CN116827656A - 网络信息安全防护***及其方法 - Google Patents
网络信息安全防护***及其方法 Download PDFInfo
- Publication number
- CN116827656A CN116827656A CN202310842049.0A CN202310842049A CN116827656A CN 116827656 A CN116827656 A CN 116827656A CN 202310842049 A CN202310842049 A CN 202310842049A CN 116827656 A CN116827656 A CN 116827656A
- Authority
- CN
- China
- Prior art keywords
- network security
- training
- classification
- network
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 239000013598 vector Substances 0.000 claims description 162
- 239000011159 matrix material Substances 0.000 claims description 149
- 238000012549 training Methods 0.000 claims description 130
- 238000012545 processing Methods 0.000 claims description 55
- 230000011218 segmentation Effects 0.000 claims description 48
- 238000010586 diagram Methods 0.000 claims description 16
- 238000004364 calculation method Methods 0.000 claims description 8
- 230000004913 activation Effects 0.000 claims description 7
- 238000011176 pooling Methods 0.000 claims description 6
- 231100001261 hazardous Toxicity 0.000 claims 1
- 230000002159 abnormal effect Effects 0.000 abstract description 16
- 238000004458 analytical method Methods 0.000 abstract description 14
- 239000000284 extract Substances 0.000 abstract description 3
- 230000006870 function Effects 0.000 description 18
- 230000004044 response Effects 0.000 description 10
- 230000000694 effects Effects 0.000 description 8
- 238000012544 monitoring process Methods 0.000 description 5
- 230000007123 defense Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000013145 classification model Methods 0.000 description 2
- 238000013135 deep learning Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000004927 fusion Effects 0.000 description 2
- 238000003058 natural language processing Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Databases & Information Systems (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及网络安全技术领域,且更为具体地公开了一种网络信息安全防护***及其方法,其首先收集和整理网络安全日志数据,以及对网络安全存在威胁的事件集合,然后提取其中的关键特征信息,通过查找网络安全日志中是否存在对网络安全存在威胁的事件,来做出相应的响应。该方案可以实现对网络安全日志的分析、建模和分类,及时发现网络中的异常事件,保障网络安全。
Description
技术领域
本申请涉及网络安全技术领域,且更为具体地,涉及一种网络信息安全防护***及其方法。
背景技术
随着互联网的飞速发展,网络信息安全防护越来越引起重视,而对网络安全日志分析在网络安全领域中扮演着重要的角色。网络安全日志可以记录网络中的各种操作和事件,通过分析这些日志可以识别出异常的行为,如非法登录、数据泄露、恶意攻击等,及时发现这些异常行为可帮助防止安全事件的发生。在网络安全事件发生后,网络安全日志可以被作为证据来追溯攻击者的行踪和技术手段,对于网络安全事件调查和取证具有重要作用。
入侵***和网络的攻击手段是多样的,在进行日志分析时需要考虑到这些攻击手段的多样性,并且及时识别出网络中的异常事件,做出相应的响应。
因此,期待一种网络信息安全防护***及其方法。
发明内容
为了解决上述技术问题,提出了本申请。本申请的实施例提供了一种网络信息安全防护***及其方法,其首先收集和整理网络安全日志数据,以及对网络安全存在威胁的事件集合,然后提取其中的关键特征信息,通过查找网络安全日志中是否存在对网络安全存在威胁的事件,来做出相应的响应。该方案可以实现对网络安全日志的分析、建模和分类,及时发现网络中的异常事件,保障网络安全。
相应地,根据本申请的一个方面,提供了一种网络信息安全防护***,其包括:
数据获取模块,用于获取网络安全日志和对网络安全存在威胁的事件集合;
网络安全日志语义编码模块,用于将所述网络安全日志进行分词处理后通过基于转换器的第一上下文编码器以得到网络安全日志特征向量;
危险事件语义编码模块,用于将所述对网络安全存在威胁的事件集合进行分词处理后通过基于转换器的第二上下文编码器以得到危险事件特征向量;
关联编码模块,用于将所述网络安全日志特征向量和所述危险事件特征向量进行关联编码以得到关联特征矩阵;
空间增强模块,用于将所述关联特征矩阵通过空间注意力模块以得到分类特征矩阵;以及
管理结果生成模块,用于将所述分类特征矩阵通过分类器以得到分类结果,所述分类结果用于表示网络安全日志中是否存在对网络安全存在威胁的事件。
在上述网络信息安全防护***中,所述网络安全日志语义编码模块,包括:第一分词单元,用于对所述网络安全日志进行分词处理以获得多个网络安全信息词;第一词嵌入单元,用于将所述多个网络安全信息词通过嵌入层以将所述多个网络安全信息词中各个网络安全信息词转化为网络安全信息词嵌入向量以得到网络安全信息词嵌入向量的序列,其中,所述嵌入层使用可学习的嵌入矩阵对所述各个网络安全信息词进行嵌入编码;以及,第一上下文语义编码单元,用于将所述网络安全信息词嵌入向量的序列通过所述基于转换器的第一上下文编码器以得到所述网络安全日志特征向量。
在上述网络信息安全防护***中,所述危险事件语义编码模块,包括:第二分词单元,用于对所述对网络安全存在威胁的事件集合进行分词处理以获得多个危险事件信息词;第二词嵌入单元,用于将所述多个危险事件信息词通过嵌入层以将所述多个危险事件信息词中各个危险事件信息词转化为危险事件信息词嵌入向量以得到危险事件信息词嵌入向量的序列,其中,所述嵌入层使用可学习的嵌入矩阵对所述各个危险事件信息词进行嵌入编码;以及,第二上下文语义编码单元,用于将所述危险事件信息词嵌入向量的序列通过所述基于转换器的第二上下文编码器以得到所述危险事件特征向量。
在上述网络信息安全防护***中,所述关联编码模块,用于:以如下关联公式对所述网络安全日志特征向量和所述危险事件特征向量进行关联编码以得到关联特征矩阵;
其中,所述关联公式为:
其中,Va表示所述网络安全日志特征向量,表示所述网络安全日志特征向量的转置向量,Vb表示所述危险事件特征向量,M表示所述关联特征矩阵,/>表示矩阵相乘。
在上述网络信息安全防护***中,所述空间增强模块,包括:深度卷积编码单元,用于使用所述空间注意力模块的卷积编码部分对所述关联特征矩阵进行深度卷积编码以得到初始卷积特征图;空间注意力单元,用于将所述初始卷积特征图输入所述空间注意力模块的空间注意力部分以得到空间注意力图;激活单元,用于将所述空间注意力图通过Softmax激活函数以得到空间注意力特征图;计算单元,用于计算所述空间注意力特征图和所述初始卷积特征图的按位置点乘以得到增强特征图;以及,池化单元,用于对所述增强特征图进行沿通道维度的全局均值池化处理以得到所述分类特征矩阵。
在上述网络信息安全防护***中,所述管理结果生成模块,包括:展开单元,用于将所述分类特征矩阵按照行向量或者列向量展开为分类特征向量;全连接编码单元,用于使用所述分类器的全连接层对所述分类特征向量进行全连接编码以得到编码分类特征向量;以及,分类结果生成单元,用于将所述编码分类特征向量输入所述分类器的Softmax分类函数以得到所述分类结果。
在上述网络信息安全防护***中,还包括用于对所述基于转换器的第一上下文编码器、所述基于转换器的第二上下文编码器、所述空间注意力模块和所述分类器进行训练的训练模块;其中,所述训练模块,包括:训练数据获取单元,用于获取训练网络安全日志和对网络安全存在威胁的训练事件集合;训练网络安全日志语义编码单元,用于将所述训练网络安全日志进行分词处理后通过所述基于转换器的第一上下文编码器以得到训练网络安全日志特征向量;训练危险事件语义编码单元,用于将所述对网络安全存在威胁的训练事件集合进行分词处理后通过所述基于转换器的第二上下文编码器以得到训练危险事件特征向量;训练关联编码单元,用于将所述训练网络安全日志特征向量和所述训练危险事件特征向量进行关联编码以得到训练关联特征矩阵;训练空间增强单元,用于将所述训练关联特征矩阵通过所述空间注意力模块以得到训练分类特征矩阵;分类损失单元,用于将所述训练分类特征矩阵通过所述分类器以得到分类损失函数值;总参数概率性损失计算单元,用于计算所述训练分类特征矩阵的总参数概率性损失值;以及,模型训练单元,用于以所述分类损失函数值和所述总参数概率性损失值的加权和作为损失函数值对所述基于转换器的第一上下文编码器、所述基于转换器的第二上下文编码器、所述空间注意力模块和所述分类器进行训练。
在上述网络信息安全防护***中,所述总参数概率性损失计算单元,用于:基于所述训练分类特征矩阵属于各个类别的后验概率和参数概率性损失值,以如下损失公式计算所述训练分类特征矩阵的所述总参数概率性损失值;
其中,所述损失公式为:
其中yi是类别标签,X是所述训练分类特征矩阵,L(yi|X)是所述训练分类特征矩阵属于各个类别的参数概率性损失值,P(yi|X)是所述训练分类特征矩阵属于各个类别的后验概率,m为类别标签的总数,Eloss表示所述训练分类特征矩阵的所述总参数概率性损失值。
根据本申请的另一个方面,提供了一种网络信息安全防护方法,其包括:
获取网络安全日志和对网络安全存在威胁的事件集合;
将所述网络安全日志进行分词处理后通过基于转换器的第一上下文编码器以得到网络安全日志特征向量;
将所述对网络安全存在威胁的事件集合进行分词处理后通过基于转换器的第二上下文编码器以得到危险事件特征向量;
将所述网络安全日志特征向量和所述危险事件特征向量进行关联编码以得到关联特征矩阵;
将所述关联特征矩阵通过空间注意力模块以得到分类特征矩阵;以及
将所述分类特征矩阵通过分类器以得到分类结果,所述分类结果用于表示网络安全日志中是否存在对网络安全存在威胁的事件。
在上述网络信息安全防护方法中,将所述网络安全日志进行分词处理后通过基于转换器的第一上下文编码器以得到网络安全日志特征向量,包括:对所述网络安全日志进行分词处理以获得多个网络安全信息词;将所述多个网络安全信息词通过嵌入层以将所述多个网络安全信息词中各个网络安全信息词转化为网络安全信息词嵌入向量以得到网络安全信息词嵌入向量的序列,其中,所述嵌入层使用可学习的嵌入矩阵对所述各个网络安全信息词进行嵌入编码;以及,将所述网络安全信息词嵌入向量的序列通过所述基于转换器的第一上下文编码器以得到所述网络安全日志特征向量。
与现有技术相比,本申请提供的网络信息安全防护***及其方法,其首先收集和整理网络安全日志数据,以及对网络安全存在威胁的事件集合,然后提取其中的关键特征信息,通过查找网络安全日志中是否存在对网络安全存在威胁的事件,来做出相应的响应。该方案可以实现对网络安全日志的分析、建模和分类,及时发现网络中的异常事件,保障网络安全。
附图说明
通过结合附图对本申请实施例进行更详细的描述,本申请的上述以及其他目的、特征和优势将变得更加明显。附图用来提供对本申请实施例的进一步理解,并且构成说明书的一部分,与本申请实施例一起用于解释本申请,并不构成对本申请的限制。在附图中,相同的参考标号通常代表相同部件或步骤。
图1为根据本申请实施例的网络信息安全防护***的框图。
图2为根据本申请实施例的网络信息安全防护***的架构示意图。
图3为根据本申请实施例的网络信息安全防护***中网络安全日志语义编码模块的框图。
图4为根据本申请实施例的网络信息安全防护***中危险事件语义编码模块的框图。
图5为根据本申请实施例的网络信息安全防护***中空间增强模块的框图。
图6为根据本申请实施例的网络信息安全防护***中管理结果生成模块的框图。
图7为根据本申请实施例的网络信息安全防护***中训练模块的框图。
图8为根据本申请实施例的网络信息安全防护方法的流程图。
具体实施方式
下面,将参考附图详细地描述根据本申请的示例实施例。显然,所描述的实施例仅仅是本申请的一部分实施例,而不是本申请的全部实施例,应理解,本申请不受这里描述的示例实施例的限制。
申请概述
针对上述问题,本申请的技术构思为通过收集和整理网络安全日志数据,以及对网络安全存在威胁的事件集合,然后提取其中的关键特征信息,通过查找网络安全日志中是否存在对网络安全存在威胁的事件,来做出相应的响应。该方案可以实现对网络安全日志的分析、建模和分类,及时发现网络中的异常事件,保障网络安全。
在实际应用中,网络安全日志通常以文本文件的形式存储在服务器、路由器等设备中,并包含了大量的网络连接信息、异常事件信息等。通过获取这些安全日志数据,可以对网络连接状况、用户行为等方面进行全面掌握,最大限度地发现网络中的异常情况。同时,对于已知的网络安全威胁事件,也需要收集并整理成对网络安全存在威胁的事件集合,作为模型训练与测试的标签数据。这些事件可能是先前被攻击过的业务***、网络服务等遭受的攻击,也可能是公开的漏洞信息等。这样,就可以通过建立分类模型来识别和应对类似的安全威胁。所以,在该方案中第一步就是获取网络安全日志和对网络安全存在威胁的事件集合。只有获得了这些数据,才能够进行后续的分析和处理,从而实现网络安全状况的有效监控和响应。
网络安全日志中包含了大量的文本信息,如I P地址、端口号、协议类型、请求报文、响应报文等。这些文本信息难以直接应用于模型中,需要将其转化为计算机可以理解的数值型数据。因此,首先需要对网络安全日志进行分词处理,即将其拆分成单独的词语或者单词,并去除停用词等无关的信息。这样,就可以将文本数据转化为一组有意义的词语序列,方便后续处理。接下来,将分词后的网络安全日志通过基于转换器的上下文编码器进行编码。基于转换器的上下文编码器是一种常用的自然语言处理技术,可以将输入的文本数据转化为一个固定长度的特征向量。该特征向量可以反映输入文本的语义信息和上下文信息,能够更好地表示网络安全日志的含义。
危险事件也是判断网络安全状况的重要依据之一,为了提高网络安全日志分析的效果,需要将其转换为数值型数据用于建立模型和进行预测。具体来说,对网络安全存在威胁的事件集合进行分词处理,即将事件描述信息拆分成单个词语或者单词,并去除停用词等无关的信息。这样,就可以将原始的事件数据转化为一组有意义的词语序列,方便后续处理。接下来,将分词后的危险事件通过基于转换器的上下文编码器进行编码。与网络安全日志的处理类似,基于转换器的上下文编码器能够将输入的文本数据转化为一个固定长度的特征向量。该特征向量保留了输入文本的语义信息和上下文信息,反映了危险事件的含义。
为了更好地判断网络中的异常事件,将所述网络安全日志特征向量和所述危险事件特征向量进行关联编码以得到关联特征矩阵。具体来说,网络安全日志中包含了大量的连接信息、请求报文、响应报文等数据,而危险事件则包括了常见的攻击方式、漏洞信息等。这些数据有不同的类型和语义信息,需要进行合理的融合和处理,才能更好地进行网络安全分析。因此,在该方案中,通过将网络安全日志特征向量和危险事件特征向量进行关联编码,将不同类型的数据结合起来,形成一个关联特征矩阵。这个关联特征矩阵反映了不同数据之间的相互关系和联系,能够更好地描述网络安全状况。例如,可以通过比较某个安全日志特征向量与危险事件特征向量之间的相似度,来判断该安全日志是否存在对网络安全存在威胁的事件。如果相似度比较高,则很可能存在安全威胁;如果相似度比较低,则可能是正常的网络流量。通过这样的处理,能够更准确地判断网络中的异常事件,提高网络安全监控和防御的效果。
为了强化关联特征矩阵中的重要信息,提高网络安全日志分析的准确性,将所述关联特征矩阵通过空间注意力模块以得到分类特征矩阵。具体来说,关联特征矩阵包含了不同类型的数据结合起来的信息,这些数据之间存在复杂的依赖和关系,需要进行进一步的处理。在该方案中,采用了空间注意力模块对关联特征矩阵进行处理,能够更好地捕捉数据之间的关系,并且提取出重要的特征信息,从而得到一个更加准确的分类特征矩阵。空间注意力模块是一种常见的深度学习技术,能够自动地对输入数据进行特征选择和权重调整。它可以根据不同的任务需求,对输入数据的不同维度进行不同的关注程度,通过调整权重来强化或弱化某些特征信息,从而实现更好的分类效果。例如,可以通过空间注意力模块强化一些重要的网络连接信息、请求报文、响应报文等特征信息,从而更好地判断网络中的异常事件。
在完成特征提取和处理之后,需要对数据进行分类预测,才能够真正实现网络安全监控与防御。使用分类器对该分类特征矩阵进行分类预测,判断网络安全日志中是否存在对网络安全存在威胁的事件。通过输入分类特征矩阵,分类器能够在训练好的模型基础上,快速地预测网络安全日志中是否存在威胁性事件。例如,如果预测结果表明存在网络安全威胁,可以立即采取相应的措施,防止安全事件的发生或者减少其损害。
特别地,在本申请的技术方案中,考虑到在训练模型时,数据中常常存在误差、噪声和不确定性,这些因素可能会影响模型的性能和准确性。因此,如果能够进一步地,考虑到数据的不确定性,将其纳入模型训练过程中进行优化,从而可以减少数据中的噪声和不确定因素,提高模型的鲁棒性和应用效果。同时,考虑在实际推断时,面临的数据往往是不完美的,存在着多样性和复杂性。如果能够平衡模型对数据的拟合程度和不确定性,也能更好地应对复杂的数据情况,提高模型的可靠性和预测能力。
基于此,在本申请的技术方案中,计算训练分类特征矩阵的参数概率性损失函数值,包括:计算所述训练分类特征矩阵属于各个类别的后验概率P(yi|X),其中yi是类别标签,X是所述训练分类特征矩阵;计算所述训练分类特征矩阵属于各个类别yi的参数概率性损失值L(yi|X),其中,所述参数概率性损失值用于表示所述训练分类特征矩阵X被错误地分到类别yi的分类损失值;基于所述后验概率P(yi|X)和所述参数概率性损失值,以如下损失公式计算所述训练分类特征矩阵的总参数概率性损失值,其中,所述损失公式为:
m为类别标签的总数。
计算训练分类特征矩阵的参数概率性损失函数值,相当于在特征编码和特征分类解码之间引入一个隐变量层,使得所述训练分类特征矩阵服从高斯分布或其他先验分布,并最小化重构误差和隐变量的先验分布与后验分布之间的散度,通过这样的方式,可以反映模型对数据的不确定性,可以避免过拟合和欠拟合的问题,从而提高模型的泛化能力,降低测试误差,增强模型的表达能力,捕捉数据的多样性和复杂性。
在介绍了本申请的基本原理之后,下面将参考附图来具体介绍本申请的各种非限制性实施例。
示例性***
图1为根据本申请实施例的网络信息安全防护***的框图。如图1所示,根据本申请实施例的网络信息安全防护***100,包括:数据获取模块110,用于获取网络安全日志和对网络安全存在威胁的事件集合;网络安全日志语义编码模块120,用于将所述网络安全日志进行分词处理后通过基于转换器的第一上下文编码器以得到网络安全日志特征向量;危险事件语义编码模块130,用于将所述对网络安全存在威胁的事件集合进行分词处理后通过基于转换器的第二上下文编码器以得到危险事件特征向量;关联编码模块140,用于将所述网络安全日志特征向量和所述危险事件特征向量进行关联编码以得到关联特征矩阵;空间增强模块150,用于将所述关联特征矩阵通过空间注意力模块以得到分类特征矩阵;以及,管理结果生成模块160,用于将所述分类特征矩阵通过分类器以得到分类结果,所述分类结果用于表示网络安全日志中是否存在对网络安全存在威胁的事件。
图2为根据本申请实施例的网络信息安全防护***的架构示意图。如图2所示,首先,获取网络安全日志和对网络安全存在威胁的事件集合。然后,将所述网络安全日志进行分词处理后通过基于转换器的第一上下文编码器以得到网络安全日志特征向量。同时,将所述对网络安全存在威胁的事件集合进行分词处理后通过基于转换器的第二上下文编码器以得到危险事件特征向量。接着,将所述网络安全日志特征向量和所述危险事件特征向量进行关联编码以得到关联特征矩阵。然后,将所述关联特征矩阵通过空间注意力模块以得到分类特征矩阵。最后,将所述分类特征矩阵通过分类器以得到分类结果,所述分类结果用于表示网络安全日志中是否存在对网络安全存在威胁的事件。
在上述网络信息安全防护***100中,所述数据获取模块110,用于获取网络安全日志和对网络安全存在威胁的事件集合。针对上述问题,本申请的技术构思为通过收集和整理网络安全日志数据,以及对网络安全存在威胁的事件集合,然后提取其中的关键特征信息,查找网络安全日志中是否存在对网络安全存在威胁的事件,从而做出相应的响应。在实际应用中,网络安全日志通常以文本文件的形式存储在服务器、路由器等设备中,并包含了大量的网络连接信息、异常事件信息等。通过获取这些安全日志数据,可以对网络连接状况、用户行为等方面进行全面掌握,最大限度地发现网络中的异常情况。同时,对于已知的网络安全威胁事件,也需要收集并整理成对网络安全存在威胁的事件集合,作为模型训练与测试的标签数据。这些事件可能是先前被攻击过的业务***、网络服务等遭受的攻击,也可能是公开的漏洞信息等。这样,就可以通过建立分类模型来识别和应对类似的安全威胁。所以,在本申请的技术方案中,首先,获取网络安全日志和对网络安全存在威胁的事件集合。
在上述网络信息安全防护***100中,所述网络安全日志语义编码模块120,用于将所述网络安全日志进行分词处理后通过基于转换器的第一上下文编码器以得到网络安全日志特征向量。网络安全日志中包含了大量的文本信息,如I P地址、端口号、协议类型、请求报文、响应报文等。这些文本信息难以直接应用于模型中,需要将其转化为计算机可以理解的数值型数据。因此,首先需要对网络安全日志进行分词处理,即将其拆分成单独的词语或者单词,并去除停用词等无关的信息。这样,就可以将文本数据转化为一组有意义的词语序列,方便后续处理。接下来,将分词后的网络安全日志通过基于转换器的上下文编码器进行编码。基于转换器的上下文编码器是一种常用的自然语言处理技术,可以将输入的文本数据转化为一个固定长度的特征向量。该特征向量可以反映输入文本的语义信息和上下文信息,能够更好地表示网络安全日志的含义。
图3为根据本申请实施例的网络信息安全防护***中网络安全日志语义编码模块的框图。如图3所示,所述网络安全日志语义编码模块120,包括:第一分词单元121,用于对所述网络安全日志进行分词处理以获得多个网络安全信息词;第一词嵌入单元122,用于将所述多个网络安全信息词通过嵌入层以将所述多个网络安全信息词中各个网络安全信息词转化为网络安全信息词嵌入向量以得到网络安全信息词嵌入向量的序列,其中,所述嵌入层使用可学习的嵌入矩阵对所述各个网络安全信息词进行嵌入编码;以及,第一上下文语义编码单元123,用于将所述网络安全信息词嵌入向量的序列通过所述基于转换器的第一上下文编码器以得到所述网络安全日志特征向量。
在上述网络信息安全防护***100中,所述危险事件语义编码模块130,用于将所述对网络安全存在威胁的事件集合进行分词处理后通过基于转换器的第二上下文编码器以得到危险事件特征向量。危险事件也是判断网络安全状况的重要依据之一,为了提高网络安全日志分析的效果,需要将其转换为数值型数据用于建立模型和进行预测。具体来说,对网络安全存在威胁的事件集合进行分词处理,即将事件描述信息拆分成单个词语或者单词,并去除停用词等无关的信息。这样,就可以将原始的事件数据转化为一组有意义的词语序列,方便后续处理。接下来,将分词后的危险事件通过基于转换器的上下文编码器进行编码。与网络安全日志的处理类似,基于转换器的上下文编码器能够将输入的文本数据转化为一个固定长度的特征向量。该特征向量保留了输入文本的语义信息和上下文信息,反映了危险事件的含义。
图4为根据本申请实施例的网络信息安全防护***中危险事件语义编码模块的框图。如图4所示,所述危险事件语义编码模块130,包括:第二分词单元131,用于对所述对网络安全存在威胁的事件集合进行分词处理以获得多个危险事件信息词;第二词嵌入单元132,用于将所述多个危险事件信息词通过嵌入层以将所述多个危险事件信息词中各个危险事件信息词转化为危险事件信息词嵌入向量以得到危险事件信息词嵌入向量的序列,其中,所述嵌入层使用可学习的嵌入矩阵对所述各个危险事件信息词进行嵌入编码;以及,第二上下文语义编码单元133,用于将所述危险事件信息词嵌入向量的序列通过所述基于转换器的第二上下文编码器以得到所述危险事件特征向量。
在上述网络信息安全防护***100中,所述关联编码模块140,用于将所述网络安全日志特征向量和所述危险事件特征向量进行关联编码以得到关联特征矩阵。为了更好地判断网络中的异常事件,将所述网络安全日志特征向量和所述危险事件特征向量进行关联编码以得到关联特征矩阵。具体来说,网络安全日志中包含了大量的连接信息、请求报文、响应报文等数据,而危险事件则包括了常见的攻击方式、漏洞信息等。这些数据有不同的类型和语义信息,需要进行合理的融合和处理,才能更好地进行网络安全分析。因此,在该方案中,通过将网络安全日志特征向量和危险事件特征向量进行关联编码,将不同类型的数据结合起来,形成一个关联特征矩阵。这个关联特征矩阵反映了不同数据之间的相互关系和联系,能够更好地描述网络安全状况。例如,可以通过比较某个安全日志特征向量与危险事件特征向量之间的相似度,来判断该安全日志是否存在对网络安全存在威胁的事件。如果相似度比较高,则很可能存在安全威胁;如果相似度比较低,则可能是正常的网络流量。通过这样的处理,能够更准确地判断网络中的异常事件,提高网络安全监控和防御的效果。
在本申请的一个具体示例中,所述关联编码模块140,用于:以如下关联公式对所述网络安全日志特征向量和所述危险事件特征向量进行关联编码以得到关联特征矩阵;
其中,所述关联公式为:
其中,Va表示所述网络安全日志特征向量,表示所述网络安全日志特征向量的转置向量,Vb表示所述危险事件特征向量,M表示所述关联特征矩阵,/>表示矩阵相乘。
在上述网络信息安全防护***100中,所述空间增强模块150,用于将所述关联特征矩阵通过空间注意力模块以得到分类特征矩阵。为了强化关联特征矩阵中的重要信息,提高网络安全日志分析的准确性,将所述关联特征矩阵通过空间注意力模块以得到分类特征矩阵。具体来说,关联特征矩阵包含了不同类型的数据结合起来的信息,这些数据之间存在复杂的依赖和关系,需要进行进一步的处理。在该方案中,采用了空间注意力模块对关联特征矩阵进行处理,能够更好地捕捉数据之间的关系,并且提取出重要的特征信息,从而得到一个更加准确的分类特征矩阵。空间注意力模块是一种常见的深度学习技术,能够自动地对输入数据进行特征选择和权重调整。它可以根据不同的任务需求,对输入数据的不同维度进行不同的关注程度,通过调整权重来强化或弱化某些特征信息,从而实现更好的分类效果。例如,可以通过空间注意力模块强化一些重要的网络连接信息、请求报文、响应报文等特征信息,从而更好地判断网络中的异常事件。
图5为根据本申请实施例的网络信息安全防护***中空间增强模块的框图。如图5所示,所述空间增强模块150,包括:深度卷积编码单元151,用于使用所述空间注意力模块的卷积编码部分对所述关联特征矩阵进行深度卷积编码以得到初始卷积特征图;空间注意力单元152,用于将所述初始卷积特征图输入所述空间注意力模块的空间注意力部分以得到空间注意力图;激活单元153,用于将所述空间注意力图通过Softmax激活函数以得到空间注意力特征图;计算单元154,用于计算所述空间注意力特征图和所述初始卷积特征图的按位置点乘以得到增强特征图;以及,池化单元155,用于对所述增强特征图进行沿通道维度的全局均值池化处理以得到所述分类特征矩阵。
在上述网络信息安全防护***100中,所述管理结果生成模块160,用于将所述分类特征矩阵通过分类器以得到分类结果,所述分类结果用于表示网络安全日志中是否存在对网络安全存在威胁的事件。在完成特征提取和处理之后,需要对数据进行分类预测,才能够真正实现网络安全监控与防御。使用分类器对该分类特征矩阵进行分类预测,判断网络安全日志中是否存在对网络安全存在威胁的事件。通过输入分类特征矩阵,分类器能够在训练好的模型基础上,快速地预测网络安全日志中是否存在威胁性事件。例如,如果预测结果表明存在网络安全威胁,可以立即采取相应的措施,防止安全事件的发生或者减少其损害。
图6为根据本申请实施例的网络信息安全防护***中管理结果生成模块的框图。如图6所示,所述管理结果生成模块160,包括:展开单元161,用于将所述分类特征矩阵按照行向量或者列向量展开为分类特征向量;全连接编码单元162,用于使用所述分类器的全连接层对所述分类特征向量进行全连接编码以得到编码分类特征向量;以及,分类结果生成单元163,用于将所述编码分类特征向量输入所述分类器的Softmax分类函数以得到所述分类结果。
应可以理解,在利用上述神经网络模型之前,需要对所述基于转换器的第一上下文编码器、所述基于转换器的第二上下文编码器、所述空间注意力模块和所述分类器进行训练。也就是说,在本申请的网络信息安全防护***中,还包括用于对所述基于转换器的第一上下文编码器、所述基于转换器的第二上下文编码器、所述空间注意力模块和所述分类器进行训练的训练模块。
图7为根据本申请实施例的网络信息安全防护***中训练模块的框图。如图7所示,所述训练模块200,包括:训练数据获取单元210,用于获取训练网络安全日志和对网络安全存在威胁的训练事件集合;训练网络安全日志语义编码单元220,用于将所述训练网络安全日志进行分词处理后通过所述基于转换器的第一上下文编码器以得到训练网络安全日志特征向量;训练危险事件语义编码单元230,用于将所述对网络安全存在威胁的训练事件集合进行分词处理后通过所述基于转换器的第二上下文编码器以得到训练危险事件特征向量;训练关联编码单元240,用于将所述训练网络安全日志特征向量和所述训练危险事件特征向量进行关联编码以得到训练关联特征矩阵;训练空间增强单元250,用于将所述训练关联特征矩阵通过所述空间注意力模块以得到训练分类特征矩阵;分类损失单元260,用于将所述训练分类特征矩阵通过所述分类器以得到分类损失函数值;总参数概率性损失计算单元270,用于计算所述训练分类特征矩阵的总参数概率性损失值;以及,模型训练单元280,用于以所述分类损失函数值和所述总参数概率性损失值的加权和作为损失函数值对所述基于转换器的第一上下文编码器、所述基于转换器的第二上下文编码器、所述空间注意力模块和所述分类器进行训练。
特别地,在本申请的技术方案中,考虑到在训练模型时,数据中常常存在误差、噪声和不确定性,这些因素可能会影响模型的性能和准确性。因此,如果能够进一步地,考虑到数据的不确定性,将其纳入模型训练过程中进行优化,从而可以减少数据中的噪声和不确定因素,提高模型的鲁棒性和应用效果。同时,考虑在实际推断时,面临的数据往往是不完美的,存在着多样性和复杂性。如果能够平衡模型对数据的拟合程度和不确定性,也能更好地应对复杂的数据情况,提高模型的可靠性和预测能力。
基于此,在本申请的技术方案中,所述总参数概率性损失计算单元270,包括:计算所述训练分类特征矩阵属于各个类别的后验概率;计算所述训练分类特征矩阵属于各个类别的参数概率性损失值,其中,所述参数概率性损失值用于表示所述训练分类特征矩阵被错误地分到各个类别的分类损失值;以及,基于所述后验概率和所述参数概率性损失值计算所述训练分类特征矩阵的总参数概率性损失值。
相应地,在一个具体示例中,基于所述后验概率和所述参数概率性损失值计算所述训练分类特征矩阵的总参数概率性损失值,用于:以如下损失公式计算所述训练分类特征矩阵的所述总参数概率性损失值;
其中,所述损失公式为:
其中,yi是类别标签,X是所述训练分类特征矩阵,L(yi|X)是所述各个类别的参数概率性损失值,P(yi|X)是所述各个类别的后验概率,m为类别标签的总数,Eloss表示所述训练分类特征矩阵的所述总参数概率性损失值。
计算训练分类特征矩阵的参数概率性损失函数值,相当于在特征编码和特征分类解码之间引入一个隐变量层,使得所述训练分类特征矩阵服从高斯分布或其他先验分布,并最小化重构误差和隐变量的先验分布与后验分布之间的散度,通过这样的方式,可以反映模型对数据的不确定性,可以避免过拟合和欠拟合的问题,从而提高模型的泛化能力,降低测试误差,增强模型的表达能力,捕捉数据的多样性和复杂性。
综上,根据本申请实施例的网络信息安全防护***被阐明,其首先收集和整理网络安全日志数据,以及对网络安全存在威胁的事件集合,然后提取其中的关键特征信息,通过查找网络安全日志中是否存在对网络安全存在威胁的事件,来做出相应的响应。该方案可以实现对网络安全日志的分析、建模和分类,及时发现网络中的异常事件,保障网络安全。
示例性方法
图8为根据本申请实施例的网络信息安全防护方法的流程图。如图8所示,根据本申请实施例的网络信息安全防护方法,包括步骤:S110,获取网络安全日志和对网络安全存在威胁的事件集合;S120,将所述网络安全日志进行分词处理后通过基于转换器的第一上下文编码器以得到网络安全日志特征向量;S130,将所述对网络安全存在威胁的事件集合进行分词处理后通过基于转换器的第二上下文编码器以得到危险事件特征向量;S140,将所述网络安全日志特征向量和所述危险事件特征向量进行关联编码以得到关联特征矩阵;S150,将所述关联特征矩阵通过空间注意力模块以得到分类特征矩阵;以及,S160,将所述分类特征矩阵通过分类器以得到分类结果,所述分类结果用于表示网络安全日志中是否存在对网络安全存在威胁的事件。
在一个示例中,在上述网络信息安全防护方法中,将所述网络安全日志进行分词处理后通过基于转换器的第一上下文编码器以得到网络安全日志特征向量,包括:对所述网络安全日志进行分词处理以获得多个网络安全信息词;将所述多个网络安全信息词通过嵌入层以将所述多个网络安全信息词中各个网络安全信息词转化为网络安全信息词嵌入向量以得到网络安全信息词嵌入向量的序列,其中,所述嵌入层使用可学习的嵌入矩阵对所述各个网络安全信息词进行嵌入编码;以及,将所述网络安全信息词嵌入向量的序列通过所述基于转换器的第一上下文编码器以得到所述网络安全日志特征向量。
在一个示例中,在上述网络信息安全防护方法中,将所述对网络安全存在威胁的事件集合进行分词处理后通过基于转换器的第二上下文编码器以得到危险事件特征向量,包括:对所述对网络安全存在威胁的事件集合进行分词处理以获得多个危险事件信息词;将所述多个危险事件信息词通过嵌入层以将所述多个危险事件信息词中各个危险事件信息词转化为危险事件信息词嵌入向量以得到危险事件信息词嵌入向量的序列,其中,所述嵌入层使用可学习的嵌入矩阵对所述各个危险事件信息词进行嵌入编码;以及,将所述危险事件信息词嵌入向量的序列通过所述基于转换器的第二上下文编码器以得到所述危险事件特征向量。
在一个示例中,在上述网络信息安全防护方法中,将所述网络安全日志特征向量和所述危险事件特征向量进行关联编码以得到关联特征矩阵,包括:以如下关联公式对所述网络安全日志特征向量和所述危险事件特征向量进行关联编码以得到关联特征矩阵;
其中,所述关联公式为:
其中,Va表示所述网络安全日志特征向量,表示所述网络安全日志特征向量的转置向量,Vb表示所述危险事件特征向量,M表示所述关联特征矩阵,/>表示矩阵相乘。
在一个示例中,在上述网络信息安全防护方法中,将所述关联特征矩阵通过空间注意力模块以得到分类特征矩阵,包括:使用所述空间注意力模块的卷积编码部分对所述关联特征矩阵进行深度卷积编码以得到初始卷积特征图;将所述初始卷积特征图输入所述空间注意力模块的空间注意力部分以得到空间注意力图;将所述空间注意力图通过Softmax激活函数以得到空间注意力特征图;计算所述空间注意力特征图和所述初始卷积特征图的按位置点乘以得到增强特征图;以及,对所述增强特征图进行沿通道维度的全局均值池化处理以得到所述分类特征矩阵。
在一个示例中,在上述网络信息安全防护方法中,将所述分类特征矩阵通过分类器以得到分类结果,所述分类结果用于表示网络安全日志中是否存在对网络安全存在威胁的事件,包括:将所述分类特征矩阵按照行向量或者列向量展开为分类特征向量;使用所述分类器的全连接层对所述分类特征向量进行全连接编码以得到编码分类特征向量;以及,将所述编码分类特征向量输入所述分类器的Softmax分类函数以得到所述分类结果。
在一个示例中,在上述网络信息安全防护方法中,还包括对所述基于转换器的第一上下文编码器、所述基于转换器的第二上下文编码器、所述空间注意力模块和所述分类器进行训练;其中,对所述基于转换器的第一上下文编码器、所述基于转换器的第二上下文编码器、所述空间注意力模块和所述分类器进行训练,包括:获取训练网络安全日志和对网络安全存在威胁的训练事件集合;将所述训练网络安全日志进行分词处理后通过所述基于转换器的第一上下文编码器以得到训练网络安全日志特征向量;将所述对网络安全存在威胁的训练事件集合进行分词处理后通过所述基于转换器的第二上下文编码器以得到训练危险事件特征向量;将所述训练网络安全日志特征向量和所述训练危险事件特征向量进行关联编码以得到训练关联特征矩阵;将所述训练关联特征矩阵通过所述空间注意力模块以得到训练分类特征矩阵;将所述训练分类特征矩阵通过所述分类器以得到分类损失函数值;计算所述训练分类特征矩阵的总参数概率性损失值;以及,以所述分类损失函数值和所述总参数概率性损失值的加权和作为损失函数值对所述基于转换器的第一上下文编码器、所述基于转换器的第二上下文编码器、所述空间注意力模块和所述分类器进行训练。
在一个示例中,在上述网络信息安全防护方法中,计算所述训练分类特征矩阵的总参数概率性损失值,包括:基于所述训练分类特征矩阵属于各个类别的后验概率和参数概率性损失值,以如下损失公式计算所述训练分类特征矩阵的所述总参数概率性损失值;
其中,所述损失公式为:
其中,yi是类别标签,X是所述训练分类特征矩阵,L(yi|X)是所述训练分类特征矩阵属于各个类别的参数概率性损失值,P(yi|X)是所述训练分类特征矩阵属于各个类别的后验概率,m为类别标签的总数,Eloss表示所述训练分类特征矩阵的所述总参数概率性损失值。
这里,本领域技术人员可以理解,上述网络信息安全防护方法中的各个步骤的具体操作已经在上面参考图1到图7的网络信息安全防护***的描述中得到了详细介绍,并因此,将省略其重复描述。
Claims (10)
1.一种网络信息安全防护***,其特征在于,包括:
数据获取模块,用于获取网络安全日志和对网络安全存在威胁的事件集合;
网络安全日志语义编码模块,用于将所述网络安全日志进行分词处理后通过基于转换器的第一上下文编码器以得到网络安全日志特征向量;
危险事件语义编码模块,用于将所述对网络安全存在威胁的事件集合进行分词处理后通过基于转换器的第二上下文编码器以得到危险事件特征向量;
关联编码模块,用于将所述网络安全日志特征向量和所述危险事件特征向量进行关联编码以得到关联特征矩阵;
空间增强模块,用于将所述关联特征矩阵通过空间注意力模块以得到分类特征矩阵;以及
管理结果生成模块,用于将所述分类特征矩阵通过分类器以得到分类结果,所述分类结果用于表示网络安全日志中是否存在对网络安全存在威胁的事件。
2.根据权利要求1所述的网络信息安全防护***,其特征在于,所述网络安全日志语义编码模块,包括:
第一分词单元,用于对所述网络安全日志进行分词处理以获得多个网络安全信息词;
第一词嵌入单元,用于将所述多个网络安全信息词通过嵌入层以将所述多个网络安全信息词中各个网络安全信息词转化为网络安全信息词嵌入向量以得到网络安全信息词嵌入向量的序列,其中,所述嵌入层使用可学习的嵌入矩阵对所述各个网络安全信息词进行嵌入编码;以及
第一上下文语义编码单元,用于将所述网络安全信息词嵌入向量的序列通过所述基于转换器的第一上下文编码器以得到所述网络安全日志特征向量。
3.根据权利要求2所述的网络信息安全防护***,其特征在于,所述危险事件语义编码模块,包括:
第二分词单元,用于对所述对网络安全存在威胁的事件集合进行分词处理以获得多个危险事件信息词;
第二词嵌入单元,用于将所述多个危险事件信息词通过嵌入层以将所述多个危险事件信息词中各个危险事件信息词转化为危险事件信息词嵌入向量以得到危险事件信息词嵌入向量的序列,其中,所述嵌入层使用可学习的嵌入矩阵对所述各个危险事件信息词进行嵌入编码;以及
第二上下文语义编码单元,用于将所述危险事件信息词嵌入向量的序列通过所述基于转换器的第二上下文编码器以得到所述危险事件特征向量。
4.根据权利要求3所述的网络信息安全防护***,其特征在于,所述关联编码模块,用于:以如下关联公式对所述网络安全日志特征向量和所述危险事件特征向量进行关联编码以得到关联特征矩阵;
其中,所述关联公式为:
其中,Va表示所述网络安全日志特征向量,表示所述网络安全日志特征向量的转置向量,Vb表示所述危险事件特征向量,M表示所述关联特征矩阵,/>表示矩阵相乘。
5.根据权利要求4所述的网络信息安全防护***,其特征在于,所述空间增强模块,包括:
深度卷积编码单元,用于使用所述空间注意力模块的卷积编码部分对所述关联特征矩阵进行深度卷积编码以得到初始卷积特征图;
空间注意力单元,用于将所述初始卷积特征图输入所述空间注意力模块的空间注意力部分以得到空间注意力图;
激活单元,用于将所述空间注意力图通过Softmax激活函数以得到空间注意力特征图;
计算单元,用于计算所述空间注意力特征图和所述初始卷积特征图的按位置点乘以得到增强特征图;以及
池化单元,用于对所述增强特征图进行沿通道维度的全局均值池化处理以得到所述分类特征矩阵。
6.根据权利要求5所述的网络信息安全防护***,其特征在于,所述管理结果生成模块,包括:
展开单元,用于将所述分类特征矩阵按照行向量或者列向量展开为分类特征向量;
全连接编码单元,用于使用所述分类器的全连接层对所述分类特征向量进行全连接编码以得到编码分类特征向量;以及
分类结果生成单元,用于将所述编码分类特征向量输入所述分类器的Softmax分类函数以得到所述分类结果。
7.根据权利要求6所述的网络信息安全防护***,其特征在于,还包括用于对所述基于转换器的第一上下文编码器、所述基于转换器的第二上下文编码器、所述空间注意力模块和所述分类器进行训练的训练模块;
其中,所述训练模块,包括:
训练数据获取单元,用于获取训练网络安全日志和对网络安全存在威胁的训练事件集合;
训练网络安全日志语义编码单元,用于将所述训练网络安全日志进行分词处理后通过所述基于转换器的第一上下文编码器以得到训练网络安全日志特征向量;
训练危险事件语义编码单元,用于将所述对网络安全存在威胁的训练事件集合进行分词处理后通过所述基于转换器的第二上下文编码器以得到训练危险事件特征向量;
训练关联编码单元,用于将所述训练网络安全日志特征向量和所述训练危险事件特征向量进行关联编码以得到训练关联特征矩阵;
训练空间增强单元,用于将所述训练关联特征矩阵通过所述空间注意力模块以得到训练分类特征矩阵;
分类损失单元,用于将所述训练分类特征矩阵通过所述分类器以得到分类损失函数值;
总参数概率性损失计算单元,用于计算所述训练分类特征矩阵的总参数概率性损失值;以及
模型训练单元,用于以所述分类损失函数值和所述总参数概率性损失值的加权和作为损失函数值对所述基于转换器的第一上下文编码器、所述基于转换器的第二上下文编码器、所述空间注意力模块和所述分类器进行训练。
8.根据权利要求7所述的网络信息安全防护***,其特征在于,所述总参数概率性损失计算单元,用于:基于所述训练分类特征矩阵属于各个类别的后验概率和参数概率性损失值,以如下损失公式计算所述训练分类特征矩阵的所述总参数概率性损失值;
其中,所述损失公式为:
其中yi是类别标签,X是所述训练分类特征矩阵,L(yi|X)是所述训练分类特征矩阵属于各个类别的参数概率性损失值,P(yi|X)是所述训练分类特征矩阵属于各个类别的后验概率,m为类别标签的总数,Eloss表示所述训练分类特征矩阵的所述总参数概率性损失值。
9.一种网络信息安全防护方法,其特征在于,包括:
获取网络安全日志和对网络安全存在威胁的事件集合;
将所述网络安全日志进行分词处理后通过基于转换器的第一上下文编码器以得到网络安全日志特征向量;
将所述对网络安全存在威胁的事件集合进行分词处理后通过基于转换器的第二上下文编码器以得到危险事件特征向量;
将所述网络安全日志特征向量和所述危险事件特征向量进行关联编码以得到关联特征矩阵;
将所述关联特征矩阵通过空间注意力模块以得到分类特征矩阵;以及
将所述分类特征矩阵通过分类器以得到分类结果,所述分类结果用于表示网络安全日志中是否存在对网络安全存在威胁的事件。
10.根据权利要求9所述的网络信息安全防护方法,其特征在于,将所述网络安全日志进行分词处理后通过基于转换器的第一上下文编码器以得到网络安全日志特征向量,包括:
对所述网络安全日志进行分词处理以获得多个网络安全信息词;
将所述多个网络安全信息词通过嵌入层以将所述多个网络安全信息词中各个网络安全信息词转化为网络安全信息词嵌入向量以得到网络安全信息词嵌入向量的序列,其中,所述嵌入层使用可学习的嵌入矩阵对所述各个网络安全信息词进行嵌入编码;以及
将所述网络安全信息词嵌入向量的序列通过所述基于转换器的第一上下文编码器以得到所述网络安全日志特征向量。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310842049.0A CN116827656A (zh) | 2023-07-10 | 2023-07-10 | 网络信息安全防护***及其方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310842049.0A CN116827656A (zh) | 2023-07-10 | 2023-07-10 | 网络信息安全防护***及其方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116827656A true CN116827656A (zh) | 2023-09-29 |
Family
ID=88112527
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310842049.0A Pending CN116827656A (zh) | 2023-07-10 | 2023-07-10 | 网络信息安全防护***及其方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116827656A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117319090A (zh) * | 2023-11-28 | 2023-12-29 | 江苏云网数智信息技术有限公司 | 一种网络安全智能防护*** |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180270261A1 (en) * | 2017-03-17 | 2018-09-20 | Target Brands, Inc. | Word embeddings for anomaly classification from event logs |
CN115529166A (zh) * | 2022-09-05 | 2022-12-27 | 浙江御安信息技术有限公司 | 基于多源数据的网络安全扫描风险管控***及其方法 |
CN116055293A (zh) * | 2023-04-03 | 2023-05-02 | 深圳市纵联网络科技有限公司 | 路由器的远程故障监控方法及路由器 |
CN116204266A (zh) * | 2023-05-04 | 2023-06-02 | 深圳市联合信息技术有限公司 | 远程协助的信息创建运维***及其方法 |
CN116405326A (zh) * | 2023-06-07 | 2023-07-07 | 厦门瞳景智能科技有限公司 | 基于区块链的信息安全管理方法及其*** |
-
2023
- 2023-07-10 CN CN202310842049.0A patent/CN116827656A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180270261A1 (en) * | 2017-03-17 | 2018-09-20 | Target Brands, Inc. | Word embeddings for anomaly classification from event logs |
CN115529166A (zh) * | 2022-09-05 | 2022-12-27 | 浙江御安信息技术有限公司 | 基于多源数据的网络安全扫描风险管控***及其方法 |
CN116055293A (zh) * | 2023-04-03 | 2023-05-02 | 深圳市纵联网络科技有限公司 | 路由器的远程故障监控方法及路由器 |
CN116204266A (zh) * | 2023-05-04 | 2023-06-02 | 深圳市联合信息技术有限公司 | 远程协助的信息创建运维***及其方法 |
CN116405326A (zh) * | 2023-06-07 | 2023-07-07 | 厦门瞳景智能科技有限公司 | 基于区块链的信息安全管理方法及其*** |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117319090A (zh) * | 2023-11-28 | 2023-12-29 | 江苏云网数智信息技术有限公司 | 一种网络安全智能防护*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110233849B (zh) | 网络安全态势分析的方法及*** | |
EP3136249B1 (en) | Log analysis device, attack detection device, attack detection method and program | |
Chang et al. | Intrusion detection by backpropagation neural networks with sample-query and attribute-query | |
CN111652290A (zh) | 一种对抗样本的检测方法及装置 | |
CN112685738B (zh) | 一种基于多级投票机制的恶意混淆脚本静态检测方法 | |
KR20190070702A (ko) | 텍스트 마이닝 기반 보안 이벤트 자동 검증 시스템 및 방법 | |
CN113194064B (zh) | 基于图卷积神经网络的webshell检测方法及装置 | |
CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及*** | |
CN113595998A (zh) | 基于Bi-LSTM的电网信息***漏洞攻击检测方法及装置 | |
CN115396169B (zh) | 基于ttp的多步骤攻击检测与场景还原的方法及*** | |
CN116827656A (zh) | 网络信息安全防护***及其方法 | |
CN113472754A (zh) | 基于网络安全大数据的安全防护配置方法及网络安全*** | |
Zhang et al. | Cross-site scripting (XSS) detection integrating evidences in multiple stages | |
CN114422271B (zh) | 数据处理方法、装置、设备及可读存储介质 | |
CN116488915A (zh) | 基于深度学习的Web攻击检测与分类识别方法及装置 | |
Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
Meena Siwach | Anomaly detection for web log data analysis: A review | |
Gong et al. | CECoR-Net: A character-level neural network model for web attack detection | |
CN117729003A (zh) | 基于机器学习的威胁情报可信分析***及方法 | |
CN116662184B (zh) | 一种基于Bert的工控协议模糊测试用例筛选方法及*** | |
CN117176433A (zh) | 网络数据的异常行为检测***及方法 | |
CN116074092B (zh) | 一种基于异构图注意力网络的攻击场景重构*** | |
CN113918936A (zh) | Sql注入攻击检测的方法以及装置 | |
CN116467720A (zh) | 一种基于图神经网络的智能合约漏洞检测方法及电子设备 | |
CN115587007A (zh) | 基于RoBERTa的网络日志安全检测方法及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |