件历史数据中的各个网络安全事件分别通过基于长短期记忆网络模型的网络安全事件特征提取器以得到多个网络安全事件语义特征向量；网络安全事件间关联特征提取模块130，用于将所述多个网络安全事件语义特征向量排列为二维特征矩阵后通过基于卷积神经网络模型的网络安全事件间关联特征提取器以得到网络安全事件间关联特征矩阵；空间注意力编码模块140，用于将所述网络安全事件间关联特征矩阵通过空间注意力模块以得到网络安全事件间关联强化特征矩阵；第二网络安全事件特征提取模块150，用于将所述网络安全在线数据通过所述基于长短期记忆网络模型的网络安全事件特征提取器以得到网络安全在线特征向量；查询计算模块160，用于以所述网络安全在线特征向量作为查询特征向量，计算其与所述网络安全事件间关联强化特征矩阵之间的乘积以得到分类特征向量；以及，分类模块170，用于将所述分类特征向量通过分类器以得到分类结果，所述分类结果用于表示是否产生网络安全告警提示。

在一种可能的实现方式中，在上述网络安全事件的监测***100中，所述第一网络安全事件特征提取模块120，用于：将所述网络安全事件历史数据中的各个网络安全事件进行分词处理后通过所述基于长短期记忆网络模型的网络安全事件特征提取器的词嵌入层以得到多个网络安全事件词特征向量；在每一个所述基于长短期记忆网络模型的网络安全事件特征提取器中：通过所述基于长短期记忆网络模型的网络安全事件特征提取器的前向长短期记忆网络提取所述多个网络安全事件词特征向量中当前网络安全事件词特征向量的第一前文特征；通过所述基于长短期记忆网络模型的网络安全事件特征提取器的反向长短期记忆网络提取所述多个网络安全事件词特征向量中当前网络安全事件词特征向量的第一后文特征；以及，基于每个网络安全事件词特征向量的所述第一前文特征和所述第一后文特征获得所述多个网络安全事件词特征向量的第一中间特征向量，所述第一中间特征向量为下一层所述基于长短期记忆网络模型的网络安全事件特征提取器的输入。

在一种可能的实现方式中，在上述网络安全事件的监测***100中，所述网络安全事件间关联特征提取模块130，用于：使用所述基于卷积神经网络模型的网络安全事件间关联特征提取器的各层在层的正向传递中对输入数据分别进行卷积处理、沿通道维度的池化处理和非线性激活处理以由所述基于卷积神经网络模型的网络安全事件间关联特征提取器的最后一层输出所述网络安全事件间关联特征矩阵，其中，所述基于卷积神经网络模型的网络安全事件间关联特征提取器的第一层的输入为所述二维特征矩阵。

在一种可能的实现方式中，在上述网络安全事件的监测***100中，所述空间注意力编码模块140，用于：在所述空间注意力模块的各层在层的正向传递过程中对输入数据分别进行：对输入数据进行卷积处理以生成卷积特征图；对所述卷积特征图进行池化处理以生成池化特征图；对所述池化特征图进行非线性激活以生成激活特征图；计算所述激活特征图的各个位置沿通道维度的均值以生成空间特征矩阵；计算所述空间特征矩阵中各个位置的类Softmax函数值以获得空间得分矩阵；以及，计算所述空间特征矩阵和所述空间得分矩阵的按位置点乘以获得特征矩阵；其中，所述空间注意力模块的最后一层输出的所述特征矩阵为所述网络安全事件间关联强化特征矩阵。

在一种可能的实现方式中，在上述网络安全事件的监测***100中，所述第二网络安全事件特征提取模块150，用于：将所述网络安全在线数据进行分词处理后通过所述基于长短期记忆网络模型的网络安全事件特征提取器的词嵌入层以得到多个网络安全在线数据词特征向量；在每一个所述基于长短期记忆网络模型的网络安全事件特征提取器中：通过所述基于长短期记忆网络模型的网络安全事件特征提取器的前向长短期记忆网络提取所述多个网络安全在线数据词特征向量中当前网络安全在线数据词特征向量的第二前文特征；通过所述基于长短期记忆网络模型的网络安全事件特征提取器的反向长短期记忆网络提取所述多个网络安全在线数据词特征向量中当前网络安全在线数据词特征向量的第二后文特征；以及，基于每个网络安全在线数据词特征向量的所述第二前文特征和所述第二后文特征获得所述多个网络安全在线数据词特征向量的第二中间特征向量，所述第二中间特征向量为下一层所述基于长短期记忆网络模型的网络安全事件特征提取器的输入。

在一种可能的实现方式中，在上述网络安全事件的监测***100中，还包括用于对所述基于长短期记忆网络模型的网络安全事件特征提取器、所述空间注意力模块、所述基于卷积神经网络模型的网络安全事件间关联特征提取器和所述分类器进行训练的训练模块。其中，所述训练模块，用于：获取训练数据，所述训练数据包括训练网络安全事件历史数据，训练网络安全在线数据，以及，所述是否产生网络安全告警提示的真实值；将所述训练网络安全事件历史数据中的各个训练网络安全事件分别通过所述基于长短期记忆网络模型的网络安全事件特征提取器以得到多个训练网络安全事件语义特征向量；将所述多个训练网络安全事件语义特征向量排列为训练二维特征矩阵后通过所述基于卷积神经网络模型的网络安全事件间关联特征提取器以得到训练网络安全事件间关联特征矩阵；将所述训练网络安全事件间关联特征矩阵通过所述空间注意力模块以得到训练网络安全事件间关联强化特征矩阵；将所述训练网络安全在线数据通过所述基于长短期记忆网络模型的网络安全事件特征提取器以得到训练网络安全在线特征向量；以所述训练网络安全在线特征向量作为查询特征向量，计算其与所述训练网络安全事件间关联强化特征矩阵之间的乘积以得到训练分类特征向量；将所述训练分类特征向量通过所述分类器以得到分类损失函数值；计算所述训练分类特征向量和所述训练网络安全在线特征向量的伪循环差异惩罚因数作为伪循环差异惩罚损失函数值；以及，以所述分类损失函数值和所述伪循环差异惩罚损失函数值的加权和作为损失函数值，并通过梯度下降的反向传播来对所述基于长短期记忆网络模型的网络安全事件特征提取器、所述空间注意力模块、所述基于卷积神经网络模型的网络安全事件间关联特征提取器和所述分类器进行训练。

在一种可能的实现方式中，在上述网络安全事件的监测***100中，将所述训练分类特征向量通过所述分类器以得到分类损失函数值，包括：所述分类器以如下分类公式对所述训练分类特征向量进行处理以得到训练分类结果，所述分类公式为：，其中，/>到/>为权重矩阵，/>到/>为偏置向量，/>为所述训练分类特征向量；以及，计算所述训练分类结果与所述真实值之间的交叉熵值作为所述分类损失函数值。

在一种可能的实现方式中，在上述网络安全事件的监测***100中，计算所述训练分类特征向量和所述训练网络安全在线特征向量的伪循环差异惩罚因数作为伪循环差异惩罚损失函数值，包括：以如下损失公式计算所述训练分类特征向量和所述训练网络安全在线特征向量的伪循环差异惩罚因数作为所述伪循环差异惩罚损失函数值；其中，所述损失公式为：，其中，/>是所述训练分类特征向量，/>是所述训练网络安全在线特征向量，/>为所述训练分类特征向量和所述训练网络安全在线特征向量之间的距离矩阵，/>表示矩阵的Frobenius范数，/>是特征向量的长度，/>是所述训练分类特征向量和所述训练网络安全在线特征向量之间的距离，/>是向量的二范数，/>表示以2为底的对数函数，且/>和/>为加权超参数，/>是所述伪循环差异惩罚损失函数值，/>是向量减法，/>是向量加法。

这里，本领域技术人员可以理解，上述网络安全事件的监测***100中的各个单元和模块的具体功能和操作已经在上面参考图1到图4的网络安全事件的监测方法的描述中得到了详细介绍，并因此，将省略其重复描述。

如上所述，根据本申请实施例的网络安全事件的监测***100可以实现在各种无线终端中，例如具有网络安全事件的监测算法的服务器等。在一种可能的实现方式中，根据本申请实施例的网络安全事件的监测***100可以作为一个软件模块和/或硬件模块而集成到无线终端中。例如，该网络安全事件的监测***100可以是该无线终端的操作***中的一个软件模块，或者可以是针对于该无线终端所开发的一个应用程序；当然，该网络安全事件的监测***100同样可以是该无线终端的众多硬件模块之一。

替换地，在另一示例中，该网络安全事件的监测***100与该无线终端也可以是分立的设备，并且该网络安全事件的监测***100可以通过有线和/或无线网络连接到该无线终端，并且按照约定的数据格式来传输交互信息。

在示例性实施例中，还提供了一种非易失性计算机可读存储介质，例如包括计算机程序指令的存储器，上述计算机程序指令可由装置的处理组件执行以完成上述方法。

本发明公开可以是***、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于使处理器实现本发明公开的各个方面的计算机可读程序指令。

计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。

这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

用于执行本发明公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等，以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)，该电子电路可以执行计算机可读程序指令，从而实现本发明公开的各个方面。

这里参照根据本发明公开实施例的方法、装置(***)和计算机程序产品的流程图和/或框图描述了本发明公开的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。

这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。

也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

附图中的流程图和框图显示了根据本发明公开的多个实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的***来实现，或者可以用专用硬件与计算机指令的组合来实现。

以上已经描述了本发明公开的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。

Claims (9)

1.一种网络安全事件的监测方法，其特征在于，包括：

获取网络安全事件历史数据，以及，网络安全在线数据；

将所述网络安全事件历史数据中的各个网络安全事件分别通过基于长短期记忆网络模型的网络安全事件特征提取器以得到多个网络安全事件语义特征向量；

将所述多个网络安全事件语义特征向量排列为二维特征矩阵后通过基于卷积神经网络模型的网络安全事件间关联特征提取器以得到网络安全事件间关联特征矩阵；

将所述网络安全事件间关联特征矩阵通过空间注意力模块以得到网络安全事件间关联强化特征矩阵；

将所述网络安全在线数据通过所述基于长短期记忆网络模型的网络安全事件特征提取器以得到网络安全在线特征向量；

以所述网络安全在线特征向量作为查询特征向量，计算其与所述网络安全事件间关联强化特征矩阵之间的乘积以得到分类特征向量；以及

将所述分类特征向量通过分类器以得到分类结果，所述分类结果用于表示是否产生网络安全告警提示；

其中，将所述网络安全事件间关联特征矩阵通过空间注意力模块以得到网络安全事件间关联强化特征矩阵，包括：

在所述空间注意力模块的各层在层的正向传递过程中对输入数据分别进行：

对输入数据进行卷积处理以生成卷积特征图；

对所述卷积特征图进行池化处理以生成池化特征图；

对所述池化特征图进行非线性激活以生成激活特征图；

计算所述激活特征图的各个位置沿通道维度的均值以生成空间特征矩阵；

计算所述空间特征矩阵中各个位置的类Softmax函数值以获得空间得分矩阵；以及

计算所述空间特征矩阵和所述空间得分矩阵的按位置点乘以获得特征矩阵；

其中，所述空间注意力模块的最后一层输出的所述特征矩阵为所述网络安全事件间关联强化特征矩阵。

2.根据权利要求1所述的网络安全事件的监测方法，其特征在于，将所述网络安全事件历史数据中的各个网络安全事件分别通过基于长短期记忆网络模型的网络安全事件特征提取器以得到多个网络安全事件语义特征向量，包括：

将所述网络安全事件历史数据中的各个网络安全事件进行分词处理后通过所述基于长短期记忆网络模型的网络安全事件特征提取器的词嵌入层以得到多个网络安全事件词特征向量；

在每一个所述基于长短期记忆网络模型的网络安全事件特征提取器中：

通过所述基于长短期记忆网络模型的网络安全事件特征提取器的前向长短期记忆网络提取所述多个网络安全事件词特征向量中当前网络安全事件词特征向量的第一前文特征；

通过所述基于长短期记忆网络模型的网络安全事件特征提取器的反向长短期记忆网络提取所述多个网络安全事件词特征向量中当前网络安全事件词特征向量的第一后文特征；以及

基于每个网络安全事件词特征向量的所述第一前文特征和所述第一后文特征获得所述多个网络安全事件词特征向量的第一中间特征向量，所述第一中间特征向量为下一层所述基于长短期记忆网络模型的网络安全事件特征提取器的输入。

3.根据权利要求2所述的网络安全事件的监测方法，其特征在于，将所述多个网络安全事件语义特征向量排列为二维特征矩阵后通过基于卷积神经网络模型的网络安全事件间关联特征提取器以得到网络安全事件间关联特征矩阵，包括：

使用所述基于卷积神经网络模型的网络安全事件间关联特征提取器的各层在层的正向传递中对输入数据分别进行卷积处理、沿通道维度的池化处理和非线性激活处理以由所述基于卷积神经网络模型的网络安全事件间关联特征提取器的最后一层输出所述网络安全事件间关联特征矩阵，其中，所述基于卷积神经网络模型的网络安全事件间关联特征提取器的第一层的输入为所述二维特征矩阵。

4.根据权利要求3所述的网络安全事件的监测方法，其特征在于，将所述网络安全在线数据通过所述基于长短期记忆网络模型的网络安全事件特征提取器以得到网络安全在线特征向量，包括：

将所述网络安全在线数据进行分词处理后通过所述基于长短期记忆网络模型的网络安全事件特征提取器的词嵌入层以得到多个网络安全在线数据词特征向量；

在每一个所述基于长短期记忆网络模型的网络安全事件特征提取器中：

通过所述基于长短期记忆网络模型的网络安全事件特征提取器的前向长短期记忆网络提取所述多个网络安全在线数据词特征向量中当前网络安全在线数据词特征向量的第二前文特征；

通过所述基于长短期记忆网络模型的网络安全事件特征提取器的反向长短期记忆网络提取所述多个网络安全在线数据词特征向量中当前网络安全在线数据词特征向量的第二后文特征；以及

基于每个网络安全在线数据词特征向量的所述第二前文特征和所述第二后文特征获得所述多个网络安全在线数据词特征向量的第二中间特征向量，所述第二中间特征向量为下一层所述基于长短期记忆网络模型的网络安全事件特征提取器的输入。

5.根据权利要求4所述的网络安全事件的监测方法，其特征在于，还包括用于对所述基于长短期记忆网络模型的网络安全事件特征提取器、所述空间注意力模块、所述基于卷积神经网络模型的网络安全事件间关联特征提取器和所述分类器进行训练的训练步骤。

6.根据权利要求5所述的网络安全事件的监测方法，其特征在于，所述训练步骤，包括：

获取训练数据，所述训练数据包括训练网络安全事件历史数据，训练网络安全在线数据，以及，所述是否产生网络安全告警提示的真实值；

将所述训练网络安全事件历史数据中的各个训练网络安全事件分别通过所述基于长短期记忆网络模型的网络安全事件特征提取器以得到多个训练网络安全事件语义特征向量；

将所述多个训练网络安全事件语义特征向量排列为训练二维特征矩阵后通过所述基于卷积神经网络模型的网络安全事件间关联特征提取器以得到训练网络安全事件间关联特征矩阵；

将所述训练网络安全事件间关联特征矩阵通过所述空间注意力模块以得到训练网络安全事件间关联强化特征矩阵；

将所述训练网络安全在线数据通过所述基于长短期记忆网络模型的网络安全事件特征提取器以得到训练网络安全在线特征向量；

以所述训练网络安全在线特征向量作为查询特征向量，计算其与所述训练网络安全事件间关联强化特征矩阵之间的乘积以得到训练分类特征向量；

将所述训练分类特征向量通过所述分类器以得到分类损失函数值；

计算所述训练分类特征向量和所述训练网络安全在线特征向量的伪循环差异惩罚因数作为伪循环差异惩罚损失函数值；以及

以所述分类损失函数值和所述伪循环差异惩罚损失函数值的加权和作为损失函数值，并通过梯度下降的反向传播来对所述基于长短期记忆网络模型的网络安全事件特征提取器、所述空间注意力模块、所述基于卷积神经网络模型的网络安全事件间关联特征提取器和所述分类器进行训练。

