CN112532562A - 一种对抗性网络的恶意数据流检测方法及系统 - Google Patents

一种对抗性网络的恶意数据流检测方法及系统 Download PDF

Info

Publication number
CN112532562A
CN112532562A CN201910874120.7A CN201910874120A CN112532562A CN 112532562 A CN112532562 A CN 112532562A CN 201910874120 A CN201910874120 A CN 201910874120A CN 112532562 A CN112532562 A CN 112532562A
Authority
CN
China
Prior art keywords
malicious data
network
generator
noise simulation
network malicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910874120.7A
Other languages
English (en)
Other versions
CN112532562B (zh
Inventor
段彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuling Technology Co Ltd
Original Assignee
Wuhan Sipuling Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuling Technology Co Ltd filed Critical Wuhan Sipuling Technology Co Ltd
Priority to CN201910874120.7A priority Critical patent/CN112532562B/zh
Publication of CN112532562A publication Critical patent/CN112532562A/zh
Application granted granted Critical
Publication of CN112532562B publication Critical patent/CN112532562B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Evolutionary Computation (AREA)
  • Computer Hardware Design (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种对抗性网络的恶意数据流检测方法及系统,可以基于历史访问数据,分析构建一个噪声模拟网络恶意数据模型,首先使用真实网络恶意数据流量训练所述噪声模拟网络恶意数据模型,模型自身还有不断复合、变异网络恶意数据的能力。同时,通过修改网络恶意数据对抗性样本弱相关位,保留了对抗性样本的可执行性和攻击性,更好地用于深度学习训练。当噪声模拟网络恶意数据模型训练完毕后,在接入机器学习模块,作为机器学习模块的模拟恶意数据源,不间断地恶意数据训练机器学习模块,帮助提升机器学习模块检测的能力。

Description

一种对抗性网络的恶意数据流检测方法及系统
技术领域
本申请涉及网络安全技术领域,尤其涉及一种对抗性网络的恶意数据流检测方法及系统。
背景技术
现有的统计分析和机器学习虽然能检测恶意软件、恶意代码、恶意行为等,但还存在两个不足:一是,训练过程中恶意数据不足,远远少于正常数据,数据的不足和不平衡会导致检测模型失衡,导致检测稳定性差;二是,随着技术的发展,恶意攻击者的恶意数据手段也在不断改变,然而却无法提前将它们用于模型训练,导致模型无法检测未知的恶意数据。所以急需一种可以自我生成可使用的恶意数据,增强训练数据,提升检测模型性能的方法和系统。
发明内容
本发明的目的在于提供一种对抗性网络的恶意数据流检测方法及系统,可以基于历史访问数据,分析构建一个噪声模拟网络恶意数据模型,首先使用真实网络恶意数据流量训练所述噪声模拟网络恶意数据模型,模型自身还有不断复合、变异网络恶意数据的能力。同时,通过修改网络恶意数据对抗性样本弱相关位,保留了对抗性样本的可执行性和攻击性,更好地用于深度学习训练。当噪声模拟网络恶意数据模型训练完毕后,在接入机器学习模块,作为机器学习模块的模拟恶意数据源,不间断地恶意数据训练机器学习模块,帮助提升机器学习模块检测的能力。
第一方面,本申请提供一种对抗性网络的恶意数据流检测方法,所述方法包括:
获取历史访问数据,根据已知的网络恶意数据类型的特征,分析提取历史访问数据中恶意数据的特征向量;
其中,提取历史访问数据中恶意数据的特征向量之前,先进行预处理,将长度统一化为指定长度,每一位数据归一化到[0,1],再将样本转换为64*64的二维向量;
基于所述恶意数据的特征向量,构建噪声模拟网络恶意数据模型,应用该模型可随机生成已知的各种类型的网络恶意数据以及多种网络恶意数据复合;
所述多种网络恶意数据复合包括同时具备若干种网络恶意数据的特征,或者连续输出若干种网络恶意数据,或变异网络恶意数据特征;
将所述噪声模拟网络恶意数据模型作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络恶意数据流量一并送入判别器;
其中,生成器的输出流量先通过掩模操作提取出弱相关位,在弱相关位进行扰动生成具有攻击性的对抗性样本;
所述判别器根据两端输入的生成器输出流量和真实网络恶意数据流量,得出判别结果;如果判别结果为真时,表明生成器输出流量与真实网络恶意数据流量在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出流量与真实网络恶意数据流量在特征向量上差别很大,判别器将差别度信息、真实网络恶意数据流量的特征向量一并反馈给生成器;
生成器根据判别器的反馈结果调整噪声模拟网络恶意数据模型的参数,再次生成新的输出流量;
当判别器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟网络恶意数据模型训练完毕;
将所述噪声模拟网络恶意数据模型接入机器学习模块,由所述噪声模拟网络恶意数据模型不间断随机生成网络恶意数据流量,供机器学习模块自我学习;
所述机器学习模块借助所述噪声模拟网络恶意数据模型,不间断丰富各种网络恶意数据特征向量样本,对真实网络流量进行恶意数据流检测,并将检测结果反馈给管理员,管理员可以定时根据检测结果调整所述噪声模拟网络恶意数据模型的参数,启动所述噪声模拟网络恶意数据模型的更新机制。
结合第一方面,在第一方面第一种可能的实现方式中,所述变异网络恶意数据特征包括对已知的网络恶意数据特征向量做扩展,以及修改若干恶意数据的字段。
结合第一方面,在第一方面第二种可能的实现方式中,所述判别器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟网络恶意数据模型的参数。
结合第一方面,在第一方面第三种可能的实现方式中,所述噪声模拟网络恶意数据模型的更新机制,是指再次将所述噪声模拟网络恶意数据模型作为生成器,将生成器的输出流量送入所述判别器。
第二方面,本申请提供一种对抗性网络的恶意数据流检测系统,所述系统包括:
获取单元,用于获取历史访问数据,根据已知的网络恶意数据类型的特征,分析提取历史访问数据中恶意数据的特征向量;其中,提取历史访问数据中恶意数据的特征向量之前,先进行预处理,将长度统一化为指定长度,每一位数据归一化到[0,1],再将样本转换为64*64的二维向量;
构建单元,用于基于所述恶意数据的特征向量,构建噪声模拟网络恶意数据模型,应用该模型可随机生成已知的各种类型的网络恶意数据以及多种网络恶意数据复合;
所述多种网络恶意数据复合包括同时具备若干种网络恶意数据的特征,或者连续进行若干种网络恶意数据,或变异网络恶意数据特征;
生成器,用于将所述噪声模拟网络恶意数据模型作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络恶意数据流量一并送入判别器;其中,生成器的输出流量先通过掩模操作提取出弱相关位,在弱相关位进行扰动生成具有攻击性的对抗性样本;
判别器,用于根据两端输入的生成器输出流量和真实网络恶意数据流量,得出判别结果;如果判别结果为真时,表明生成器输出流量与真实网络恶意数据流量在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出流量与真实网络恶意数据流量在特征向量上差别很大,判别器将差别度信息、真实网络恶意数据流量的特征向量一并反馈给生成器;
所述生成器根据判别器的反馈结果调整噪声模拟网络恶意数据模型的参数,再次生成新的输出流量;
当判别器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟网络恶意数据模型训练完毕;
机器学习模块,用于接入所述噪声模拟网络恶意数据模型,由所述噪声模拟网络恶意数据模型不间断随机生成网络恶意数据流量,供机器学习模块自我学习;
所述机器学习模块借助所述噪声模拟网络恶意数据模型,不间断丰富各种网络恶意数据特征向量样本,对真实网络流量进行恶意数据流检测,并将检测结果反馈给管理员,管理员可以定时根据检测结果调整所述噪声模拟网络恶意数据模型的参数,启动所述噪声模拟网络恶意数据模型的更新机制。
结合第二方面,在第二方面第一种可能的实现方式中,所述变异网络恶意数据特征包括对已知的网络恶意数据特征向量做扩展,以及修改若干恶意数据的字段。
结合第二方面,在第二方面第二种可能的实现方式中,所述判别器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟网络恶意数据模型的参数。
结合第二方面,在第二方面第三种可能的实现方式中,所述噪声模拟网络恶意数据模型的更新机制,是指再次将所述噪声模拟网络恶意数据模型作为生成器,将生成器的输出流量送入所述判别器。
本发明提供一种对抗性网络的恶意数据流检测方法及系统,可以基于历史访问数据,分析构建一个噪声模拟网络恶意数据模型,首先使用真实网络恶意数据流量训练所述噪声模拟网络恶意数据模型,模型自身还有不断复合、变异网络恶意数据的能力。同时,通过修改网络恶意数据对抗性样本弱相关位,保留了对抗性样本的可执行性和攻击性,更好地用于深度学习训练。当噪声模拟网络恶意数据模型训练完毕后,在接入机器学习模块,作为机器学习模块的模拟恶意数据源,不间断地恶意数据训练机器学习模块,帮助提升机器学习模块检测的能力。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明对抗性网络的恶意数据流检测方法的流程图;
图2为本发明对抗性网络的恶意数据流检测系统的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的对抗性网络的恶意数据流检测方法的流程图,所述方法包括:
获取历史访问数据,根据已知的网络恶意数据类型的特征,分析提取历史访问数据中恶意数据的特征向量;
其中,提取历史访问数据中恶意数据的特征向量之前,先进行预处理,将长度统一化为指定长度,每一位数据归一化到[0,1],再将样本转换为64*64的二维向量;
基于所述恶意数据的特征向量,构建噪声模拟网络恶意数据模型,应用该模型可随机生成已知的各种类型的网络恶意数据以及多种网络恶意数据复合;
所述多种网络恶意数据复合包括同时具备若干种网络恶意数据的特征,或者连续输出若干种网络恶意数据,或变异网络恶意数据特征;
将所述噪声模拟网络恶意数据模型作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络恶意数据流量一并送入判别器;
其中,生成器的输出流量先通过掩模操作提取出弱相关位,在弱相关位进行扰动生成具有攻击性的对抗性样本;
所述判别器根据两端输入的生成器输出流量和真实网络恶意数据流量,得出判别结果;如果判别结果为真时,表明生成器输出流量与真实网络恶意数据流量在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出流量与真实网络恶意数据流量在特征向量上差别很大,判别器将差别度信息、真实网络恶意数据流量的特征向量一并反馈给生成器;
生成器根据判别器的反馈结果调整噪声模拟网络恶意数据模型的参数,再次生成新的输出流量;
当判别器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟网络恶意数据模型训练完毕;
将所述噪声模拟网络恶意数据模型接入机器学习模块,由所述噪声模拟网络恶意数据模型不间断随机生成网络恶意数据流量,供机器学习模块自我学习;
所述机器学习模块借助所述噪声模拟网络恶意数据模型,不间断丰富各种网络恶意数据特征向量样本,对真实网络流量进行恶意数据流检测,并将检测结果反馈给管理员,管理员可以定时根据检测结果调整所述噪声模拟网络恶意数据模型的参数,启动所述噪声模拟网络恶意数据模型的更新机制。
在一些优选实施例中,所述变异网络恶意数据特征包括对已知的网络恶意数据特征向量做扩展,以及修改若干恶意数据的字段。
在一些优选实施例中,所述判别器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟网络恶意数据模型的参数。
在一些优选实施例中,所述噪声模拟网络恶意数据模型的更新机制,是指再次将所述噪声模拟网络恶意数据模型作为生成器,将生成器的输出流量送入所述判别器。
图2为本申请提供的对抗性网络的恶意数据流检测系统的架构图,所述系统包括:
获取单元,用于获取历史访问数据,根据已知的网络恶意数据类型的特征,分析提取历史访问数据中恶意数据的特征向量;其中,提取历史访问数据中恶意数据的特征向量之前,先进行预处理,将长度统一化为指定长度,每一位数据归一化到[0,1],再将样本转换为64*64的二维向量;
构建单元,用于基于所述恶意数据的特征向量,构建噪声模拟网络恶意数据模型,应用该模型可随机生成已知的各种类型的网络恶意数据以及多种网络恶意数据复合;
所述多种网络恶意数据复合包括同时具备若干种网络恶意数据的特征,或者连续进行若干种网络恶意数据,或变异网络恶意数据特征;
生成器,用于将所述噪声模拟网络恶意数据模型作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络恶意数据流量一并送入判别器;其中,生成器的输出流量先通过掩模操作提取出弱相关位,在弱相关位进行扰动生成具有攻击性的对抗性样本;
判别器,用于根据两端输入的生成器输出流量和真实网络恶意数据流量,得出判别结果;如果判别结果为真时,表明生成器输出流量与真实网络恶意数据流量在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出流量与真实网络恶意数据流量在特征向量上差别很大,判别器将差别度信息、真实网络恶意数据流量的特征向量一并反馈给生成器;
所述生成器根据判别器的反馈结果调整噪声模拟网络恶意数据模型的参数,再次生成新的输出流量;
当判别器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟网络恶意数据模型训练完毕;
机器学习模块,用于接入所述噪声模拟网络恶意数据模型,由所述噪声模拟网络恶意数据模型不间断随机生成网络恶意数据流量,供机器学习模块自我学习;
所述机器学习模块借助所述噪声模拟网络恶意数据模型,不间断丰富各种网络恶意数据特征向量样本,对真实网络流量进行恶意数据流检测,并将检测结果反馈给管理员,管理员可以定时根据检测结果调整所述噪声模拟网络恶意数据模型的参数,启动所述噪声模拟网络恶意数据模型的更新机制。
在一些优选实施例中,所述变异网络恶意数据特征包括对已知的网络恶意数据特征向量做扩展,以及修改若干恶意数据的字段。
在一些优选实施例中,所述判别器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟网络恶意数据模型的参数。
在一些优选实施例中,所述噪声模拟网络恶意数据模型的更新机制,是指再次将所述噪声模拟网络恶意数据模型作为生成器,将生成器的输出流量送入所述判别器。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (8)

1.一种对抗性网络的恶意数据流检测方法,其特征在于,所述方法包括:
获取历史访问数据,根据已知的网络恶意数据类型的特征,分析提取历史访问数据中恶意数据的特征向量;
其中,提取历史访问数据中恶意数据的特征向量之前,先进行预处理,将长度统一化为指定长度,每一位数据归一化到[0,1],再将样本转换为64*64的二维向量;
基于所述恶意数据的特征向量,构建噪声模拟网络恶意数据模型,应用该模型可随机生成已知的各种类型的网络恶意数据以及多种网络恶意数据复合;
所述多种网络恶意数据复合包括同时具备若干种网络恶意数据的特征,或者连续输出若干种网络恶意数据,或变异网络恶意数据特征;
将所述噪声模拟网络恶意数据模型作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络恶意数据流量一并送入判别器;
其中,生成器的输出流量先通过掩模操作提取出弱相关位,在弱相关位进行扰动生成具有攻击性的对抗性样本;
所述判别器根据两端输入的生成器输出流量和真实网络恶意数据流量,得出判别结果;如果判别结果为真时,表明生成器输出流量与真实网络恶意数据流量在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出流量与真实网络恶意数据流量在特征向量上差别很大,判别器将差别度信息、真实网络恶意数据流量的特征向量一并反馈给生成器;
生成器根据判别器的反馈结果调整噪声模拟网络恶意数据模型的参数,再次生成新的输出流量;
当判别器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟网络恶意数据模型训练完毕;
将所述噪声模拟网络恶意数据模型接入机器学习模块,由所述噪声模拟网络恶意数据模型不间断随机生成网络恶意数据流量,供机器学习模块自我学习;
所述机器学习模块借助所述噪声模拟网络恶意数据模型,不间断丰富各种网络恶意数据特征向量样本,对真实网络流量进行恶意数据流检测,并将检测结果反馈给管理员,管理员可以定时根据检测结果调整所述噪声模拟网络恶意数据模型的参数,启动所述噪声模拟网络恶意数据模型的更新机制。
2.根据权利要求1所述的方法,其特征在于,所述变异网络恶意数据特征包括对已知的网络恶意数据特征向量做扩展,以及修改若干恶意数据的字段。
3.根据权利要求1-2任一项所述的方法,其特征在于,所述判别器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟网络恶意数据模型的参数。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述噪声模拟网络恶意数据模型的更新机制,是指再次将所述噪声模拟网络恶意数据模型作为生成器,将生成器的输出流量送入所述判别器。
5.一种对抗性网络的恶意数据流检测系统,其特征在于,所述系统包括:
获取单元,用于获取历史访问数据,根据已知的网络恶意数据类型的特征,分析提取历史访问数据中恶意数据的特征向量;其中,提取历史访问数据中恶意数据的特征向量之前,先进行预处理,将长度统一化为指定长度,每一位数据归一化到[0,1],再将样本转换为64*64的二维向量;
构建单元,用于基于所述恶意数据的特征向量,构建噪声模拟网络恶意数据模型,应用该模型可随机生成已知的各种类型的网络恶意数据以及多种网络恶意数据复合;
所述多种网络恶意数据复合包括同时具备若干种网络恶意数据的特征,或者连续进行若干种网络恶意数据,或变异网络恶意数据特征;
生成器,用于将所述噪声模拟网络恶意数据模型作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络恶意数据流量一并送入判别器;其中,生成器的输出流量先通过掩模操作提取出弱相关位,在弱相关位进行扰动生成具有攻击性的对抗性样本;
判别器,用于根据两端输入的生成器输出流量和真实网络恶意数据流量,得出判别结果;如果判别结果为真时,表明生成器输出流量与真实网络恶意数据流量在特征向量上非常接近,判别器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出流量与真实网络恶意数据流量在特征向量上差别很大,判别器将差别度信息、真实网络恶意数据流量的特征向量一并反馈给生成器;
所述生成器根据判别器的反馈结果调整噪声模拟网络恶意数据模型的参数,再次生成新的输出流量;
当判别器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟网络恶意数据模型训练完毕;
机器学习模块,用于接入所述噪声模拟网络恶意数据模型,由所述噪声模拟网络恶意数据模型不间断随机生成网络恶意数据流量,供机器学习模块自我学习;
所述机器学习模块借助所述噪声模拟网络恶意数据模型,不间断丰富各种网络恶意数据特征向量样本,对真实网络流量进行恶意数据流检测,并将检测结果反馈给管理员,管理员可以定时根据检测结果调整所述噪声模拟网络恶意数据模型的参数,启动所述噪声模拟网络恶意数据模型的更新机制。
6.根据权利要求5所述的系统,其特征在于,所述变异网络恶意数据特征包括对已知的网络恶意数据特征向量做扩展,以及修改若干恶意数据的字段。
7.根据权利要求5-6任一项所述的系统,其特征在于,所述判别器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟网络恶意数据模型的参数。
8.根据权利要求5-7任一项所述的系统,其特征在于,所述噪声模拟网络恶意数据模型的更新机制,是指再次将所述噪声模拟网络恶意数据模型作为生成器,将生成器的输出流量送入所述判别器。
CN201910874120.7A 2019-09-17 2019-09-17 一种对抗性网络的恶意数据流检测方法及系统 Active CN112532562B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910874120.7A CN112532562B (zh) 2019-09-17 2019-09-17 一种对抗性网络的恶意数据流检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910874120.7A CN112532562B (zh) 2019-09-17 2019-09-17 一种对抗性网络的恶意数据流检测方法及系统

Publications (2)

Publication Number Publication Date
CN112532562A true CN112532562A (zh) 2021-03-19
CN112532562B CN112532562B (zh) 2022-10-11

Family

ID=74974116

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910874120.7A Active CN112532562B (zh) 2019-09-17 2019-09-17 一种对抗性网络的恶意数据流检测方法及系统

Country Status (1)

Country Link
CN (1) CN112532562B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113810385A (zh) * 2021-08-26 2021-12-17 浙江工业大学 一种自适应干扰的网络恶意流量检测防御方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108322349A (zh) * 2018-02-11 2018-07-24 浙江工业大学 基于对抗式生成网络的深度学习对抗性攻击防御方法
US20190114419A1 (en) * 2017-10-18 2019-04-18 AO Kaspersky Lab System and method detecting malicious files using machine learning
EP3499429A1 (en) * 2017-12-12 2019-06-19 Institute for Imformation Industry Behavior inference model building apparatus and method
US20190215329A1 (en) * 2018-01-08 2019-07-11 Sophos Limited Malware detection using machine learning
CN110012019A (zh) * 2019-04-11 2019-07-12 鸿秦(北京)科技有限公司 一种基于对抗模型的网络入侵检测方法及装置
CN110008338A (zh) * 2019-03-04 2019-07-12 华南理工大学 一种融合gan和迁移学习的电商评价情感分析方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190114419A1 (en) * 2017-10-18 2019-04-18 AO Kaspersky Lab System and method detecting malicious files using machine learning
EP3499429A1 (en) * 2017-12-12 2019-06-19 Institute for Imformation Industry Behavior inference model building apparatus and method
US20190215329A1 (en) * 2018-01-08 2019-07-11 Sophos Limited Malware detection using machine learning
CN108322349A (zh) * 2018-02-11 2018-07-24 浙江工业大学 基于对抗式生成网络的深度学习对抗性攻击防御方法
CN110008338A (zh) * 2019-03-04 2019-07-12 华南理工大学 一种融合gan和迁移学习的电商评价情感分析方法
CN110012019A (zh) * 2019-04-11 2019-07-12 鸿秦(北京)科技有限公司 一种基于对抗模型的网络入侵检测方法及装置

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
CHUANLONG YIN; YUEFEI ZHU; SHENGLI LIU; JINLONG FEI; HETONG ZHAN: "An enhancing framework for botnet detection using generative adversarial networks", 《IEEE》 *
傅建明,黎琳,郑锐,苏日古嘎: "《基于GAN的网络攻击检测研究综述》", 《信息网络安全》 *
柴梦婷,朱远平: "生成式对抗网络研究与应用进展", 《计算机工程》 *
潘一鸣,林家骏: "基于生成对抗网络的恶意网络流生成及验证", 《华东理工大学学报(自然科学版)》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113810385A (zh) * 2021-08-26 2021-12-17 浙江工业大学 一种自适应干扰的网络恶意流量检测防御方法
CN113810385B (zh) * 2021-08-26 2023-02-14 浙江工业大学 一种自适应干扰的网络恶意流量检测防御方法

Also Published As

Publication number Publication date
CN112532562B (zh) 2022-10-11

Similar Documents

Publication Publication Date Title
CN110505241B (zh) 一种网络攻击面检测方法及系统
CN110493262B (zh) 一种改进分类的网络攻击检测方法及系统
CN106503558A (zh) 一种基于社团结构分析的Android恶意代码检测方法
CN110619216B (zh) 一种对抗性网络的恶意软件检测方法及系统
CN110545284A (zh) 一种对抗性网络的域名检测方法及系统
CN112492059A (zh) Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质
CN111245784A (zh) 多维度检测恶意域名的方法
CN112887329B (zh) 隐藏服务溯源方法、装置及电子设备
CN110598794A (zh) 一种分类对抗的网络攻击检测方法及系统
KR20190028880A (ko) 봇넷 탐지 시스템을 학습하기 위한 학습 데이터를 생성하는 방법 및 그 장치
Elmasry et al. Comparative evaluation of different classification techniques for masquerade attack detection
CN110581856A (zh) 一种恶意代码的检测方法及系统
CN113205134A (zh) 一种网络安全态势预测方法及系统
CN116915442A (zh) 漏洞测试方法、装置、设备和介质
CN111787002A (zh) 一种业务数据网络安全分析的方法及系统
CN110581857B (zh) 一种虚拟执行的恶意软件检测方法及系统
CN112532562B (zh) 一种对抗性网络的恶意数据流检测方法及系统
CN107832611B (zh) 一种动静态特征结合的僵尸程序检测与分类方法
CN112016088A (zh) 生成文件检测模型的方法、装置、检测文件的方法及装置
CN112001424A (zh) 基于对抗训练的恶意软件开放集家族分类方法和装置
CN115361215B (zh) 一种基于因果图的网络攻击行为检测方法
CN114285587A (zh) 域名鉴别方法和装置、域名分类模型的获取方法和装置
CN112052453A (zh) 基于Relief算法的webshell检测方法及装置
CN111581640A (zh) 一种恶意软件检测方法、装置及设备、存储介质
CN112764791B (zh) 一种增量更新的恶意软件检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant