(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115858806A(43)申请公布日2023.03.28(21)申请号202211471180.2G06F16/28(2019.01)(22)申请日2022.11.23G06F18/214(2023.01)G06F40/295(2020.01)(71)申请人中国人民解放军国防科技大学G06F21/55(2013.01)地址410000湖南省长沙市开福区德雅路109号申请人鹏城实验室(72)发明人韩跃陈恺赵学臣田磊方滨兴韩伟红李爱平江荣周斌王晔涂宏魁于晗刘子牛尚颖丹(74)专利代理机构苏州国诚专利代理有限公司32293专利代理师陈松(51)Int.Cl.G06F16/36(2019.01)权利要求书2页说明书12页附图3页(54)发明名称基于双曲面嵌入表示技术的网络攻击事件溯源方法及装置(57)摘要本发明提供了基于双曲面嵌入表示技术的网络攻击事件溯源方法及装置，能够提升对于攻击事件的攻击组织溯源的准确性，包括步骤：从未知晓发起攻击者的网络攻击事件中抽取出与APT组织相关的知识图谱三元组；通过预训练的欧式空间内的嵌入向量矩阵将三元组中的实体和关系进行向量化表示；使用黎曼流形变换技术将实体和关系的嵌入向量转换成流行空间中的双曲面；更新已获得的三元组中实体和关系的双曲面；基于更新的三元组的双曲面构建答复空间的双曲面；计算已有三元组中APT组织实体的双曲面与答复空间的双曲面的距离；取距离最小的APT组织实体作为推理得到的APT组织，将推理得到的APT组织作为发起网络攻击事件的APT组织。CN115858806ACN115858806A权利要求书1/2页1.基于双曲面嵌入表示技术的网络攻击事件溯源方法，其特征在于，包括以下步骤：步骤1：从未知晓发起攻击者的网络攻击事件中抽取出与APT组织相关的知识图谱三元组；步骤2：通过预训练的欧式空间内的嵌入向量矩阵，把从网络攻击事件中抽取出的知识图谱三元组和APT组织知识库中已有的APT组织相关的知识图谱三元组中的实体和关系进行向量化表示；步骤3：使用黎曼流形变换技术，对欧式空间测度进行流形变换得到黎曼测度，使用黎曼测度把欧式空间中抽取出的知识图谱三元组和APT组织知识库中已有的APT组织相关的知识图谱三元组中实体和关系的嵌入向量转换成流行空间中的双曲面；步骤4：基于APT组织知识库中的知识图谱三元组的实体和关系构建训练集，训练得到双曲面的更新幅度，通过双曲面的更新幅度更新步骤3中已获得的三元组中实体和关系的双曲面；步骤5：基于更新的三元组的双曲面构建答复空间的双曲面；步骤6：计算已有三元组中APT组织实体的双曲面与答复空间的双曲面的距离；步骤7：取距离最小的APT组织实体作为推理得到的APT组织，将推理得到的APT组织作为发起网络攻击事件的APT组织。2.根据权利要求1所述的基于双曲面嵌入表示技术的网络攻击事件溯源方法，其特征在于：在步骤3中，在对欧式空间的测度进行流形变换得到黎曼测度，通过以下的数学运算进行变换：HEE其中，g表示黎曼测度，g表示欧式空间测度，g＝In，表示欧式单位度量张量。λx表示是欧几里得测度张量与双曲测度张量之间的保角因子，x表示实体或关系在欧式空间中的向量，||x||2的数学含义是计算x的二范数，即对x进行平方和运算后，再求根，表示在x实体或关系对应的双曲面上的黎曼测度。3.根据权利要求1所述的基于双曲面嵌入表示技术的网络攻击事件溯源方法，其特征在于：在步骤4中，更新已获得的三元组中实体和关系的双曲面包括以下步骤：对于APT组织知识库中已有的APT组织相关的知识图谱三元组，按照三元组中实体和关系的标签，划分得到平移、求交集、求并集的训练集；分别对训练集中的头实体和关系，计算平移、求交集、求并集操作后得到的实体与三元组中尾实体的距离值，将每次操作得到实体与尾实体的距离值相加，作为损失函数的值；分别基于人工设定的实体与关系的学习率ΔE与ΔR，乘上用距离表示的损失函数，获得双曲面训练的更新幅度，表示为ΔE*L和ΔR*L，其中L为训练得到三个损失函数；若双曲面训练的更新幅度没有达到收敛指定的数值，则更新实体或关系的双曲面表示，更新过程为E:＝E‑ΔE*L,R:＝R‑ΔR*L，:＝符号右边表示更新前的实体E与关系R，减去ΔE*L或ΔR*L，得到的数值赋值给:＝符号左边E与R，表示更新后的实体E与关系R。4.根据权利要求1所述的基于双曲面嵌入表示技术的网络攻击事件溯源方法，其特征2CN115858806A权利要求书2/2页在于：在步骤5中，答复空间的双曲面通过对网络攻击事件抽取出的三元组中的实体和关系的双曲面与APT组织知识库的三元组中的实体和关系的双曲面进行求交集、求并集和平移操作得到。5.根据权利要求1所述的基于双曲