7.根据权利要求6所述的网络安全事件的监测方法，其特征在于，将所述训练分类特征向量通过所述分类器以得到分类损失函数值，包括：

所述分类器以如下分类公式对所述训练分类特征向量进行处理以得到训练分类结果，所述分类公式为：，其中，/>到/>为权重矩阵，/>到/>为偏置向量，/>为所述训练分类特征向量；以及

计算所述训练分类结果与所述真实值之间的交叉熵值作为所述分类损失函数值。

8.根据权利要求7所述的网络安全事件的监测方法，其特征在于，计算所述训练分类特征向量和所述训练网络安全在线特征向量的伪循环差异惩罚因数作为伪循环差异惩罚损失函数值，包括：

以如下损失公式计算所述训练分类特征向量和所述训练网络安全在线特征向量的伪循环差异惩罚因数作为所述伪循环差异惩罚损失函数值；

其中，所述损失公式为：

其中，是所述训练分类特征向量，/>是所述训练网络安全在线特征向量，/>为所述训练分类特征向量和所述训练网络安全在线特征向量之间的距离矩阵，/>表示矩阵的Frobenius范数，/>是特征向量的长度，/>是所述训练分类特征向量和所述训练网络安全在线特征向量之间的距离，/>是向量的二范数，/>表示以2为底的对数函数，且/>和/>为加权超参数，/>是所述伪循环差异惩罚损失函数值，/>是向量减法，/>是向量加法。

9.一种网络安全事件的监测***，其特征在于，包括：

数据获取模块，用于获取网络安全事件历史数据，以及，网络安全在线数据；

第一网络安全事件特征提取模块，用于将所述网络安全事件历史数据中的各个网络安全事件分别通过基于长短期记忆网络模型的网络安全事件特征提取器以得到多个网络安全事件语义特征向量；

网络安全事件间关联特征提取模块，用于将所述多个网络安全事件语义特征向量排列为二维特征矩阵后通过基于卷积神经网络模型的网络安全事件间关联特征提取器以得到网络安全事件间关联特征矩阵；

空间注意力编码模块，用于将所述网络安全事件间关联特征矩阵通过空间注意力模块以得到网络安全事件间关联强化特征矩阵；

第二网络安全事件特征提取模块，用于将所述网络安全在线数据通过所述基于长短期记忆网络模型的网络安全事件特征提取器以得到网络安全在线特征向量；

查询计算模块，用于以所述网络安全在线特征向量作为查询特征向量，计算其与所述网络安全事件间关联强化特征矩阵之间的乘积以得到分类特征向量；以及

分类模块，用于将所述分类特征向量通过分类器以得到分类结果，所述分类结果用于表示是否产生网络安全告警提示；

其中，所述空间注意力编码模块，包括：

在所述空间注意力模块的各层在层的正向传递过程中对输入数据分别进行：

对输入数据进行卷积处理以生成卷积特征图；

对所述卷积特征图进行池化处理以生成池化特征图；

对所述池化特征图进行非线性激活以生成激活特征图；

计算所述激活特征图的各个位置沿通道维度的均值以生成空间特征矩阵；

计算所述空间特征矩阵中各个位置的类Softmax函数值以获得空间得分矩阵；以及

计算所述空间特征矩阵和所述空间得分矩阵的按位置点乘以获得特征矩阵；

其中，所述空间注意力模块的最后一层输出的所述特征矩阵为所述网络安全事件间关联强化特征矩阵。