(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211308863.6 (22)申请日 2022.10.25 (71)申请人 北京天云海数技 术有限公司 地址 100094 北京市海淀区东北旺西路8号 院4号楼二层21 1号 (72)发明人 王建龙　关乐嘉　庄唯　李姝　 殷倩　 (74)专利代理 机构 北京汇信合知识产权代理有 限公司 1 1335 专利代理师 林聪源 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) G06N 3/04(2006.01) (54)发明名称 一种基于黑客画像的网络攻击者识别方法 及系统 (57)摘要 本发明公开了一种基于黑客画像的网络攻 击者识别方法及系统， 方法包括： 收集网络流量 数据， 提取流量及时间特征作为流量特征数据； 对流量特征数据进行预处理， 输入基于SAE ‑BNN 网络模型构建及训练的异常流量 分类器， 得到正 常或异常的分类结果； 针对异常流量特征数据， 确定攻击属性特征， 计算与当前攻击属性特征的 黑客数据的数据连接向量的相似度， 得到相似性 特征； 流量特征、 时间特征、 攻击属性特征和相似 性特征作为黑客画像， 计算黑客画 像与黑客画像 库中相同攻击属性特征画像的相似度； 根据相似 度与预设门限阈值的关系， 判定该画 像对应黑客 是否为攻击黑客。 通过本发明的技术方案， 提高 了黑客识别效率， 有效提高了模 型的泛化能力与 识别效果。 权利要求书3页 说明书12页 附图3页 CN 115396235 A 2022.11.25 CN 115396235 A 1.一种基于黑 客画像的网络攻击者识别方法， 其特 征在于， 包括： 收集网络流量数据， 提取所述网络流量数据的流量特征和时间特征作为流量特征数 据； 对所述流量特征数据进行预处理， 并输入基于SAE ‑BNN网络模型构建及训练的异常流 量分类器， 经过添加有稀疏性限制的 隐藏层神经元的稀疏自编 码器SAE进行编码， 并将编码 重构后的特征数据作为贝叶斯神经网络BNN的输入， 经过前向传播计算以及一维全连接层 得到分类结果预测得分， 经 过softmax函数分类得到正常或异常的分类结果； 针对异常流量特征数据， 确定所述异常流量特征数据对应的攻击属性特征， 并计算所 述异常流量特征数据对应的数据连接 向量相对于符合当前攻击属 性特征的黑客数据的数 据连接向量的相似度， 得到相似性特 征； 以所述异常流量特征数据对应的所述流量特征、 所述时间特征、 所述攻击属性特征和 所述相似性特征作为黑客画像， 计算所述黑客画像相对于预构建的黑客画像库中相同攻击 属性特征画像的相似度； 若与某画像的相似度高于预设门限阈值， 则判定该画像对应黑客为当前异常流量特征 数据的攻击黑 客； 若与所述黑客画像库中所有画像的相似度均不高于所述预设门限阈值， 则将所述黑客 画像添加至所述 黑客画像库中。 2.根据权利要求1所述的基于黑客画像的网络攻击者识别方法， 其特征在于， 对所述流 量特征数据进行 预处理的具体过程： 将所述流量特征数据转化为数值型 特征数据； 采用均值方差归一化方法对所述流量特征数据进行标准化处理， 使得所述流量特征数 据的特征范围处于预设的同一区间； 采用Borderl ine‑smote过采样算法对所述 流量特征数据进行类不平衡数据处 理。 3.根据权利要求1所述的基于黑客画像的网络攻击者识别方法， 其特征在于， 所述异常 流量分类器的构建及训练方法为： 所述异常流量分类器包括所述稀疏自编码器SAE和所述贝叶斯神经网络BNN， 数据由所 述稀疏自编码器SAE输入， 所述稀疏自编码器SAE包括添加有稀疏性限制的隐藏层神经元， 所述稀疏自编码 器SAE编码输出的重构特征数据作为所述贝叶斯神经网络BNN的输入， 所述 贝叶斯神经网络BN N包括前向传播计算层、 一维全连接层和softmax函数层； 利用异常流量特征样本数据及对应的正常或异常的分类结果分别作为所述异常流量 分类器的输入和输出， 对所述异常流量分类器进行训练， 直至所述异常流量分类器的分类 结果损失值 loss达到收敛阈值。 4.根据权利要求3所述的基于黑客画像的网络攻击者识别方法， 其特征在于， 计算所述 异常流量特征数据的数据连接 向量相对于符合当前攻击属 性特征的黑客数据的数据连接 向量的相似度的具体过程包括： 记录所述异常流量特征数据对应的源IP、 源端口、 目的IP和目的端口形成该条异常流 量特征数据对应的数据连接向量； 获取与该条异常流量特征数据相同攻击属性特征的所有异常网络流量样本数据的数 据连接向量；权　利　要　求　书 1/3 页 2 CN 115396235 A 2计算该条异常流量特征数据对应的数据连接向量与每条异常流量特征样本数据的数 据连接向量的余弦相似度， 并将所有的余弦相似度求和取平均， 计算得到总连接相似度， 根 据所述总连接相似度得到所述相似性特 征。 5.根据权利要求3所述的基于黑客画像的网络攻击者识别方法， 其特征在于， 所述黑客 画像库的预构建过程包括： 将异常流量特征样本数据按照 攻击属性特征进行分类， 提取每条所述异常流量特征样 本数据的流 量特征和时间特 征， 计算每条 所述异常流 量特征样本数据对应的相似性特 征； 将每条所述异常流量特征样本数据对应的所述流量特征、 所述时间特征、 所述攻击属 性特征和所述相似性特征共同作为当前异常流量特征样本数据对应攻击黑客的黑客画像， 添加至所述 黑客画像库中。 6.一种基于黑客画像的网络攻击者识别系统， 其特征在于， 应用于如权利要求1至5中 任一项所述的基于黑 客画像的网络攻击者识别方法， 包括： 数据特征提取模块， 用于收集网络流量数据， 提取所述网络流量数据的流量特征和时 间特征作为流量特征数据； 异常数据分类模块， 用于对所述流量特征数据进行预处理， 并输入基于SAE ‑BNN网络模 型构建及训练的异常流量分类器， 经过添加有稀疏性限制的 隐藏层神经元的稀疏自编 码器 SAE进行编码， 并将编码重构后的特征数据作为贝叶斯神经网络BNN的输入， 经过前向传播 计算以及一维全连接层得到分类结果预测得分， 经过softmax函数分类得到正常或异常的 分类结果； 数据特征计算模块， 用于针对异常流量特征数据， 确定所述异常流量特征数据对应的 攻击属性特征， 并计算所述异常流量特征数据对应的数据连接向量相对于符合当前攻击属 性特征的黑客数据的数据连接向量的相似度， 得到相似性特 征； 异常数据匹配模块， 用于以所述异常流量特征数据对应的所述流量特征、 所述时间特 征、 所述攻击属 性特征和所述相似性特征作为黑客画像， 计算所述黑客画像相对于预构建 的黑客画像库中相同攻击属性特 征画像的相似度； 攻击黑客识别模块， 用于在与某画像的相似度高于预设门限阈值时， 判定该画像对应 黑客为当前异常流量特征数据的攻击黑客； 还用于在与所述黑客画像库中所有画像的相似 度均不高于所述预设门限阈值时， 将所述 黑客画像添加至所述 黑客画像库中。 7.根据权利要求6所述的基于黑客画像的网络攻击者识别系统， 其特征在于， 所述异常 数据分类模块对所述 流量特征数据进行 预处理的具体过程： 将所述流量特征数据转化为数值型 特征数据； 采用均值方差归一化方法对所述流量特征数据进行标准化处理， 使得所述流量特征数 据的特征范围处于预设的同一区间； 采用Borderl ine‑smote过采样算法对所述 流量特征数据进行类不平衡数据处 理。 8.根据权利要求6所述的基于黑客画像的网络攻击者识别系统， 其特征在于， 所述异常 流量分类器的构建及训练方法为： 所述异常流量分类器包括所述稀疏自编码器SAE和所述贝叶斯神经网络BNN， 数据由所 述稀疏自编码器SAE输入， 所述稀疏自编码器SAE包括添加有稀疏性限制的隐藏层神经元， 所述稀疏自编码 器SAE编码输出的重构特征数据作为所述贝叶斯神经网络BNN的输入， 所述权　利　要　求　书 2/3 页 3 CN 115396235 A 3