CN112801233B - 一种物联网设备蜜罐系统攻击分类方法、装置及设备 - Google Patents

一种物联网设备蜜罐系统攻击分类方法、装置及设备 Download PDF

Info

Publication number
CN112801233B
CN112801233B CN202110385194.1A CN202110385194A CN112801233B CN 112801233 B CN112801233 B CN 112801233B CN 202110385194 A CN202110385194 A CN 202110385194A CN 112801233 B CN112801233 B CN 112801233B
Authority
CN
China
Prior art keywords
target
classifier
attack behavior
order
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110385194.1A
Other languages
English (en)
Other versions
CN112801233A (zh
Inventor
王滨
张峰
万里
何承润
丁增贤
李俊
王冲华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Hikvision Digital Technology Co Ltd
Original Assignee
Hangzhou Hikvision Digital Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Hikvision Digital Technology Co Ltd filed Critical Hangzhou Hikvision Digital Technology Co Ltd
Publication of CN112801233A publication Critical patent/CN112801233A/zh
Application granted granted Critical
Publication of CN112801233B publication Critical patent/CN112801233B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2413Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/2431Multiple classes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y10/00Economic sectors
    • G16Y10/75Information technology; Communication
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/10Detection; Monitoring
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/20Analytics; Diagnosis
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/50Safety; Security of things, users, data or systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Molecular Biology (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Biophysics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Biology (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种物联网设备蜜罐系统攻击分类方法、装置及设备,该方法包括:将目标特征向量输入给初始分类器模型的K个一阶分类器,得到K个分类结果;若K个分类结果对应M种攻击行为类型,从初始分类器模型的所有M阶分类器中选取目标分类器;将目标特征向量输入给目标分类器,得到分类结果,基于该分类结果确定目标攻击行为类型;基于目标攻击行为类型确定目标特征向量的标签值,基于目标特征向量和该标签值对初始分类器模型进行训练,基于训练后的分类器模型确定目标分类器模型,该目标分类器模型用于确定待检测流对应的攻击行为类型。通过本申请的技术方案,能够训练出准确可靠的分类器模型,分类器模型能够准确识别攻击行为类型。

Description

一种物联网设备蜜罐系统攻击分类方法、装置及设备
技术领域
本申请涉及信息安全技术领域,尤其是涉及一种物联网设备蜜罐系统攻击分类方法、装置及设备。
背景技术
物联网设备包括IPC(Internet Protocol Camera,网络摄像机)、DVR(DigitalVideo Recorder,硬盘录像机)和NVR(Network Video Recorder,网络录像机)等,随着互联网技术的快速发展,网络中的物联网设备越来越多,针对物联网设备的攻击行为也越来越多。为了对物联网设备进行有效防护,就需要分析出攻击行为类型,基于攻击行为类型对物联网设备进行有针对性的保护。
机器学习是实现人工智能的一种途径,是一门多领域交叉学科,用于研究计算机如何模拟或实现人类的学习行为,以获取新的知识或技能,重新组织已有的知识结构使之不断改善自身的性能。机器学习更加注重算法设计,使计算机能够自动地从数据中学习规律,并利用规律对未知数据进行预测。
随着机器学习技术的提出,可以采用机器学习技术训练机器学习模型,由机器学习模型输出针对物联网设备的攻击行为类型。而为了训练机器学习模型,就需要获取大量训练数据,基于这些训练数据训练机器学习模型。
但是,网络中针对物联网设备的数据流,大多数是正常数据流,只有少量攻击流(即训练数据),因此,只能使用少量训练数据对机器学习模型进行训练,无法训练出准确可靠的机器学习模型,导致机器学习模型无法准确识别攻击行为类型。而且,需要人工标定攻击流的标签值,人工标定工作量较大。
发明内容
本申请提供一种物联网设备蜜罐系统攻击分类方法,所述方法包括:
获取针对物联网设备蜜罐系统的攻击流对应的目标特征向量,将目标特征向量输 入给初始分类器模型的K个一阶分类器,得到K个一阶分类器输出的K个分类结果;K个一阶 分类器用于对K种攻击行为类型进行分类;初始分类器模型还包括
Figure 617698DEST_PATH_IMAGE001
个n阶分类器和1个K- 1阶分类器,n的取值范围为2至K-2;
若所述K个分类结果对应M种攻击行为类型,M大于1且小于K,则从初始分类器模型的所有M阶分类器中选取目标分类器,所述目标分类器与所述M种攻击行为类型对应;将目标特征向量输入给目标分类器,得到目标分类器输出的分类结果,基于该分类结果确定目标特征向量对应的目标攻击行为类型;
基于所述目标攻击行为类型确定目标特征向量的标签值,基于目标特征向量和该标签值对初始分类器模型进行训练,并基于训练后的分类器模型确定目标分类器模型,该目标分类器模型用于确定待检测流对应的攻击行为类型。
示例性的,所述将目标特征向量输入给初始分类器模型的K个一阶分类器,得到K个一阶分类器输出的K个分类结果之后,所述方法还包括:
若所述K个分类结果对应一种攻击行为类型,则将该攻击行为类型确定为所述目标特征向量对应的目标攻击行为类型。
示例性的,所述将目标特征向量输入给初始分类器模型的K个一阶分类器,得到K个一阶分类器输出的K个分类结果之后,所述方法还包括:
若所述K个分类结果对应K种攻击行为类型,则将所述K-1阶分类器选取为目标分类器;将目标特征向量输入给目标分类器,得到所述目标分类器输出的分类结果,基于该分类结果确定目标特征向量对应的目标攻击行为类型。
示例性的,所述获取针对物联网设备蜜罐系统的攻击流对应的目标特征向量,包括:获取样本集合,所述样本集合包括针对物联网设备蜜罐系统的攻击流对应的特征向量,并从所述样本集合中遍历一个特征向量作为目标特征向量;
所述基于训练后的分类器模型确定目标分类器模型,包括:
确定训练后的分类器模型是否已收敛;
若否,则将所述训练后的分类器模型确定为初始分类器模型,从所述样本集合中遍历另一个特征向量作为目标特征向量,并返回执行将目标特征向量输入给初始分类器模型的K个一阶分类器的操作;
若是,则基于训练后的分类器模型确定目标分类器模型。
示例性的,所述基于训练后的分类器模型确定目标分类器模型,包括:
将所述训练后的分类器模型确定为所述目标分类器模型;或者,
从所述训练后的分类器模型中选取K-1阶分类器,基于所述K-1阶分类器确定目标分类器模型,所述目标分类器模型至少包括所述K-1阶分类器。
示例性的,所述获取针对物联网设备蜜罐系统的攻击流对应的目标特征向量,包括:获取针对物联网设备蜜罐系统的攻击流,并从所述攻击流中提取数据信息,所述数据信息至少包括所述攻击流的包头信息和/或载荷信息;
将所述数据信息输入给已训练的自编码器模型,得到所述自编码器模型输出的与所述攻击流对应的目标特征向量;
其中,所述自编码器模型包括基于长短时记忆网络构建的自编码器模型。
示例性的,所述基于训练后的分类器模型确定目标分类器模型之后,所述方法还 包括:若目标分类器模型包括K个一阶分类器,
Figure 174581DEST_PATH_IMAGE001
个n阶分类器和1个K-1阶分类器,则:在得 到待检测流对应的待检测特征向量后,将待检测特征向量输入给目标分类器模型的K个一 阶分类器,得到K个一阶分类器输出的K个检测结果;若所述K个检测结果对应一种攻击行为 类型,则将该攻击行为类型确定为所述待检测特征向量对应的目标攻击行为类型;若所述K 个检测结果对应M种攻击行为类型,则从目标分类器模型的所有M阶分类器中选取目标分类 器,将所述待检测特征向量输入给目标分类器,得到目标分类器输出的检测结果,基于该检 测结果确定所述待检测特征向量对应的目标攻击行为类型;若所述K个检测结果对应K种攻 击行为类型,则将所述K-1阶分类器选取为目标分类器,将所述待检测特征向量输入给目标 分类器,得到目标分类器输出的检测结果,基于该检测结果确定所述待检测特征向量对应 的目标攻击行为类型;
或者,若所述目标分类器模型包括1个K-1阶分类器,则:在得到待检测流对应的待检测特征向量后,将所述待检测特征向量输入给所述目标分类器模型的K-1阶分类器,得到所述K-1阶分类器输出的检测结果;基于该检测结果确定所述待检测特征向量对应的目标攻击行为类型。
示例性的,所述确定所述待检测特征向量对应的目标攻击行为类型之后,还包括:获取与所述待检测流对应的攻陷指标IOC数据;所述IOC数据至少包括所述目标攻击行为类型,所述IOC数据还包括以下至少一种:所述待检测流的来源IP地址、所述待检测流的数据请求方式、所述待检测流的URL信息。
示例性的,所述攻击行为类型包括以下至少一种:恶意扫描类型、暴力破解类型、攻击事件类型、访问尝试类型、漏洞利用类型、建立连接类型、尝试登录类型、执行命令类型、下载样本类型和关闭连接类型。
本申请提供一种物联网设备蜜罐系统攻击分类装置,所述装置包括:
获取模块,用于获取针对物联网设备蜜罐系统的攻击流对应的目标特征向量,将 所述目标特征向量输入给初始分类器模型的K个一阶分类器,得到所述K个一阶分类器输出 的K个分类结果;其中,所述K个一阶分类器用于对K种攻击行为类型进行分类;所述初始分 类器模型还包括
Figure 300669DEST_PATH_IMAGE001
个n阶分类器和1个K-1阶分类器,n的取值范围为2至K-2;
选取模块,用于若所述K个分类结果对应M种攻击行为类型,M大于1且小于K,则从所述初始分类器模型的所有M阶分类器中选取目标分类器;其中,所述目标分类器与所述M种攻击行为类型对应;
确定模块,用于将目标特征向量输入给目标分类器,得到目标分类器输出的分类结果,基于该分类结果确定目标特征向量对应的目标攻击行为类型;
训练模块,用于基于所述目标攻击行为类型确定所述目标特征向量的标签值,基于所述目标特征向量和该标签值对初始分类器模型进行训练,并基于训练后的分类器模型确定目标分类器模型;其中,该目标分类器模型用于确定待检测流对应的攻击行为类型。
本申请提供一种物联网设备蜜罐系统攻击分类设备,包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现如下步骤:
获取针对物联网设备蜜罐系统的攻击流对应的目标特征向量,将目标特征向量输 入给初始分类器模型的K个一阶分类器,得到K个一阶分类器输出的K个分类结果;K个一阶 分类器用于对K种攻击行为类型进行分类;初始分类器模型还包括
Figure 499569DEST_PATH_IMAGE001
个n阶分类器和1个K- 1阶分类器,n的取值范围为2至K-2;
若所述K个分类结果对应M种攻击行为类型,M大于1且小于K,则从初始分类器模型的所有M阶分类器中选取目标分类器,所述目标分类器与所述M种攻击行为类型对应;将目标特征向量输入给目标分类器,得到目标分类器输出的分类结果,基于该分类结果确定目标特征向量对应的目标攻击行为类型;
基于所述目标攻击行为类型确定目标特征向量的标签值,基于目标特征向量和该标签值对初始分类器模型进行训练,并基于训练后的分类器模型确定目标分类器模型,该目标分类器模型用于确定待检测流对应的攻击行为类型。
由以上技术方案可见,本申请实施例中,可以构建一个物联网设备蜜罐系统,诱导攻击者访问或攻击物联网设备蜜罐系统,从而得到大量攻击流,即针对物联网设备蜜罐系统的数据流均是攻击流,从而使用大量训练数据对分类器模型进行训练,训练出准确可靠的分类器模型,分类器模型能够准确识别攻击行为类型,基于攻击行为类型对物联网设备进行有针对性的保护,能够帮助提高物联网设备的安全性,实现攻击者行为的分析和防御。为了对攻击流添加标签值,可以使用少量训练数据训练出一个初始分类器模型,即仅需要少量有准确标签值的训练数据就可以得到初始分类器模型,使用初始分类器模型确定攻击流的攻击行为类型,基于攻击行为类型为攻击流添加标签值,从而实现标签值的自动添加,不需要人工标定攻击流的标签值,减轻人工标定的工作量。
附图说明
为了更加清楚地说明本申请实施例或者现有技术中的技术方案,下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本申请实施例的这些附图获得其他的附图。
图1是本申请一种实施方式中的物联网设备蜜罐系统攻击分类方法流程图;
图2是本申请一种实施方式中的物联网设备蜜罐系统攻击分类方法流程图;
图3是本申请一种实施方式中的物联网设备蜜罐系统攻击分类方法流程图;
图4是本申请一种实施方式中的物联网设备蜜罐系统攻击分类方法流程图;
图5是本申请一种实施方式中的自编码器模型的结构示意图;
图6是本申请一种实施方式中的物联网设备蜜罐系统攻击分类装置结构图;
图7是本申请一种实施方式中的物联网设备蜜罐系统攻击分类设备结构图。
具体实施方式
在本申请实施例使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
蜜罐是一种对攻击者进行欺骗的技术,通过布置一些诱饵(如主机、网络服务等),诱使攻击者对诱饵进行攻击,从而对攻击行为进行捕获和分析,了解攻击者使用的工具与方法,是发现攻击者技术特征和攻击工具的有效方法。
本申请实施例中,可以构建一个物联网设备蜜罐系统(即针对物联网设备的蜜罐系统),该物联网设备蜜罐系统通过搭建虚拟的物联网设备(如IPC、DVR和NVR等),诱导攻击者访问或攻击物联网设备蜜罐系统,从而得到大量攻击流,也就是说,针对物联网设备蜜罐系统的数据流均是攻击流。
针对物联网设备蜜罐系统的攻击流,攻击行为类型可以包括很多种,比如说,攻击行为类型可以包括但不限于以下至少一种:恶意扫描类型、暴力破解类型、攻击事件类型、访问尝试类型、漏洞利用类型、建立连接类型、尝试登录类型、执行命令类型、下载样本类型和关闭连接类型等。当然,上述只是攻击行为类型的几个示例,对此攻击行为类型不做限制。这些类型的攻击流可以通过构建恶意web服务的访问数据包,对物联网设备蜜罐系统进行攻击。
为了确定攻击流对应的攻击行为类型,在一种可能的实施方式中,可以基于专家知识总结出攻击行为类型(以恶意扫描类型为例)的关键词或正则表达式,若攻击流包括该关键词或正则表达式,就可以确定攻击流对应恶意扫描类型。但是,上述方式依赖于专家知识,有效性受限于专家本身的理解,一旦专家知识错误,就会导致无法准确识别攻击流对应的攻击行为类型,随着攻击行为类型的增加,专家无法总结出所有攻击行为类型的关键词或正则表达式。
在另一种可能的实施方式中,随着机器学习技术的提出,可以训练一个机器学习模型,由机器学习模型输出攻击流对应的攻击行为类型。但是,为了训练机器学习模型,就需要获取大量训练数据,这些训练数据包括攻击流对应的特征向量以及攻击流对应的标签值,该标签值表示攻击流对应的攻击行为类型。
针对物联网设备蜜罐系统的攻击流,这些攻击流是没有标签值的,即这些攻击流无法参与机器学习模型的训练。为了使这些攻击流参与机器学习模型的训练,就需要人工标定这些攻击流的标签值,人工标定的工作量比较大。
针对上述发现,本申请实施例中提出了一种物联网设备蜜罐系统攻击分类方法,可以先训练一个初始分类器模型(本文以机器学习模型是分类器模型为例,当然,机器学习模型也可以是其它类型的网络模型,对此机器学习模型的类型不做限制),该初始分类器模型是使用少量训练数据(即具有标签值的训练数据,这些训练数据的获取方式不做限制)训练得到,对此训练过程不做限制。由于是使用少量训练数据训练得到的,因此,初始分类器模型的准确性不高,后续还需要优化该初始分类器模型,才能够最终部署分类器模型。
在得到初始分类器模型后,就可以使用初始分类器模型确定攻击流(即针对物联网设备蜜罐系统的攻击流)的攻击行为类型,基于攻击行为类型为攻击流添加标签值,从而实现标签值的自动添加,不需要人工标定攻击流的标签值。
以下结合具体实施例,对本申请实施例的技术方案进行说明。
本申请实施例中提出一种物联网设备蜜罐系统攻击分类方法,可以涉及训练过程和检测过程,在训练过程中,可以训练出一个目标分类器模型,在检测过程中,可以使用目标分类器模型确定待检测流对应的攻击行为类型。
在训练过程中,参见图1所示,为物联网设备蜜罐系统攻击分类方法的流程图,可以应用于任意电子设备,即用于训练的电子设备,该方法可以包括:
步骤101,获取针对物联网设备蜜罐系统的攻击流对应的目标特征向量,并将该目标特征向量输入给初始分类器模型(即预先训练的分类器模型)的K个一阶分类器,得到K个一阶分类器输出的K个分类结果。
示例性的,步骤101之前,可以先使用训练数据(即具有标签值的训练数据)训练得到一个分类器模型,对此训练过程不做限制,只要能够得到分类器模型即可,为了区分方便,将该分类器模型记为初始分类器模型。
示例性的,初始分类器模型用于对K种攻击行为类型进行分类,K可以为大于或等于3的正整数。比如说,若初始分类器模型用于分类出恶意扫描类型、暴力破解类型和攻击事件类型,则表示初始分类器模型用于对3种攻击行为类型进行分类,即K为3。若初始分类器模型用于分类出恶意扫描类型、暴力破解类型、攻击事件类型和访问尝试类型,则表示初始分类器模型用于对4种攻击行为类型进行分类,即K为4,以此类推。为了方便描述,在后续实施例中,以K为5为例进行说明,且假设初始分类器模型用于分类出攻击行为类型A、攻击行为类型B、攻击行为类型C、攻击行为类型D和攻击行为类型E。
示例性的,初始分类器模型可以包括K个一阶分类器,
Figure 902869DEST_PATH_IMAGE001
个n阶分类器和1个K-1阶 分类器,n的取值范围为2至K-2,也就是说,初始分类器模型可以包括
Figure 365074DEST_PATH_IMAGE002
个一阶分类器(即K 个一阶分类器),
Figure 729191DEST_PATH_IMAGE003
个二阶分类器,
Figure 200623DEST_PATH_IMAGE004
个三阶分类器,…,
Figure 458429DEST_PATH_IMAGE005
个K-2阶分类器,
Figure 622694DEST_PATH_IMAGE006
/K个K- 1阶分类器(即1个K-1阶分类器)。
在K的取值为5时,则初始分类器模型可以包括
Figure 723374DEST_PATH_IMAGE007
个一阶分类器(即共5个一阶分类 器),
Figure 998498DEST_PATH_IMAGE008
个二阶分类器(即共10个二阶分类器),
Figure 376390DEST_PATH_IMAGE009
个三阶分类器(即共10个三阶分类器),
Figure 445977DEST_PATH_IMAGE010
个四阶分类器(即共1个四阶分类器)。
示例性的,K个一阶分类器用于对K种攻击行为类型进行分类,且每个一阶分类器与一种攻击行为类型对应,即K个一阶分类器与K种攻击行为类型一一对应。假设初始分类器模型用于分类出攻击行为类型A、攻击行为类型B、攻击行为类型C、攻击行为类型D和攻击行为类型E,5个一阶分类器分别为一阶分类器P10、一阶分类器P11、一阶分类器P12、一阶分类器P13和一阶分类器P14,则:一阶分类器P10与攻击行为类型A对应,一阶分类器P11与攻击行为类型B对应,一阶分类器P12与攻击行为类型C对应,一阶分类器P13与攻击行为类型D对应,一阶分类器P14与攻击行为类型E对应,在此基础上:
一阶分类器P10的分类结果可以是A或者非A(等同于BCDE),A表示攻击行为类型A,非A表示不是攻击行为类型A。一阶分类器P11的分类结果可以是B或者非B(等同于ACDE),B表示攻击行为类型B,非B表示不是攻击行为类型B。一阶分类器P12的分类结果可以是C或者非C(等同于ABDE),C表示攻击行为类型C,非C表示不是攻击行为类型C。一阶分类器P13的分类结果可以是D或者非D(等同于ABCE),D表示攻击行为类型D,非D表示不是攻击行为类型D。一阶分类器P14的分类结果可以是E或者非E(等同于ABCD),E表示攻击行为类型E,非E表示不是攻击行为类型E。
综上所述,上述5个一阶分类器(一阶分类器P10-一阶分类器P14)的分类结果依次是:A+BCDE、B+ACDE、C+ABDE、D+ABCE、E+ABCD。
示例性的,针对
Figure 909319DEST_PATH_IMAGE003
个二阶分类器中的每个二阶分类器,与两种攻击行为类型对应, 用于对两种攻击行为类型进行分类,也就是说,一个二阶分类器对应两种攻击行为类型,不 同二阶分类器对应的两种攻击行为类型不完全相同。
假设K为5,10个二阶分类器为二阶分类器P20-二阶分类器P29,则:二阶分类器P20与攻击行为类型A和攻击行为类型B对应,二阶分类器P21与攻击行为类型A和攻击行为类型C对应,二阶分类器P22与攻击行为类型A和攻击行为类型D对应,二阶分类器P23与攻击行为类型A和攻击行为类型E对应,二阶分类器P24与攻击行为类型B和攻击行为类型C对应,以此类推。
二阶分类器P20的分类结果是A、或B、或非AB(等同于CDE),A表示攻击行为类型A,B表示攻击行为类型B,非AB表示不是攻击行为类型A,也不是攻击行为类型B。二阶分类器P21的分类结果可以是A、或C、或非AC(等同于BDE),以此类推。显然,上述10个二阶分类器(二阶分类器P20-二阶分类器P29)的分类结果依次是:A+B+CDE、A+C+BDE、A+D+BCE、A+E+BCD、B+C+ADE、B+D+ACE、B+E+ACD、C+D+ABE、C+E+ABD、D+E+ABC。
示例性的,针对
Figure 96456DEST_PATH_IMAGE004
个三阶分类器中的每个三阶分类器,与三种攻击行为类型对应, 用于对三种攻击行为类型进行分类,也就是说,一个三阶分类器对应三种攻击行为类型,不 同三阶分类器对应的三种攻击行为类型不完全相同。
假设K为5,10个三阶分类器为三阶分类器P30-三阶分类器P39,三阶分类器P30与攻击行为类型A、攻击行为类型B和攻击行为类型C对应,三阶分类器P31与攻击行为类型A、攻击行为类型B和攻击行为类型D对应,以此类推。三阶分类器P30的分类结果是A、或B、或C、或非ABC(等同于DE),A表示攻击行为类型A,B表示攻击行为类型B,C表示攻击行为类型C,非ABC表示不是攻击行为类型A,也不是攻击行为类型B,也不是攻击行为类型C,以此类推。显然,上述10个三阶分类器(三阶分类器P30-三阶分类器P39)的分类结果依次是:A+B+C+DE、A+B+D+CE、A+B+E+CD、A+C+D+BE、A+C+E+BD、A+D+E+BC、B+C+D+AE、B+C+E+AD、B+D+E+AC、C+D+E+AB。
综上所述,针对
Figure 328854DEST_PATH_IMAGE001
个n阶(n的取值范围为2至K-2)分类器中的每个n阶分类器,与n 种攻击行为类型对应,用于对n种攻击行为类型进行分类,也就是说,一个n阶分类器对应n 种攻击行为类型,不同n阶分类器对应的n种攻击行为类型不完全相同。显然,在K为5时,n的 取值范围可以为2、3。
示例性的,针对1个K-1阶分类器,与K种攻击行为类型对应,用于对K种攻击行为类型进行分类,即,1个K-1阶分类器对应K种攻击行为类型。
假设K为5,则存在1个(
Figure 834922DEST_PATH_IMAGE010
)四阶分类器,即四阶分类器P40,四阶分类器P40与攻 击行为类型A、B、C、D对应。四阶分类器P40也与攻击行为类型A、B、C、E对应。四阶分类器P40 也与攻击行为类型A、B、D、E对应。四阶分类器P40也与攻击行为类型A、C、D、E对应。四阶分类 器P40也与攻击行为类型B、C、D、E对应。四阶分类器P40的分类结果是A、或B、或C、或D、或E (等同于非ABCD),即四阶分类器P40的分类结果是:A+B+C+D+E。
在上述初始分类器模型的基础上,针对步骤101来说,在得到攻击流对应的目标特征向量之后,就可以将该目标特征向量输入给初始分类器模型的K个一阶分类器,如一阶分类器P10-一阶分类器P14。由于这些一阶分类器用于对目标特征向量进行分类,因此,K个一阶分类器可以输出K个分类结果,也就是说,每个一阶分类器可以输出一个分类结果。比如说,一阶分类器P10输出的分类结果是A或者非A,一阶分类器P11输出的分类结果是B或者非B,一阶分类器P12输出的分类结果是C或者非C,一阶分类器P13输出的分类结果是D或者非D,一阶分类器P14输出的分类结果是E或者非E。
示例性的,由于物联网设备蜜罐系统的特性,会诱导攻击者访问或攻击物联网设备蜜罐系统,因此,可以获取到针对物联网设备蜜罐系统的攻击流,在得到该攻击流后,就可以确定该攻击流对应的特征向量,为了区分方便,可以将需要输入给初始分类器模型的特征向量记为目标特征向量。
在一种可能的实施方式中,为了获取针对物联网设备蜜罐系统的攻击流对应的目标特征向量,可以采用如下步骤获取该目标特征向量:
步骤1011,获取针对物联网设备蜜罐系统的攻击流。
比如说,由于物联网设备蜜罐系统的特性,会诱导攻击者访问或攻击物联网设备蜜罐系统,因此,可以获取到针对物联网设备蜜罐系统的数据流,并将针对物联网设备蜜罐系统的数据流均确定为攻击流。
步骤1012,从攻击流中提取数据信息,数据信息至少包括攻击流的包头信息(如URL(Uniform Resource Locator,统一资源定位器)等)和/或载荷信息。
比如说,在攻击者访问或攻击物联网设备蜜罐系统时,攻击流中可以携带包头信息和载荷信息,因此,可以从攻击流中提取出包头信息和载荷信息。
步骤1013,将该数据信息输入给已训练的自编码器模型,得到自编码器模型输出的与攻击流对应的特征向量,将该特征向量记为目标特征向量。
比如说,可以预先训练一个自编码器模型,该自编码器模型的输入是数据信息,如包头信息和载荷信息,该数据信息表现为一串字符串,该自编码器模型的输出是特征向量,对此自编码器模型的训练过程不做限制。
自编码器模型是神经网络,能够处理无标签数据,用于实现特征提取和特征压缩等功能,因此,基于已训练的自编码器模型,在将攻击流的数据信息输入给自编码器模型后,自编码器模型可以输出与该攻击流对应的特征向量。
自编码器模型可以包括基于长短时记忆网络构建的自编码器模型,长短时记忆网络可以如RNN(Recurrent Neural Network,循环神经网络)和LSTM(Long ShortTermMemory,长短期记忆网络)等,这些长短时记忆网络能够处理长度不一的时序数据,具有很好的记忆特性,对此长短时记忆网络不做限制。当然,自编码器模型也可以是基于其它网络构建的自编码器模型,例如,基于CNN(Convolutional Neural Networks,卷积神经网络)、DNN(Deep Neural Networks,深度神经网络)等构建的自编码器模型,对此自编码器模型的类型不做限制。
综上所述,步骤101中,可以得到K个一阶分类器输出的K个分类结果。
步骤102,若K个分类结果对应M种攻击行为类型,M大于1且小于K,则从初始分类器模型的所有M阶分类器中选取一个目标分类器,该目标分类器与M种攻击行为类型对应;将该目标特征向量输入给该目标分类器,得到该目标分类器输出的分类结果,基于该分类结果确定该目标特征向量对应的目标攻击行为类型。或者,若K个分类结果对应一种攻击行为类型,则将该攻击行为类型确定为该目标特征向量对应的目标攻击行为类型。或者,若K个分类结果对应K种攻击行为类型,则将初始分类器模型的K-1阶分类器选取为目标分类器;将该目标特征向量输入给该目标分类器,得到该目标分类器输出的分类结果,并基于该分类结果确定该目标特征向量对应的目标攻击行为类型。
比如说,K个一阶分类器输出K个(如5个)分类结果时,这K个分类结果可以为A或者非A、B或者非B、C或者非C、D或者非D、E或者非E。
假设K个分类结果是A、非B、非C、非D、非E,则这K个分类结果对应同一种攻击行为类型A,因此,可以将攻击行为类型A确定为目标特征向量对应的目标攻击行为类型。针对同一种攻击行为类型是B、C、D、E的情况,与同一种攻击行为类型是A的情况类似,在此不再重复赘述。
假设K个分类结果是A、B、非C、非D、非E,则这K个分类结果对应两种攻击行为类型,即M为2,且两种攻击行为类型是A和B,因此,需要从初始分类器模型的所有二阶分类器中选取一个目标分类器,且该目标分类器与攻击行为类型A和攻击行为类型B对应。参见上述实施例,二阶分类器P20与攻击行为类型A和攻击行为类型B对应,因此,目标分类器是二阶分类器P20。
针对两种攻击行为类型是A和C、A和D等情况,与两种攻击行为类型是A和B的情况类似,只是目标分类器会不同,在此不再重复赘述。
在获知目标分类器是二阶分类器P20后,可以将目标特征向量输入给二阶分类器P20,二阶分类器P20会输出1个分类结果,这个分类结果可以是A、或B、或非AB。在此基础上,若二阶分类器P20输出的分类结果是A,则基于该分类结果确定目标特征向量对应的目标攻击行为类型是攻击行为类型A。若二阶分类器P20输出的分类结果是B,则基于该分类结果确定目标特征向量对应的目标攻击行为类型是攻击行为类型B。若二阶分类器P20输出的分类结果是非AB,则表示还无法确定目标特征向量对应的目标攻击行为类型。
假设K个分类结果是A、B、C、非D、非E,则这K个分类结果对应三种攻击行为类型,即M为3,且三种攻击行为类型是A、B和C,因此,需要从初始分类器模型的所有三阶分类器中选取一个目标分类器,且目标分类器与攻击行为类型A、攻击行为类型B和攻击行为类型C对应。参见上述实施例,三阶分类器P30与攻击行为类型A、攻击行为类型B和攻击行为类型C对应,因此,目标分类器是三阶分类器P30。针对三种攻击行为类型是ABD、ABE等情况,与三种攻击行为类型是ABC的情况类似,在此不再重复赘述。
在获知目标分类器是三阶分类器P30后,可以将目标特征向量输入给三阶分类器P30,三阶分类器P30会输出1个分类结果,即,A、或B、或C、或非ABC。若分类结果是A,则基于该分类结果确定目标攻击行为类型是攻击行为类型A。若分类结果是B,则基于该分类结果确定目标攻击行为类型是攻击行为类型B。若分类结果是C,则基于该分类结果确定目标攻击行为类型是攻击行为类型C。若分类结果是非ABC,则表示还无法确定目标攻击行为类型。
假设K个分类结果是A、B、C、D、非E,则这K个分类结果对应四种攻击行为类型,即M为4,且四种攻击行为类型是A、B、C和D,因此,需要从初始分类器模型的所有四阶分类器中选取一个目标分类器,且目标分类器与攻击行为类型A、B、C和D对应。由于只存在一个四阶分类器P40,且四阶分类器P40与攻击行为类型A、B、C和D对应,因此,目标分类器可以是四阶分类器P40。针对四种攻击行为类型是ABCE、ABDE等情况,与四种攻击行为类型是ABCD的情况类似,目标分类器均是四阶分类器P40,在此不再重复赘述。
在获知目标分类器是四阶分类器P40后,将目标特征向量输入给四阶分类器P40,四阶分类器P40输出1个分类结果,即,A、或B、或C、或D、或E。若分类结果是A,则基于该分类结果确定目标攻击行为类型是攻击行为类型A。若分类结果是B,则基于该分类结果确定目标攻击行为类型是攻击行为类型B。若分类结果是C,则基于该分类结果确定目标攻击行为类型是攻击行为类型C。若分类结果是D,则基于该分类结果确定目标攻击行为类型是攻击行为类型D。若分类结果是E,则基于该分类结果确定目标攻击行为类型是攻击行为类型E。
假设K个分类结果是A、B、C、D、E,则这K个分类结果对应K种(即五种)攻击行为类型,因此,可以将初始分类器模型的K-1阶分类器(即四阶分类器)选取为目标分类器,即目标分类器可以是四阶分类器P40。
在获知目标分类器是四阶分类器P40后,将目标特征向量输入给四阶分类器P40,四阶分类器P40输出1个分类结果,即,A、或B、或C、或D、或E。若分类结果是A,则基于该分类结果确定目标攻击行为类型是攻击行为类型A。若分类结果是B,则基于该分类结果确定目标攻击行为类型是攻击行为类型B。若分类结果是C,则基于该分类结果确定目标攻击行为类型是攻击行为类型C。若分类结果是D,则基于该分类结果确定目标攻击行为类型是攻击行为类型D。若分类结果是E,则基于该分类结果确定目标攻击行为类型是攻击行为类型E。
综上所述,步骤102中,可以确定出目标特征向量对应的目标攻击行为类型(为区分方便,将目标特征向量对应的攻击行为类型记为目标攻击行为类型)。
步骤103,基于目标攻击行为类型确定目标特征向量的标签值。
例如,若目标攻击行为类型是攻击行为类型A,标签值为第一取值,第一取值表示攻击行为类型A。若目标攻击行为类型是攻击行为类型B,标签值为第二取值,第二取值表示攻击行为类型B。若目标攻击行为类型是攻击行为类型C,标签值为第三取值,第三取值表示攻击行为类型C。若目标攻击行为类型是攻击行为类型D,标签值为第四取值,第四取值表示攻击行为类型D。若目标攻击行为类型是攻击行为类型E,标签值为第五取值,第五取值表示攻击行为类型E。
步骤104,基于该目标特征向量和该目标特征向量的标签值对初始分类器模型进行训练,并基于训练后的分类器模型确定目标分类器模型,该目标分类器模型用于确定待检测流对应的攻击行为类型,该过程可以参见后续实施例。
示例性的,在得到目标特征向量和该目标特征向量的标签值后,该目标特征向量和该标签值可以作为训练数据,即,得到具有标签值的训练数据,然后,可以基于该训练数据对初始分类器模型进行训练,例如,对初始分类器模型中所有分类器(如一阶分类器、二阶分类器等)的参数进行优化,对此初始分类器模型的训练过程不做限制。在对初始分类器模型进行训练后,可以得到训练后的分类器模型,并基于训练后的分类器模型确定目标分类器模型。
在一种可能的实施方式中,针对步骤101,在获取针对物联网设备蜜罐系统的攻击流对应的目标特征向量时,可以先获取样本集合,该样本集合可以包括针对物联网设备蜜罐系统的攻击流对应的特征向量。基于此,可以从样本集合中遍历一个特征向量作为目标特征向量。在此基础上,针对步骤104,基于训练后的分类器模型确定目标分类器模型时,可以先确定训练后的分类器模型是否已收敛;若否,则可以将训练后的分类器模型确定为初始分类器模型,从该样本集合中遍历另一个特征向量作为目标特征向量,并返回执行将目标特征向量输入给初始分类器模型的K个一阶分类器的操作(即返回执行步骤101)。若是,则可以基于训练后的分类器模型确定目标分类器模型。
示例性的,对初始分类器模型进行训练,得到训练后的分类器模型后,基于训练后的分类器模型确定目标分类器模型,可以包括但不限于如下情况:
情况一、将训练后的分类器模型确定为目标分类器模型。
比如说,初始分类器模型包括K个一阶分类器,
Figure 519981DEST_PATH_IMAGE001
个n阶分类器和1个K-1阶分类器, n的取值范围为2至K-2,基于此,对初始分类器模型进行训练后,训练后的分类器模型也包 括K个一阶分类器,
Figure 402486DEST_PATH_IMAGE001
个n阶分类器和1个K-1阶分类器,在将训练后的分类器模型确定为目 标分类器模型时,目标分类器模型也包括K个一阶分类器,
Figure 614025DEST_PATH_IMAGE001
个n阶分类器和1个K-1阶分类 器。
情况二、从训练后的分类器模型中选取K-1阶分类器,基于K-1阶分类器确定目标分类器模型,该目标分类器模型至少包括K-1阶分类器。
比如说,初始分类器模型包括K个一阶分类器,
Figure 572885DEST_PATH_IMAGE001
个n阶分类器和1个K-1阶分类器, 训练后的分类器模型也包括K个一阶分类器,
Figure 869874DEST_PATH_IMAGE001
个n阶分类器和1个K-1阶分类器,基于此, 可以从训练后的分类器模型中选取出K-1阶分类器(共1个),因此,目标分类器模型可以包 括该K-1阶分类器。
在得到目标分类器模型后,可以基于目标分类器模型确定待检测流对应的攻击行为类型,该过程为检测过程,该过程可以参见后续实施例。
由以上技术方案可见,本申请实施例中,可以构建一个物联网设备蜜罐系统,诱导攻击者访问或攻击物联网设备蜜罐系统,从而得到大量攻击流,即针对物联网设备蜜罐系统的数据流均是攻击流,从而使用大量训练数据对分类器模型进行训练,训练出准确可靠的分类器模型,分类器模型能够准确识别攻击行为类型,基于攻击行为类型对物联网设备进行有针对性的保护,能够帮助提高物联网设备的安全性,实现攻击者行为的分析和防御。为了对攻击流添加标签值,可以使用少量有准确标签值的训练数据训练出一个初始分类器模型,使用初始分类器模型确定攻击流的攻击行为类型,基于攻击行为类型为攻击流添加标签值,从而实现标签值的自动添加,不需要人工标定攻击流的标签值,减轻人工标定的工作量。
在训练过程中,参见图2所示,为物联网设备蜜罐系统攻击分类方法的流程图,可以应用于任意电子设备,即用于训练的电子设备,该方法可以包括:
步骤201,获取训练数据集合,该训练数据集合包括具有标签值的训练数据,即训 练数据集合中每条训练数据包括攻击流的特征向量和标签值,对此训练数据集合的获取方 式不做限制。基于训练数据集合训练得到一个初始分类器模型,初始分类器模型包括K个一 阶分类器,
Figure 24912DEST_PATH_IMAGE001
个n阶分类器和1个K-1阶分类器。
步骤202,获取样本集合,该样本集合包括针对物联网设备蜜罐系统的攻击流对应的特征向量,即该样本集合可以包括多个不具有标签值的特征向量。
比如说,可以先获取针对物联网设备蜜罐系统的攻击流,从攻击流中提取数据信息,并将该数据信息输入给已训练的自编码器模型,得到自编码器模型输出的与该攻击流对应的特征向量,将该特征向量记录到样本集合。
步骤203,从该样本集合中遍历一个特征向量作为目标特征向量。
例如,可以对样本集合中的所有特征向量进行排序,对此排序方式不做限制。在步骤203中,将样本集合中的第一个特征向量作为目标特征向量。
步骤204,针对当前遍历的目标特征向量,将该目标特征向量输入给初始分类器模型的K个一阶分类器,得到K个一阶分类器输出的K个分类结果。
步骤205,基于K个分类结果确定目标特征向量对应的目标攻击行为类型,具体确定方式参见步骤102,在此不再重复赘述。若基于K个分类结果确定出目标攻击行为类型,则从样本集合中删除该目标特征向量,执行步骤206。若基于K个分类结果未确定出目标攻击行为类型,则从样本集合中删除该目标特征向量,或者,将该目标特征向量移动到样本集合末尾,成为最后一个特征向量。
步骤206,基于目标攻击行为类型确定该目标特征向量的标签值。
步骤207,将该目标特征向量和该标签值组成一条训练数据,将该训练数据添加到训练数据集合,即训练数据集合增加一条具有标签值的训练数据。
步骤208,基于训练数据集合对初始分类器模型进行训练(即对初始分类器模型中各分类器的参数进行优化),得到训练后的分类器模型。
显然,由于训练数据集合已包括上述目标特征向量和标签值组成的训练数据,因此,可以基于该目标特征向量和该标签值对初始分类器模型进行训练。
步骤209,确定训练后的分类器模型是否已收敛。
如果否,则可以执行步骤210,如果是,则可以执行步骤211。
比如说,可以判断样本集合中是否存在特征向量,如果存在,则确定训练后的分类器模型未收敛,如果不存在,则确定训练后的分类器模型已收敛。
又例如,可以确定分类器模型的训练次数(每次对初始分类器模型进行训练时,可以将训练次数加1)是否达到次数阈值(根据经验配置),如果是,则确定训练后的分类器模型已收敛,如果否,则确定训练后的分类器模型未收敛。
又例如,可以确定分类器模型的训练时长(从开始对分类器模型进行训练的时刻至当前时刻)是否达到时长阈值(根据经验配置),如果是,则确定训练后的分类器模型已收敛,如果否,则确定训练后的分类器模型未收敛。
当然,上述方式只是确定分类器模型是否已收敛的几个示例,对此确定方式不做限制,只要能够确定出分类器模型是否已收敛即可。
步骤210,将训练后的分类器模型确定为初始分类器模型,从样本集合中遍历另一个特征向量(如第一个特征向量)作为目标特征向量,返回执行步骤204。
步骤211,基于训练后的分类器模型确定目标分类器模型。比如说,将训练后的分类器模型确定为目标分类器模型。或者,从训练后的分类器模型中选取K-1阶分类器,该目标分类器模型至少可以包括该K-1阶分类器。
至此,可以得到目标分类器模型,能够基于目标分类器模型执行检测过程。
在检测过程中,参见图3所示,为物联网设备蜜罐系统攻击分类方法的流程图,可以应用于任意电子设备,即用于检测的电子设备,用于检测的电子设备与用于训练的电子设备可以相同,也可以不同,该方法可以包括:
步骤301,获取待检测流对应的待检测特征向量。
示例性的,针对物联网设备的数据流,可能是正常数据流,也可能是攻击流,在针对物联网设备的数据流是攻击流时,需要检测数据流对应的攻击行为类型,因此将数据流记为待检测流。针对物联网设备蜜罐系统的数据流,均是攻击流,需要检测数据流对应的攻击行为类型,因此将数据流记为待检测流。
在得到待检测流后,从待检测流中提取数据信息,数据信息至少包括待检测流的包头信息和/或载荷信息,将数据信息输入给已训练的自编码器模型,得到自编码器模型输出的与待检测流对应的特征向量,即待检测特征向量。
步骤301的实现过程可以参见步骤1011-步骤1013,在此不再赘述。
步骤302,将该待检测特征向量输入给目标分类器模型,得到该目标分类器模型输出的检测结果,基于该检测结果确定该待检测特征向量对应的目标攻击行为类型,也就是,与该待检测流对应的目标攻击行为类型。
在一种可能的实施方式中,目标分类器模型可以包括1个K-1阶分类器,基于此,在得到待检测流对应的待检测特征向量后,可以将该待检测特征向量输入给目标分类器模型的K-1阶分类器,得到K-1阶分类器输出的检测结果,可以基于该检测结果确定该待检测特征向量对应的目标攻击行为类型。
比如说,以K-1阶分类器是四阶分类器P40为例,则可以将待检测特征向量输入给四阶分类器P40,四阶分类器P40输出1个分类结果,即,A、或B、或C、或D、或E。若分类结果是A,则基于该分类结果确定待检测特征向量对应的目标攻击行为类型是攻击行为类型A。若分类结果是B,则基于该分类结果确定待检测特征向量对应的目标攻击行为类型是攻击行为类型B,以此类推。
在另一种可能的实施方式中,目标分类器模型可以包括K个一阶分类器,
Figure 231902DEST_PATH_IMAGE001
个n阶 (n的取值范围为2至K-2)分类器和1个K-1阶分类器,基于此,在得到待检测流对应的待检测 特征向量后,可以将待检测特征向量输入给目标分类器模型的K个一阶分类器,得到K个一 阶分类器输出的K个检测结果。
若K个检测结果对应一种攻击行为类型,则可以将该攻击行为类型确定为该待检测特征向量对应的目标攻击行为类型。若K个检测结果对应M种(M大于1且小于K)攻击行为类型,则可以从目标分类器模型的所有M阶分类器中选取目标分类器,将该待检测特征向量输入给目标分类器,得到目标分类器输出的检测结果,基于该检测结果确定该待检测特征向量对应的目标攻击行为类型。若K个检测结果对应K种攻击行为类型,则将K-1阶分类器选取为目标分类器,将该待检测特征向量输入给目标分类器,得到目标分类器输出的检测结果,基于该检测结果确定该待检测特征向量对应的目标攻击行为类型。
比如说,假设K个检测结果是A、非B、非C、非D、非E,则K个检测结果对应同一种攻击行为类型A,因此,待检测特征向量对应的目标攻击行为类型为攻击行为类型A。假设K个检测结果是A、B、非C、非D、非E,则K个检测结果对应两种攻击行为类型,即A和B,因此,从目标分类器模型的所有二阶分类器中选取目标分类器,即二阶分类器P20。将待检测特征向量输入给二阶分类器P20,二阶分类器P20会输出1个检测结果。若检测结果是A,则待检测特征向量对应的目标攻击行为类型为攻击行为类型A。若检测结果是B,则待检测特征向量对应的目标攻击行为类型为攻击行为类型B。
假设K个检测结果是A、B、C、非D、非E,则K个检测结果对应三种攻击行为类型,即A、B和C,因此,从目标分类器模型的所有三阶分类器中选取目标分类器,即三阶分类器P30。然后,将待检测特征向量输入给三阶分类器P30,三阶分类器P30会输出1个检测结果,若检测结果是A,则待检测特征向量对应的目标攻击行为类型为攻击行为类型A。若检测结果是B,则待检测特征向量对应的目标攻击行为类型为攻击行为类型B。若检测结果是C,则待检测特征向量对应的目标攻击行为类型为攻击行为类型C。
假设K个检测结果是A、B、C、D、非E,则K个检测结果对应四种攻击行为类型,即A、B、C和D,因此,从目标分类器模型的所有四阶分类器中选取一个目标分类器,即四阶分类器P40。然后,将待检测特征向量输入给三阶分类器P30,三阶分类器P30会输出1个检测结果,若检测结果是A,则待检测特征向量对应的目标攻击行为类型为攻击行为类型A。若检测结果是B,则待检测特征向量对应的目标攻击行为类型为攻击行为类型B。若检测结果是C,则待检测特征向量对应的目标攻击行为类型为攻击行为类型C。若检测结果是D,则待检测特征向量对应的目标攻击行为类型为攻击行为类型D。若检测结果是E,则待检测特征向量对应的目标攻击行为类型为攻击行为类型E。
假设K个检测结果是A、B、C、D、E,则K个检测结果对应K种攻击行为类型,因此,将目标分类器模型的K-1阶分类器(即四阶分类器)选取为目标分类器,即目标分类器为四阶分类器P40。然后,将待检测特征向量输入给四阶分类器P40,四阶分类器P40会输出1个检测结果,若检测结果是A,则待检测特征向量对应的目标攻击行为类型为攻击行为类型A。若检测结果是B,则待检测特征向量对应的目标攻击行为类型为攻击行为类型B。若检测结果是C,则待检测特征向量对应的目标攻击行为类型为攻击行为类型C。若检测结果是D,则待检测特征向量对应的目标攻击行为类型为攻击行为类型D。若检测结果是E,则待检测特征向量对应的目标攻击行为类型为攻击行为类型E。
综上所述,在步骤302中,可以确定出待检测特征向量对应的目标攻击行为类型,在一种可能的实施方式中,步骤302之后,还可以包括:
步骤303,获取与该待检测流对应的IOC(Indicators Of Compromise,攻陷指标)数据,该IOC数据至少可以包括目标攻击行为类型,以及,该IOC数据还可以包括但不限于以下至少一种:待检测流的来源IP地址(即待检测流的源IP地址)、待检测流的数据请求方式、待检测流的URL信息。
以下结合具体应用场景,对本申请实施例的上述技术方案进行说明。
参见图4所示,本申请实施例中可以涉及训练过程和检测过程,训练过程中,涉及自编码器模型提取特征向量、分类器模型初始训练、分类器模型扩展优化、分类器模型存储等步骤,检测过程中,涉及分类器模型读取、攻击类型识别、IOC数据构建与输出等步骤,以下对上述训练过程和检测过程进行说明。
步骤401:自编码器模型提取特征向量。
自编码器模型可以是基于长短时记忆网络构建的模型,参见图5所示,为自编码器模型的结构示意图,自编码器模型的输入是数据信息,如包头信息和载荷信息,自编码器模型的输出是特征向量。自编码器模型采用长短时记忆网络构建时,能够处理长度不一的时序数据,具有很好的记忆特性,在处理时序数据上表现优异。在自编码器模型的训练过程中,不需要数据标签,经过编码和解码过程的处理后,比较编码前和解码后数据的差异训练自编码器模型,当编码前和解码后的数据差异不能再降低时,表示自编码器模型训练完成。
基于自编码器模型,可以实现特征提取、特征量化和特征压缩等功能,基于此,可以将针对物联网设备蜜罐系统的攻击流的数据信息输入给自编码器模型,得到自编码器模型输出的与该攻击流对应的特征向量。
步骤402:分类器模型初始训练,即训练得到一个初始分类器模型。
比如说,可以先使用训练数据(即具有标签值的训练数据)训练得到一个初始分类器模型,该初始分类器模型可以选择DNN构建,也可以选择SVM、贝叶斯、随机森林等其它方法构建,对此初始分类器模型不做限制。
初始分类器模型可以包括多个分类器,分类器数量与攻击行为类型的类别数量K (物联网设备蜜罐系统获取到的攻击行为类型的数量)有关,如初始分类器模型用于对K种 攻击行为类型进行分类时,初始分类器模型包括
Figure 79772DEST_PATH_IMAGE011
个分类器,这些分类器又可分为 一阶分类器、二阶分类器、三阶分类器、…、K-1阶分类器。例如,初始分类器模型包括
Figure 113325DEST_PATH_IMAGE002
个 一阶分类器,
Figure 72054DEST_PATH_IMAGE003
个二阶分类器,
Figure 133551DEST_PATH_IMAGE004
个三阶分类器,…,
Figure 152322DEST_PATH_IMAGE005
个K-2阶分类器,
Figure 299270DEST_PATH_IMAGE006
/K个K-1阶 分类器。
在K的取值为5时,初始分类器模型用于分类出ABCDE等5种攻击行为类型,初始分 类器模型共
Figure 186323DEST_PATH_IMAGE012
-5-1=26个分类器,对应的每一阶分类器为:
一阶分类器共
Figure 102327DEST_PATH_IMAGE007
=5个,这些一阶分类器的分类结果可以是A+BCDE(非A)、B+ACDE (非B)、C+ABDE(非C)、D+ABCE(非D)、E+ABCD(非E)。
二阶分类器共
Figure 26420DEST_PATH_IMAGE008
=10个,这些二阶分类器的分类结果可以是:A+B+CDE(即非AB)、A+ C+BDE(即非AC)、A+D+BCE(即非AD)、A+E+BCD(即非AE)、B+C+ADE(即非BC)、B+D+ACE(即非 BD)、B+E+ACD(即非BE)、C+D+ABE(即非CD)、C+E+ABD(即非CE)、D+E+ABC(即非DE)。
三阶分类器共
Figure 660664DEST_PATH_IMAGE009
=10个,这些三阶分类器的分类结果可以是:A+B+C+DE(即非ABC)、 A+B+D+CE(即非ABD)、A+B+E+CD、A+C+D+BE、A+C+E+BD、A+D+E+BC、B+C+D+AE、B+C+E+AD、B+D+E +AC、C+D+E+AB。
四阶分类器共
Figure 836562DEST_PATH_IMAGE010
=1个,四阶分类器的分类结果可以是:A+B+C+D+E。
步骤403:分类器模型扩展优化,即,对初始分类器模型进行训练(对初始分类器模型中所有分类器的参数进行优化),得到训练后的分类器模型。
比如说,从不具有标签值的特征向量中选择一个特征向量作为目标特征向量,将目标特征向量输入给初始分类器模型的K个一阶分类器,得到K个一阶分类器输出的K个分类结果,基于K个分类结果确定目标特征向量对应的目标攻击行为类型,基于目标攻击行为类型为目标特征向量添加标签值(即数据标签),具有标签值的目标特征向量可以作为训练数据,参与到初始分类器模型的训练过程。在针对每个特征向量进行上述处理后,可以为所有特征向量添加标签值,即所有特征向量均作为训练数据,参与到初始分类器模型的训练过程。
1)无标签特征向量的第一次分类。
从无标签的特征向量中选取一个特征向量作为目标特征向量,将目标特征向量输入给初始分类器模型的K个一阶分类器,得到K个一阶分类器输出的K个分类结果,基于这K个分类结果,可能出现以下情况:
1、K个分类结果对应同一种攻击行为类型,比如说,分类结果为:A、ACDE、ABDE、ABCE、ABCD,在此基础上,目标攻击行为类型为A。
2、K个分类结果对应两种攻击行为类型,比如说,分类结果为:A、B、ABDE、ABCE、ABCD,在此基础上,需要从初始分类器模型的所有二阶分类器中选取目标分类器(A+B+CDE的分类器),基于目标分类器进行二次判断,二次判断的分类结果为A、或B、或CDE。若为A,则目标攻击行为类型为A,若为B,则目标攻击行为类型为B,若为CDE,则将特征向量放回。
3、K个分类结果对应三种攻击行为类型,如分类结果为:A、B、C、ABCE、ABCD,在此基础上,从初始分类器模型的所有三阶分类器中选取目标分类器(A+B+C+DE的分类器),基于目标分类器进行二次判断,二次判断的分类结果为A、或B、或C、或DE。若为A,目标攻击行为类型为A,若为B,目标攻击行为类型为B,若为C,目标攻击行为类型为C,若为DE,特征向量放回。
4、K个分类结果对应四种攻击行为类型,如分类结果为:A、B、C、D、ABCD,在此基础上,从初始分类器模型的所有四阶分类器中选取目标分类器(A+B+C+D+E的分类器),基于目标分类器进行二次判断,二次判断的分类结果为A、或B、或C、或D、或非ABCD。若为A,目标攻击行为类型为A,若为B,目标攻击行为类型为B,若为C,目标攻击行为类型为C,若为D,目标攻击行为类型为D,若为非ABCD,则特征向量放回。
5、K个分类结果对应五种攻击行为类型,如分类结果为:A、B、C、D、E,在此基础上,选取目标分类器(A+B+C+D+E的分类器),基于目标分类器进行二次判断,二次判断的分类结果为A、或B、或C、或D、或E。若为A,目标攻击行为类型为A,若为B,目标攻击行为类型为B,若为C,目标攻击行为类型为C,若为D,目标攻击行为类型为D,若为E,目标攻击行为类型为E。
6、K个分类结果未对应某种或某些攻击行为类型,如分类结果为:BCDE、ACDE、ABDE、ABCE、ABCD,则可以直接将特征向量放回。
在上述实施例中,若确定出目标特征向量对应的目标攻击行为类型,则为目标特征向量添加标签值,可以参与初始分类器模型的训练。若未确定出目标特征向量对应的目标攻击行为类型,则将特征向量放回,等到初始分类器模型训练后,使用训练后的初始分类器模型重新为特征向量添加标签值。
2)无标签特征向量的第二次分类。
在使用第一次分类后,具有标签值的特征向量对初始分类器模型进行训练后,基于训练后的初始分类器模型,从无标签的特征向量中选取一个特征向量作为目标特征向量,将目标特征向量输入给初始分类器模型的K个一阶分类器,得到K个分类结果,基于K个分类结果确定目标攻击行为类型。
若确定出目标攻击行为类型,则为特征向量添加标签值,具有标签值的特征向量参与初始分类器模型的训练过程。如未确定出目标攻击行为类型,则不为特征向量添加标签值,在后续过程中,会执行无标签特征向量的第三次分类。
以此类推,一直到所有无标签特征向量均具有标签值,或者,进行N次分类后,不再为无标签特征向量添加标签值,结束初始分类器模型的训练过程。
步骤404:分类器模型存储,例如,存储自编码器模型和目标分类器模型。针对目标分类器模型来说,可以基于所有具有标签值的特征向量对初始分类器模型进行训练,得到训练后的分类器模型。在得到训练后的分类器模型后,可以将该分类器模型中的K-1阶分类器作为目标分类器模型,即A+B+C+D+E。
步骤405:分类器模型读取,即,读取已存储的自编码器模型和已存储的目标分类器模型,并部署该自编码器模型和该目标分类器模型。
步骤406:攻击类型识别,比如说,获取待检测流,从待检测流中提取数据信息,将该数据信息输入给自编码器模型,得到与待检测流对应的待检测特征向量。然后,将待检测特征向量输入给目标分类器模型,即K-1阶分类器,由K-1阶分类器输出一个检测结果,基于该检测结果确定该待检测特征向量对应的目标攻击行为类型,也就是,与该待检测流对应的目标攻击行为类型。
步骤407:IOC数据构建与输出,比如说,针对待检测流来说,可以利用来源IP地址、目标攻击行为类型、数据请求方式、URL信息等数据构建IOC数据,并将IOC数据输出到相关安全设备,由安全设备存储IOC数据。
由以上技术方案可见,本申请实施例中,提出一种多分类任务下的半监督学习训练方式,充分利用少量的有标签数据,在所有数据上完成多分类模型的训练任务,模型准确性相对于无监督学习更高,模型数据要求相对于有监督学习更低。模型训练过程不需要人工特征工程,即不需要依赖专家知识总结攻击行为的特征,依靠长短时记忆自编码器自动化提取数据特征,自动化完成特征提取任务,自动化完成特征量化任务,自动化完成数据降维任务。在蜜罐攻击行为分类的场景下,解决攻击行为自动化分类和分析任务,提高分析效率。根据模型分类结果自动化生成和输出IOC数据,能够提高物联网设备的安全性。
基于与上述方法同样的构思,本申请实施例提出一种物联网设备蜜罐系统攻击分类装置,参见图6所示,为所述装置的结构示意图,所述装置可以包括:
获取模块61,用于获取针对物联网设备蜜罐系统的攻击流对应的目标特征向量, 将目标特征向量输入给初始分类器模型的K个一阶分类器,得到所述K个一阶分类器输出的 K个分类结果;所述K个一阶分类器用于对K种攻击行为类型进行分类;所述初始分类器模型 还包括
Figure 138230DEST_PATH_IMAGE001
个n阶分类器和1个K-1阶分类器,n的取值范围为2至K-2。选取模块62,用于若K个 分类结果对应M种攻击行为类型,M大于1且小于K,则从初始分类器模型的所有M阶分类器中 选取目标分类器;所述目标分类器与所述M种攻击行为类型对应。确定模块63,用于将目标 特征向量输入给目标分类器,得到目标分类器输出的分类结果,基于该分类结果确定目标 特征向量对应的目标攻击行为类型。训练模块64,用于基于所述目标攻击行为类型确定所 述目标特征向量的标签值,基于所述目标特征向量和该标签值对初始分类器模型进行训 练,基于训练后的分类器模型确定目标分类器模型;该目标分类器模型用于确定待检测流 对应的攻击行为类型。
示例性的,所述确定模块63还用于:若K个分类结果对应一种攻击行为类型,则将该攻击行为类型确定为所述目标特征向量对应的目标攻击行为类型。
在一种可能的实施方式中,所述选取模块62还用于:若所述K个分类结果对应K种攻击行为类型,则将所述K-1阶分类器选取为目标分类器;所述确定模块63还用于:将目标特征向量输入给目标分类器,得到所述目标分类器输出的分类结果,基于该分类结果确定目标特征向量对应的目标攻击行为类型。
示例性的,所述训练模块64基于训练后的分类器模型确定目标分类器模型时具体用于:将所述训练后的分类器模型确定为所述目标分类器模型;或者,从所述训练后的分类器模型中选取K-1阶分类器,基于所述K-1阶分类器确定目标分类器模型,所述目标分类器模型至少包括所述K-1阶分类器。
在一种可能的实施方式中,所述获取模块61获取针对物联网设备蜜罐系统的攻击流对应的目标特征向量时具体用于:获取针对物联网设备蜜罐系统的攻击流,并从所述攻击流中提取数据信息,所述数据信息至少包括所述攻击流的包头信息和/或载荷信息;将所述数据信息输入给已训练的自编码器模型,得到所述自编码器模型输出的与所述攻击流对应的目标特征向量;其中,所述自编码器模型包括基于长短时记忆网络构建的自编码器模型。
基于与上述方法同样的申请构思,本申请实施例中提出一种物联网设备蜜罐系统攻击分类设备,参见图7所示,所述设备包括:处理器71和机器可读存储介质72,所述机器可读存储介质72存储有能够被所述处理器71执行的机器可执行指令;所述处理器71用于执行机器可执行指令,以实现如下步骤:
获取针对物联网设备蜜罐系统的攻击流对应的目标特征向量,将目标特征向量输 入给初始分类器模型的K个一阶分类器,得到K个一阶分类器输出的K个分类结果;K个一阶 分类器用于对K种攻击行为类型进行分类;初始分类器模型还包括
Figure 233225DEST_PATH_IMAGE001
个n阶分类器和1个K- 1阶分类器,n的取值范围为2至K-2;
若所述K个分类结果对应M种攻击行为类型,M大于1且小于K,则从初始分类器模型的所有M阶分类器中选取目标分类器,所述目标分类器与所述M种攻击行为类型对应;将目标特征向量输入给目标分类器,得到目标分类器输出的分类结果,基于该分类结果确定目标特征向量对应的目标攻击行为类型;
基于所述目标攻击行为类型确定目标特征向量的标签值,基于目标特征向量和该标签值对初始分类器模型进行训练,并基于训练后的分类器模型确定目标分类器模型,该目标分类器模型用于确定待检测流对应的攻击行为类型。
基于与上述方法同样的申请构思,本申请实施例还提供一种机器可读存储介质,机器可读存储介质上存储有若干计算机指令,所述计算机指令被处理器执行时,能够实现本申请上述示例公开的物联网设备蜜罐系统攻击分类方法。
其中,上述机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种物联网设备蜜罐系统攻击分类方法,其特征在于,所述方法包括:
获取针对物联网设备蜜罐系统的攻击流对应的目标特征向量,将目标特征向量输入给 初始分类器模型的K个一阶分类器,得到K个一阶分类器输出的K个分类结果;K个一阶分类 器用于对K种攻击行为类型进行分类,每个一阶分类器与一种攻击行为类型对应;初始分类 器模型还包括
Figure 45204DEST_PATH_IMAGE001
个n阶分类器和1个K-1阶分类器,n的取值范围为2至K-2,K为大于3的正整 数;其中,每个n阶分类器与n种攻击行为类型对应,用于对n种攻击行为类型进行分类;K-1 阶分类器与K种攻击行为类型对应,用于对K种攻击行为类型进行分类;
若所述K个分类结果对应M种攻击行为类型,M大于1且小于K,则从初始分类器模型的所有M阶分类器中选取目标分类器,所述目标分类器与所述M种攻击行为类型对应;将目标特征向量输入给目标分类器,得到目标分类器输出的分类结果,基于该分类结果确定目标特征向量对应的目标攻击行为类型;
基于所述目标攻击行为类型确定目标特征向量的标签值,基于目标特征向量和该标签值对初始分类器模型进行训练,并基于训练后的分类器模型确定目标分类器模型,该目标分类器模型用于确定待检测流对应的攻击行为类型。
2.根据权利要求1所述的方法,其特征在于,
所述将目标特征向量输入给初始分类器模型的K个一阶分类器,得到K个一阶分类器输出的K个分类结果之后,所述方法还包括:
若所述K个分类结果对应一种攻击行为类型,则将该攻击行为类型确定为所述目标特征向量对应的目标攻击行为类型。
3.根据权利要求1所述的方法,其特征在于,
所述将目标特征向量输入给初始分类器模型的K个一阶分类器,得到K个一阶分类器输出的K个分类结果之后,所述方法还包括:
若所述K个分类结果对应K种攻击行为类型,则将所述K-1阶分类器选取为目标分类器;将目标特征向量输入给目标分类器,得到所述目标分类器输出的分类结果,基于该分类结果确定目标特征向量对应的目标攻击行为类型。
4.根据权利要求1所述的方法,其特征在于,
所述获取针对物联网设备蜜罐系统的攻击流对应的目标特征向量,包括:
获取样本集合,所述样本集合包括针对物联网设备蜜罐系统的攻击流对应的特征向量,并从所述样本集合中遍历一个特征向量作为目标特征向量;
所述基于训练后的分类器模型确定目标分类器模型,包括:
确定训练后的分类器模型是否已收敛;
若否,则将所述训练后的分类器模型确定为初始分类器模型,从所述样本集合中遍历另一个特征向量作为目标特征向量,并返回执行将目标特征向量输入给初始分类器模型的K个一阶分类器的操作;
若是,则基于训练后的分类器模型确定目标分类器模型。
5.根据权利要求1或4所述的方法,其特征在于,
所述基于训练后的分类器模型确定目标分类器模型,包括:
将所述训练后的分类器模型确定为所述目标分类器模型;或者,
从所述训练后的分类器模型中选取K-1阶分类器,基于所述K-1阶分类器确定目标分类器模型,所述目标分类器模型至少包括所述K-1阶分类器。
6.根据权利要求1或4所述的方法,其特征在于,
所述获取针对物联网设备蜜罐系统的攻击流对应的目标特征向量,包括:
获取针对物联网设备蜜罐系统的攻击流,并从所述攻击流中提取数据信息,所述数据信息至少包括所述攻击流的包头信息和/或载荷信息;
将所述数据信息输入给已训练的自编码器模型,得到所述自编码器模型输出的与所述攻击流对应的目标特征向量;
其中,所述自编码器模型包括基于长短时记忆网络构建的自编码器模型。
7.根据权利要求1或4所述的方法,其特征在于,
所述基于训练后的分类器模型确定目标分类器模型之后,所述方法还包括:
若目标分类器模型包括K个一阶分类器,
Figure 133245DEST_PATH_IMAGE001
个n阶分类器和1个K-1阶分类器,则:在得到 待检测流对应的待检测特征向量后,将待检测特征向量输入给目标分类器模型的K个一阶 分类器,得到K个一阶分类器输出的K个检测结果;若所述K个检测结果对应一种攻击行为类 型,则将该攻击行为类型确定为所述待检测特征向量对应的目标攻击行为类型;若所述K个 检测结果对应M种攻击行为类型,则从目标分类器模型的所有M阶分类器中选取目标分类 器,将所述待检测特征向量输入给目标分类器,得到目标分类器输出的检测结果,基于该检 测结果确定所述待检测特征向量对应的目标攻击行为类型;若所述K个检测结果对应K种攻 击行为类型,则将所述K-1阶分类器选取为目标分类器,将所述待检测特征向量输入给目标 分类器,得到目标分类器输出的检测结果,基于该检测结果确定所述待检测特征向量对应 的目标攻击行为类型;
或者,若所述目标分类器模型包括1个K-1阶分类器,则:在得到待检测流对应的待检测特征向量后,将所述待检测特征向量输入给所述目标分类器模型的K-1阶分类器,得到所述K-1阶分类器输出的检测结果;基于该检测结果确定所述待检测特征向量对应的目标攻击行为类型。
8.根据权利要求7所述的方法,其特征在于,所述确定所述待检测特征向量对应的目标攻击行为类型之后,所述方法还包括:
获取与所述待检测流对应的攻陷指标IOC数据;其中,所述IOC数据至少包括所述目标攻击行为类型,所述IOC数据还包括以下至少一种:所述待检测流的来源IP地址、所述待检测流的数据请求方式、所述待检测流的URL信息。
9.一种物联网设备蜜罐系统攻击分类装置,其特征在于,所述装置包括:
获取模块,用于获取针对物联网设备蜜罐系统的攻击流对应的目标特征向量,将所述 目标特征向量输入给初始分类器模型的K个一阶分类器,得到所述K个一阶分类器输出的K 个分类结果;其中,所述K个一阶分类器用于对K种攻击行为类型进行分类,每个一阶分类器 与一种攻击行为类型对应;所述初始分类器模型还包括
Figure 541224DEST_PATH_IMAGE001
个n阶分类器和1个K-1阶分类 器,n的取值范围为2至K-2,K为大于3的正整数;其中,每个n阶分类器与n种攻击行为类型对 应,用于对n种攻击行为类型进行分类;K-1阶分类器与K种攻击行为类型对应,用于对K种攻 击行为类型进行分类;
选取模块,用于若所述K个分类结果对应M种攻击行为类型,M大于1且小于K,则从所述初始分类器模型的所有M阶分类器中选取目标分类器;其中,所述目标分类器与所述M种攻击行为类型对应;
确定模块,用于将目标特征向量输入给目标分类器,得到目标分类器输出的分类结果,基于该分类结果确定目标特征向量对应的目标攻击行为类型;
训练模块,用于基于所述目标攻击行为类型确定所述目标特征向量的标签值,基于所述目标特征向量和该标签值对初始分类器模型进行训练,并基于训练后的分类器模型确定目标分类器模型;其中,该目标分类器模型用于确定待检测流对应的攻击行为类型。
10.一种物联网设备蜜罐系统攻击分类设备,其特征在于,包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现如下步骤:
获取针对物联网设备蜜罐系统的攻击流对应的目标特征向量,将目标特征向量输入给 初始分类器模型的K个一阶分类器,得到K个一阶分类器输出的K个分类结果;K个一阶分类 器用于对K种攻击行为类型进行分类,每个一阶分类器与一种攻击行为类型对应;初始分类 器模型还包括
Figure 271283DEST_PATH_IMAGE001
个n阶分类器和1个K-1阶分类器,n的取值范围为2至K-2,K为大于3的正整 数;其中,每个n阶分类器与n种攻击行为类型对应,用于对n种攻击行为类型进行分类;K-1 阶分类器与K种攻击行为类型对应,用于对K种攻击行为类型进行分类;
若所述K个分类结果对应M种攻击行为类型,M大于1且小于K,则从初始分类器模型的所有M阶分类器中选取目标分类器,所述目标分类器与所述M种攻击行为类型对应;将目标特征向量输入给目标分类器,得到目标分类器输出的分类结果,基于该分类结果确定目标特征向量对应的目标攻击行为类型;
基于所述目标攻击行为类型确定目标特征向量的标签值,基于目标特征向量和该标签值对初始分类器模型进行训练,并基于训练后的分类器模型确定目标分类器模型,该目标分类器模型用于确定待检测流对应的攻击行为类型。
CN202110385194.1A 2021-04-07 2021-04-09 一种物联网设备蜜罐系统攻击分类方法、装置及设备 Active CN112801233B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2021103714431 2021-04-07
CN202110371443 2021-04-07

Publications (2)

Publication Number Publication Date
CN112801233A CN112801233A (zh) 2021-05-14
CN112801233B true CN112801233B (zh) 2021-07-23

Family

ID=75816672

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110385194.1A Active CN112801233B (zh) 2021-04-07 2021-04-09 一种物联网设备蜜罐系统攻击分类方法、装置及设备

Country Status (1)

Country Link
CN (1) CN112801233B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113572785B (zh) * 2021-08-05 2023-05-30 中国电子信息产业集团有限公司第六研究所 一种用于核电工控系统的蜜罐防御方法及装置
CN115242467B (zh) * 2022-07-05 2024-02-06 北京华顺信安科技有限公司 一种网络数据识别方法及系统

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9704066B2 (en) * 2015-03-20 2017-07-11 Microsoft Technology Licensing, Llc Multi-stage image classification
CN106934410A (zh) * 2015-12-30 2017-07-07 阿里巴巴集团控股有限公司 数据的分类方法及系统
CN105787437B (zh) * 2016-02-03 2017-04-05 东南大学 一种基于级联集成分类器的车辆品牌类型识别方法
WO2017176423A1 (en) * 2016-04-08 2017-10-12 Biodesix, Inc. Classifier generation methods and predictive test for ovarian cancer patient prognosis under platinum chemotherapy
CN106060043B (zh) * 2016-05-31 2019-06-07 北京邮电大学 一种异常流量的检测方法及装置
CN108073933B (zh) * 2016-11-08 2021-05-25 杭州海康威视数字技术股份有限公司 一种目标检测方法及装置
CN106886763B (zh) * 2017-01-20 2020-02-18 东北电力大学 实时检测人脸的系统及其方法
US11423262B2 (en) * 2018-08-08 2022-08-23 Nec Corporation Automatically filtering out objects based on user preferences
CN109902754A (zh) * 2019-03-05 2019-06-18 中国民航大学 一种高效的半监督多层次入侵检测方法及系统
CN111832589A (zh) * 2019-04-22 2020-10-27 北京京东尚科信息技术有限公司 一种多级分类对象的分类方法和装置
CN110222733B (zh) * 2019-05-17 2021-05-11 嘉迈科技(海南)有限公司 一种高精度的多阶神经网络分类方法及系统
CN110348624B (zh) * 2019-07-04 2020-12-29 内蒙古工业大学 一种基于Stacking集成策略的沙尘暴等级预测方法
CN110414594B (zh) * 2019-07-24 2021-09-07 西安交通大学 一种基于双阶段判定的加密流量分类方法
CN111242188B (zh) * 2020-01-06 2023-07-25 中国科学院计算机网络信息中心 入侵检测方法、装置及存储介质
CN112418649B (zh) * 2020-11-19 2022-11-11 东南大学 基于多维mems惯性传感器的建筑楼梯人流量估计系统
CN112529114B (zh) * 2021-01-13 2021-06-29 北京云真信科技有限公司 基于gan的目标信息识别方法、电子设备和介质

Also Published As

Publication number Publication date
CN112801233A (zh) 2021-05-14

Similar Documents

Publication Publication Date Title
Hussain et al. A two-fold machine learning approach to prevent and detect IoT botnet attacks
CN110266647B (zh) 一种命令和控制通信检测方法及系统
Farhadi et al. Alert correlation and prediction using data mining and HMM.
CN112801233B (zh) 一种物联网设备蜜罐系统攻击分类方法、装置及设备
CN113486334A (zh) 网络攻击预测方法、装置、电子设备及存储介质
TW201931187A (zh) 統一資源定位符(url)攻擊檢測方法、裝置及電子設備
Sharma et al. An efficient hybrid deep learning model for denial of service detection in cyber physical systems
US10320834B1 (en) Retuning of random classification forests to improve efficacy
US12079330B2 (en) Systems and methods for generating cyberattack predictions and responses
Al-Fawa’reh et al. MalBoT-DRL: Malware botnet detection using deep reinforcement learning in IoT networks
CN113328994B (zh) 一种恶意域名处理方法、装置、设备及机器可读存储介质
Dixit et al. Comparing and analyzing applications of intelligent techniques in cyberattack detection
Fenzl et al. In-vehicle detection of targeted CAN bus attacks
WO2020075462A1 (ja) 学習器推定装置、学習器推定方法、リスク評価装置、リスク評価方法、プログラム
Raja et al. Fake Profile Detection Using Logistic Regression and Gradient Descent Algorithm on Online Social Networks
Alsumaidaie et al. Intelligent Detection System for a Distributed Denial-of-Service (DDoS) Attack Based on Time Series
CN110752996A (zh) 一种报文转发方法及装置
CN112615713B (zh) 隐蔽信道的检测方法、装置、可读存储介质及电子设备
WO2022014422A1 (ja) 通信監視方法、及び、通信監視システム
Htwe et al. Malware Attack Detection using Machine Learning Methods for IoT Smart Devices
Pan IoT network behavioral fingerprint inference with limited network traces for cyber investigation
CN113901464A (zh) 基于服务编排的人工智能安全架构系统、方法及相关设备
CN112764791A (zh) 一种增量更新的恶意软件检测方法及系统
Ferdous et al. Enhancing Cybersecurity: Machine Learning Approaches for Predicting DDoS Attack
Peng et al. SNDMI: Spyware network traffic detection method based on inducement operations

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant