CN112738015A - 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 - Google Patents

一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 Download PDF

Info

Publication number
CN112738015A
CN112738015A CN202011168087.5A CN202011168087A CN112738015A CN 112738015 A CN112738015 A CN 112738015A CN 202011168087 A CN202011168087 A CN 202011168087A CN 112738015 A CN112738015 A CN 112738015A
Authority
CN
China
Prior art keywords
attack
model
detection
neural network
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011168087.5A
Other languages
English (en)
Other versions
CN112738015B (zh
Inventor
毛北逢
刘静
赖英旭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Technology
Original Assignee
Beijing University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Technology filed Critical Beijing University of Technology
Priority to CN202011168087.5A priority Critical patent/CN112738015B/zh
Publication of CN112738015A publication Critical patent/CN112738015A/zh
Application granted granted Critical
Publication of CN112738015B publication Critical patent/CN112738015B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Molecular Biology (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Computation (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于可解释卷积神经网络(CNN)与图检测的多步攻击检测方法及系统,将网络通信流量进行捕捉,建立通信状态图。将捕获的网络通信流量对其进行分流,将分流后得到的数据进行规整。将得到的数据作为输入,形成规整后的训练数据集,利用卷积神经网络进行学习得到能够有效对流量异常检测和分类的模型。并利用类激活图提取细节与决策树结合建立代理模型得到可解释的卷积神经网络。利用得到的可解释的卷积神经网络模型对待检测的流量进行检测,对建立的通信状态图进行更新。从建立的通信状态图中提取带权重的异常攻击子图,得到攻击场景,利用带权重的深度优先遍历算法提取攻击链。本发明可以提高精度的同时降低误报的出现。还能够输出对应的权重信息,方便安全管理员对于检测信息的直接利用。

Description

一种基于可解释卷积神经网络CNN与图检测的多步攻击检测 方法
技术领域
本发明属于网络信息安全技术领域,涉及攻击检测技术领域,特别是传统网络下多步攻击检测技术。
背景技术
随着近年来网络事件数量呈上升趋势,基础网络或者关键基础设施依然面临着较大的安全风险,网络攻击事件多有发生。针对于重要信息系统,如企业网络、工业控制系统、工业互联网平台、云平台等高强度、有组织的威胁日益严峻,多步攻击已经成为网络攻击的主要方式。单步攻击是指具有独立的、不可分解攻击目的的攻击,与单步攻击相比,多步攻击是将单步攻击按照一定的逻辑关系进行排列,在特定的时间和空间中形成的攻击序列,从而实现仅用单步攻击无法实现的攻击意图。多步攻击采用的手段更加丰富,如拒绝服务攻击、web渗透、扫描攻击、暴力破解等等。像采用新型攻击手段的多步攻击以复杂网络攻击和APT 为典型代表,其造成的危害更加严重,是目前影响当前安全状况的重要因素。如表1所示的击杀链模型,攻击者往往利用网络边缘进入网络,扫描当前网络下的设备状态寻找可以利用的主机进行漏洞查询并扫描入侵,之后利用被入侵的主机做跳板向下游主机继续入侵直到达到目的主机;在达到目的主机后,对目的主机的数据进行窃取或者使其服务停止等操作来破坏网络的正常运行。如此可见,企业网络或者工业互联网等极其容易受多步攻击的困扰,检测多步攻击成为了日前网络安全领域的重点。
表1常规网络下的击杀链模型
攻击程度 攻击阶段 攻击行为
1 情报收集阶段 扫描主机情况
2 初始入侵 发送漏洞查询数据包
3 建立命令通道 利用漏洞进行渗透攻击
4 权利提升 对目标主机下达越权命令
5 数据窃取 数据收集、数据外传
在传统的检测方法中,告警关联分析、攻击图等技术为多步攻击检测提供了很好的解决思路。但是方法都建立在已知攻击特征上,如利用snort警报规则提取异常攻击点,再利用警报信息进行聚类构建概率模型来检测多步攻击。同时,多步攻击检测依赖于单步攻击检测,因此如何降低异常检测误报为一个很关键的问题。尤其是针对于企业网络、工业互联网等,很容易受到误报影响的网络,检测精度显得尤为重要。而对于误报处理上,很少有模型考虑对决策的分析,因此,在检测多步攻击时,应该考虑检测模型的决策透明性,利用透明性来降低误报是多步攻击检测的关键问题。
基于图的检测在多个领域取得了广泛应用,在入侵检测领域同样有诸多的成果,因此为了能够降低对已有知识的需求,本发明以图结构的异常检测方法为基础,其中摒弃利用snort捕捉警报信息的方法以及利用提取特征等机器学习方法,利用卷积神经网络模型(CNN)对流量所有数据进行学习,检测异常行为,捕获异常警报信息。同时,为了提高模型的可解释性,提高神经网络模型透明度,尽量降低误报性事件发生,模型利用类激活图捕捉细节再结合语义决策树对模型决策过程进行解释,理解其决策过程。最后利用图的检测方法,对捕获的异常信息和攻击情况进行合并,提取出攻击子图,对攻击子图进行带权重的深度优先遍历,最终得到多步攻击链。
发明内容
本发明所要解决的技术问题是提供一种基于可解释卷积神经网络(CNN)与图检测的多步攻击检测方法及系统,用于解决传统网络下,检测存在于网络中的多步攻击行为,并溯源到初始攻击点,降低攻击点利用中间跳板等持续对网络造成损失的问题。
本发明解决上述问题的技术方案如下:一种基于可解释CNN与图检测的多步攻击检测方法,包括:
步骤1,将网络通信流量进行捕捉,利用流量信息对网络节点通行状态进行捕捉,并建立通信状态图。
步骤2,将步骤1捕获的网络通信流量对其进行分流,对通信数据按照会话形式就行截取,并将分流后得到的数据进行规整。
步骤3,将步骤2得到的数据作为输入,形成规整后的训练数据集,利用卷积神经网络进行学习得到能够有效对流量异常检测和分类的模型,并利用模型解释方法对卷积神经网络的决策过程进行有效分析,建立语义决策树。以获得解释的卷积神经网络模型,也就获得了异常流量检测模型。
步骤4,利用得到的可解释的卷积神经网络对待检测的流量进行检测,对于检测为异常的流量得到异常检测警报信息。利用警报信息,对建立的通信状态图进行更新。
步骤5,从建立的通信状态图中提取带权重的异常攻击子图,得到攻击场景,利用带权重的深度优先遍历算法提取攻击链。
在上述技术方案的基础上,本发明还可以做如下细化。
进一步,所述步骤1中将对网络流量进行捕捉,建立网络通信状态图的具体包括:对每个节点和边定义属性信息。以IP地址、MAC地址作为节点的关键信息,为节点定义相关信息。
进一步,所述步骤2中,对捕获的流量进行分流和规整,具体包括:
步骤21,对TCP和UDP协议类型数据包,将对应的通信流量按照源IP、目的IP、以及协议类型等信息将网络中的通信流量分割成多个会话的形式。
步骤22,对步骤21分割后的每个流,从中截取固定数量m的数据包,从每个数据包中截取固定大小n的数据,提取出m*n长度大小的字节流。之后进行重塑,将m*n的流转换为h*h的方阵数据。
进一步,所述步骤3中,还需判断是否已有针对于流量的异常检测模型,如果在不存在异常检测模型(解释的卷积神经网络模型)。那么就利用步骤1,步骤2,提取待检测的流量数据进行训练构建模型。如果存在,则利用建立的解释的卷积神经网络模型判断流量是否有异常行为即可。
进一步,所述步骤3中,利用卷积神经网络构建异常检测模型并进行解释生成解释的卷积神经网络模型的方法具体包括:
步骤31,利用经典的卷积神经网络模型(ResNet、GoogleNet)等对标记的流量数据进行训练。为了能够将卷积层的效果发挥到最大,并利于解释模型的生成。在模型最后一层卷积后面加上全局池化层,再连接全连接层用于输出分类类别。利用交叉熵作为损失函数,Adam作为优化器来训练模型。
步骤32,通过步骤31得到训练好的卷积模型后,提取出最后一层的全连接层的权重矩阵。其代表了最后一层卷积层与分类结果之间的权重关系。将训练样本再次放入模型中,提取最后一层卷积层输出的feature map。
步骤33,利用步骤32得到的权重矩阵和feature map,对其做加权相乘,得到数据对应分类所对应的类激活图(CAM图层)。设定阈值,将类激活图中大于该阈值的元素位置集合进行提取,并对应到原样本位置集合所在元素值集合进行提取,得到攻击细节图像。
步骤34,对步骤33提取的攻击细节进行向量化,利用攻击细节获取最后一层卷积层中,对应攻击细节激活程度最高的一组过滤器,根据过滤器的激活程度提取对应的特征向量,使用激活特征向量代表攻击细节。
步骤35,对步骤34提取的攻击细节进行语义贴合。利用kmeans聚类算法按照攻击种类对细节向量进行聚类,建立聚类模型,其中包含多个聚类中心点。提取聚类中心点,对所有训练样本按攻击方式进行分类并标记。计算样本经过步骤 31-34得到的特征向量。利用GINI指数对决策树聚类出的聚类中心进行语义贴合。根据能够通过聚类中心聚类出的攻击方式,得到攻击细节与攻击方式的对应关系。
步骤36,建立语义决策树:对类似攻击方式,或者同一个攻击细节区别出的多种攻击方式进行合并,重新标记并利用步骤34得到攻击特征向量,利用特征向量建立带有语义信息的决策树。
步骤37,为每个攻击细节定义攻击权重信息。
进一步,所述步骤4中利用步骤3构建的模型检测异常,生成异常信息并更新通信状态图的具体包括:
步骤41,对网络通信流量按照步骤1,步骤2进行数据规整。放入步骤3构建的模型中进行检测,利用解释的卷积神经网络捕捉到攻击以及对应的攻击方式后,给出对应的异常信息Inf={攻击时间,源攻击点,目标攻击点,攻击阶段风险程度权重(异常检测模型获取),攻击目标达成风险程度权重(代理决策树获取)}。
步骤42,判断异常信息点中双方节点是否存在于通信子图中,如果不存在则创建;如果存在则修改其对应的安全状态与节点攻击程度。
步骤43,判断是否存在对应节点与节点之间的有向边,如果存在则累加权重;如果不存在则建立有向边,权重给定为攻击阶段风险程度权重与攻击目标达成风险程度权重的乘积。
步骤44,在单位时间内,对通信状态图中的不安全的点和有向边进行提取,得到攻击子图以及还原后的攻击场景。
进一步,所述步骤5,利用通信状态图提取异常攻击子图,并提取攻击链的算法具体包括:
步骤51,计算图中所有节点的出入度,找到无入度的节点,放入root列表中。定义visited列表,大小为所有节点数量,初始值为false。
步骤52,遍历root节点列表,选取每个当前节点的后驱节点next列表,定义path列表、weight列表。
步骤53,对当前遍历节点的next列表按照权重从高到低进行排序,并重置visited列表。
步骤54,依次读取排序后next列表内的节点,如果该点未被访问,对节点进行访问,并将visited列表对应位置改为True,在path中记录该节点,在weight 中记录该边权重;否则,读取下一个节点,重复此判断。
步骤55,递归访问节点的next列表直到为空,结束递归。打印path与weight 列表。重复步骤53过程。
步骤56,重复步骤53,步骤54,步骤55过程,知道root列表遍历完成。
步骤57,输出多条多步攻击链,按照权重进行排序,输出高权重攻击链。
基于上述方法,本发明的技术方案还包括了一种利用解释卷积神经网络与图检测方法结合的多步攻击检测系统,包括:
数据处理模块,对捕捉的网络通信流量进行处理,经过分流、截取、规整等一系列相关操作,以将数据能够顺利的放入模型中进行学习和检测。
解释的卷积神经网络构建模块,其用于对数据处理模块得到的数据作为输入,形成异常检测数据集,并利用卷积神经网络训练分类模型,以获得对能够对流量进行分类的分类器模型。同时,对建立的分类器模型利用解释方法进行解释得到语义决策树。最终得到解释的卷积神经网络模型。
识别模块,其用于利用解释的卷积神经网络构建模块生成的模型检测未知异常的网络流量,并生成异常警报信息。
场景还原与攻击链提取模块,其用于数据处理模块的输出结果,建立通信状态图。并结合识别模块给出的信息,更新通信状态图。并利用提取的攻击子图,输出检测出的多步攻击链。
进一步,所述数据处理模块,所述数据包数据模块包括:
数据包分流处理模块,其用于对网络数据包按照源IP、目的IP、通信协议等信息进行按流拆分,形成多个分流。
分流数据规整模块,其用于对数据包分流处理模块的流量进行数据提取,合并以及归一化。用于训练和检测。
进一步,所述解释的卷积神经网络构建模块具体包括:
卷积神经网络训练模块,其用于对输入标记好的流量数据训练对应的分类模型。
模型解释模块,其用于对卷积神经网络构建的分类进行的决策过程进行有效地解释,提高模型的透明性,生成代理的语义决策树。
进一步,所述识别模块利用训练的分类模块检测未知异常的流量,并给出捕捉到的攻击细节信息。最后利用捕捉到的信息给出异常警报信息。
进一步,所述场景还原与攻击链提取模块包括:
场景还原模块,其用于对数据处理模块与识别模块给出的输出结果建立并更新网络通行状态图,利用状态图提取出攻击子图。
攻击链提取模块,其用于对场景还原模块输出的攻击子图,利用带权重的深度优先遍历算法,输出不同权重的多步攻击链。
本发明的有效效果是:
1)此系统依据网络流量进行检测,将存在网络中的流量进行输入,并将流量中检测到的异常进行捕获和关联,得到多步攻击的攻击链。
2)在处理流量异常检测时,无需人为设计提取特征,能够有效降低信息损失,最大化提高了检测单步攻击的能力。
3)与以往异常检测或者多步攻击检测相比,此系统增加了解释模块,对决策过程进行了分析,能够利用决策信息辅助降低误报的产生。
4)在输出阶段,模型利用图的检测方式、警报信息以及模型解释结果结合,直接输出攻击场景以及多步攻击链条,方便安全管理员对于检测信息的直接利用。
综上所述,本发明所述利用可解释神经网络与图检测技术结合的网络下多步攻击检测方法及系统,有效解决了在企业网络或者工控网络等场景下,被攻击者层层利用造成隐蔽攻击无法发现的问题。与传统方法相比,本文利用深度学习算法并对模型进行解释产生代理检测模型,比利用snort或者提取特征的机器学习模型在精度上得到了提高;比单纯利用神经网络模型检测的方法在透明性上得到了提高。
本发明利用异常检测信息与图检测技术,结合有向图还原了攻击场景并利用遍历算法找到了多步攻击链,管理人员利用输出信息可以很快的定位到最高风险的攻击链处,对攻击做出快速合理的防御措施。
附图说明
图1为本发明所述一种基于可解释卷积神经网络(CNN)与图检测的多步攻击检测方法及系统的流程示意图;
图2位本发明所述实施例一中,利用可解释卷积神经网络(CNN)与图检测方法结合检测多步攻击的方法示意图;
图3为本发明所述实施例一中,构建可解释卷积神经网络(CNN)流程示意图;
图4为本发明所述实施例一中,利用异常检测模型检测异常并更新通信状态图流程示意图;
图5为本发明所述实施例一中,利用带权重深度优算法遍历场景得到多步攻击链流程示意图;
图6为本发明所述实施例二中基于DARPA1999/CICIDS2017数据集下的实验结果图,具体为异常检测模型检测效果;
图7为本发明所述实施例二中基于DARPA1999/CICIDS2017数据集下的实验结果图,具体为不同阈值下,攻击细节与攻击方式的语义匹配率;
图8为本发明所述实施例二中基于DARPA1999/CICIDS2017数据集下的实验结果图,具体为DAPRA1999检测模型解释生成的语义决策树;
图9为本发明所述实施例二中基于LLDOS1.0数据集下的实验结果图。
图10为遍历攻击子图得到的多步攻击链图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
实施例一
如图1所示,实施例一是一种基于可解释CNN与图检测的多步攻击检测方法,包括:
步骤1,将网络通信流量进行捕捉,利用流量信息对网络节点通行状态进行捕捉,并建立通信状态图。
步骤2,将步骤1捕获的网络通信流量对其进行分流,对通信数据按照会话形式就行截取,并将分流后得到的数据进行规整。
步骤3,将步骤2得到的数据作为输入,形成规整后的训练数据集,利用卷积神经网络进行学习得到能够有效对流量异常检测和分类的模型,并利用模型解释方法对卷积神经网络的决策过程进行有效分析,建立语义决策树。以获得解释的卷积神经网络模型,也就获得了异常流量检测模型。
步骤4,利用得到的解释后的卷积神经网络模型对待检测的流量进行检测,对于检测为异常的流量得到异常检测警报信息。利用警报信息,对建立的通信状态图进行更新。
步骤5,从建立的通信状态图中提取带权重的异常攻击子图,得到攻击场景,利用带权重的深度优先遍历算法提取攻击链。
如图2所示,将网络通信流量进行规整输入,并构建异常检测模型(解释的卷积神经网络)检测多步攻击,并输出多步攻击链的具体内容为:
1.网络流量与环境捕捉:利用对网络中流量信息的捕捉,完成对网络场景的模拟,生成当前网络通信场景状态图,对每个节点和边定义属性信息。
以IP地址、MAC地址作为节点的关键信息,为节点定义相关信息:
1)节点的安全状态(security flag):安全(True),被攻击(False)
2)节点当前的攻击程度(attack stage):当前节点是否处于攻击状态,且处于表1中的何种攻击状态。
通信边定义信息:
1)通信是否有异常存在:flag
2)被攻击的权重:weight,即该两个节点之间通信被检测为异常后的风险程度。
2.数据分流:对于捕获的流量,无论传输协议是TCP协议还是UDP协议,通信的双方都将利用一个固定的端口号传输该协议下的特定内容。因此,按照这种传输方式,可以将网络中的通信流量进行分割,按照源IP、目的IP以及协议等信息将网络中的通信流量分割成多个对话的形式。
3.分流数据规整:对每个流截取固定数量m的数据包,从每个数据包中截取固定大小n的数据,提取出m*n长度大小的字节流,之后把m*n重塑成h*h的方阵。为了能够囊括每个流中的所有数据,设计m和n的大小尽量能够包含单个流中的所有数据信息。对于超长数据,如果单个流的数据包过于多,那么将数据流进行拆分处理,拆分成多个组。
4.将数据放入卷积神经网络模型中,如果模型不存在则积累数据训练;如果模型存在,则放入模型得到检测结果。如果判断为非异常,则不做处理;如果判断为异常,则将结果放入解释模型中,得到决策过程以及异常信息以及该类别攻击的风险权重。利用卷积模型与解释模型可以得到流量检测的异常信息Inf={攻击时间,源攻击点,目标攻击点,攻击阶段风险程度权重,攻击目标达成风险程度权重}。
5.利用异常信息Inf,将异常信息依靠攻击时间、原始攻击点、被攻击点更新图1步骤1中生成的网络通信图,如果原始或者目标节点不存在则创建,如果存在则依照Inf信息更新,将网络通信图中原始攻击点的节点状态设置为不安全,攻击程度设置为表1中对应的威胁程度。将被攻击点安全状态设置为被攻击状态,建立原始攻击点到被攻击点的有向边,其中给定权值,权值来源于攻击阶段风险程度权重与攻击目标达成风险程度权重的乘积。
6.对于检测到的异常信息,如果一段时间内,无异常信息捕捉,则提取对应时间段节点属性为攻击状态或者不安全状态的节点,得到攻击子图。利用带权重的深度优先遍历算法对攻击子图进行遍历,按照权重高低对遍历的路径进行排序输出,得到风险权重较高的多步攻击链。
为了能够更好地检测单步攻击的发生,首先以当前传统的卷积神经网络框架为基础模型训练异常检测模型。同时为了提高卷积神经网络的决策透明性,降低误报的概率,本发明利用类激活图(CAM)与决策树模型对决策过程进行分析。
步骤31,利用经典的卷积神经网络模型(ResNet、GoogleNet)等对标记的流量数据进行训练。为了能够将卷积层的效果发挥到最大,并利于解释模型的生成。在模型最后一层卷积后面加上全局池化层,再连接全连接层用于输出分类类别。利用交叉熵作为损失函数,Adam作为优化器来训练模型。
步骤32,提取出最后一层的全连接层的权重矩阵Wi,j,i=1,2,...,n,j=1,2,...,c, 其中i为矩阵横轴标识,范围为1到n,其中n为最后一层卷积通道数;j为矩阵纵轴标识,范围为1到c,c为分类数。其代表了最后一层卷积层与分类结果之间的权重关系。将训练样本再次放入模型中,提取出卷积层最后一层输出的 feature map。
步骤33,利用权重矩阵Wi,j与最后一层卷积层输出featurei,i=1,2,...,n(其中j为过滤器编号,范围为1到n,n为总过滤器数)加权相乘得到某一分类对应的类激活图(CAM图层)Cam_featurelabel,其中label为对应类别标识。设定阈值th,将Cam_featurelabel中大于该阈值的元素位置集合进行提取,在原样本的相同位置处提取对应元素集合得到对应分类的攻击细节图像Detailslabel,其中label为对应类别标识。
步骤34,对步骤33提取的攻击细节进行向量化,利用攻击细节获取最后一层卷积层中,对应攻击细节激活程度最高的一组过滤器filterj,j=1,2,...,k,其中j 为过滤器编号,范围为1到k,k为高激活程度过滤器数。根据过滤器的激活程度提取对应的特征向量chara_X,使用激活特征向量代表攻击细节。
步骤35,在提取chara_X后,利用聚类方法(Kmeans)按照攻击种类对细节向量进行聚类,建立聚类模型km1,km2,...,kmm,其中km为聚类模型标识,m为聚类数。提取对应的聚类中心点C1,C2,...,Cm,其中m为聚类数。对所有训练样本按攻击方式进行分类,并标记。经过步骤1-4得到对应的chara_Xi,其中i为每个样本对应的标识。计算每个chara_Xi与聚类中心点的欧式距离,得到对应的特征向量X1,X2,...,Xm,其中m为聚类数。利用GINI指数对决策树聚类出的聚类中心进行语义贴合。根据能够通过聚类中心聚类出的攻击方式,得到攻击细节与攻击方式的对应关系。
步骤36,对类似攻击方式,或者同一个攻击细节区别出的多种攻击方式进行合并,并重新标记利用步骤34得到攻击特征向量,利用特征向量建立带有语义信息的决策树。
步骤37,为每个攻击细节定义攻击权重风险信息。
此过程利用最后一层feature map对模型决策进行了有效地解释,使模型决策更加透明,同时利用决策树显示了捕捉到的攻击细节的分类依据情况,能够更好地降低误报的发生。
如图4所示,利用构建的模型检测异常,生成异常信息并更新通信状态图的具体包括:
步骤41,对网络通信流量按照步骤1,步骤2进行数据规整。放入步骤3构建的模型中进行检测,利用解释的卷积神经网络捕捉到攻击以及对应的攻击方式后,给出对应的异常信息Inf={攻击时间,源攻击点,目标攻击点,攻击阶段风险程度权重(异常检测模型获取),攻击目标达成风险程度权重(代理决策树获取)}。
步骤42,判断异常信息点中双方节点是否存在于通信子图中,如果不存在则创建;如果存在则修改其对应的安全状态与节点攻击程度。
步骤43,判断是否存在对应节点与节点之间的有向边,如果存在则累加权重;如果不存在则建立有向边,权重给定为攻击阶段风险程度权重与攻击目标达成风险程度权重的乘积。
步骤44,在单位时间内,对通信状态图中的不安全的点和有向边进行提取,得到攻击子图以及还原后的攻击场景。
如图6所示,利用通信状态图提取的异常攻击子图,提取攻击链的算法具体包括:
步骤51,计算图中所有节点的出入度,找到无入度的节点,放入root列表中,定义visited列表,大小为所有节点数量,初始值为false。
步骤52,遍历root节点列表,选取每个节点cur-node,读取其后驱节点next 列表。定义path列表、weight列表。
步骤53,对读取到next节点按照有cur-next的有向边权重进行从高到低排序,并重置visited列表。
步骤54,依次读取排序后next列表内的节点,如果该点未被访问,对节点进行访问,并将visited列表对应位置改为True,在path中记录该节点,在weight 中记录该边权重;否则,读取下一个节点,重复此判断。
步骤55,如果递归到子cur-node的next列表为空,递归结束,打印path与 weight列表。重复3过程,直到递归起始节点的next列表为空。
步骤56,重复步骤53,步骤54,步骤55过程,直到root列表遍历完成。
步骤57,得到多条攻击链,按照权重进行排序,输出高权重攻击链。
基于上述基于可解释CNN与图检测的多步攻击检测方法,本实施例还给出一种对应的多步攻击检测系统,包括:
数据处理模块,对捕捉的网络通信流量进行处理,进行分流、截取、规整等一系列相关操作,以将数据能够顺利的放入模型中进行学习和检测。
解释的卷积神经网络构建模块,其用于对数据处理模块得到的数据作为输入,形成异常检测数据集,并利用卷积神经网络训练分类模型,以获得对能够对流量进行分类的分类器模型。同时,对建立的分类器模型利用解释方法进行解释得到语义决策树。最终得到解释的卷积神经网络模型。
识别模块,其用于利用解释的卷积神经网络构建模块生成的检测模型未知异常的网络流量,并生成异常警报信息。
场景还原与攻击链提取模块,其用于数据处理模块的输出结果,建立通信状态图。并结合识别模块给出的信息,更新通信状态图。并利用提取的攻击子图,输出检测出的多步攻击链。
同样对应基于可解释CNN与图检测的多步攻击检测方法,这种多步攻击检测系统中:
所描述数据包数据模块包括:数据包分流处理模块,其用于对网络数据包按照源IP、目的IP、通信协议等信息进行按流拆分,形成多个分流;分流数据规整模块,其用于对数据包分流处理模块的流量进行数据提取,合并以及归一化。用于训练和检测。
所描述解释的卷积神经网络构建模块具体包括:卷积神经网络训练模块,其用于对输入标记好的流量数据训练对应的分类模型;模型解释模块,其用于对卷积神经网络构建的分类进行的决策过程进行有效地解释,提高模型的透明性,生成代理的语义决策树。
所描述识别模块利用训练的分类模块检测未知异常的流量,并给出捕捉到的攻击细节信息。最后利用捕捉到的信息给出异常警报信息。
所描述场景还原与攻击链提取模块包括:场景还原模块,其用于对数据处理模块与识别模块给出的输出结果建立并更新网络通行状态图,利用状态图提取出攻击子图;攻击链提取模块,其用于对场景还原模块输出的攻击子图,利用带权重的深度优先遍历算法,输出不同权重的多步攻击链。
实施例二
实施例二是利用DARPA1999、cicids2017数据集来训练异常检测模型,利用LLDOS1.0多步攻击数据集对系统检测模型进行验证。其中DARPA1999与 cicids2017为两个时期不同网络下经典的入侵检测数据集。而LLDOS1.0为在 DARPA1999数据集网络环境下模拟的多步攻击数据集。在评估方面,利用以下几个精度对模型的效果进行评估。
首先定义以下四种样本集合:
1)TP:数据集中阳性样本且被模型归类为阳性的样本集合。
2)FP:数据集中阴性样本但被模型归类为阳性的样本集合。
3)TN:数据集中阴性样本且被模型归类为阴性的样本集合。
4)FN:数据集中阳性样品但被模型归类为阴性的样本集合。
基于上述四种样本集合,本发明采用入侵检测领域中通常使用四种评价指标来对本发明中的入侵检测模型进行检测性能评价。
模型检测性能评价指标,其中包括:准确率(Accuracy),精确率(Precision),召回率(Recall)和F-Measure。具体定义如下:
Figure RE-GDA0002983168910000131
Figure RE-GDA0002983168910000132
Figure RE-GDA0002983168910000133
Figure RE-GDA0002983168910000134
由于准确率与召回率分别描述系统性能的两个方面,单一使用准确率和召回率作为评价指标具有局限性,因此,本发明选用F-Measure指标将这两个指标进行综合考虑,从而选择最优方案。
由于本发明设计卷积神经网络解释过程,因此为了能够有效评估解释效果,制定了新的评估指标语义贴合效果fit_rate进行评价。语义贴合效果是指:在不同攻击流量中,为不同攻击的大类提取了不同的流量细节。针对于的单一类别下的不同攻击,本文尝试对聚类后的攻击细节与这些攻击方式进行贴合。为了确认贴合的程度,设置了语义匹配率来对解释模型进行评估。通过计算各个大类中成功被攻击细节分离的子攻击所占该子类攻击总数的比例,衡量CAM细节与真实攻击细节的一致性的评价标准。计算方式如下:
Figure RE-GDA0002983168910000141
其中Call为某一攻击方式样本总数量,Ctrue为通过某一细节成功区分出来的样本数量,Cfalse为区分错误的样本数量,。
首先验证模型对于两个数据集的检测效果,本实验利用Resnet18原型框架进行训练。效果如图6所示,检测效果可以达到比较高的程度,与其他机器学习方法对比,无论是DARPA1999还是CICIDS2017都可以取得很高的检测精度。
将训练好的流量检测模型利用本发明中模型解释方法进行解释生成解释决策树,来提高模型的决策透明性。依据网络分割结果和CAM层提取出激活程度最高的像素区域。为了能够最大化提取出必要细节并去除不必要的噪声细节,设置阈值,将CAM层值高于阈值的像素位置追溯到原图中,提取出对应攻击细节。对提取出的细节放入模型进行检测,得到细节检测精度,精度越高说明细节提取越充分,图7列举了在0,50,100下的细节检测精度。
为了能够更好的理解模型的工作原理以及解释捕获到的攻击行为,在实验部分,我们对不同数据集的不同攻击方式进行了划分,并根据不同的攻击方式,提取出不同的攻击细节。从图7中可以看到,在两个数据集中,分别提取了12和 10个攻击细节,并分别对应上10个不同的攻击行为。在不同阈值th下,可以看到攻击细节与攻击方式能够实现不同程度的贴合,大部分拟合率都80%以上。对于DARPA1999数据集,阈值在50时,效果最好。无论是细节拟合程度、CAM 提取到的细节检测精度、还是生成的代理决策树的准确率都达到了很高。在该阈值下,生成的代理决策树如图8所示。通过决策树,根据捕捉到的细节判断可能的攻击方式,从而得出卷积神经网络的模型决策依据。例如捕捉到有dos攻击的存在,那么在神经网络判断此次攻击为Dos攻击,而在解释决策树中,可以看到捕捉到Dos攻击后,95.6%的概率为Dos攻击,也就是具有极高的可能性。对于CICIDS2017数据集,阈值在0,50,100精度、拟合度都很高。
待检测模型与解释模型测试完成后,我们利用模型对多步攻击数据集进行了检测,图9为多步攻击各个阶段的检测效果图,图10为遍历攻击子图得到的多步攻击链。通过图9可以看出,在第一阶段,攻击者进入网络中向网络中的设备进行了扫描探测;在第二阶段,攻击者发现了网络中节点设备漏洞,对其进行攻击获取了设备的权限并植入了DDos攻击程序;第三阶段,攻击者利用DDos病毒程序向目标攻击点发起DDos攻击。
在图9利用攻击场景提取的多步攻击子图可以看到,由攻击者202.77.162.213 向172.16.112.50发动越权攻击被成功提取,同时又提取出利用172.16.112.50作为跳板向131.81.1.31发动DDos攻击的行为。在对攻击子图进行遍历得到图10 中,可以看到上述攻击链被成功提取,且风险权重最高,因此最为致命。而对于其他被越权攻击的攻击链也被列在了前面。说明系统成功的提取出多步攻击链,将较高风险的攻击链进行捕捉并输出。

Claims (10)

1.一种基于可解释卷积神经网络(CNN)与图检测的多步攻击检测方法,其特征在于,包括:
步骤1,将网络通信流量进行捕捉,利用流量信息对网络节点通行状态进行捕捉,并建立通信状态图;
步骤2,将步骤1捕获的网络通信流量对其进行分流,对通信数据按照会话形式就行截取,并将分流后得到的数据进行规整;
步骤3,将步骤2得到的数据作为输入,形成规整后的训练数据集,利用卷积神经网络进行学习得到能够有效对流量异常检测和分类的模型,并利用模型解释方法对卷积神经网络的决策过程进行有效分析,建立语义决策树;以获得解释的卷积神经网络模型,也就获得了异常流量检测模型;
步骤4,利用得到的解释后的卷积神经网络模型对待检测的流量进行检测,对于检测为异常的流量得到异常检测警报信息;利用警报信息,对建立的通信状态图进行更新;
步骤5,从建立的通信状态图中提取带权重的异常攻击子图,得到攻击场景,利用带权重的深度优先遍历算法提取攻击链。
2.根据权利要求1所述的一种基于可解释CNN与图检测的多步攻击检测方法,其特征在于,所述步骤1中将对网络流量进行捕捉,建立网络通信状态图的具体为:对每个节点和边定义属性信息;以IP地址、MAC地址作为节点的关键信息,为节点定义相关信息:
1)节点的安全状态security flag:安全True,被攻击False;
2)节点当前的攻击程度attack stage:当前节点是否处于攻击状态,且处于表1中的何种攻击状态;
通信边定义信息:
1)通信是否有异常存在:flag
2)被攻击的权重:weight,即该两个节点之间通信被检测为异常后的风险程度。
3.根据权利要求1中所描述的一种基于可解释CNN与图检测的多步攻击检测方法,其特征在于,所描述的对数据流进行提取、分流并规整的具体包括:
步骤21,无论是TCP还是UDP协议,将对应的通信流量按照源IP、目的IP、以及协议等信息将网络中的通信流量分割成多个会话的形式;
步骤22,对步骤21分割后的每个流,从中截取固定数量m的数据包,从每个数据包中截取固定大小n的数据,提取出m*n长度大小的字节流;之后进行重塑,将m*n的流转换为h*h的方阵数据。
4.根据权利要求1中所描述的一种基于可解释CNN与图检测的多步攻击检测方法,其特征在于,如果不存在异常检测模型,提取的流量数据进行训练;如果存在,则利用建立的解释的卷积神经网络模型判断流量是否有异常行为即可。
5.根据权利要求1中所描述的一种基于可解释CNN与图检测的多步攻击检测方法,其特征在于,所述步骤3中,利用规整后的流量数据建立基于卷积神经网络的异常检测模型并进行模型解释生成代理模型具体包括:
步骤31,利用经典的卷积神经网络模型对标记的流量数据进行训练;在模型最后一层卷积后面加上全局池化层,再连接全连接层用于输出分类类别;利用交叉熵作为损失函数,Adam作为优化器来训练模型;
步骤32,通过步骤31得到训练好的卷积模型后,提取出最后一层的全连接层的权重矩阵;其代表了最后一层卷积层与分类结果之间的权重关系;将训练样本再次放入模型中,提取出卷积层最后一层输出的feature map;
步骤33,利用步骤32得到的权重矩阵和feature map,对其做加权相乘,得到某一分类对应的类激活图CAM图层;设定阈值,将类激活图中大于该阈值的元素位置集合进行提取,并对应到原样本位置集合所在元素值集合进行提取,得到攻击细节图像;
步骤34,对步骤33提取的攻击细节进行向量化,利用攻击细节获取最后一层卷积层中,对应攻击细节激活程度最高的一组过滤器,根据过滤器的激活程度提取对应的特征向量chara_X,使用激活特征向量代表攻击细节;
步骤35,对步骤34提取的攻击细节进行语义贴合;利用kmeans按照攻击种类对细节向量进行聚类,建立聚类模型,其中包含多个聚类中心点;提取聚类中心点,对所有训练样本按攻击方式进行分类,标记好分类标记;计算样本经过步骤31-34得到的特征向量;利用GINI指数对决策树聚类出的聚类中心进行语义贴合;根据能够通过聚类中心聚类出的攻击方式,得到攻击细节与攻击方式的对应关系;
步骤36,建立语义决策树:对类似攻击方式,或者同一个攻击细节区别出的多种攻击方式进行合并,重新标记并利用步骤34得到攻击特征向量,利用特征向量建立带有语义信息的决策树;
步骤37,为每个攻击细节定义攻击权重信息。
6.根据权利要求1中所描述的一种基于可解释CNN与图检测的多步攻击检测方法,其特征在于,所描述步骤4,利用构建的模型检测异常,生成异常信息并更新通信状态图的具体包括:
步骤41,对网络通信流量按照步骤1,步骤2进行数据规整;放入步骤3构建的模型中进行检测,利用解释的卷积神经网络捕捉到攻击以及对应的攻击方式后,给出对应的异常信息Inf={攻击时间,源攻击点,目标攻击点,攻击阶段风险程度权重,攻击目标达成风险程度权重};
步骤42,判断异常信息点中双方节点是否存在于通信子图中,如果不存在则创建;如果存在则修改其对应的安全状态与节点攻击程度;
步骤43,判断是否存在对应节点与节点之间的有向边,如果存在则累加权重;如果不存在则建立有向边,权重给定为攻击阶段风险程度权重与攻击目标达成风险程度权重的乘积;
步骤44,在单位时间内,对通信状态图中的不安全的点和有向边进行提取,得到攻击子图以及还原后的攻击场景。
7.根据权利要求1中所描述的一种基于可解释CNN与图检测的多步攻击检测方法,其特征在于,所描述步骤5,利用通信状态图提取异常攻击子图,并提取攻击链的算法具体包括:
步骤51,计算图中所有节点的出入度,找到无入度的节点,放入root列表中;定义visited列表,大小为所有节点数量,初始值为false;
步骤52,遍历root节点列表,选取每个当前节点的后驱节点next列表,定义path列表、weight列表;
步骤53,对当前遍历节点的next列表按照权重从高到低进行排序,并重置visited列表;
步骤54,依次读取排序后next列表内的节点,如果该点未被访问,对节点进行访问,并将visited列表对应位置改为True,在path中记录该节点,在weight中记录该边权重;否则,读取下一个节点,重复此判断;
步骤55,递归访问节点的next列表直到为空,结束递归;打印path与weight列表;重复步骤53过程;
步骤56,重复步骤53,步骤54,步骤55过程,直到root列表遍历完成;
步骤57,输出多条多步攻击链,按照权重进行排序,输出高权重攻击链。
8.一种利用解释卷积神经网络与图检测方法结合的多步攻击检测系统,其特征在于,包括:
数据处理模块,对捕捉的网络通信流量进行处理,进行分流、截取、规整等一系列相关操作,以将数据能够顺利的放入模型中进行学习和检测;
解释的卷积神经网络构建模块,其用于对数据处理模块得到的数据作为输入,形成异常检测数据集,并利用卷积神经网络训练分类模型,以获得对能够对流量进行分类的分类器模型;同时,对建立的分类器模型利用解释方法进行解释得到语义决策树;最终得到解释的卷积神经网络模型;
识别模块,其用于利用解释的卷积神经网络构建模块生成的模型检测未知异常的网络流量,并生成异常警报信息;
场景还原与攻击链提取模块,其用于数据处理模块的输出结果,建立通信状态图;并结合识别模块给出的信息,更新通信状态图;并利用提取的攻击子图,输出检测出的多步攻击链。
9.根据权利要求7所述的一种利用解释卷积神经网络与图检测方法结合的多步攻击检测系统,其特征在于,所述数据包数据模块包括:
数据包分流处理模块,其用于对网络数据包按照源IP、目的IP、通信协议等信息进行按流拆分,形成多个分流;
分流数据规整模块,其用于对数据包分流处理模块的流量进行数据提取,合并以及归一化;用于训练和检测;
所述解释的卷积神经网络构建模块具体包括:
卷积神经网络训练模块,其用于对输入的带标记流量数据训练对应的分类模型;
模型解释模块,其用于对卷积神经网络构建的分类进行的决策过程进行有效地解释,提高模型的透明性,生成代理的语义决策树。
10.根据权利要求7所述的一种利用解释卷积神经网络与图检测方法结合的多步攻击检测系统,其特征在于,所述识别模块利用训练的分类模块检测未知异常的流量,并给出捕捉到的攻击细节信息;最后利用捕捉到的信息给出异常警报信息;
所述场景还原与攻击链提取模块包括:
场景还原模块,其用于对数据处理模块与识别模块给出的输出结果建立并更新网络通信状态图,利用状态图提取出攻击子图;
攻击链提取模块,其用于对场景还原模块输出的攻击子图,利用带权重的深度优先遍历算法,输出不同权重的多步攻击链。
CN202011168087.5A 2020-10-28 2020-10-28 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 Active CN112738015B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011168087.5A CN112738015B (zh) 2020-10-28 2020-10-28 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011168087.5A CN112738015B (zh) 2020-10-28 2020-10-28 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法

Publications (2)

Publication Number Publication Date
CN112738015A true CN112738015A (zh) 2021-04-30
CN112738015B CN112738015B (zh) 2023-05-02

Family

ID=75597336

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011168087.5A Active CN112738015B (zh) 2020-10-28 2020-10-28 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法

Country Status (1)

Country Link
CN (1) CN112738015B (zh)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113037784A (zh) * 2021-05-25 2021-06-25 金锐同创(北京)科技股份有限公司 流量引导方法、装置及电子设备
CN113283586A (zh) * 2021-05-26 2021-08-20 桂林电子科技大学 一种基于决策机和特征选择的快速入侵检测方法
CN113297314A (zh) * 2021-07-28 2021-08-24 深圳市永达电子信息股份有限公司 一种数据可视化方法及装置、存储介质
CN113489751A (zh) * 2021-09-07 2021-10-08 浙江大学 一种基于深度学习的网络流量过滤规则转化方法
CN113673627A (zh) * 2021-09-02 2021-11-19 哈尔滨工程大学 一种具有解释性的商品自动分类方法及系统
CN113821793A (zh) * 2021-08-27 2021-12-21 北京工业大学 一种基于图卷积神经网络的多阶段攻击场景构建方法及系统
CN114338187A (zh) * 2021-12-30 2022-04-12 中国电信股份有限公司 基于决策树的终端安全检测方法及装置
CN114884688A (zh) * 2022-03-28 2022-08-09 天津大学 一种跨多属性网络的联邦异常检测方法
CN115037535A (zh) * 2022-06-01 2022-09-09 上海磐御网络科技有限公司 一种针对网络攻击行为的智能识别方法
CN115051833A (zh) * 2022-05-12 2022-09-13 中国电子科技集团公司电子科学研究院 一种基于终端进程的互通网络异常检测方法
CN115065502A (zh) * 2022-05-05 2022-09-16 南京邮电大学 一种基于cnn的区块链日蚀攻击检测与防御方法
CN116155626A (zh) * 2023-04-20 2023-05-23 浙江工业大学 一种基于跨主机异常行为识别的复杂网络攻击检测方法
CN116488941A (zh) * 2023-06-19 2023-07-25 上海观安信息技术股份有限公司 攻击链的检测方法、装置及设备
CN116992439A (zh) * 2023-09-28 2023-11-03 北京安天网络安全技术有限公司 一种用户行为习惯模型确定方法及装置、设备及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110691100A (zh) * 2019-10-28 2020-01-14 中国科学技术大学 基于深度学习的分层网络攻击识别与未知攻击检测方法
US20200050945A1 (en) * 2018-08-07 2020-02-13 International Business Machines Corporation Detecting poisoning attacks on neural networks by activation clustering
CN111200531A (zh) * 2020-01-02 2020-05-26 国网冀北电力有限公司信息通信分公司 一种通信网流量预测方法、装置与电子设备
CN111818052A (zh) * 2020-07-09 2020-10-23 国网山西省电力公司信息通信分公司 基于cnn-lstm的工控协议同源攻击检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200050945A1 (en) * 2018-08-07 2020-02-13 International Business Machines Corporation Detecting poisoning attacks on neural networks by activation clustering
CN110691100A (zh) * 2019-10-28 2020-01-14 中国科学技术大学 基于深度学习的分层网络攻击识别与未知攻击检测方法
CN111200531A (zh) * 2020-01-02 2020-05-26 国网冀北电力有限公司信息通信分公司 一种通信网流量预测方法、装置与电子设备
CN111818052A (zh) * 2020-07-09 2020-10-23 国网山西省电力公司信息通信分公司 基于cnn-lstm的工控协议同源攻击检测方法

Cited By (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113037784B (zh) * 2021-05-25 2021-09-21 金锐同创(北京)科技股份有限公司 流量引导方法、装置及电子设备
CN113037784A (zh) * 2021-05-25 2021-06-25 金锐同创(北京)科技股份有限公司 流量引导方法、装置及电子设备
CN113283586B (zh) * 2021-05-26 2022-05-13 桂林电子科技大学 一种基于决策机和特征选择的快速入侵检测方法
CN113283586A (zh) * 2021-05-26 2021-08-20 桂林电子科技大学 一种基于决策机和特征选择的快速入侵检测方法
CN113297314A (zh) * 2021-07-28 2021-08-24 深圳市永达电子信息股份有限公司 一种数据可视化方法及装置、存储介质
CN113297314B (zh) * 2021-07-28 2021-11-02 深圳市永达电子信息股份有限公司 一种数据可视化方法及装置、存储介质
CN113821793A (zh) * 2021-08-27 2021-12-21 北京工业大学 一种基于图卷积神经网络的多阶段攻击场景构建方法及系统
CN113821793B (zh) * 2021-08-27 2023-12-19 北京工业大学 基于图卷积神经网络的多阶段攻击场景构建方法及系统
CN113673627A (zh) * 2021-09-02 2021-11-19 哈尔滨工程大学 一种具有解释性的商品自动分类方法及系统
CN113673627B (zh) * 2021-09-02 2024-02-13 哈尔滨工程大学 一种具有解释性的商品自动分类方法及系统
CN113489751B (zh) * 2021-09-07 2021-12-10 浙江大学 一种基于深度学习的网络流量过滤规则转化方法
CN113489751A (zh) * 2021-09-07 2021-10-08 浙江大学 一种基于深度学习的网络流量过滤规则转化方法
CN114338187A (zh) * 2021-12-30 2022-04-12 中国电信股份有限公司 基于决策树的终端安全检测方法及装置
CN114338187B (zh) * 2021-12-30 2024-02-02 中国电信股份有限公司 基于决策树的终端安全检测方法及装置
CN114884688A (zh) * 2022-03-28 2022-08-09 天津大学 一种跨多属性网络的联邦异常检测方法
CN115065502A (zh) * 2022-05-05 2022-09-16 南京邮电大学 一种基于cnn的区块链日蚀攻击检测与防御方法
CN115051833B (zh) * 2022-05-12 2023-12-15 中国电子科技集团公司电子科学研究院 一种基于终端进程的互通网络异常检测方法
CN115051833A (zh) * 2022-05-12 2022-09-13 中国电子科技集团公司电子科学研究院 一种基于终端进程的互通网络异常检测方法
CN115037535A (zh) * 2022-06-01 2022-09-09 上海磐御网络科技有限公司 一种针对网络攻击行为的智能识别方法
CN115037535B (zh) * 2022-06-01 2023-07-07 上海磐御网络科技有限公司 一种针对网络攻击行为的智能识别方法
CN116155626A (zh) * 2023-04-20 2023-05-23 浙江工业大学 一种基于跨主机异常行为识别的复杂网络攻击检测方法
CN116488941B (zh) * 2023-06-19 2023-09-01 上海观安信息技术股份有限公司 攻击链的检测方法、装置及设备
CN116488941A (zh) * 2023-06-19 2023-07-25 上海观安信息技术股份有限公司 攻击链的检测方法、装置及设备
CN116992439A (zh) * 2023-09-28 2023-11-03 北京安天网络安全技术有限公司 一种用户行为习惯模型确定方法及装置、设备及介质
CN116992439B (zh) * 2023-09-28 2023-12-08 北京安天网络安全技术有限公司 一种用户行为习惯模型确定方法及装置、设备及介质

Also Published As

Publication number Publication date
CN112738015B (zh) 2023-05-02

Similar Documents

Publication Publication Date Title
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
CN109768985B (zh) 一种基于流量可视化与机器学习算法的入侵检测方法
Aljawarneh et al. Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model
Robinson et al. Ranking of machine learning algorithms based on the performance in classifying DDoS attacks
Peng et al. Network intrusion detection based on deep learning
WO2016082284A1 (zh) 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法
US10187412B2 (en) Robust representation of network traffic for detecting malware variations
CN111641634B (zh) 一种基于蜜网的工业控制网络主动防御系统及其方法
CN110691073A (zh) 一种基于随机森林的工控网络暴力破解流量检测方法
CN113821793B (zh) 基于图卷积神经网络的多阶段攻击场景构建方法及系统
CN113904881B (zh) 一种入侵检测规则误报处理方法和装置
Juvonen et al. An efficient network log anomaly detection system using random projection dimensionality reduction
Kong et al. Identification of abnormal network traffic using support vector machine
Zhao Network intrusion detection system model based on data mining
CN113904795A (zh) 一种基于网络安全探针的流量快速精确检测方法
CN116915450A (zh) 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法
Kaja et al. A two stage intrusion detection intelligent system
Al-Fawa'reh et al. Detecting stealth-based attacks in large campus networks
Radivilova et al. The complex method of intrusion detection based on anomaly detection and misuse detection
Do Xuan et al. Optimization of network traffic anomaly detection using machine learning.
CN113709176A (zh) 基于安全云平台的威胁检测与响应方法及系统
Little et al. Spectral clustering technique for classifying network attacks
Corchado et al. Detecting compounded anomalous SNMP situations using cooperative unsupervised pattern recognition
Sulaiman et al. Big data analytic of intrusion detection system
Sun et al. A rough set approach for automatic key attributes identification of zero-day polymorphic worms

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant