CN113572732B - 一种基于vae和聚合hmm的多步攻击建模和预测方法 - Google Patents

Abstract

一种基于VAE和聚合HMM的多步攻击建模和预测方法，该方法整体分为以下步骤：对多步攻击数据集进行特征提取和数据预处理；搭建VAE网络，对多步攻击数据进行训练并得到系统警报流观测；采用HMM对警报流观测进行无监督训练，实现多步攻击的自动化建模；设计一种HMM的聚合预测方法，实现在短时间窗口下的有效预测。该方法利用VAE来自动化生成系统的警报流观测，提高不同多步攻击场景的预测精度以及稳定性。

Description

一种基于VAE和聚合HMM的多步攻击建模和预测方法

技术领域

本发明涉及多步攻击建模和预测领域，尤其涉及一种基于变分自编码器(Variational Auto-Encoder，VAE)和聚合隐马尔可夫模型(Hidden Markov Model，HMM)的多步攻击建模和预测方法。

背景技术

当今世界，随着人工智能的快速发展，“万物互联”的格局已初步形成，智能家居系统也逐步走进人们的生活。然而，智能家居系统在为人们提供生活便利的同时，因其自身设备的局限性导致其容易遭受外部的攻击。传统的物联网入侵检测系统仅能适用于简单的单步攻击，但现实中的入侵攻击往往是多步且难以预测的，因此现有的入侵检测系统对于多步攻击的识别和预测具有很大的局限性。

目前，针对多步攻击检测技术的研究主要基于两方面，分别是基于相关性技术和基于机器学习技术。基于相关性技术主要通过相关性规则构造攻击图谱，并进行图谱搜索，以了解攻击的当前阶段，并对攻击的下一阶段的到来发出警报。然而，这些方法过多依赖于攻击的相关性且需要较强的专业领域知识。此外，由于算法复杂性高难以进行实时攻击检测，这在资源受限的物联网环境中是新的挑战。基于机器学习的技术主要包括HMM、贝叶斯网络、聚类等方法。其中，HMM被认为是用来检测和预测多步攻击的最佳模型。HMM的优越性主要有以下三个方面：(1)HMM有一个直观的数学形式来解释输入输出关系；(2)HMM能够通过状态转移概率和状态观测概率来专门处理序列数据，这允许HMM通过一个时间窗口跟踪多步攻击的进展；(3)HMM的存储和计算开销较低，可以保证攻击检测的实时性能。但现有的基于HMM的多步攻击预测技术主要针对分布式拒绝服务(Distributed Denial ofServices，DDoS)攻击进行建模和预测。它通过将入侵检测系统的警报流作为HMM的观测值从而对多步攻击序列进行建模。这需要依赖入侵检测系统和专家经验来定义警报流的规则，缺乏一定的自动化水平。另外由于HMM是基于时间窗口的，较长的时间窗口能够提供更多关于多步攻击的信息，但是会增加延迟，但如果使用较短的时间窗口，对于多步攻击的预测性能不佳。因此针对多步攻击，设计一种能够自动化建模多步攻击并且在短时间窗口下具备不错的多步攻击预测性能具有重要意义。

发明内容

为了解决现有检测方法对多步及新型多步攻击建模和预测的局限性，本发明提出了一种基于变分自编码器(VAE)和聚合HMM的多步攻击建模和预测方法，目的在于利用VAE来自动化的生成系统的警报流观测，无需专家定义规则的入侵检测软件。随后利用HMM进行无监督训练，实现对多步攻击的自动化建模。在此基础上提出了聚合HMM方法，在短时间窗口下，它能够聚合不同HMM的预测结果，提高不同多步攻击场景的预测精度以及稳定性。

为实现上述目的，本发明提供如下的技术方案：

一种基于VAE和聚合HMM的多步攻击建模和预测方法，所述方法包括以下步骤：

(1)收集公开可用的多步攻击数据集并进行特征提取和数据预处理工作；

(2)搭建VAE网络，对多步攻击数据进行训练并得到系统警报流观测；

(3)采用HMM对警报流观测进行无监督训练，实现多步攻击的自动化建模；

(4)设计一种HMM的聚合预测方法，实现在短时间窗口下的有效预测。

进一步，所述步骤(1)中，对收集的网络流量提取包头特征和数据预处理工作，过程如下：

步骤101，利用t-shark工具将网络协议包头特征进行提取，并保存为csv文件；

步骤102，对特征数据进行预处理，包括缺失特征值补“0”，字符编码，归一化处理。

所述步骤(2)中，针对步骤(1)预处理之后的多步攻击网络流量数据X＝{x₁,x₂,...x_n}利用变分自编码器VAE进行训练来获取系统的警报流观测，过程如下：

步骤201，首先定义VAE的损失函数为

p(x,z)＝p(x|z)p(z),

其中，z为潜码向量，p(·)是概率密度；

步骤202，采用梯度下降法对步骤201的损失函数进行优化，来最小化网络流量x与经过VAE之后的重构流量x′的损失，并且使深度提取的潜码向量z近似高斯分布；

步骤203，将从VAE获得的潜码向量Z＝{z₁,z₂,...,z_n}通过K-means聚类，并自动转化为HMM的异常观测值O＝{o₁,o₂,...,o_n}。

所述步骤(3)中，利用HMM方法，由步骤(2)生成的异常观测值，分别对每个多步攻击的观测值进行训练和建模，建模步骤如下：

步骤301，对于

中的L个子数据集，计算每个子集中警报观察的频率f(O_l)，其中l属于(0,L)，频率f(O_l)通过警报观察值在每个观测集中出现的次数计算，最终得到L个子数据集的观测频率相似度矩阵表示为

其中M表示观测值的数量；

步骤302，通过计算每个数据子集

的频率相似度阵列f(O_l)之间的欧氏距离(Euclidean distance)来表示样本之间的相似性；

步骤303，在L个子数据集中选择排在前p^*中的低相关性的K子集，该K子集能覆盖大部分训练样本，并能利用训练算法对K样本集进行训练,进而得到K个HMM；

步骤304，使用Baum-Welch无监督算法训练HMM模型，通过训练完全数据集(O,S)＝(o₁,o₂,…,o_t,s₁,s₂,…,s_t)，得到HMM的参数λ＝(A,B,π)，包括多步攻击状态转移矩阵

和报警观测概率矩阵

其中：

a_ij＝P(s_t+1＝q_j|s_t＝q_i),i,j＝1,2,…N，

b_j(m)＝P(o_t＝v_m|s_t＝q_j),m＝1,2,…,M，

其中a_ij表示在q_j和q_i之间攻击转移的可能性，b_j(m)表示在q_j状态下，形成警报观测集v_m的可能性。

进一步，在步骤(4)中，根据步骤(3)得到的HMM，设计一种聚合策略对多步攻击进行预测，过程如下：

步骤401，在预测阶段，计算HMM对目标序列的观测概率，使用等式

其中，λ(o_g)^*表示对于观测序列O_g在最大观测概率P(O_g|λ_k)下选取的HMM；

步骤402，利用保留下来的K个HMM通过Viterbi算法为每个输入的观测子序列的O＝[o₁,o₂,o₃,...,o_t]分别计算其最优状态路径S＝[s₁,s₂,...,s_t]；

步骤403，利用Viterbi算法使用动态规划来求解最大概率路径，即最优路径

其对应于观察到的序列为O＝{o₁,o₂,…,o_T}，此路径表示为：

其中α_t(i)和β_t(i)分别表示前向观测概率[o₁,o₂,…,o_t]和后向观测概率[o_t+1,o_t+2,…,o_T]。上式中变量α_t(i)和变量β_t(i)由前后算法分别定义为:

α_t(i)＝P(o₁,o₂,…,o_t,s_t＝q_i|λ),

β_t(i)＝P(o_t+1,o_t+2,…,o_T,s_t＝q_i|λ).

步骤404，通过观测每个时刻的观测集o_t，结合不同的预测分类器λ_k(o_t)来得到目标序列的最终预测，

其中，q_i表示攻击状态，λ_k(o_t)表示第K个分类器的预测结果，w_k表示HMM预测器的权值；

步骤405，针对步骤404，需要选择代表不同HMM的w_k，其中，每个HMM预测器和目标观测序列都应该强调更多相关的分类器，特别地，利用一种基于观察概率的加权方法，假设目标子序列O_g形成的观测可能值P(O_g|λ_k)在经过训练后服从高斯分布N(0,1)。因此，每个分类器的权值由下式计算：

本发明的技术构思是：首先，利用变分自编码器VAE使用无监督学习算法训练HMM模型，利用已经训练好的HMM模型对多步攻击进行自动建模；接着，选择相对独立的数据子集来定期训练HMM以得到多步攻击预测的聚合HMM模型；最后，设计一种聚合HMM方案对多步攻击进行预测以提升在短时间窗口下的性能。

本发明的有益效果主要表现在：

(1)将变分自编码器和聚合HMM两种方法相结合，更加准确且有效地对多步攻击进行检测和预测；

(2)利用HMM模型对不同多步攻击进行自动建模，提高多步攻击建模效率；

(3)弥补了传统HMM模型在短时间窗口下对状态序列的预测能力不足，提出聚合HMM算法，通过研究不同源分类器和目标序列之间的相关性来聚合HMM分类器。

附图说明

图1为一种基于VAE和聚合HMM的多步攻击建模和预测方法的流程图。

具体实施方法

为了能够更清楚地描述本发明的技术内容，下面结合具体事例来进行进一步的描述。

参照图1，一种基于VAE和聚合HMM的多步攻击建模和预测方法，目的是为了提高多步攻击的建模效率和短时间窗口下的预测性能，基于VAE的网络模型并通过聚类来自动生成警报观测流，随后利用多个HMM的加权集成来提升短时间窗口下对多步攻击的预测性能。

一种基于VAE和聚合HMM的多步攻击建模和预测方法，所述方法包括以下步骤：

(1)收集公开可用的多步攻击数据集并进行特征提取和数据预处理工作；

所述步骤(1)中，对收集的网络流量提取包头特征和数据预处理工作，过程如下：

步骤101，利用t-shark工具将网络协议包头特征进行提取，并保存为csv文件；

步骤102，对特征数据进行预处理，包括缺失特征值补“0”，字符编码，归一化处理；

(2)搭建VAE网络，对多步攻击数据进行训练并得到系统警报流观测；

所述步骤(2)中，针对步骤(1)预处理之后的多步攻击网络流量数据X＝{x₁,x₂,...x_n}利用变分自编码器VAE进行训练来获取系统的警报流观测，过程如下：

步骤201，首先定义VAE的损失函数为

p(x,z)＝p(x|z)p(z),

其中，z为潜码向量，p(·)是概率密度；

步骤202，采用梯度下降法对步骤201的损失函数进行优化，来最小化网络流量x与经过VAE之后的重构流量x′的损失，并且使深度提取的潜码向量z近似高斯分布；

步骤203，将从VAE获得的潜码向量Z＝{z₁,z₂,...,z_n}通过K-means聚类，并自动转化为为HMM的异常观测值O＝{o₁,o₂,...,o_n}。

(3)采用HMM对警报流观测进行无监督训练，实现多步攻击的自动化建模；

所述步骤(3)中，利用HMM方法，由步骤(2)生成的异常观测值，分别对每个多步攻击的观测值进行训练和建模，建模步骤如下：

步骤301，对于

中的L个子数据集，计算每个子集中警报观察的频率f(O_l)，其中l属于(0,L)，频率f(O_l)通过警报观察值在每个观测集中出现的次数计算，最终得到L个子数据集的观测频率相似度矩阵表示为

其中M表示观测值的数量；

步骤302，通过计算每个数据子集

的频率相似度阵列f(O_l)之间的欧氏距离(Euclidean distance)来表示样本之间的相似性；

步骤303，在L个子数据集中选择排在前p^*中的低相关性的K子集，该K子集能覆盖大部分训练样本，并能利用训练算法对K样本集进行训练,进而得到K个HMM；

步骤304，使用Baum-Welch无监督算法训练HMM模型，通过训练完全数据集(O,S)＝(o₁,o₂,…,o_t,s₁,s₂,…,s_t)，得到HMM的参数λ＝(A,B,π)，包括多步攻击状态转移矩阵

和报警观测概率矩阵

其中：

a_ij＝P(s_t+1＝q_j|s_t＝q_i),i,j＝1,2,…N，

b_j(m)＝P(o_t＝v_m|s_t＝q_j),m＝1,2,…,M，

其中a_ij表示在q_j和q_i之间攻击转移的可能性，b_j(m)表示在q_j状态下，形成警报观测集v_m的可能性。

(4)设计一种HMM的聚合预测方法，实现在短时间窗口下的有效预测。

在步骤(4)中，根据步骤(3)得到的HMM，设计一种聚合策略对多步攻击进行预测，过程如下：

步骤401，在预测阶段，计算HMM对目标序列的观测概率，使用等式

其中，λ(o_g)^*表示对于观测序列O_g在最大观测概率P(O_g|λ_k)下选取的HMM；

步骤402，利用保留下来的K个HMM通过Viterbi算法为每个输入的观测子序列的O＝[o₁,o₂,o₃,...,o_t]分别计算其最优状态路径S＝[s₁,s₂,...,s_t]；

步骤403，利用Viterbi算法使用动态规划来求解最大概率路径，即最优路径

其对应于观察到的序列为O＝{o₁,o₂,…,o_T}，此路径表示为：

其中α_t(i)和β_t(i)分别表示前向观测概率[o₁,o₂,…,o_t]和后向观测概率[o_t+1,o_t+2,…,o_T]，上式中变量α_t(i)和变量β_t(i)由前后算法分别定义为:

α_t(i)＝P(o₁,o₂,…,o_t,s_t＝q_i|λ),

β_t(i)＝P(o_t+1,o_t+2,…,o_T,s_t＝q_i|λ).

步骤404，通过观测每个时刻的观测集o_t，结合不同的预测分类器λ_k(o_t)来得到目标序列的最终预测，

其中，q_i表示攻击状态，λ_k(o_t)表示第K个分类器的预测结果，w_k表示HMM预测器的权值；

步骤405，针对步骤404，需要选择代表不同HMM的w_k，其中，每个HMM预测器和目标观测序列都应该强调更多相关的分类器，特别地，利用一种基于观察概率的加权方法，假设目标子序列O_g形成的观测可能值P(O_g|λ_k)在经过训练后服从高斯分布N(0,1)，因此，每个分类器的权值由下式计算：

本说明书的实施例所述的内容仅仅是对发明构思的实现形式的列举，仅作说明用途。本发明的保护范围不应当被视为仅限于本实施例所陈述的具体形式，本发明的保护范围也及于本领域的普通技术人员根据本发明构思所能想到的等同技术手段。

Claims (1)

1.一种基于VAE和聚合HMM的多步攻击建模和预测方法，其特征在于，所述方法包括以下步骤：

(1)收集公开可用的多步攻击数据集并进行特征提取和数据预处理工作；

(2)搭建VAE网络，对多步攻击数据进行训练并得到系统警报流观测；

(3)采用HMM对警报流观测进行无监督训练，实现多步攻击的自动化建模；

(4)设计一种HMM的聚合预测方法，实现在短时间窗口下的有效预测；

所述步骤(1)中，对收集的网络流量提取包头特征和数据预处理工作，过程如下：

步骤101，利用t-shark工具将网络协议包头特征进行提取，并保存为csv文件；

步骤102，对特征数据进行预处理，包括缺失特征值补“0”，字符编码，归一化处理；

所述步骤(2)中，针对步骤(1)预处理之后的多步攻击网络流量数据X＝{x₁,x₂,...x_n}利用变分自编码器VAE进行训练来获取系统的警报流观测，过程如下：

步骤201，首先定义VAE的损失函数为

p(x,z)＝p(x|z)p(z),

其中，z为潜码向量，p(·)是概率密度；

步骤202，采用梯度下降法对步骤201的损失函数进行优化，来最小化网络流量x与经过VAE之后的重构流量x′的损失，并且使深度提取的潜码向量z近似高斯分布；

步骤203，将从VAE获得的潜码向量Z＝{z₁,z₂,...,z_n}通过K-means聚类，并自动转化为HMM的异常观测值O＝{o₁,o₂,...,o_n}；

所述步骤(3)中，利用HMM方法，由步骤(2)生成的异常观测值，分别对每个多步攻击的观测值进行训练和建模，建模步骤如下：

步骤301，对于

中的L个子数据集，计算每个子集中警报观察的频率f(O_l)，其中l属于(0,L)，频率f(O_l)通过警报观察值在每个观测集中出现的次数计算，最终得到L个子数据集的观测频率相似度矩阵表示为

其中M表示观测值的数量；

步骤302，通过计算每个数据子集

的频率相似度阵列f(O_l)之间的欧氏距离来表示样本之间的相似性；

步骤303，在L个子数据集中选择排在前p^*中的低相关性的K子集，该K子集能覆盖大部分训练样本，并能利用训练算法对K样本集进行训练，进而得到K个HMM；

步骤304，使用Baum-Welch无监督算法训练HMM模型，通过训练完全数据集(O,S)＝(o₁,o₂,…,o_t,s₁,s₂,…α,s_t)，得到HMM的参数λ＝(A,B,π)，主要包括多步攻击状态转移矩阵

和报警观测概率矩阵

其中：

a_ij＝P(s_t+1＝q_j|s_t＝q_i),i,j＝1,2,…αN，

b_j(m)＝P(o_t＝v_m|s_t＝q_j),m＝1,2,…α,M，

其中a_ij表示在q_j和q_i之间攻击转移的可能性，b_j(m)表示在q_j状态下，形成警报观测集v_m的可能性；

所述步骤(4)中，根据步骤(3)得到的HMM，设计一种聚合策略对多步攻击进行预测，过程如下：

步骤401，在预测阶段，计算HMM对目标序列的观测概率，使用等式

其中，λ(o_g)^*表示对于观测序列O_g在最大观测概率P(O_g|λ_k)下选取的HMM；

步骤402，利用保留下来的K个HMM通过Viterbi算法为每个输入的观测子序列的O＝[o₁,o₂,o₃,...,o_t]分别计算其最优状态路径S＝[s₁,s₂,...,s_t]；

步骤403，利用Viterbi算法使用动态规划来求解最大概率路径，即最优路径

其对应于观察到的序列为O＝{o₁,o₂,…α,o_T}，此路径表示为：

其中α_t(i)和β_t(i)分别表示前向观测概率[o₁,o₂,…,o_t]和后向观测概率[o_t+1,o_t+2,…α,o_T]，上式中变量α_t(i)和变量β_t(i)由前后算法分别定义为:

α_t(i)＝P(o₁,o₂,…α,o_t,s_t＝q_i|λ)

β_t(i)＝P(o_t+1,o_t+2,…,o_T,s_t＝q_i|λ)

步骤404，通过观测每个时刻的观测集o_t,结合不同的预测分类器λ_k(o_t)来得到目标序列的最终预测，

其中，q_i表示攻击状态，λ_k(o_t)表示第K个分类器的预测结果，w_k表示HMM预测器的权值；

步骤405，针对步骤404，需要选择代表不同HMM的w_k，其中，每个HMM预测器和目标观测序列都应该强调更多相关的分类器，特别地，利用一种基于观察概率的加权方法，假设目标子序列O_g形成的观测可能值P(O_g|λ_k)在经过训练后服从高斯分布N(0,1)，因此，每个分类器的权值由下式计算：

Images