CN113938309A - 一种基于DCGAN网络的DoS攻击流量生成系统及方法 - Google Patents

一种基于DCGAN网络的DoS攻击流量生成系统及方法 Download PDF

Info

Publication number
CN113938309A
CN113938309A CN202111266058.7A CN202111266058A CN113938309A CN 113938309 A CN113938309 A CN 113938309A CN 202111266058 A CN202111266058 A CN 202111266058A CN 113938309 A CN113938309 A CN 113938309A
Authority
CN
China
Prior art keywords
data
generator
network
flow
discriminator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111266058.7A
Other languages
English (en)
Inventor
朱召鹏
王文庆
杨东
曾荣汉
崔鑫
王艺杰
刘迪
刘骁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Thermal Power Research Institute Co Ltd
Huaneng Group Technology Innovation Center Co Ltd
Original Assignee
Xian Thermal Power Research Institute Co Ltd
Huaneng Group Technology Innovation Center Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Thermal Power Research Institute Co Ltd, Huaneng Group Technology Innovation Center Co Ltd filed Critical Xian Thermal Power Research Institute Co Ltd
Priority to CN202111266058.7A priority Critical patent/CN113938309A/zh
Publication of CN113938309A publication Critical patent/CN113938309A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/088Non-supervised learning, e.g. competitive learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Biophysics (AREA)
  • Molecular Biology (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于DCGAN网络的DoS攻击流量生成系统及方法,该系统包括真实流量采集模块、DCGAN网络和流量生成模块;真实流量采集模块用于提取真实流量序列的典型流量特征,并将得到的特征矩阵用于构建训练数据;DCGAN网络用于学习训练数据中各向量的分布概率规律,结合高斯噪声以生成具有相似规律的结果数据;流量生成模块将DCGAN网络中生成器生成的数据作为流量特征进行流量构建。本发明能够有效的生成具有高度伪装性DoS攻击流量。

Description

一种基于DCGAN网络的DoS攻击流量生成系统及方法
技术领域
本发明属于网络安全技术领域,具体涉及一种基于DCGAN网络的DoS攻击流量生成系统及方法。
背景技术
网络攻击行为的模拟仿真对于网络安全系统和设备的防护性能评估具有重要意义,而网络攻击流量的模拟生成是攻击行为仿真过程中的关键一环。
直接通过网络攻击代码生成攻击流量,虽然具有完全反映攻击行为特征的优势,但存在以下三个问题:首先,网络攻击代码样本可及性差,高危代码往往难以获得。其次,通过攻击代码生成攻击流量依赖于特定的软硬件环境,流量生成的成本高昂。最后,这种方式下的攻击过程难以控制,有可能“假戏真做”。
发明内容
为了克服上述现有技术存在的不足,本发明的目的在于提供一种基于DCGAN网络的DoS攻击流量生成系统及方法,能够有效的生成具有高度伪装性DoS攻击流量。
为了实现上述目的,本发明采用的技术方案是:
一种基于DCGAN网络的DoS攻击流量生成系统,包括:真实流量采集模块、DCGAN网络和流量生成模块;
所述真实流量采集模块用于提取真实流量序列的典型流量特征,并将得到的特征矩阵用于构建训练数据;
所述DCGAN网络用于学习训练数据中各向量的分布概率规律,结合高斯噪声以生成具有相似规律的结果数据;
所述流量生成模块将DCGAN网络中生成器生成的数据作为流量特征进行流量构建。
进一步地,真实流量采集模块中选择八种典型数据包特征进行提取,包括:时间、序号、所用协议、原始IP、目的IP、原始端口、目的端口和数据包载荷。
进一步地,DCGAN网络由生成器和判别器构成,其中生成器通过接收高斯噪声数据以生成初始的生成数据;判别器评估所接收的输入是否为真实流量特征,并根据损失函数对生成器参数予以调整。
进一步地,由于DCGAN网络原是用于生成三维图片,而本发明中训练数据维度为八维。因此本发明中将DCGAN网络中构成生成器和判别器的顶层和底层CNN卷积块的维度由原来的3增加到8。
进一步地,流量生成模块中的流量生成工具选择netsniff-ng套件中的trafgen,其是一款linux下的开源、高速、多线程的网络数据包生成工具。
所述的基于DCGAN网络的DoS攻击流量生成系统的工作方法,包括如下步骤:
步骤1:真实流量采集模块将真实流量数据包按到达时间进行排序,然后将每4096个连续数据包截取作为一个样本;
步骤2:解码样本中的数据包包头信息,由每个数据包得到一个八维的特征元祖,包括时间,序号,所用协议,原始IP,目的IP,原始端口,目的端口和数据包载荷;因此,对于每个样本,得到一个4096*7的特征矩阵;
步骤3:步骤2得到的特征矩阵中时间、所用协议、原始IP和目的IP对应元素用于神经网络计算前需要先格式转换成数值;其中所用协议特征对应UDP和TCP中的一个,采取One-Hot编码将特征矩阵进行数值化,时间、原始IP和目的IP特征通过进制转换成十进制数值;
步骤4:对步骤3得到的特征矩阵进行归一化,即将所有数值映射到(-1,1)区间上;
步骤5:DCGAN网络中生成器通过接收高斯噪声数据以生成初始的生成数据;判别器评估所接收的输入是否为真实流量特征,并根据如下损失函数对生成器参数予以调整;
假定用于生成的噪声分布是Pz(z),真实数据分布是Px(x),同时生成器和判别器分别为G和D,则DCGAN网络的目标即损失函数描述如下:
Figure BDA0003326947980000031
其中,D(x)表示判别器认定x来源于真实数据的分布概率,其值介于0与1之间,越接近1表明判别器越相信样本为真,反之为假;
Figure BDA0003326947980000032
表示判别器对所有属于真实数据分布Px(x)的样本x判定为真的平均概率期望;G(z)表示噪声经过生成器后生成的样本,D(G(z))则是判别器认定生成样本属于真实样本的概率,
Figure BDA0003326947980000033
表示判别器对所有属于通过噪声经过生成器后生成的样本G(z)判定为假的平均概率期望,minGmaxDV(D,G)表示判别器D的目标是最小化优化目标,而生成器G的目标是最大化优化目标;
当生成器生成的数据和真实流量采集得到的特征数据输入判别器后,判别器将根据损失函数计算当前的损失大小,并根据损失大小通过梯度下降对生成器的参数予以更新;通过重复这一过程,网络损失值将趋于稳定,直至判别器对于任意输入,认定其为“真”的概率均为0.5,也即无法将生成器生成的数据和真实数据进行区分,此时DCGAN网络达到收敛状态;
步骤6:当流量生成模块中的流量生成工具收到已收敛的DCGAN网络中生成器生成的特征数据后,将通过开源工具trafgen将特征数据还原为DoS攻击流量。
本发明的有益效果:
本发明中使用DCGAN网络模型学习真实流量的分布概率规律,该网络采用无监督学习训练方式,网络的样本输入仅有采集的真实流量特征数据,无需对立样本,也不需要样本标签,这大大降低了样本数据构建过程的难度和工作量。此外,相比其他基于马尔科夫过程的生成模型,如玻尔茨曼机等在生成数据时需要迭代多次,本发明只需要运行一次即可得到结果。
本发明所提供的一种基于DCGAN网络的DoS攻击流量生成系统,能够以较低的软硬件配置模拟生成较大规模的具有真实流量特征的DoS攻击流量,实现低成本的各类安全产品的DoS防护等级测试。
附图说明
图1是本发明基于DCGAN网络的DoS攻击流量生成系统组成原理图。
图2是本发明中真实流量采集模块工作流程图。
具体实施方式
下面结合附图对本发明作进一步详细说明。
如图1所示,基于DCGAN网络的DoS攻击流量生成系统包括真实流量采集模块、DCGAN网络和流量生成模块;
其中,真实流量采集模块用于提取真实流量序列的典型流量特征,并将得到的特征矩阵用于构建训练数据。所述DCGAN网络用于学习训练数据中各向量的分布概率规律,结合高斯噪声以生成具有相似规律的结果数据。所述流量生成模块将DCGAN网络中生成器生成的数据作为流量特征进行流量构建。
真实流量采集模块工作过程如图2所示:
1.将真实流量数据包按到达时间进行排序,然后将每4096个连续数据包截取作为一个样本。
2.解码样本中的数据包包头信息,由每个数据包可以得到一个八维的特征元祖,包括时间,序号,所用协议,原始IP,目的IP,原始端口,目的端口和数据包载荷。因此,对于每个样本,可以得到一个4096*8的特征矩阵。
3.步骤2得到的特征矩阵中时间、所用协议、原始IP和目的IP对应元素用于神经网络计算前需要先格式转换成数值。“所用协议”特征对应UDP和TCP中的一个,可采取机器学习领域的常用操作——“One-Hot编码”
将特征矩阵进行数值化。其他三种特征通过进制转换成十进制数值。
4.为了加速网络的收敛,提升网络训练效果,需要对步骤3得到的特征矩阵进行归一化,即将所有数值映射到(-1,1)区间上。
如图1所示,DCGAN网络结构与GAN网络一致,仍由生成器和判别器构成,其中生成器通过接收高斯噪声数据以生成初始的生成数据;判别器评估所接收的输入是否为真实流量特征,并根据损失函数对生成器参数予以调整。
假定用于生成的噪声分布是Pz(z),真实数据分布是Px(x),同时生成器和判别器分别为G和D,则DCGAN网络的目标即损失函数可以描述如下:
Figure BDA0003326947980000051
其中,D(x)表示判别器认定x来源于真实数据的分布概率,其值介于0与1之间,越接近1表明判别器越相信样本为真,反之为假;
Figure BDA0003326947980000052
表示判别器对所有属于真实数据分布Px(x)的样本x判定为真的平均概率期望;G(z)表示噪声经过生成器后生成的样本,D(G(z))则是判别器认定生成样本属于真实样本的概率,
Figure BDA0003326947980000061
表示判别器对所有属于通过噪声经过生成器后生成的样本G(z)判定为假的平均概率期望,minGmaxDV(D,G)表示判别器D的目标是最小化优化目标,而生成器G的目标是最大化优化目标;
当生成器生成的数据和真实流量采集得到的特征数据输入判别器后,判别器将根据上面的损失函数计算当前的损失大小,并根据损失大小通过梯度下降对生成器的参数予以更新。通过重复这一过程,网络损失值将趋于稳定,直至判别器对于任意输入,认定其为“真”的概率均为0.5,也即无法将生成器生成的数据和真实数据进行区分,此时DCGAN网络达到收敛状态。
当流量生成模块中的流量生成工具收到已收敛的DCGAN网络中生成器生成的特征数据后,将通过开源工具trafgen将特征数据还原为DoS攻击流量。

Claims (6)

1.一种基于DCGAN网络的DoS攻击流量生成系统,其特征在于:包括真实流量采集模块、DCGAN网络和流量生成模块;
所述真实流量采集模块用于提取真实流量序列的典型流量特征,并将得到的特征矩阵用于构建训练数据;
所述DCGAN网络用于学习训练数据中各向量的分布概率规律,结合高斯噪声以生成具有相似规律的结果数据;
所述流量生成模块将DCGAN网络中生成器生成的数据作为流量特征进行流量构建。
2.根据权利要求1所述的基于DCGAN网络的DoS攻击流量生成系统,其特征在于:所述真实流量采集模块中选择八种典型数据包特征进行提取,包括:时间、序号、所用协议、原始IP、目的IP、原始端口、目的端口和数据包载荷。
3.根据权利要求1所述的基于DCGAN网络的DoS攻击流量生成系统,其特征在于:所述DCGAN网络由生成器和判别器构成,其中生成器通过接收高斯噪声数据以生成初始的生成数据;判别器评估所接收的输入是否为真实流量特征,并根据损失函数对生成器参数予以调整。
4.根据权利要求1所述的基于DCGAN网络的DoS攻击流量生成系统,其特征在于:所述DCGAN网络中构成生成器和判别器的顶层和底层CNN卷积块的维度为八维。
5.根据权利要求1所述的基于DCGAN网络的DoS攻击流量生成系统,其特征在于:所述流量生成模块中的流量生成工具选择netsniff-ng套件中的trafgen,trafgen是一款linux下的开源、高速、多线程的网络数据包生成工具。
6.权利要求1至5任一项所述的基于DCGAN网络的DoS攻击流量生成系统的工作方法,其特征在于:包括如下步骤:
步骤1:真实流量采集模块将真实流量数据包按到达时间进行排序,然后将每4096个连续数据包截取作为一个样本;
步骤2:解码样本中的数据包包头信息,由每个数据包得到一个八维的特征元祖,包括时间,序号,所用协议,原始IP,目的IP,原始端口,目的端口和数据包载荷;因此,对于每个样本,得到一个4096*7的特征矩阵;
步骤3:步骤2得到的特征矩阵中时间、所用协议、原始IP和目的IP对应元素用于神经网络计算前需要先格式转换成数值;其中所用协议特征对应UDP和TCP中的一个,采取One-Hot编码将特征矩阵进行数值化,时间、原始IP和目的IP特征通过进制转换成十进制数值;
步骤4:对步骤3得到的特征矩阵进行归一化,即将所有数值映射到(-1,1)区间上;
步骤5:DCGAN网络中生成器通过接收高斯噪声数据以生成初始的生成数据;判别器评估所接收的输入是否为真实流量特征,并根据如下损失函数对生成器参数予以调整;
假定用于生成的噪声分布是Pz(z),真实数据分布是Px(x),同时生成器和判别器分别为G和D,则DCGAN网络的目标即损失函数描述如下:
Figure FDA0003326947970000021
其中,D(x)表示判别器认定x来源于真实数据的分布概率,其值介于0与1之间,越接近1表明判别器越相信样本为真,反之为假;
Figure FDA0003326947970000022
表示判别器对所有属于真实数据分布Px(x)的样本x判定为真的平均概率期望;G(z)表示噪声经过生成器后生成的样本,D(G(z))则是判别器认定生成样本属于真实样本的概率,
Figure FDA0003326947970000031
表示判别器对所有属于通过噪声经过生成器后生成的样本G(z)判定为假的平均概率期望,minGmaxDV(D,G)表示判别器D的目标是最小化优化目标,而生成器G的目标是最大化优化目标;
当生成器生成的数据和真实流量采集得到的特征数据输入判别器后,判别器将根据损失函数计算当前的损失大小,并根据损失大小通过梯度下降对生成器的参数予以更新;通过重复这一过程,网络损失值将趋于稳定,直至判别器对于任意输入,认定其为“真”的概率均为0.5,也即无法将生成器生成的数据和真实数据进行区分,此时DCGAN网络达到收敛状态;
步骤6:当流量生成模块中的流量生成工具收到已收敛的DCGAN网络中生成器生成的特征数据后,将通过开源工具trafgen将特征数据还原为DoS攻击流量。
CN202111266058.7A 2021-10-28 2021-10-28 一种基于DCGAN网络的DoS攻击流量生成系统及方法 Pending CN113938309A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111266058.7A CN113938309A (zh) 2021-10-28 2021-10-28 一种基于DCGAN网络的DoS攻击流量生成系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111266058.7A CN113938309A (zh) 2021-10-28 2021-10-28 一种基于DCGAN网络的DoS攻击流量生成系统及方法

Publications (1)

Publication Number Publication Date
CN113938309A true CN113938309A (zh) 2022-01-14

Family

ID=79284810

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111266058.7A Pending CN113938309A (zh) 2021-10-28 2021-10-28 一种基于DCGAN网络的DoS攻击流量生成系统及方法

Country Status (1)

Country Link
CN (1) CN113938309A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114444075A (zh) * 2022-02-09 2022-05-06 深圳市前海新型互联网交换中心有限公司 一种生成躲避流量数据的方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111917765A (zh) * 2020-07-29 2020-11-10 北京计算机技术及应用研究所 基于生成式对抗网络的网络攻击流量生成系统
CN111988277A (zh) * 2020-07-18 2020-11-24 郑州轻工业大学 一种基于双向生成对抗网络的攻击检测方法
CN113158390A (zh) * 2021-04-29 2021-07-23 北京邮电大学 一种基于辅助分类式生成对抗网络的网络攻击流量生成方法
US20210319113A1 (en) * 2019-01-07 2021-10-14 Zhejiang University Method for generating malicious samples against industrial control system based on adversarial learning

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210319113A1 (en) * 2019-01-07 2021-10-14 Zhejiang University Method for generating malicious samples against industrial control system based on adversarial learning
CN111988277A (zh) * 2020-07-18 2020-11-24 郑州轻工业大学 一种基于双向生成对抗网络的攻击检测方法
CN111917765A (zh) * 2020-07-29 2020-11-10 北京计算机技术及应用研究所 基于生成式对抗网络的网络攻击流量生成系统
CN113158390A (zh) * 2021-04-29 2021-07-23 北京邮电大学 一种基于辅助分类式生成对抗网络的网络攻击流量生成方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
彭中联;万巍;荆涛;魏金侠;: "基于改进CGANs的入侵检测方法研究", 信息网络安全, no. 05, 10 May 2020 (2020-05-10) *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114444075A (zh) * 2022-02-09 2022-05-06 深圳市前海新型互联网交换中心有限公司 一种生成躲避流量数据的方法

Similar Documents

Publication Publication Date Title
CN110784481B (zh) SDN网络中基于神经网络的DDoS检测方法及系统
CN110311829B (zh) 一种基于机器学习加速的网络流量分类方法
US11334764B2 (en) Real-time detection method and apparatus for DGA domain name
CN111191767B (zh) 一种基于向量化的恶意流量攻击类型的判断方法
CN109218223B (zh) 一种基于主动学习的鲁棒性网络流量分类方法及系统
CN112671757A (zh) 一种基于自动机器学习的加密流量协议识别方法及装置
CN110868404B (zh) 一种基于tcp/ip指纹的工控设备自动识别方法
CN114039901A (zh) 基于残差网络和循环神经网络混合模型的协议识别方法
CN109639734B (zh) 一种具有计算资源自适应性的异常流量检测方法
CN113792850A (zh) 字体生成模型训练方法、字库建立方法、装置及设备
CN115037805A (zh) 一种基于深度聚类的未知网络协议识别方法、系统、装置及存储介质
CN112910881A (zh) 一种基于通信协议的数据监控方法及系统
CN116684877A (zh) 一种基于gyac-lstm的5g网络流量异常检测方法及系统
CN113938309A (zh) 一种基于DCGAN网络的DoS攻击流量生成系统及方法
CN114189350B (zh) 一种基于LightGBM的列车通信网络入侵检测方法
CN114826776A (zh) 一种用于加密恶意流量的弱监督检测方法及系统
CN114979017B (zh) 基于工控系统原始流量的深度学习协议识别方法及系统
CN115473734A (zh) 基于单分类和联邦学习的远程代码执行攻击检测方法
CN115622810A (zh) 一种基于机器学习算法的业务应用识别系统及方法
CN114330363A (zh) 一种基于漏洞语义智能解析的工控协议漏洞挖掘方法
CN113328986A (zh) 基于卷积神经网络与lstm结合的网络流量异常检测方法
CN111901282A (zh) 一种生成恶意代码流量行为检测结构的方法
CN116233011B (zh) 一种基于包长度序列和消息长度序列深度融合的物联网流量分类方法及系统
CN115442309B (zh) 一种基于图神经网络的包粒度网络流量分类方法
Wang et al. Deep CNN-RNN with Self-Attention Model for Electric IoT Traffic Classification

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination