一种攻击检测和溯源方法、装置、电子设备及存储介质与流程

本发明涉及网络安全，尤其涉及一种攻击检测和溯源方法、装置、电子设备及存储介质。

背景技术：

1、近年来，伴随着多步复杂攻击的不断演变，攻击手段日益复杂多样，往往利用未知漏洞、供应链渗透和社会工程等多种先进技术，具备极高的隐蔽性、针对性和持续性。这种类型的攻击对计算机网络造成了严重威胁，传统的检测方法难以准确捕捉并及时阻断相关威胁。

2、现有技术中，图神经网络方法可以用于检测攻击事件，它通过对网络事件图结构进行深度表征学习，并结合异常检测算法来实现攻击检测。然而，图神经网络模型的不透明特性与生产环境下攻击检测的溯源可解释性存在矛盾。图神经网络由大量的数据训练而成，并且存在上百万个神经元，内部结构的高度复杂性使得人们很难理解神经网络的决策，导致检测结果难以信任，无法对攻击事件进行溯源。故，如何对网络中的攻击事件进行溯源成为了目前亟待解决的问题。

技术实现思路

1、本发明提供了一种攻击检测和溯源方法、装置、电子设备及存储介质，以解决现有技术中攻击事件监测结果不精准且无法进行正确溯源的问题。

2、根据本发明的一方面，提供了一种攻击检测和溯源方法，其中，该方法包括：

3、获取目标网络环境中的实体以及所述实体之间的交互事件信息，将所述实体以及所述交互事件信息构建网络事件图；

4、基于预设攻击特征识别模型确定所述网络事件图中各所述交互事件信息的图嵌入向量作为特征信息，根据所述特征信息确定所述网络事件图中的攻击事件；

5、确定所述攻击事件与所述网络事件图中剩余交互事件信息的依赖程度，根据所述依赖程度查找对应的交互事件信息作为所述攻击事件的溯源信息。

6、根据本发明的另一方面，提供了一种攻击检测和溯源装置，其中，该装置包括：

7、事件图构建模块，用于获取目标网络环境中的实体以及所述实体之间的交互事件信息，将所述实体以及所述交互事件信息构建网络事件图；

8、攻击事件确定模块，用于基于预设攻击特征识别模型确定所述网络事件图中各所述交互事件信息的图嵌入向量作为特征信息，根据所述特征信息确定所述网络事件图中的攻击事件；

9、信息溯源模块，用于确定所述攻击事件与所述网络事件图中剩余交互事件信息的依赖程度，根据所述依赖程度查找对应的交互事件信息作为所述攻击事件的溯源信息。

10、根据本发明的另一方面，提供了一种电子设备，所述电子设备包括：

11、至少一个处理器；以及

12、与所述至少一个处理器通信连接的存储器；其中，

13、所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明任一实施例所述的攻击检测和溯源方法。

14、根据本发明的另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现本发明任一实施例所述的攻击检测和溯源方法。

15、本发明实施例的技术方案，通过获取目标网络环境中的实体以及实体之间的交互事件信息，将实体以及交互事件信息构建网络事件图，然后基于预设攻击特征识别模型确定网络事件图中各交互事件信息的图嵌入向量作为特征信息，根据特征信息确定网络事件图中的攻击事件，实现攻击事件的自动确定，提高攻击事件的识别能力；通过确定攻击事件与网络事件图中剩余交互事件信息的依赖程度，根据依赖程度查找对应的交互事件信息作为攻击事件的溯源信息，提高溯源信息的准确性，同时，以便于及时发现目标网络环境中的潜在攻击行为，提前进行防御与应对，保证目标网络环境的安全。

16、应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。

技术特征：

1.一种攻击检测和溯源方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述基于预设攻击特征识别模型确定所述网络事件图中各所述交互事件信息的图嵌入向量作为特征信息，根据所述特征信息确定所述网络事件图中的攻击事件，包括：

3.根据权利要求1所述的方法，其特征在于，所述预设攻击特征识别模型的训练，包括：

4.根据权利要求3所述的方法，其特征在于，所述根据每个所述第一节点与每个所述第二节点进行匹配得到匹配节点，并确定所述匹配节点之间的目标攻击路径，按照所述目标攻击路径生成初始攻击图，包括：

5.根据权利要求3所述的方法，其特征在于，所述确定所述攻击图与所述初始攻击图的相似分数，按照所述相似分数确定所述初始攻击图中的目标攻击图，将所述目标攻击图进行数据增广作为攻击样本，包括：

6.根据权利要求3所述的方法，其特征在于，所述将所述正样本事件图、所述真实网络攻击样本以及所述攻击样本输入所述预设攻击特征识别模型，对所述预设攻击特征识别模型进行训练，包括：

7.根据权利要求1所述的方法，其特征在于，所述确定所述攻击事件与所述网络事件图中剩余交互事件信息的依赖程度，根据所述依赖程度查找对应的交互事件信息作为所述攻击事件的溯源信息，包括：

8.根据权利要求7所述的方法，其特征在于，所述预设溯源模型的训练，包括：

9.一种攻击检测和溯源装置，其特征在于，包括：

10.一种电子设备，其特征在于，所述电子设备包括：

11.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现权利要求1-8中任一项所述的攻击检测和溯源方法。

技术总结本发明公开了一种攻击检测和溯源方法、装置、电子设备及存储介质，涉及网络安全技术领域。该方法包括：获取目标网络环境中的实体以及实体之间的交互事件信息，将实体以及交互事件信息构建网络事件图；基于预设攻击特征识别模型确定网络事件图中各交互事件信息的图嵌入向量作为特征信息，根据特征信息确定网络事件图中的攻击事件；确定攻击事件与网络事件图中剩余交互事件信息的依赖程度，根据依赖程度查找对应的交互事件信息作为攻击事件的溯源信息。本发明实施例，实现攻击事件的自动确定，提高攻击事件的识别能力，同时，通过依赖程度确定溯源信息，提高溯源信息的准确性，便于及时发现目标网络环境中的潜在攻击行为，保证目标网络环境的安全。技术研发人员：赵新建,张明明,缪巍巍,高鹏,李千目,丁一新,庄岭,袁国泉,冒佳明,张颂,陈石,商林江,徐晨维,孟顺梅,李小超受保护的技术使用者：国网江苏省电力有限公司信息通信分公司技术研发日：技术公布日：2024/8/27