CN110543884A - 一种基于图像的网络攻击组织溯源方法 - Google Patents

Abstract

本发明提供了一种基于图像的网络攻击组织溯源方法，包括：采集多张带攻击组织标签图像，进行基于图像灰度共生矩阵的特征提取和基于局部二值模式算子的特征提取，建立卷积神经网络和全连接神经网络并进行训练；获取待溯源图像，并对所述待溯源图像进行特征提取，将所述待溯源图像的基于图像灰度共生矩阵的256*256维特征输入至训练后的卷积神经网络，将所述待溯源图像的基于局部二值模式算子的256维特征输入至训练后的全连接神经网络，将所述卷积神经网络的输出结果和全连接神经网络的输出结果进行相加，获得溯源结果；该方法能够有效地对攻击组织溯源。

Description

一种基于图像的网络攻击组织溯源方法

技术领域

本发明涉及计算机技术领域，尤其涉及一种基于图像的网络攻击组织溯源方法。

背景技术

近年来，各种网络攻击层出不穷，给国家和个人带来了严重的损失，如何有效打击网络攻击行为成为世界各国共同关注的焦点。攻击组织溯源是打击网络攻击行为的一种常用且有效的手段，目前针对网络攻击组织的溯源方法主要包括：对攻击者所使用的IP地址进行分析、对攻击者所使用的域名信息进行分析、通过攻击者在入侵到主机后的行为日志进行分析、通过全流量进行分析、通过恶意代码进行同源分析。

随着反恶意软件以及其他安全检测工具功能的不断升级，网络攻击组织已经逐渐开始改变传统的载荷传递方式，开辟新途径。由于目前大多数的安全监测工具并不能完成对网络攻击中所有图片的检测，因此通过将载荷隐写到图片中进行传递的方法，成为网络攻击组织进行载荷传递的新选择。

现有的攻击溯源方法只能判断网络攻击中的图片是否含有载荷，还无法做到攻击组织溯源。

发明内容

本发明的目的在于针对上述现有技术中的攻击溯源方法无法做到攻击组织溯源的问题，提出一种基于图像的网络攻击组织溯源方法，能够有效的进行攻击组织溯源。

一种基于图像的网络攻击组织溯源方法，包括：

采集多张带攻击组织标签图像；

对所述多张带攻击组织标签图像进行基于图像灰度共生矩阵的特征提取，获得带攻击组织标签图像的基于图像灰度共生矩阵的256*256维特征，对所述带攻击组织标签图像进行基于局部二值模式算子的特征提取，获得带攻击组织标签图像的基于局部二值模式算子的256维特征；

建立用于学习256*256维特征的卷积神经网络和全连接神经网络和用于学习的256维特征的全连接神经网络，将所述卷积神经网络的输出结果和全连接神经网络的输出结果相加，获得攻击组织的预测结果；

构建训练集，并采用所述训练集分别对所述卷积神经网络和全连接神经网络进行训练；

获取待溯源图像，并对所述待溯源图像进行基于图像灰度共生矩阵的特征提取，获得待溯源图像的基于图像灰度共生矩阵的256*256维特征，对所述待溯源图像进行基于局部二值模式算子的特征提取，获得待溯源图像的基于局部二值模式算子的256维特征；

将所述待溯源图像的基于图像灰度共生矩阵的256*256维特征输入至训练后的卷积神经网络，将所述待溯源图像的基于局部二值模式算子的256维特征输入至训练后的全连接神经网络，将所述卷积神经网络的输出结果和全连接神经网络的输出结果进行相加，获得溯源结果。

进一步地，基于图像灰度共生矩阵的特征提取，获得基于图像灰度共生矩阵的256*256维特征，包括：

将所述图像转换为256阶灰度图像，并获得所述灰度图像的像素矩阵；

根据所述像素矩阵，计算所述灰度图像在256阶、8种偏移量取值时的灰度共生矩阵；

将所述灰度共生矩阵进行归一化，获得基于图像灰度共生矩阵的256*256维特征。

进一步地，所述灰度共生矩阵通过以下公式进行计算：

其中，

偏移量0＝{(0，1)，(0，-1)，(1，0)，(-1，0)，(1，1)，(1，-1)，(-1，1)，(-1，-1)}，GLCM(i，j)表示灰度共生矩阵在第i行第j列的值(i，j＝0，1，2，…，255)，I(p，q)表示256阶灰度图像第p行第q列的像素值，s{}的计算规则为：当{}中的表达式结果为真时，s{}＝1，反之为0。

进一步地，基于局部二值模式算子的特征提取，获得基于局部二值模式算子的256维特征，包括：

将所述图像转换为256阶灰度图像，并获得所述灰度图像的像素矩阵；

利用LBP算子对所述像素矩阵中每一个像素进行计算，获得新像素矩阵；

对所述新像素矩阵进行归一化，获得基于局部二值模式算子的256维特征。

进一步地，建立用于学习256*256维特征的卷积神经网络，包括：

构建第一层输入层：包括卷积处理和最大值池化处理，所述卷积处理中，输入256*256维特征，卷积核大小为5*5，卷积核个数为32，步长为1，激活ReLU函数，输出32个256*256维的向量，最大值池化处理中，输入所述32个256*256维的向量，池化核大小为4*4，步长为2，输出32个128*128维的向量，作为第一层的输出；

构建第二层隐藏层：包括卷积处理和最大值化处理，所述卷积处理中，将第一层输出作为输入，卷积核大小为5*5，卷积核个数为64，步长为1，激活函数为ReLU函数，输出64个128*128维的向量，最大值池化处理中，输入所述64个128*128维的向量，池化核大小为4*4，步长为2，输出64个64*64维的向量，作为第二层的输出；

构建第三层隐藏层：包括卷积处理和最大值化处理，所述卷积处理中，将第二层输出作为输入，卷积核大小为5*5，卷积核个数为64，步长为1，激活函数为ReLU函数，输出64个64*64维的向量，最大值池化处理中，输入所述64个64*64维的向量，池化核大小为4*4，步长为2，输出64个32*32维的向量，作为第三层的输出；

构建第四层隐藏层：将第三层输出作为输入，激活函数为ReLU函数，输出1024维向量，作为第四层的输出；

构建第五层输出层：将第四层输出作为输入，激活函数为softmax函数，输出与待溯源的原始图像的分类标签种类数个数相同的向量。

进一步地，建立用于学习256维特征的全连接神经网络，包括：

构建第一层输入层：输入所述256维特征，激活函数为ReLU函数，输出1024维向量，作为第一层的输出；

构建第二层隐藏层：将第一层输出作为输入，激活函数为ReLU函数，输出2048维的向量，作为第二层的输出；

构建第三层输出层：将第二层输出作为输入，激活函数为softmax函数，输出与待溯源的原始图像的分类标签种类数个数相同的向量。

进一步地，所述训练集包括带攻击组织标签图像的基于图像灰度共生矩阵的256*256维特征、带攻击组织标签图像的基于局部二值模式算子的256维特征以及攻击组织标签；

采用所述训练集分别对所述卷积神经网络和全连接神经网络进行训练，包括：

将所述训练集中带攻击组织标签图像的基于图像灰度共生矩阵的256*256维特征输入至初始化的卷积神经网络，将训练集中带攻击组织标签图像的基于局部二值模式算子的256维特征输入至初始化的全连接神经网络中，得到预测结果；

选择交叉熵函数作为损失函数，Adam算法作为优化算法进行迭代训练，使得所述损失函数降低至预设阈值。

本发明提供的基于图像的网络攻击组织溯源方法，通过提取图片中的特征，借助神经网络模型，有效地对攻击组织溯源。

附图说明

图1为本发明提供的基于图像的网络攻击组织溯源方法一种实施例的流程图。

图2为本发明提供的基于图像的网络攻击组织溯源方法中卷积神经网络一种实施例的示意图。

图3为本发明提供的基于图像的网络攻击组织溯源方法中全连接神经网络一种实施例的示意图。

图4为本发明提供的基于图像的网络攻击组织溯源方法中对所述卷积神经网络和全连接神经网络进行训练一种实施例的示意图。

具体实施方式

为使本发明的目的、技术方案及效果更加清楚、明确，以下参照附图并举实施例对本发明进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

参考图1，本实施例提供一种基于图像的网络攻击组织溯源方法，包括：

步骤S101，采集多张带攻击组织标签图像；

步骤S102，对所述多张带攻击组织标签图像进行基于图像灰度共生矩阵的特征提取，获得带攻击组织标签图像的基于图像灰度共生矩阵的256*256维特征，对所述带攻击组织标签图像进行基于局部二值模式算子的特征提取，获得带攻击组织标签图像的基于局部二值模式算子的256维特征；

步骤S103，建立用于学习256*256维特征的卷积神经网络和用于学习256维特征的全连接神经网络，将所述卷积神经网络的输出结果和全连接神经网络的输出结果相加，获得攻击组织的预测结果；

步骤S104，构建训练集，并采用所述训练集分别对所述卷积神经网络和全连接神经网络进行训练；

步骤S105，获取待溯源图像，并对所述待溯源图像进行基于图像灰度共生矩阵的特征提取，获得待溯源图像的基于图像灰度共生矩阵的256*256维特征，对所述待溯源图像进行基于局部二值模式算子的特征提取，获得待溯源图像的基于局部二值模式算子的256维特征；

步骤S106，将所述待溯源图像的基于图像灰度共生矩阵的256*256维特征输入至训练后的卷积神经网络，将所述待溯源图像的基于局部二值模式算子的256维特征输入至训练后的全连接神经网络，将所述卷积神经网络的输出结果和全连接神经网络的输出结果进行相加，获得溯源结果。

具体地，步骤S102和步骤S105中，基于图像灰度共生矩阵的特征提取，获得基于图像灰度共生矩阵的256*256维特征，包括：

将所述图像转换为256阶灰度图像，并获得所述灰度图像的像素矩阵；

根据所述像素矩阵，计算所述灰度图像在256阶、8种偏移量取值时的灰度共生矩阵，灰度共生矩阵通过以下公式进行计算：

其中，

偏移量0＝{(0，1)，(0，-1)，(1，0)，(-1，0)，(1，1)，(1，-1)，(-1，1)，(-1，-1)}，GLCM(i，j)表示灰度共生矩阵在第i行第j列的值(i，j＝0，1，2，…，255)，I(p，q)表示256阶灰度图像第p行第q列的像素值，s{}的计算规则为：当{}中的表达式结果为真时，s{}＝1，反之为0；

将所述灰度共生矩阵进行归一化，获得基于图像灰度共生矩阵的256*256维特征。

进一步地，步骤S102和步骤S104中，基于局部二值模式算子的特征提取，获得基于局部二值模式算子的256维特征，包括：

将所述原始图像转换为256阶灰度图像，并获得所述灰度图像的像素矩阵；

利用LBP算子对所述像素矩阵中每一个像素进行计算，获得新像素矩阵，具体为：利用LBP算子计算所述灰度图像像素矩阵中每一个像素点作为邻域中心像素时其新像素值，得到与所述256阶灰度图像大小相同的256阶新像素矩阵，计算所述新像素矩阵中值分别为0-255的像素点的个数之和，得到所述原始图像未归一化的256维特征，本实施例中采用的LBP算子为最原始的LBP算子，定义在3*3的像素邻域内，以邻域中心像素值为阈值，相邻的8个像素值与邻域中心像素值进行比较，若大于中心像素值，则该像素点的位置被标记为1，否则为0，将所述八个位置的标记值依次排列，可得到一个二进制数字，即为邻域中心像素的新像素值；

对所述新像素矩阵进行归一化，获得基于局部二值模式算子的256维特征。

具体地，参考图2，步骤S103中，建立用于学习256*256维特征的卷积神经网络，包括：

构建第一层输入层：包括卷积处理和最大值池化处理，所述卷积处理中，输入256*256维特征，卷积核大小为5*5，卷积核个数为32，步长为1，激活函数为ReLU函数，输出32个256*256维的向量，最大值池化处理中，输入所述32个256*256维的向量，池化核大小为4*4，步长为2，输出32个128*128维的向量，作为第一层的输出；

构建第二层隐藏层：包括卷积处理和最大值化处理，所述卷积处理中，将第一层输出作为输入，卷积核大小为5*5，卷积核个数为64，步长为1，激活函数为ReLU函数，输出64个128*128维的向量，最大值池化处理中，输入所述64个128*128维的向量，池化核大小为4*4，步长为2，输出64个64*64维的向量，作为第二层的输出；

构建第三层隐藏层：包括卷积处理和最大值化处理，所述卷积处理中，将第二层输出作为输入，卷积核大小为5*5，卷积核个数为64，步长为1，激活函数为ReLU函数，输出64个64*64维的向量，最大值池化处理中，输入所述64个64*64维的向量，池化核大小为4*4，步长为2，输出64个32*32维的向量，作为第三层的输出；

构建第四层隐藏层：将第三层输出作为输入，激活函数为ReLU函数，输出1024维向量，作为第四层的输出，第四层为全连接层，包含1024个神经元，采用dropout技术抑制过拟合；

构建第五层输出层：将第四层输出作为输入，激活函数为softmax函数，输出与待溯源的原始图像的分类标签种类数个数相同的向量，第五层为全连接层，包含的神经元个数即为待溯源图像的分类标签种类数。

进一步地，参考图3，建立用于学习256维特征的全连接神经网络，包括：

构建第一层输入层：输入所述256维特征，激活函数为ReLU函数，输出1024维向量，作为第一层的输出，第一层为全连接层，包含1024个神经元，采用dropout技术抑制过拟合；

构建第二层隐藏层：将第一层输出作为输入，激活函数为ReLU函数，输出2048维的向量，作为第二层的输出，第二层为全连接层，包含2048个神经元，采用dropout技术抑制过拟合；

构建第三层输出层：将第二层输出作为输入，激活函数为softmax函数，输出与待溯源的原始图像的分类标签种类数个数相同的向量。

进一步地，参考图4，步骤S104中，构建训练集，训练集包括带攻击组织标签图像的基于图像灰度共生矩阵的256*256维特征、带攻击组织标签图像的基于局部二值模式算子的256维特征以及攻击组织标签；

采用所述训练集分别对所述卷积神经网络和全连接神经网络进行训练，包括：

将所述训练集中带攻击组织标签图像的基于图像灰度共生矩阵的256*256维特征输入至初始化的卷积神经网络，将训练集中带攻击组织标签图像的基于局部二值模式算子的256维特征输入至初始化的全连接神经网络中，得到预测结果；

选择交叉熵函数作为损失函数，Adam算法作为优化算法进行迭代训练，使得所述损失函数降低至预设阈值。

具体地，步骤S106中，将待溯源图像的基于图像灰度共生矩阵的256*256维特征输入至训练后的卷积神经网络，将待溯源图像的基于局部二值模式算子的256维特征输入至训练后的全连接神经网络，将所述卷积神经网络的输出结果和全连接神经网络的输出结果进行相加，得到的和概率向量最大值所在维对应的攻击组织标签即为溯源结果。

本实施例提供的基于图像的网络攻击组织溯源方法，通过提取图片中的特征，借助神经网络模型，有效地对攻击组织溯源。

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (7)

1.一种基于图像的网络攻击组织溯源方法，其特征在于，包括：

采集多张带攻击组织标签图像；

对所述多张带攻击组织标签图像进行基于图像灰度共生矩阵的特征提取，获得带攻击组织标签图像的基于图像灰度共生矩阵的256*256维特征，对所述带攻击组织标签图像进行基于局部二值模式算子的特征提取，获得带攻击组织标签图像的基于局部二值模式算子的256维特征；

建立用于学习256*256维特征的卷积神经网络和用于学习256维特征的全连接神经网络，将所述卷积神经网络的输出结果和全连接神经网络的输出结果相加，获得攻击组织的预测结果；

构建训练集，并采用所述训练集分别对所述卷积神经网络和全连接神经网络进行训练；

获取待溯源图像，并对所述待溯源图像进行基于图像灰度共生矩阵的特征提取，获得待溯源图像的基于图像灰度共生矩阵的256*256维特征，对所述待溯源图像进行基于局部二值模式算子的特征提取，获得待溯源图像的基于局部二值模式算子的256维特征；

将所述待溯源图像的基于图像灰度共生矩阵的256*256维特征输入至训练后的卷积神经网络，将所述待溯源图像的基于局部二值模式算子的256维特征输入至训练后的全连接神经网络，将所述卷积神经网络的输出结果和全连接神经网络的输出结果进行相加，获得溯源结果。

2.根据权利要求1所述的基于图像的网络攻击组织溯源方法，其特征在于，基于图像灰度共生矩阵的特征提取，获得基于图像灰度共生矩阵的256*256维特征，包括：

将图像转换为256阶灰度图像，并获得所述灰度图像的像素矩阵；

根据所述像素矩阵，计算所述灰度图像在256阶、8种偏移量取值时的灰度共生矩阵；

将所述灰度共生矩阵进行归一化，获得基于图像灰度共生矩阵的256*256维特征。

3.根据权利要求2所述的基于图像的网络攻击组织溯源方法，其特征在于，所述灰度共生矩阵通过以下公式进行计算：

其中，

偏移量0＝{(0，1)，(0，-1)，(1，0)，(-1，0)，(1，1)，(1，-1)，(-1，1)，(-1，-1)}，GLCM(i，j)表示灰度共生矩阵在第i行第j列的值(i，j＝0，1，2，…，255)，I(p，q)表示256阶灰度图像第p行第q列的像素值，S{ }的计算规则为：当{ }中的表达式结果为真时，S{ }＝1，反之为0。

4.根据权利要求1所述的基于图像的网络攻击组织溯源方法，其特征在于，基于局部二值模式算子的特征提取，获得基于局部二值模式算子的256维特征，包括：

将图像转换为256阶灰度图像，并获得所述灰度图像的像素矩阵；

利用LBP算子对所述像素矩阵中每一个像素进行计算，获得新像素矩阵；

对所述新像素矩阵进行归一化，获得基于局部二值模式算子的256维特征。

5.根据权利要求1所述的基于图像的网络攻击组织溯源方法，其特征在于，建立用于学习256*256维特征的卷积神经网络，包括：

构建第一层输入层：包括卷积处理和最大值池化处理，所述卷积处理中，输入256*256维特征，卷积核大小为5*5，卷积核个数为32，步长为1，激活函数为ReLU函数，输出32个256*256维的向量，最大值池化处理中，输入所述32个256*256维的向量，池化核大小为4*4，步长为2，输出32个128*128维的向量，作为第一层的输出；

构建第二层隐藏层：包括卷积处理和最大值化处理，所述卷积处理中，将第一层输出作为输入，卷积核大小为5*5，卷积核个数为64，步长为1，激活函数为ReLU函数，输出64个128*128维的向量，最大值池化处理中，输入所述64个128*128维的向量，池化核大小为4*4，步长为2，输出64个64*64维的向量，作为第二层的输出；

构建第三层隐藏层：包括卷积处理和最大值化处理，所述卷积处理中，将第二层输出作为输入，卷积核大小为5*5，卷积核个数为64，步长为1，激活函数为ReLU函数，输出64个64*64维的向量，最大值池化处理中，输入所述64个64*64维的向量，池化核大小为4*4，步长为2，输出64个32*32维的向量，作为第三层的输出；

构建第四层隐藏层：将第三层输出作为输入，激活函数为ReLU函数，输出1024维向量，作为第四层的输出；

构建第五层输出层：将第四层输出作为输入，激活函数为softmax函数，输出与待溯源的原始图像的分类标签种类数个数相同的向量。

6.根据权利要求5所述的基于图像的网络攻击组织溯源方法，其特征在于，建立用于学习256维特征的全连接神经网络，包括：

构建第一层输入层：输入256维特征，激活函数为ReLU函数，输出1024维向量，作为第一层的输出；

构建第二层隐藏层：将第一层输出作为输入，激活函数为ReLU函数，输出2048维的向量，作为第二层的输出；

构建第三层输出层：将第二层输出作为输入，激活函数为softmax函数，输出与待溯源的原始图像的分类标签种类数个数相同的向量。

7.根据权利要求6所述的基于图像的网络攻击组织溯源方法，其特征在于，所述训练集包括带攻击组织标签图像的基于图像灰度共生矩阵的256*256维特征、带攻击组织标签图像的基于局部二值模式算子的256维特征以及攻击组织标签；

采用所述训练集分别对所述卷积神经网络和全连接神经网络进行训练，包括：

将所述训练集中带攻击组织标签图像的基于图像灰度共生矩阵的256*256维特征输入至初始化的卷积神经网络，将训练集中带攻击组织标签图像的基于局部二值模式算子的256维特征输入至初始化的全连接神经网络中，得到预测结果；

选择交叉熵函数作为损失函数，Adam算法作为优化算法进行迭代训练，使得所述损失函数降低至预设阈值。