(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115776401A(43)申请公布日2023.03.10(21)申请号202211471171.3G06F18/22(2023.01)(22)申请日2022.11.23G06F18/214(2023.01)G06F18/241(2023.01)(71)申请人中国人民解放军国防科技大学G06N3/045(2023.01)地址410000湖南省长沙市开福区德雅路G06N5/02(2023.01)109号申请人鹏城实验室(72)发明人韩跃陈恺赵学臣田磊方滨兴韩伟红李爱平江荣周斌王晔涂宏魁于晗刘子牛尚颖丹(74)专利代理机构苏州国诚专利代理有限公司32293专利代理师陈松(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书8页附图3页(54)发明名称基于少样本学习对网络攻击事件进行溯源的方法、装置(57)摘要本发明提供了基于少样本学习对网络攻击事件进行溯源的方法、装置，通过应用少样本学习技术处理APT组织的小规模数据，从而实现对网络攻击事件的APT组织溯源，基于已有的APT组织的数据构建APT组织攻击事件的表示矩阵；基于神经网络构建相似度匹配模型并进行训练；基于少样本学习技术，将已有完整的APT组织的数据构建为支撑集；使用预训练好的相似度匹配模型,计算由小规模的APT组织数据作为支撑集的每个组织的每个攻击事件的表示矩阵与目标攻击事件的表示矩阵之间相似度；将每个APT组织的多个攻击事件与目标攻击事件的相似度的平均值，作为目标攻击事件归属为对应APT组织时的关联紧密度数值，根据关联紧密度数值的大小，确定目标攻击事件的源头APT组织。CN115776401ACN115776401A权利要求书1/2页1.基于少样本学习对网络攻击事件进行溯源的方法,其特征在于，包括以下步骤：基于已有的APT组织的数据，构建APT组织攻击事件的表示矩阵；基于神经网络构建相似度匹配模型，基于多种网络安全的分类数据构建训练集训练所述相似度匹配模型，所述相似度匹配模型用于判断攻击事件的相似度；基于少样本学习技术，将已有完整的APT组织的数据构建为支撑集；使用预训练好的相似度匹配模型,计算支撑集里的每个组织的每个攻击事件的表示矩阵与目标攻击事件的表示矩阵之间相似度；将每个APT组织的多个攻击事件与目标攻击事件的相似度的平均值，作为目标攻击事件归属为对应APT组织时的关联紧密度数值，根据关联紧密度数值的大小，确定目标攻击事件的源头APT组织。2.根据权利要求1所述的基于少样本学习对网络攻击事件进行溯源的方法,其特征在于，所述的基于已有的APT组织的数据集，构建APT组织攻击事件的表示矩阵，具体包括：基于已有的APT组织的数据,构建APT组织知识图谱的三元组数据和APT组织自身属性关系的三元组数据；将APT组织知识图谱的三元组数据和APT组织自身属性关系的三元组数据进行嵌入向量化，得到APT组织攻击事件的表示矩阵。3.根据权利要求1所述的基于少样本学习对网络攻击事件进行溯源的方法,其特征在于，所述APT组织的三元组(头实体，属性关系，尾实体)包括：(APT组织名称,take_advantage_of,攻击手段)、(APT组织名称,use,某种具体攻击工具)、(APT组织名称,reported_by,该组织的APT报告)、(APT组织名称,command_and_control,基础设施)、(APT组织名称,utilize,漏洞)、(URL链接,contain,APT组织的基础设施实体)、(APT组织的基础设施实体,permeation_and_attack,关键基础设施)、(漏洞,identification_number,CVE漏洞编号)、(漏洞,belonged_to,攻击手段)。4.根据权利要求1所述的基于少样本学习对网络攻击事件进行溯源的方法,其特征在于：所述APT组织自身属性关系的三元组数据的头实体为APT组织名称，属性关系包括中文名、组织地理、历史目标、目标行业、发现时间、动机，尾实体包括各类属性关系的属性值。5.根据权利要求1所述的基于少样本学习对网络攻击事件进行溯源的方法,其特征在于：所述的基于神经网络构建相似度匹配模型，基于多种网络安全的分类数据构建训练集训练所述相似度匹配模型，包括以下步骤：以多种网络安全的分类数据构建训练集；获取正样本：从训练集的某个APT组织的多类数据里挑选一类选出一个，再从此类样本中选出一个，设置标签为1，相似度为1；获取负样本：从训练集的某个APT组织的多类别数据里挑选一类选出一个，再从另一类数据中再选出一个，设置标签为0，相似度为0；基于孪生神经网络构建相似度匹配模型，所述相似度匹配模型的输入模型为两个向量化表示的数据，所述相似度匹配模型包