基于注意力机制和特征融合的网络威胁情报技战术分类研究

作     者：于忠坤 王俊峰 唐宾徽 葛文翰 YU Zhong-Kun;WANG Jun-Feng;TANG Bin-Hui;GE Wen-Han

作者机构：四川大学计算机学院成都610065 四川大学网络空间安全学院成都610065 

出 版 物：《四川大学学报（自然科学版）》 (Journal of Sichuan University(Natural Science Edition))

年 卷 期：2022年第59卷第5期

页      面：90-97页

学科分类：08[工学] 081202[工学-计算机软件与理论] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家重点研发计划项目(2018YFB0804503,2019QY1400) 国家自然科学基金(U20A20161,U1836103) 基础加强计划项目(2019-JCJQ-ZD-113) 

主　　题：网络威胁情报 技战术分类 深度学习 多标签分类 注意力机制 特征融合 

摘      要：在威胁情报包含的信息中,与网络攻击相关的战术、技术、程序(TTPs)是最能刻画组织行为的关键信息.但是TTPs信息抽象层次高,并且通常存在于语法结构不规则的网络威胁情报文本中.这导致传统的人工分析方法以及基于特征工程的机器学习方法难以快速有效地从中分类出TTPs.使用单一的深度学习特征提取器则因无法提取文本语意中完整的邻域特征和序列特征,导致技战术分类精度低.针对上述问题,本文提出一种基于注意力机制和特征融合的深度学习模型:ACRCNN,用于网络威胁情报中的战术与技术的分类.该模型通过卷积与循环神经网络同时提取网络威胁情报文本中的邻域与序列信息,再由卷积层与池化层进行深层次的特征抽取与降维,完成特征融合.然后,通过注意力层完成特征加权,最终经由全连接层完成战术与技术的分类.实验结果表明,ACRCNN在战术、技术分类任务中表现优异,分别在F指标上达到了91.91%和83.86%,对比现有模型,分别提高了2.46%和4.94%.