CN111917781A

CN111917781A - 一种智能内部恶意行为网络攻击识别方法及电子设备

Info

Publication number: CN111917781A
Application number: CN202010778015.6A
Authority: CN
Inventors: 戴燎元
Original assignee: Hunan Kuangchu Technology Co ltd
Current assignee: Hunan Kuangchu Technology Co ltd
Priority date: 2020-08-05
Filing date: 2020-08-05
Publication date: 2020-11-10

Abstract

本发明提供一种智能内部恶意行为网络攻击识别方法和电子设备，方法包括以下步骤：收集用户在网络通讯过程中的数据；提取数据中的信息特征，形成处理后数据向量集合，针对不同类别的所述处理后数据向量集合X输出若干个扩散参数，将其进行粒子群优化迭代，确定概率神经网络模型的最佳扩散参数，形成用于数据训练的概率神经网络模型，检测测试数据中的所有特征向量，得到具有不同最大输出G_k(Y)的K个网络行为类别，传递给恶意攻击识别模块，区分恶意网络攻击行为并进行归类。本发明提供的方法和电子设备以特征向量形式记录的恶意行为分类到各种类型的实时攻击类别模块中，能够实现检测和识别云计算和移动计算环境中的内部恶意行为。

Description

一种智能内部恶意行为网络攻击识别方法及电子设备

技术领域

本发明属于通讯安全技术领域，具体涉及一种智能内部恶意行为网络攻击识别方法及电子设备。

背景技术

将敏感数据上载到公共云存储服务会给组织带来安全风险，如可访问性、机密性和集成性。此外，不间断的云服务已经造成了高水平的入侵和滥用。使用防火墙和入侵检测系统是保护用户数据和云资源的唯一永久解决方案。有些攻击，如DOS，对于防火墙来说过于复杂；因此，可以使用攻击检测方法来检测各种类型的攻击。尽管传统的安全系统在识别用户凭据方面是可信的，但是当系统需要在登录级别以外的级别识别用户的异常行为时，恶意行为识别问题就会出现。更重要的是，传统的安全技术面临着恶意软件创造者和恶意软件防御者之间的竞争；当前的恶意软件防御对于未知的恶意软件是不够的，因为未知恶意软件通常是使用新的攻击技术设计的。且以往的恶意攻击检测方法只能识别网络行为为正常(0)或恶意攻击(1)，不能识别出恶意攻击的类别并进行归类。

发明内容

本发明针对上述缺陷，提供一种以特征向量形式记录的恶意行为分类到各种类型的实时攻击类别模块中，能够实现检测和识别云计算和移动计算环境中的内部恶意行为的智能内部恶意行为网络攻击识别方法及电子设备。

本发明提供如下技术方案：一种智能内部恶意行为网络攻击识别方法，包括以下步骤：

M1：利用数据监听和存储模块收集用户在网络通讯过程中的数据；

M2：将所述数据传递给数据预处理和特征提取模块，用于对数据进行预处理并提取数据中的信息特征，形成处理后数据向量集合X＝ {x₁,......,x_n}，i＝1,……,n，所述x_i为第i个经过所述信息特征数据处理的特征向量；

M3：将所述处理后数据向量集合X传递给所述粒子群优化概率神经网络处理模块中的概率神经网络模型构建模块，所述概率神经网络模型构建模块利用所述处理后数据构建概率神经网络模型，针对不同类别的所述处理后数据向量集合X输出若干个扩散参数σ_i；

M4：所述概率神经网络模型模块将所述若干个扩散参数σ_i传递给粒子群优化模块，所述粒子群优化模块将所述若干个扩散参数σ_i作为若干个粒子进行粒子群优化迭代，直至迭代完成，确定概率神经网络模型的最佳扩散参数σ_g；

M5：所述概率神经网络模型模块利用所述处理后数据向量集合X以及所述最佳扩散参数σ_g构建用于数据训练的概率神经网络模型S_strain，所述模型S_strain中的第k组的所述处理后数据向量集合X的输出为F_k,i(X)；

M6：继续收集网络通讯中的数据，形成数据向量集合Y＝{y₁,......,y_n}， i＝1,……,n，定义为测试数据集S_stest，将所述测试数据集S_stest传递给网络行为检测模块；

M7：将所述概率神经网络模型S_strain输入至所述网络行为检测模块，利用所述M4步骤得到的带有最佳扩散参数σ_g的概率神经网络模型S_strain连接所述测试数据集S_stest中的所有特征向量y_i，得到具有不同最大输出 G_k(Y)的K个网络行为类别，所述1≤k≤K，传递给恶意攻击识别模块；

M8：所述恶意攻击识别模块识别结果数据向量类别后，将内部恶意网络攻击行为向量分类至攻击类别分类模块，将内部正常网络行为向量分类至正常网络行为模块；

M9：所述攻击类别分类模块根据求和检测结果将数据向量Y归类至最大输出相对应的类别中。

进一步地，所述M4步骤包括以下步骤：

M40：确定粒子群优化模式的限制因子R；

M41：初始化所述扩散参数σ_i作为粒子的粒子群，设定使第t代粒子σ_i(t)为变化速率v_i(t)位于边界β＝[0,1]内，所述粒子群中的第t代粒子粒子σ_i(t)的初始位置为x_i(t)，初始化最佳数据向量位置

和第i个粒子领域内所有粒子中达到最佳初始位置的粒子的指数g_i，即σ_i(t)∈β，v_i(t)∈β；

M42：更新每个所述粒子σ_i的速率v_i(t)为v_i(t+1)；

M43：利用M42步骤得到的v_i(t+1)更新每个第t代粒子σ_i(t)为第t+1 代粒子σ_i(t+1)：σ_i(t+1)＝σ_i(t)+v_i(t+1)；

M44：约束位于所述边界β内的粒子群σ_i的每个所述第t+1代粒子σ_i(t+1)位置的数据向量，计算扩散系数粒子群σ_i(t+1)中的比例系数 f(σ_i(t+1))；

M45：更新最佳数据向量位置

和所述指数g_i；

M46：确定是否获得所述最佳扩散参数σ_g；若是，则停止迭代，若否，则更新迭代数由t至t+1，更新所述步骤M42至所述步骤M46，直至获得。

进一步地，所述M40步骤中的限制因子R的计算公式如下：

其中，所述φ＝c₁+c₂，k为迭代次数，k∈[0,1]，所述c₁为与每个粒子的最佳位置相关的系数，所述c₂为与有助于改变粒子速度的邻域的最佳位置相关的系数，0≤c₁,c₂≤2。

进一步地，所述步骤M42中的更新每个粒子σ_i的的速率v_i(t)为v_i(t+ 1)的公式如下：

其中，所述c₁为与每个粒子的最佳位置相关的系数，所述c₂为是与有助于改变粒子速度的邻域的最佳位置相关的系数，0≤c₁,c₂≤2；所述r₁、所述r₂为每次速度更新时产生的随机变量。

进一步地，所述步骤M45中的

进一步地，所述步骤M5中第k组的所述处理后数据向量集合X的输出为F_k,i(X)的公式如下：

其中，所述X_k,i是第k组的第i个数据向量，它引用了决定内核可修改字段大小的扩展参数。

进一步地，所述步骤M7中G_k(Y)的计算公式如下：

其中k∈(1,...,K)，所述M_k为第k组的数据向量集合Y的输出神经元 F_ki(Y)的个数，所述ω_ki是满足

的正系数。

进一步地，所述步骤M8中的识别结果数据向量类别的公式如下：

数据向量集合Y根据得到的C(Y)值，被分组到与从求和单元计算的最大输出相对应的类中。

进一步地，所述M9步骤中攻击类别模块分类得到的内部异常网络攻击行为模糊攻击、分析攻击、后门攻击、DoS攻击、漏洞攻击、通用攻击、侦察攻击、外壳代码攻击或蠕虫攻击中的一种或几种。

本发明还提供一种电子设备，包括存储器、处理器，所述存储器中存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述智能内部恶意行为网络攻击识别方法的步骤。

本发明的有益效果为：

1、与简单的神经网络方法相比，该方法经过具有与每个粒子的最佳位置相关的系数c₁和与有助于改变粒子速度的邻域的最佳位置相关的系数 c₂有关的限制因子R选择的粒子群优化算法模式的粒子群算法优化的概率网络神经算法，并且源数据为以特征向量形式记录的恶意行为，其被分类到各种类型的实时攻击类别模块中，能够实现检测和识别云计算和移动计算环境中的内部恶意行为。

2、现有技术中的概率神经网络性能受到扩散系数σ的影响，本申请提供的智能内部恶意行为网络攻击识别方法在应用概率神经网络针对信息特征提取处理后的数据对进行分类过程之前，采用粒子群优化算法对概率神经网络中的扩散系数σ进行优化，得到具有最佳扩散系数σ_g，对概率神经网络算法进行优化后，形成了针对所采集的网络数据集合具有自适应性能的概率神经网络算法。

3、本申请提供的智能内部恶意行为网络攻击识别方法在进行粒子群优化过程中，采用了与每个粒子的最佳位置相关的系数c₁和与有助于改变粒子速度的邻域的最佳位置相关的系数c₂之和的系数φ和迭代次数k限制得到的限制因子R，根据限制因子R确定粒子群优化模式之后，在进行粒子群的初始化，能够根据不同的网络环境所带来的数据类别不同而进行更加适合的粒子群优化方式和环境，使粒子群优化后所得到的最佳扩散系数σ_g能够更加准确地识别恶意网络攻击行为还是正常的网络行为。

4、本申请能够根据粒子群优化后的概率神经网络，不仅仅是识别出网络行为到底是正常的网络行为还是网络攻击行为，还能够根据训练后的概率神经网络评估输入的检测的数据向量集合所代表的异常类—模糊攻击、分析攻击、后门攻击、DoS攻击、漏洞攻击、通用攻击、侦察攻击、外壳代码攻击和蠕虫攻击，进而被后续的攻击类别分类模块归类到不同的恶意攻击类别网络行为，使后续的安全防御系统有针对性的进行恶意行为阻拦和防火墙的搭建。

5、本申请所提供的智能内部恶意行为网络攻击识别方法是根据基于对用户行为的观察，而不是基于用户的凭证，即是网络用户的实时网络数据所组成的数据向量集合，并且经过信息特征处理后的网络数据，无需安全加密过程中的用户凭证进行数据采集，保证了源数据的准确性。

6、本申请提供的智能内部恶意行为网络攻击识别方法从用户的网络行为中提取有意义的信息，并利用机器学习的方式从网络中提取有意义的信息，经过粒子群优化后的概率神经网络模型构建模块将自动以特征向量形式记录的恶意行为分类到各种类型的实时攻击中，提高了检测网络攻击的精度的同时也降低了检测的复杂度和所需要的时间，加快了恶意网络攻击行为的识别速度。

附图说明

在下文中将基于实施例并参考附图来对本发明进行更详细的描述。其中：

图1为本发明提供的智能内部恶意行为网络攻击识别方法流程图；

图2为本发明提供的粒子群优化迭代示意图；

图3为本发明提供的进行信息特征提取预处理之后的网络数据经过概率神经网络构建模块输出扩散系数的概率值的示意图；

图4为本发明提供的M4步骤中的具体M41-M46步骤第t代粒子σ_i(t) 更新为第t+1代粒子σ_i(t+1)的位置变化图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

如图1所示，为本实施例提供的一种智能内部恶意行为网络攻击识别方法，包括以下步骤：

M2：将数据传递给数据预处理和特征提取模块，用于对数据进行预处理并提取数据中的信息特征，形成处理后数据向量集合X＝{x₁,......,x_n}， i＝1,……,n，x_i为第i个经过信息特征数据处理的特征向量；

M3：将处理后数据向量集合X传递给粒子群优化概率神经网络处理模块中的概率神经网络模型构建模块，概率神经网络模型构建模块利用处理后数据构建概率神经网络模型，针对不同类别的处理后数据向量集合X 输出若干个扩散参数σ_i；

M4：如图2所示，概率神经网络模型模块将若干个扩散参数σ_i传递给粒子群优化模块，粒子群优化模块将若干个扩散参数σ_i作为若干个粒子进行粒子群优化迭代，直至迭代完成，确定概率神经网络模型的最佳扩散参数σ_g；

具体地，M4步骤包括如下步骤：

M40：确定粒子群优化模式的限制因子R：

其中，φ＝c₁+c₂，k为迭代次数，k∈[0,1]，c₁为与每个粒子的最佳位置相关的系数，c₂为是与有助于改变粒子速度的邻域的最佳位置相关的系数，0≤c₁,c₂≤2；如图3所示，当处理后数据向量集合X输送至粒子群优化概率神经网络处理模块中的概率神经网络模型构建模块中后，概率神经网络模型构建模块会根据每个处理后数据向量集合X输出一个扩散系数的概率值，为σ₁,σ₂,…,σ_k,…,σ_i，i∈n，输送至粒子群优化模块中，粒子群优化模块再根据输出的n个扩散系数σ_i作为粒子，进行粒子群算法的优化，得到最佳扩散系数σ_g；

M41：如图4所示，初始化扩散参数σ_i作为粒子的粒子群，设定使第t 代粒子σ_i(t)为变化速率v_i(t)位于边界β＝[0,1]内，所述粒子群中的粒子σ_i(t) 的初始位置为x_i(t)，初始化最佳数据向量位置

M42：更新每个粒子σ_i的速率v_i(t)为v_i(t+1)：

其中，r₁、r₂为每次速度更新时产生的随机变量；

M44：约束位于边界β内的粒子群σ_i的每个第t+1代粒子σ_i(t+1)位置的数据向量，计算扩散系数粒子群σ_i(t+1)中的比例系数f(σ_i(t+1))；

M45：更新最佳数据向量位置

和指数g_i，其中最佳数据向量位置更新公式如下：

第t代粒子σ_i(t)位于初始位置x_i(t)，初始化后，第t代粒子σ_i(t)由粒子自身的加速所带来的位置变化量为

由其自身的变化速率v_i(t)所带来的惯性运动位置变化量为v_i(t)，由整个粒子群加速所带来的位置变化量为

因此，第t代粒子σ_i(t)的整体位移变化速度为上述三方面所带来的整体变化加和，并赋予粒子群优化模式的限制因子R进行加权，得到粒子σ_i的速率v_i(t)更新为v_i(t+1)，并由此速度得到新的第t+1代粒子σ_i(t+1)；

M46：依照上述方法继续更新第t+1代粒子σ_i(t+1)，确定是否获得最佳扩散参数σ_g；若是，则停止迭代，若否，则更新迭代数由t至t+1，更新步骤M42至步骤M46；

M5：概率神经网络模型模块利用处理后数据向量集合X以及最佳扩散参数σ_g构建用于数据训练的概率神经网络模型S_strain，模型S_strain中的第 k组的处理后数据向量集合X的输出为F_k,i(X)：

其中，X_k,i是第k组的第i个数据向量，它引用了决定内核可修改字段大小的扩散参数σ_g；

M6：继续收集网络通讯中的数据，形成数据向量集合Y＝{y₁,......,y_n}， i＝1,……,n，定义为测试数据集S_stest，将测试数据集S_stest传递给网络行为检测模块；

M7：将概率神经网络模型S_strain输入至网络行为检测模块，利用M4 步骤得到的带有最佳扩散参数σ_g的概率神经网络模型S_strain连接测试数据集S_stest中的所有特征向量y_i，得到具有不同最大输出G_k(Y)的K个网络行为类别，1≤k≤K，传递给恶意攻击识别模块；

其中k∈(1,...,K)，M_k为第k组的数据向量集合Y的输出神经元F_ki(Y) 的个数，ω_ki是满足

的正系数；

M8：恶意攻击识别模块识别结果数据向量类别后，将内部恶意网络攻击行为向量分类至攻击类别分类模块，将内部正常网络行为向量分类至正常网络行为模块，其中识别结果数据向量的公式为：

数据向量集合Y根据得到的C(Y)值，被分组到与从求和单元计算的最大输出相对应的类中；

M9：攻击类别分类模块根据求和检测结果将数据向量Y归类至最大输出相对应的类别中，攻击类别可以为模糊攻击、分析攻击、后门攻击、DoS 攻击、漏洞攻击、通用攻击、侦察攻击、外壳代码攻击或蠕虫攻击中的一种或几种。

根据限制因子R确定粒子群优化模式之后，在进行粒子群的初始化，能够根据不同的网络环境所带来的数据类别不同而进行更加适合的粒子群优化方式和环境，使粒子群优化后所得到的最佳扩散系数σ_g能够更加准确地识别恶意网络攻击行为还是正常的网络行为。

实施例2

本发明还提供一种电子设备，包括存储器、处理器，存储器中存储有可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述智能内部恶意行为网络攻击识别方法的步骤。

该实施例中的存储器可能包含告诉随机存取存储器(RAM)，或者非易失性存储器，例如至少一个磁盘存储器，通过通信接口与网络接口通信连接；

存储器用于存储具有实施例1的智能内部恶意行为网络攻击识别方法的工作流程的算法程序，在接收到执行命令后执行算法程序，进而实现内部恶意行为网络攻击的识别，处理器可以为中央处理器(CPU)、网络处理器(NP)、专用集成电路(ASIC)等组件。

虽然已经参考优选实施例对本发明进行了描述，但在不脱离本发明的范围的情况下，以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims

1.一种智能内部恶意行为网络攻击识别方法，其特征在于，包括以下步骤：

M2：将所述数据传递给数据预处理和特征提取模块，用于对数据进行预处理并提取数据中的信息特征，形成处理后数据向量集合X＝{x₁，......，x_n}，i＝1，......，n，所述x_i为第i个经过所述信息特征数据处理的特征向量；

M5：所述概率神经网络模型模块利用所述处理后数据向量集合X以及所述最佳扩散参数σ_g构建用于数据训练的概率神经网络模型S_strain，所述模型S_strain中的第k组的所述处理后数据向量集合X的输出为F_k，i(X)；

M6：继续收集网络通讯中经过数据预处理和特征提取模块处理后的数据，形成数据向量集合Y＝{y₁，......，y_n}，i＝1，......，n，定义为测试数据集S_stest，将所述测试数据集S_stest传递给网络行为检测模块；

M7：将所述概率神经网络模型S_strain输入至所述网络行为检测模块，利用所述M4步骤得到的带有最佳扩散参数σ_g的概率神经网络模型S_strain连接所述测试数据集S_stest中的所有特征向量y_i，得到具有不同最大输出G_k(Y)的K个网络行为类别，所述1≤k≤K，传递给恶意攻击识别模块；

2.根据权利要求1所述的一种智能内部恶意行为网络攻击识别方法，其特征在于，所述M4步骤包括以下步骤：

M40：确定粒子群优化模式的限制因子R；

M41：初始化所述扩散参数σ_i作为粒子的粒子群，设定使第t代粒子σ_i(t)为变化速率v_i(t)位于边界β＝[0，1]内，所述粒子群中的第t代粒子σ_i(t)的初始位置为x_i(t)，初始化最佳数据向量位置

和第i个粒子领域内所有粒子中达到最佳初始位置的粒子的指数g_i；

M42：更新每个所述粒子σ_i的速率v_i(t)为v_i(t+1)；

M43：利用M42步骤得到的v_i(t+1)更新每个第t代粒子σ_i(t)为第t+1代粒子σ_i(t+1)：σ_i(t+1)＝σ_i(t)+v_i(t+1)；

M44：约束位于所述边界β内的粒子群σ_i的每个所述第t+1代粒子σ_i(t+1)位置的数据向量，计算扩散系数粒子群σ_i(t+1)中的比例系数f(σ_i(t+1))；

M45：更新最佳数据向量位置

和所述指数g_i；

M46：确定是否获得所述最佳扩散参数σ_g；若是，则停止迭代，若否，则更新迭代数由t至t+1，更新所述步骤M42至所述步骤M46。

3.根据权利要求2所述的一种智能内部恶意行为网络攻击识别方法，其特征在于，所述M40步骤中的限制因子R的计算公式如下：

其中，所述φ＝c₁+c₂，k为迭代次数，k∈[0，1]，所述c₁为与每个粒子的最佳位置相关的系数，所述c₂为是与有助于改变粒子速度的邻域的最佳位置相关的系数，0≤c₁，c₂≤2。

4.根据权利要求2所述的一种智能内部恶意行为网络攻击识别方法，其特征在于，所述步骤M42中的更新每个粒子σ_i的的速率v_i(t)为v_i(t+1)的公式如下：

其中，所述c₁为与每个粒子的最佳位置相关的系数，所述c₂为是与有助于改变粒子速度的邻域的最佳位置相关的系数，0≤c₁，c₂≤2；所述r₁、所述r₂为每次速度更新时产生的随机变量。

5.根据权利要求2所述的一种智能内部恶意行为网络攻击识别方法，其特征在于，所述步骤M45中的

6.根据权利要求1所述的一种智能内部恶意行为网络攻击识别方法，其特征在于，所述步骤M5中第k组的所述处理后数据向量集合X的输出为F_k，i(X)的公式如下：

其中，所述X_k，i是第k组的第i个数据向量。

7.根据权利要求1所述的一种智能内部恶意行为网络攻击识别方法，其特征在于，所述步骤M7中G_k(Y)的计算公式如下：

其中k∈(1，...，K)，所述M_k为第k组的数据向量集合Y的输出神经元F_ki(Y)的个数，所述ω_ki是满足

的正系数。

8.根据权利要求1所述的一种智能内部恶意行为网络攻击识别方法，其特征在于，所述步骤M8中的识别结果数据向量类别的公式如下：

9.根据权利要求1所述的一种智能内部恶意行为网络攻击识别方法，其特征在于，所述M9步骤中攻击类别模块分类得到的内部异常网络攻击行为模糊攻击、分析攻击、后门攻击、DoS攻击、漏洞攻击、通用攻击、侦察攻击、外壳代码攻击或蠕虫攻击中的一种或几种。

10.一种电子设备，包括存储器、处理器，所述存储器中存储有可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现上述权利要求1至8任一项所述的方法的步骤。