CN111314331A

CN111314331A - 一种基于条件变分自编码器的未知网络攻击检测方法

Info

Publication number: CN111314331A
Application number: CN202010080796.1A
Authority: CN
Inventors: 陈双武; 陈翔; 杨坚; 张勇东; 刘新民; 王玮
Original assignee: Beijing Zhongke Research Institute; University of Science and Technology of China USTC
Current assignee: Beijing Zhongke Research Institute; University of Science and Technology of China USTC
Priority date: 2020-02-05
Filing date: 2020-02-05
Publication date: 2020-06-19
Anticipated expiration: 2040-02-05
Also published as: CN111314331B

Abstract

本发明公开了一种基于条件变分自编码器的未知网络攻击检测方法，将已知类别的分类与未知攻击检测问题分为两个阶段。第一阶段利用基于变分自编码器的分类器在实现将网络流量按照已知类别分类的基础上实现对网络流量的特征提取。第二阶段利用第一阶段训练的编码器获取网络流量的特征表达，利用解码器的重构误差校正第一阶段的检测结果，识别未知攻击。可见，本发明既能实现传统检测方法识别正常流量和异常流量的攻击类型的功能，又能实现未知攻击的检测。

Description

一种基于条件变分自编码器的未知网络攻击检测方法

技术领域

本发明涉及计算机网络技术领域，尤其涉及一种基于条件变分自编码器的未知网络攻击检测方法。

背景技术

随着计算机技术和网络技术的飞速发展，网络攻击行为层出不穷，针对各种新型的网络协议、网络体系架构、网络应用的新型网络攻击严重困扰着信息系统的正常运行。传统的网络安全检测设备依靠静态攻击特征(如：IP黑名单)或者动态攻击特征(如：正则表达式)检测网络中的攻击行为。这种检测方法依赖于已知的攻击特征，而攻击特征通常需要通过人工手动提取，并且依赖于专业知识，需要大量的时间和人力，导致无法对未知攻击做出有效地、及时地响应。

基于深度学习的网络安全检测是近几年被广泛研究的新型安全检测方法，可以分为无监督学习和有监督学习两大类方法。基于无监督的网络安全检测又称异常检测，异常检测只需要正常流量作为训练数据，对正常流量行为进行学习建模，若带测试网络流量的行为与正常流量的行为差距较大，则认为是异常流量，这种方法从一定程度上可以检测未知的入侵行为，但是无法对已知的网络攻击进行分类。基于有监督学习的安全检测方法利用正常和已知的攻击流量训练判别模型，待测流量直接输入该模型，即可识别待测流量的类型，这种方法可以对网络流量按照已知攻击类型进行分类，且一般具有较高的准确率，但是检测未知攻击的能力较差。

发明内容

本发明的目的是提供一种基于条件变分自编码器的未知网络攻击检测方法，对于网络流量的已知类别与未知攻击类别均具有较高的检测准确率。

本发明的目的是通过以下技术方案实现的：

一种基于条件变分自编码器的未知网络攻击检测方法，包括：

利用已知类别的流量训练基于条件变分自编码器的分类器，并在此基础上训练未知攻击检测模型；基于条件变分自编码器的分类器包括先验编码器、后验编码器以及第一解码器，训练阶段后验编码器的输出作为先验编码器的监督信号；未知攻击检测模型包括：第二解码器，以及基于条件变分自编码器的分类器中后验编码器；

对于待测流量

通过先验编码器得到待测流量的特征

第一解码器根据待测流量的特征

计算属于各已知类别的概率，选择概率最大值对应的类别

作为预测结果；

通过后验编码器利用预测到的类别

与待测流量

得到待测流量的特征

第二解码器利用待测流量的特征

进行重构，得到待测流量

关于类别

的重构流量

并通过比较重构流量

与待测流量

的误差大小来判断待测流量

是否为未知攻击。

由上述本发明提供的技术方案可以看出，将已知类别的分类与未知攻击检测问题分为两个阶段。第一阶段利用基于变分自编码器的分类器在实现将网络流量按照已知类别分类的基础上实现对网络流量的特征提取。第二阶段利用第一阶段训练的编码器获取网络流量的特征表达，利用解码器的重构误差校正第一阶段的检测结果，识别未知攻击。可见，本发明既能实现传统检测方法识别正常流量和异常流量的攻击类型的功能，又能实现未知攻击的检测。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。

图1为本发明实施例提供的一种基于条件变分自编码器的未知网络攻击检测方法的框架图；

图2为本发明实施例提供的基于条件变分自编码器的分类器的训练与测试示意图；

图3为本发明实施例提供的未知攻击检测模型的训练与测试示意图；

图4为本发明实施例提供的攻击检测举例示意图；

图5为本发明实施例提供的已知类别分类与未知攻击检测结果示意图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

本发明实施例提供一种基于条件变分自编码器的未知网络攻击检测方法，如图1所示，主要包括：

利用已知类别的流量训练基于条件变分自编码器的分类器(也即训练阶段的阶段一)，并在此基础上训练未知攻击检测模型(也即训练阶段的阶段二)；基于条件变分自编码器的分类器包括先验编码器、后验编码器以及第一解码器，训练阶段后验编码器的输出作为先验编码器的监督信号；未知攻击检测模型包括：第二解码器，以及基于条件变分自编码器的分类器中后验编码器。

对于待测流量

通过先验编码器得到待测流量的特征

第一解码器根据待测流量的特征

计算属于各已知类别的概率，选择概率最大值对应的类别

作为预测结果(也即测试阶段的阶段一)；

通过后验编码器利用预测到的类别

与待测流量

得到待测流量的特征

第二解码器利用待测流量的特征

进行重构，得到待测流量

关于类别

的重构流量

并通过比较重构流量

与待测流量

的误差大小来判断待测流量

是否为未知攻击(也即测试阶段的阶段二)。

下面针对基于条件变分自编码器的分类器、未知攻击检测模型的组成及其训练与测试过程进行介绍。

一、训练与测试数据。

本发明实施例中，将原始数据包按照源IP、目的IP、源端口、目的端口和协议五元组聚合成数据流，用数据流的行为特征网络流量。用于训练的网络流量表示为{(x₁,y₁),(x₂,y₂),...,(x_n,y_n)}，其中x_i∈R^d表示第i个流量样本的统计行为，具体用d维向量表示，向量的每个元素表示一个统计特征，y_i∈{0,1,2,...,k}表示第i个样本的标签值，y_i＝0表示正常流量，y_i＞0表示攻击流量，且攻击类型为y_i，k为已知攻击类别总数。测试样本表示为

其中k+1表示未知攻击的标签值。

二、基于条件变分自编码器的分类器。

本发明实施例中，采用变分自动编码器的分类器学习已知类别而之间的分类边界，实现流量按照正常流量和已知攻击流量进行分类。变分自动编码器包含编码器和解码器两部分，编码器将输入流量样本映射到满足特定分布(通常是高斯分布)的特征空间上，然后通过重新参数化后输入解码器，解码器最终将特征映射为流量类别。

原理：变分自动编码器首先将原始的高维网络流量向量映射为低维的流量特征，然后通过解码器将低维的特征映射为流量类别

1、构建编码器。

本发明实施例中，编码器包含先验编码器p_α(z|x)与后验编码器q_β(z|x,y)，两个编码器可以分别使用多层感知机构建。

如图2所示，先验编码器p_α(z|x)，在给定原始网络流量x后，输出关于特征z满足高斯分布的均值与方差μ_α(x)，

二者均为关于原始网络流量x与编码器参数α的函数。

如图2所示，后验编码器q_β(z|x,y)，在给定原始网络流量x与对应的类别y后，输出关于特征z满足高斯分布的均值与方差μ_β(x,y),diag(σ_β ²(x,y))，二者均为关于原始网络流量x和对应类别y以及编码器参数β的函数。

KL(q_β(z|x,y)||p_α(z|x))

本发明选择高斯分布作为后验概率分布q_β(z|x,y)和p_α(z|x)的约束形式：

p_α(z|x)＝N(μ_α(x),diag(σ_α ²(x)))

q_β(z|x,y)＝N(μ_β(x,y),diag(σ_β ²(x,y)))

2、构建第一解码器p_γ(y|z,x)。

如图2所示，编码器部分学习的特征z服从的分布，为了得到特征z，基于后验编码器q_β(z|x,y)的输出，重参数化技术获得原始网络流量的特征z作为第一解码器p_γ(y|z,x)的输入的一部分，重参数化过程首先从标准正态分布采样一个值ε，然后利用该采样值计算特征z：

z＝μ_β(x,y)+diag(σ_β(x,y))*ε，ε～N(0,1)

第一解码器p_γ(y|z,x)可以通过多层感知机构建。γ表示第一解码器p_γ(y|z,x)的参数。第一解码器p_γ(y|z,x)输入为重参数化技术获得的原始网络流量的特征z以及原始网络流量x，输出原始网络流量x对应的概率分布π＝[π₀,π₁,...,π_k],其中，π_j表示原始网络流量x属于第j类的概率，j＝0,1,...,k；j＝0，类别y表示正常类别，j＝1,...,k，表示已知攻击类别，j的数值对应了具体的类别，k为类已知攻击类别总数。

3、参数优化。

对于先验编码器、后验编码器以及第一解码器中的参数α,β,γ，训练过程采用变分贝叶斯方法进行参数优化，训练的损失函数为：

其中，KL(q_β(z|x,y)||p_α(z|x))表示后验编码器q_β(z|x,y)的输出与先验编码器p_α(z|x)的输出之间的KL散度。

通过在编码器和解码器中间引入上述重参数化技术保证损失函数可导后，利用随机梯度下降法对编码器和解码器参数进行优化更新。

三、未知攻击检测模型。

未知攻击检测模型的训练建立在在第一阶段训练的基于条件变分自编码器的分类器的基础上，利用分类器的后验编码器对流量x的编码结果z以及流量类型y，训练一个新的解码器，实现对输入流量x的重构，通过重构误差判断流量x是否为未知攻击流量。

1、利用第一阶段训练得到的后验编码器得到流量特征。

本发明实施例中，未知攻击检测模型直接利用训练好的基于条件变分自编码器的分类器中的后验编码器q_β(z|x,y)。

如图3所示，后验编码器q_β(z|x,y)将根据输入的原始网络流量x与对应的类别y，输出关于原始网络流量x的特征z满足高斯分布的均值与方差μ_β(x,y),diag(σ_β ²(x,y))；通过重参数化技术获得原始网络流量的特征z：

z＝μ_β(x,y)+diag(σ_β(x,y))*ε，ε～N(0,1)

2、构建第二解码器p_θ(x|z,y)。

第二解码器p_θ(x|z,y)可采用多层感知机的形式构造。如图3所示，根据原始网络流量x对应的类别y以及重参数化技术获得的原始网络流量的特征z，输出为满足高斯分布的均值参数μ_θ(z,y)，均值参数μ_θ(z,y)为关于原始网络流量x和对应类别y以及解码器参数θ的函数。

本发明实施例中，假设重构的流量样本的后验概率满足固定方差的高斯分布的约束形式：

p_θ(x|z,y)＝N(μ_θ(z,y),diag(σ²))

其中，diag(σ²)表示高斯分布的方差，由于在实际应用中，方差不参与计算，因此假设方差为常数，与解码器参数θ无关，并不影响最终结果。

3、参数优化。

未知攻击检测模型的训练阶段，仅训练第二解码器，训练目标为重构流量样本的后验概率最大，训练的损失函数为：

L(θ,x,y)＝-logp_θ(x|z,y)∝||x-μ_θ(z,y)||²

为简单起见，损失函数的形式也可以直接取为||x-μ_θ(z,y)||²，并利用随机梯度下降法对解码器参数θ进行优化更新。

四、测试阶段。

前文介绍了两个阶段所涉及的编解码器，以及它们的训练过程。相对应的，测试阶段也分为两个阶段。利用输入的网络流量

和训练好的模型，判断流量类型

其中k+1表示未知攻击，在在这个过程中，网络流量

已知，流量类型

未知。

测试阶段如图1～图3右侧部分所示，主要分为如下两个阶段。

1、已知类别分类。

对于待测流量

通过先验编码器p_α(z|x)得到待测流量的特征

满足的高斯分布的均值与方差

通过重参数化技术得到特征

第一解码器p_γ(y|z,x)根据待测流量的特征

计算待测流量

属于各已知类别的概率

选择概率最大值对应的类别

作为预测结果：

2、未知攻击检测。

训练好的未知攻击检测模型，用于对基于条件变分自编码器的分类器的预测结果进行校验。

通过后验编码器q_β(z|x,y)利用预测到的类别

与待测流量

得到待测流量的特征

满足的高斯分布的均值与方差

通过重参数化技术得到特征

第二解码器p_θ(x|z,y)利用特征

重构流量

得到均值参数

利用均值

计算重构误差：

比较重构误差r，与训练过程中属于类别

的所有原始网络流量的重构误差中的最大值

之间的大小；若重构误差r较小，则认为待测流量

属于类别

否则，认为待测流量

属于未知攻击。

以上为本发明实施例所提供方法的主要方案，下面结合示例进行说明。

如图4所示，在训练阶段，首先利用交换机流量镜像技术旁路出网络流量，利用商业或者开源入侵检测工具对流量进行标注，同时利用CICFlowMeter工具将流量按五元组(源ip，目的ip，源端口，目的端口，协议号)提取流量的行为统计特征。用83种不同的特征来描述一条网络流量，包括前向和反向的持续时间，数据包个数、总的字节数、数据包长度等。将入侵检测工具和CICFlowMeter的结果进行匹配，得到流量行为统计特征加标签的训练数据集。利用训练集中的正常流量和已知攻击流量训练已知攻击分类模型，然后用训练好的编码器的输出作为输入，训练未知攻击检测模型。

在测试阶段，首先利用交换机流量镜像技术旁路出网络流量，这时流量中包含正常流量，训练阶段出现过的已知攻击流量，同时可能包含训练阶段未出现过的未知攻击流量。利用CICFlowMeter工具提取网络流量的行为统计特征，分别输入训练好的已知攻击分类模型首先将流量按照已知的流量类型进行分类，然后将网络流量和识别结果输入未知攻击检测模型，校验分类结果，判断该流量属于正常流量或者某一类具体的已知攻击类型或者未知攻击。

本发明在CICIDS2017数据集上进行了验证，CICIDS2017包含正常流量和14种最新的常见攻击流量。我们选择其中的6种攻击类型作为未知攻击，这6种攻击样本只出现于测试集中；剩余的正常流量和8种攻击流量按照80％-20％的比例生成训练集和测试集。利用该数据集分别训练已知攻击分类和未知攻击检测模型，然后在测试集上分别测试了识别准确率。如图5所示，benign表示正常流量类别，unknown attack表示未知攻击，其余8种为已知攻击类别，其中横坐标表示预测类别，纵坐标表示真实类别，矩阵对角线表示预测正确的样本占该类样本的比例。由图5可以看出，本发明在已知攻击的检测上保持了较高的准确率，同时未知攻击检测的准确率高达87％。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例可以通过软件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，上述实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims

1.一种基于条件变分自编码器的未知网络攻击检测方法，其特征在于，包括：

对于待测流量

通过先验编码器得到待测流量的特征

第一解码器根据待测流量的特征

计算属于各已知类别的概率，选择概率最大值对应的类别

作为预测结果；

通过后验编码器利用预测到的类别

与待测流量

得到待测流量的特征

第二解码器利用待测流量的特征

进行重构，得到待测流量

关于类别

的重构流量

并通过比较重构流量

与待测流量

的误差大小来判断待测流量

是否为未知攻击。

2.根据权利要求1所述的一种基于条件变分自编码器的未知网络攻击检测方法，其特征在于，

先验编码器p_α(z|x)，用于在给定原始网络流量x后，输出关于特征z满足高斯分布的均值与方差μ_α(x)，

二者均为关于原始网络流量x与编码器参数α的函数；

后验编码器q_β(z|x，y)，用于在给定原始网络流量x与对应的类别y后，输出关于特征z满足高斯分布的均值与方差μ_β(x，y)，diag(τ_β ²(x，y))，二者均为关于原始网络流量x和对应类别y以及编码器参数β的函数；

基于条件变分自编码器的分类器的训练阶段，使用后验编码器q_β(z|x，y)的输出作为先验编码器p_α(z|x)的监督信号，使得先验编码器p_α(z|x)输出趋近后验编码器q_β(z|x，y)的输出；

基于后验编码器q_β(z|x，y)的输出，重参数化技术获得原始网络流量的特征z作为第一解码器p_γ(y|z，x)的输入的一部分，重参数化过程首先从标准正态分布采样一个值ε，然后利用该采样值计算特征z：

z＝μ_β(x，y)+diag(σ_β(x，y))*ε，ε～N(0，1)

第一解码器p_γ(y|z，x)的输入还包含原始网络流量x，输出原始网络流量x对应的概率分布π＝[π₀，π₁，...，π_k]，其中，π_j表示原始网络流量x属于第j类的概率，j＝0，1，...，k；j＝0，类别y表示正常类别，j＝1，...，k，表示已知攻击类别，j的数值对应了具体的类别，k为类已知攻击类别总数。

3.根据权利要求2所述的一种基于条件变分自编码器的未知网络攻击检测方法，其特征在于，对于先验编码器、后验编码器以及第一解码器中的参数α，β，γ，训练过程采用变分贝叶斯方法进行参数优化，训练的损失函数为：