摘要
本发明属于网络安全与机器学习领域,公开了一种基于深度强化学习的自适应APT攻击检测方法。包括对多源日志数据进行格式统一操作;采用ELECTRA模型对预处理后的日志数据进行向量化,随后将生成的向量归一化并构建为日志序列,利用LSTM网络学习日志序列中的日志特征;运行DQN强化学习算法对LSTM网络的结构参数进行微调,状态空间为LSTM网络输出的日志特征,动作空间为调整LSTM网络的结构参数;利用微调后的LSTM网络重新学习日志序列中的日志特征,并将新学习的日志特征输入One‑Class SVM模型,若One‑Class SVM模型识别为离群点,则多源日志数据中包含APT攻击;否则多源日志数据中不包含APT攻击。本发明方法能够自适应不同攻击场景,并且提高了APT攻击检测的准确性。
