CN115037558A - 一种对抗驱动的异常检测进化方法 - Google Patents
一种对抗驱动的异常检测进化方法 Download PDFInfo
- Publication number
- CN115037558A CN115037558A CN202210953486.5A CN202210953486A CN115037558A CN 115037558 A CN115037558 A CN 115037558A CN 202210953486 A CN202210953486 A CN 202210953486A CN 115037558 A CN115037558 A CN 115037558A
- Authority
- CN
- China
- Prior art keywords
- detection
- self
- matcher
- features
- initial state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Artificial Intelligence (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出一种对抗驱动的异常检测进化方法,属于网络攻击检测技术领域。所述方法通过自体特征和检测匹配器的动态演化以及对抗驱动演化,实现异常检测能力的不断提高,从而能够有效应对网络环境中的未知威胁发现。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种对抗驱动的异常检测进化方法。
背景技术
传统网络威胁发现技术主要采用基于已知的静态检测,在面临未知攻击时遭遇到很大的技术瓶颈。当前网络攻击手段普遍采用探测—调整—攻击的对抗攻击模式快速进化出新的攻击手段,然而传统的网络安全防御技术缺乏自学习和动态演化能力,难以抵御对抗环境下的新型未知攻击。
发明内容
为解决上述技术问题,本发明提出了一种伴生式网络构建与共同演化方案,以实现异常检测能力的自主演化提高。
本发明第一方面公开了一种对抗驱动的异常检测进化方法,所述方法包括:步骤S1、生成初始状态下自体的自体特征和所述初始状态下的检测匹配器;其中:所述自体为网络流量和/或软件应用;所述初始状态下的自体特征从所述自体的合法行为数据中提取得到;从所述自体的广义特征空间中随机生成所述初始状态下的检测匹配器,所述初始状态下的检测匹配器中包含所述自体的非法行为数据的特征和合法行为数据的特征;步骤S2、所示初始状态下的自体特征基于网络环境的变化进行同步动态演化;步骤S3、利用经演化的自体特征对所述初始状态下的检测匹配器中包含的特征进行筛选,以滤除与所述经演化的自体特征相匹配的特征;步骤S4、经筛选的检测匹配器基于不断演化的自体特征、所述网络环境的变化以及遭受的网络攻击进行同步动态演化,从而得到仅描述所述自体的非法行为数据的特征的检测匹配器。
根据本发明第一方面的方法,在步骤S1中:收集初始时间段t内所述自体的合法行为数据,通过对所述合法行为数据进行聚类得到多个类别的所述初始状态下的自体特征,每个类别包含多个特征项,将所述初始状态下的自体特征放入自体特征集合;从所述自体的广义特征空间中随机生成所述初始状态下的若干检测匹配器,所述初始状态下的若干检测匹配器中包含的所述自体的非法行为数据的特征和合法行为数据的特征的类别与所述初始状态下的自体特征的类别保持一致,将所述若干检测匹配器放入检测匹配器集合。
根据本发明第一方面的方法,在步骤S2中,每隔固定时间间隔,从所述网络环境中收集所述自体的实时合法行为数据,并基于所述实时合法行为数据不断提取新的自体特征,将所述新的自体特征放入所述自体特征集合,并淘汰所述自体特征集合中符合淘汰策略的部分自体特征,最终得到的所述自体特征集合中的自体特征作为所述经演化的自体特征。
根据本发明第一方面的方法,在步骤S3中,将所述经演化的自体特征与所述检测匹配器集合中的各个检测匹配器的特征进行匹配,将经匹配的特征从所述各个检测匹配器中删除,从而确保所述各个检测匹配器中仅包含所述自体的非法行为数据的特征。
根据本发明第一方面的方法,在步骤S4中,所述各个检测匹配器的同步动态演化包括:每隔所述固定时间间隔,重新获取在实时变化的所述网络环境下的所述经演化的自体特征,动态地对所述各个检测匹配器的特征进行筛选。
根据本发明第一方面的方法,在步骤S4中,所述各个检测匹配器的同步动态演化包括:对所述各个检测匹配器中的特征,以特征编辑的方式通过不断演化来进行其内部的特征更新,所述特征编辑的方式包括特征突变、特征交叉、梯度算子和特征重组中的一种或多种。
根据本发明第一方面的方法,在步骤S4中,所述各个检测匹配器的同步动态演化包括:生成攻击样本,将所述攻击样本注入到所述网络环境中,形成动态变化的威胁环境,利用所述各个匹配检测器检测所述威胁环境中的攻击样本,提取出无法被检测出的攻击样本的特征,补入到所述各个匹配检测器中。
本发明第二方面公开了一种对抗驱动的异常检测进化系统。所述方法包括:第一处理单元,被配置为,生成初始状态下自体的自体特征和所述初始状态下的检测匹配器;其中:所述自体为网络流量和/或软件应用;所述初始状态下的自体特征从所述自体的合法行为数据中提取得到;从所述自体的广义特征空间中随机生成所述初始状态下的检测匹配器,所述初始状态下的检测匹配器中包含所述自体的非法行为数据的特征和合法行为数据的特征;第二处理单元,被配置为,所示初始状态下的自体特征基于网络环境的变化进行同步动态演化;第三处理单元,被配置为,利用经演化的自体特征对所述初始状态下的检测匹配器中包含的特征进行筛选,以滤除与所述经演化的自体特征相匹配的特征;第四处理单元,被配置为,经筛选的检测匹配器基于不断演化的自体特征、所述网络环境的变化以及遭受的网络攻击进行同步动态演化,从而得到仅描述所述自体的非法行为数据的特征的检测匹配器。
根据本发明第二方面的系统,所述第一处理单元具体被配置为:收集初始时间段t内所述自体的合法行为数据,通过对所述合法行为数据进行聚类得到多个类别的所述初始状态下的自体特征,每个类别包含多个特征项,将所述初始状态下的自体特征放入自体特征集合;从所述自体的广义特征空间中随机生成所述初始状态下的若干检测匹配器,所述初始状态下的若干检测匹配器中包含的所述自体的非法行为数据的特征和合法行为数据的特征的类别与所述初始状态下的自体特征的类别保持一致,将所述若干检测匹配器放入检测匹配器集合。
根据本发明第二方面的系统,所述第二处理单元具体被配置为:每隔固定时间间隔,从所述网络环境中收集所述自体的实时合法行为数据,并基于所述实时合法行为数据不断提取新的自体特征,将所述新的自体特征放入所述自体特征集合,并淘汰所述自体特征集合中符合淘汰策略的部分自体特征,最终得到的所述自体特征集合中的自体特征作为所述经演化的自体特征。
根据本发明第二方面的系统,所述第三处理单元具体被配置为:将所述经演化的自体特征与所述检测匹配器集合中的各个检测匹配器的特征进行匹配,将经匹配的特征从所述各个检测匹配器中删除,从而确保所述各个检测匹配器中仅包含所述自体的非法行为数据的特征。
根据本发明第二方面的系统,所述第四处理单元具体被配置为:所述各个检测匹配器的同步动态演化包括:每隔所述固定时间间隔,重新获取在实时变化的所述网络环境下的所述经演化的自体特征,动态地对所述各个检测匹配器的特征进行筛选。
根据本发明第二方面的系统,所述第四处理单元具体被配置为:所述各个检测匹配器的同步动态演化包括:对所述各个检测匹配器中的特征,以特征编辑的方式通过不断演化来进行其内部的特征更新,所述特征编辑的方式包括特征突变、特征交叉、梯度算子和特征重组中的一种或多种。
根据本发明第二方面的系统,所述第四处理单元具体被配置为:所述各个检测匹配器的同步动态演化包括:生成攻击样本,将所述攻击样本注入到所述网络环境中,形成动态变化的威胁环境,利用所述各个匹配检测器检测所述威胁环境中的攻击样本,提取出无法被检测出的攻击样本的特征,补入到所述各个匹配检测器中。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任一项所述的一种对抗驱动的异常检测进化方法中的步骤。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的一种对抗驱动的异常检测进化方法中的步骤。
本发明提供的技术方案通过自体特征/检测匹配器的动态演化和对抗驱动演化方法,实现异常检测能力的不断提高,从而能够有效应对网络环境中的未知威胁。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例的一种对抗驱动的异常检测进化方法的流程图;
图2为根据本发明实施例的自体特征以及检测匹配器的演化过程示意图;
图3为根据本发明实施例的对抗攻击引擎的示意图;
图4为根据本发明实施例的一种电子设备的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明第一方面公开了一种对抗驱动的异常检测进化方法。图1为根据本发明实施例的一种对抗驱动的异常检测进化方法的流程图;如图1所示,所述方法包括:步骤S1、生成初始状态下自体的自体特征和所述初始状态下的检测匹配器。其中:所述自体为网络流量和/或软件应用;所述初始状态下的自体特征从所述自体的合法行为数据中提取得到;从所述自体的广义特征空间中随机生成所述初始状态下的检测匹配器,所述初始状态下的检测匹配器中包含所述自体的非法行为数据的特征和合法行为数据的特征。步骤S2、所示初始状态下的自体特征基于网络环境的变化进行同步动态演化。步骤S3、利用经演化的自体特征对所述初始状态下的检测匹配器中包含的特征进行筛选,以滤除与所述经演化的自体特征相匹配的特征。步骤S4、经筛选的检测匹配器基于不断演化的自体特征、所述网络环境的变化以及遭受的网络攻击进行同步动态演化,从而得到仅描述所述自体的非法行为数据的特征的检测匹配器。
具体地,异常检测由自体特征、检测匹配器实现。数据流、软件等合法活动或数据特征抽象为自体,异常检测能力由大量的检测匹配器提供,检测匹配器可识别非法的活动或数据等非自体特征。
具体地,初始状态下,自体特征通过提取合法行为数据特征获得,检测匹配器在特征空间内随机生成。自体特征随网络环境变化进行同步动态演化,包括自体的动态收集、淘汰等策略。根据自体特征的变化,对检测匹配器进行筛选,通过否定选择剔除匹配自体特征的检测匹配器。检测匹配器随着自体特征、攻击特征以及网络环境变化而同步动态演化。包括:多个检测匹配器间进行协同检测,利用协同检测结果的反馈更新,对检测匹配器进行演化训练,以适应新的网络环境和攻击;对检测匹配器特征进行编辑,采用特征变异、梯度改变、重组等方法产生新的检测匹配器,以实现检测匹配器生成的多样性。最终,对抗攻击引擎不断演化生成新的攻击,对抗攻击引擎将攻击样本注入到网络环境中,刺激检测匹配器进化,生成能够识别攻击样本的检测匹配器,实现检测匹配器随网络攻击动态演化。不断生成适应网络环境、网络行为的检测匹配器,并能够随着持续演化的攻击方法不断自主进化。
上述方法实现了异常检测能力的不断提高,特别是针对未知威胁识别。对抗攻击引擎的构造,为异常检测系统的对抗测试提供了一种普适方法。
在一些实施例中,在步骤S1中:收集初始时间段t内所述自体的合法行为数据,通过对所述合法行为数据进行聚类得到多个类别的所述初始状态下的自体特征,每个类别包含多个特征项,将所述初始状态下的自体特征放入自体特征集合;从所述自体的广义特征空间中随机生成所述初始状态下的若干检测匹配器,所述初始状态下的若干检测匹配器中包含的所述自体的非法行为数据的特征和合法行为数据的特征的类别与所述初始状态下的自体特征的类别保持一致,将所述若干检测匹配器放入检测匹配器集合。
在一些实施例中,在步骤S2中,每隔固定时间间隔,从所述网络环境中收集所述自体的实时合法行为数据,并基于所述实时合法行为数据不断提取新的自体特征,将所述新的自体特征放入所述自体特征集合,并淘汰所述自体特征集合中符合淘汰策略的部分自体特征,最终得到的所述自体特征集合中的自体特征作为所述经演化的自体特征。
在一些实施例中,在步骤S3中,将所述经演化的自体特征与所述检测匹配器集合中的各个检测匹配器的特征进行匹配,将经匹配的特征从所述各个检测匹配器中删除,从而确保所述各个检测匹配器中仅包含所述自体的非法行为数据的特征。
在一些实施例中,在步骤S4中,所述各个检测匹配器的同步动态演化包括:(1)每隔所述固定时间间隔,重新获取在实时变化的所述网络环境下的所述经演化的自体特征,动态地对所述各个检测匹配器的特征进行筛选。
在一些实施例中,在步骤S4中,所述各个检测匹配器的同步动态演化包括:(2)对所述各个检测匹配器中的特征,以特征编辑的方式通过不断演化来进行其内部的特征更新,所述特征编辑的方式包括特征突变、特征交叉、梯度算子和特征重组中的一种或多种。
在一些实施例中,在步骤S4中,所述各个检测匹配器的同步动态演化包括:(3)生成攻击样本,将所述攻击样本注入到所述网络环境中,形成动态变化的威胁环境,利用所述各个匹配检测器检测所述威胁环境中的攻击样本,提取出无法被检测出的攻击样本的特征,补入到所述各个匹配检测器中。
图2为根据本发明实施例的自体特征以及检测匹配器的演化过程示意图;如图2所示,通过自体特征进化、检测匹配器进化、对抗攻击引擎的相互作用,演化生成针对新型攻击的检测匹配器,实现检测能力的提升。其中,自体特征进化又包括自体初始化、自体增长、自体淘汰等方法;检测匹配器进化包括检测匹配器初始化、自体匹配检查、检测匹配器演化、多特征视图协同进化等方法;对抗攻击引擎包括攻击知识库、攻击样本构造、攻击样本注入。
自体特征和检测匹配器动态演化过程如下:
1.网络环境中自体特征描述了正常网络行为的特征,提取数据流、软件等合法行为数据特征表示为自体特征,自体特征集合由大量的自体特征组成,自体特征进化方法包括如下几种方式:
1.1自体初始化:收集初始时间段t内网络流量、软件等合法行为数据,进行聚类并提取特征si={si 1,si 2,…,si n},si为第i个自体特征,(i=1,…,h),h表示自体特征的个数,其中si j(j=1,…,n)为自体特征si的第j个特征项,n表示特征项的个数,si j的取值范围为si j∈rangeS(sj),rangeS(sj)表示h个自体特征的第j个特征项的范围,自体特征集合表示为S={si}。
1.2 自体增长:每隔Δt时间,对收集到的合法数据进行聚类并提取新的自体特征S new ,增加到已有的自体集合S中。
1.3 自体淘汰:实时检查自体集合大小size(S),当集合过大时,如超过一定阈值,按照一定的策略选择淘汰的自体特征S dead ,如先进先出、最久未访问等策略,淘汰一部分自体元素,确保自体特征集合S维护最新的正常行为特征。
2.检测匹配器集合由大量的检测匹配器组成,检测匹配器描述了非自体的潜在攻击特征,由于非自体空间较大,我们尝试将匹配潜在攻击的非自体特征加入到检测匹配器集合,检测匹配器集合进化方法包括如下几种方式:
2.1检测匹配器初始化:初始状态下,检测匹配器在特征空间内随机生成检测匹配器di={di 1,di 2,…,di n}, di表示第i个检测匹配器,(i=1,…,q),其中di j表示检测匹配器di的第j个特征项,di j的取值在范围di j∈rangeD(dj)内随机选取,rangeD(dj)表示q个检测匹配器的第j个特征项的范围,特征项的取值范围,rangeD(dj)与rangeS(sj)范围不同,检测匹配器集合表示为D={di}。
2.2自体匹配检查:检测匹配器集合D={di}中的检测匹配器一旦匹配自体集合S={si}中的自体特征,满足match(di, si)==True,match表示匹配,true表示为真,则将该检测匹配器di从检测匹配器集合D中删除,以免引起误识别。
2.3检测匹配器演化:检测匹配器集合D={di}中的检测匹配器di={di 1,di 2,…,di n}通过突变、交叉、梯度算子、重组等特征编辑方法,如特征项di j+Δdi j=di j’演化出新的检测匹配器di’={di 1,…,di j’,…,di n},加入检测匹配器集合,Δdi j表示突变值。
3.为了提高特征的准确度,采用多特征视图协同进化的方法对自体特征和检测匹配器进行更新,过程如下:
3.1首先针对自体定义不同的特征视图,可采用主成分分析、深度自编码、深度卷积神经网络等方法从自体集合中提取不同的特征集合,通过差异化的特征提取,不同方法产生不同的特征视图V 1, V 2 …, V m ,m表示特征视图的个数。
3.2对特征视图的差异性进行衡量,计算任意两个特征视图的差异值,当特征差异值小于阈值时,只保留两个特征视图中的一个,有效特征视图为V={V 1, V 2, …, V k }(k≤m)。
3.3在每一个特征视图V i (i=1,…,k)下,利用步骤1、2生成自体特征集合S i (i=1,…,k)、检测匹配器集合D i (i=1,…,k),不同检测匹配器集合D i 具备差异化的异常检测能力。
3.4多视图检测:对于待检测样本数据集合T,每个检测匹配器集合D i (i=1,…,k)将T划分为非自体集合TN i 和自体集合TS i ,其中TN i +TS i =T
3.5多视图结果融合:对于每个检测匹配器集合D i (i=1,…,k),融合其余k-1个检测匹配器集合D j (j=1…k, j≠i)检测结果,得到自体集合TS i ’和非自体集合TN i ’,由ΔTS i = TS i ’-TS i ,ΔTN i = TS i ’-TN i 得到D i 的检测结果偏差。
3.6多视图更新:根据ΔTS i 、ΔTN i ,更新每个特征视图V i (i=1,…,k) 下的自体特征集合S i 、检测匹配器集合D i 。
3.6.1对于自体特征集合S i ,根据ΔTS i 得到样本集合T中的样本TS,在特征视图V i 提取TS的特征V i (TS),补充到该特征视图的自体特征集合。
3.6.2对于检测匹配器集合D i ,根据ΔTN i 得到样本集合T中的样本TN,在特征视图V i 提取TN的特征V i (TN),补充到该特征视图的检测匹配器集合。
3.7针对每个特征视图V i ,重复步骤1.2-1.3、2.2-2.3、3.4-3.6,使得自体特征集合S i 、检测匹配器集合D i 随网络环境变化协同演化。
4.生成大量攻击样本,注入到网络环境中,形成动态变化的威胁环境,如图3所示:
4.1采集大量攻击数据,包括已有攻击手段、资源、策略、攻击轨迹、适用目标、脆弱性环境、功能等,建立攻击规则库。
4.2收集目标环境信息,与上述攻击规则库关联,查找潜在攻击目标和攻击方法。
4.3根据潜在攻击目标和攻击方法,生成大量攻击样本,构成攻击样本集合,攻击样本的生成方法有以下几种方式:
4.3.1攻击参数调节:通过对现有攻击进行参数调整、特征混淆等,生成新的攻击样本。
4.3.2对抗样本生成:采用对抗样本生成方法生成新型攻击模式,包括投毒攻击、逃逸攻击等机器学习算法产生新型攻击手段。
4.3.3攻击策略组合:通过组合攻击资源和攻击手段发起有效攻击,攻击资源包括发起攻击所需的计算、存储和网络等资源,如可用地址、跳板、目标漏洞等;攻击手段包括攻击工具、脚本、服务、参数、特征码混淆、反查杀等。
4.4 利用自动或半自动化的攻击工具将攻击样本集合中的攻击样本注入到目标环境中,对目标环境发起测试攻击。
4.5 对每个攻击样本的攻击效果进行评估,并进一步基于评估结果,如果攻击成功则记录该攻击样本,并对攻击策略进行的反馈更新,促进攻击样本的演化。
5.若检测匹配器集合可能无法正确识别步骤4构造的某些攻击样本,对于无法识别的攻击样本,提取其特征并补充到检测匹配器集合中。
6.重复步骤4-6,使得检测匹配器集合D能够随网络威胁变化动态演化。
本发明第二方面公开了一种对抗驱动的异常检测进化系统。所述方法包括:第一处理单元,被配置为,生成初始状态下自体的自体特征和所述初始状态下的检测匹配器;其中:所述自体为网络流量和/或软件应用;所述初始状态下的自体特征从所述自体的合法行为数据中提取得到;从所述自体的广义特征空间中随机生成所述初始状态下的检测匹配器,所述初始状态下的检测匹配器中包含所述自体的非法行为数据的特征和合法行为数据的特征;第二处理单元,被配置为,所示初始状态下的自体特征基于网络环境的变化进行同步动态演化;第三处理单元,被配置为,利用经演化的自体特征对所述初始状态下的检测匹配器中包含的特征进行筛选,以滤除与所述经演化的自体特征相匹配的特征;第四处理单元,被配置为,经筛选的检测匹配器基于不断演化的自体特征、所述网络环境的变化以及遭受的网络攻击进行同步动态演化,从而得到仅描述所述自体的非法行为数据的特征的检测匹配器。
根据本发明第二方面的系统,所述第一处理单元具体被配置为:收集初始时间段t内所述自体的合法行为数据,通过对所述合法行为数据进行聚类得到多个类别的所述初始状态下的自体特征,每个类别包含多个特征项,将所述初始状态下的自体特征放入自体特征集合;从所述自体的广义特征空间中随机生成所述初始状态下的若干检测匹配器,所述初始状态下的若干检测匹配器中包含的所述自体的非法行为数据的特征和合法行为数据的特征的类别与所述初始状态下的自体特征的类别保持一致,将所述若干检测匹配器放入检测匹配器集合。
根据本发明第二方面的系统,所述第二处理单元具体被配置为:每隔固定时间间隔,从所述网络环境中收集所述自体的实时合法行为数据,并基于所述实时合法行为数据不断提取新的自体特征,将所述新的自体特征放入所述自体特征集合,并淘汰所述自体特征集合中符合淘汰策略的部分自体特征,最终得到的所述自体特征集合中的自体特征作为所述经演化的自体特征。
根据本发明第二方面的系统,所述第三处理单元具体被配置为:将所述经演化的自体特征与所述检测匹配器集合中的各个检测匹配器的特征进行匹配,将经匹配的特征从所述各个检测匹配器中删除,从而确保所述各个检测匹配器中仅包含所述自体的非法行为数据的特征。
根据本发明第二方面的系统,所述第四处理单元具体被配置为:所述各个检测匹配器的同步动态演化包括:(1)每隔所述固定时间间隔,重新获取在实时变化的所述网络环境下的所述经演化的自体特征,动态地对所述各个检测匹配器的特征进行筛选。
根据本发明第二方面的系统,所述第四处理单元具体被配置为:所述各个检测匹配器的同步动态演化包括:(2)对所述各个检测匹配器中的特征,以特征编辑的方式通过不断演化来进行其内部的特征更新,所述特征编辑的方式包括特征突变、特征交叉、梯度算子和特征重组中的一种或多种。
根据本发明第二方面的系统,所述第四处理单元具体被配置为:所述各个检测匹配器的同步动态演化包括:(3)生成攻击样本,将所述攻击样本注入到所述网络环境中,形成动态变化的威胁环境,利用所述各个匹配检测器检测所述威胁环境中的攻击样本,提取出无法被检测出的攻击样本的特征,补入到所述各个匹配检测器中。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任一项所述的一种对抗驱动的异常检测进化方法中的步骤。
图4为根据本发明实施例的一种电子设备的结构图,如图4所示,电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显示屏上覆盖的触摸层,也可以是电子设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图4中示出的结构,仅仅是与本公开的技术方案相关的部分的结构图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的一种对抗驱动的异常检测进化方法中的步骤。
本发明提供的技术方案通过自体特征/检测匹配器的动态演化和对抗驱动演化方法,实现异常检测能力的不断提高,从而能够有效应对网络环境中的未知威胁。该方案利用对抗驱动的异常检测进化方法实现了异常检测能力的不断提高,特别是针对未知威胁识别;同时对抗攻击引擎的构造为异常检测系统的对抗测试提供了一种普适方法。
请注意,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (7)
1.一种对抗驱动的异常检测进化方法,其特征在于,所述方法包括:
步骤S1、生成初始状态下自体的自体特征和所述初始状态下的检测匹配器;其中:
所述自体为网络流量和/或软件应用;
所述初始状态下的自体特征从所述自体的合法行为数据中提取得到;
从所述自体的广义特征空间中随机生成所述初始状态下的检测匹配器,所述初始状态下的检测匹配器中包含所述自体的非法行为数据的特征和合法行为数据的特征;
步骤S2、所示初始状态下的自体特征基于网络环境的变化进行同步动态演化;
步骤S3、利用经演化的自体特征对所述初始状态下的检测匹配器中包含的特征进行筛选,以滤除与所述经演化的自体特征相匹配的特征;
步骤S4、经筛选的检测匹配器基于不断演化的自体特征、所述网络环境的变化以及遭受的网络攻击进行同步动态演化,从而得到仅描述所述自体的非法行为数据的特征的检测匹配器。
2.根据权利要求1所述的一种对抗驱动的异常检测进化方法,其特征在于,在步骤S1中:
收集初始时间段t内所述自体的合法行为数据,通过对所述合法行为数据进行聚类得到多个类别的所述初始状态下的自体特征,每个类别包含多个特征项,将所述初始状态下的自体特征放入自体特征集合;
从所述自体的广义特征空间中随机生成所述初始状态下的若干检测匹配器,所述初始状态下的若干检测匹配器中包含的所述自体的非法行为数据的特征和合法行为数据的特征的类别与所述初始状态下的自体特征的类别保持一致,将所述若干检测匹配器放入检测匹配器集合。
3.根据权利要求2所述的一种对抗驱动的异常检测进化方法,其特征在于,在步骤S2中,每隔固定时间间隔,从所述网络环境中收集所述自体的实时合法行为数据,并基于所述实时合法行为数据不断提取新的自体特征,将所述新的自体特征放入所述自体特征集合,并淘汰所述自体特征集合中符合淘汰策略的部分自体特征,最终得到的所述自体特征集合中的自体特征作为所述经演化的自体特征。
4.根据权利要求3所述的一种对抗驱动的异常检测进化方法,其特征在于,在步骤S3中,将所述经演化的自体特征与所述检测匹配器集合中的各个检测匹配器的特征进行匹配,将经匹配的特征从所述各个检测匹配器中删除,从而确保所述各个检测匹配器中仅包含所述自体的非法行为数据的特征。
5.根据权利要求4所述的一种对抗驱动的异常检测进化方法,其特征在于,在步骤S4中,所述各个检测匹配器的同步动态演化包括:每隔所述固定时间间隔,重新获取在实时变化的所述网络环境下的所述经演化的自体特征,动态地对所述各个检测匹配器的特征进行筛选。
6.根据权利要求5所述的一种对抗驱动的异常检测进化方法,其特征在于,在步骤S4中,所述各个检测匹配器的同步动态演化包括:对所述各个检测匹配器中的特征,以特征编辑的方式通过不断演化来进行其内部的特征更新,所述特征编辑的方式包括特征突变、特征交叉、梯度算子和特征重组中的一种或多种。
7.根据权利要求6所述的一种对抗驱动的异常检测进化方法,其特征在于,在步骤S4中,所述各个检测匹配器的同步动态演化包括:生成攻击样本,将所述攻击样本注入到所述网络环境中,形成动态变化的威胁环境,利用所述各个匹配检测器检测所述威胁环境中的攻击样本,提取出无法被检测出的攻击样本的特征,补入到所述各个匹配检测器中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210953486.5A CN115037558B (zh) | 2022-08-10 | 2022-08-10 | 一种对抗驱动的异常检测进化方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210953486.5A CN115037558B (zh) | 2022-08-10 | 2022-08-10 | 一种对抗驱动的异常检测进化方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115037558A true CN115037558A (zh) | 2022-09-09 |
CN115037558B CN115037558B (zh) | 2022-10-21 |
Family
ID=83130032
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210953486.5A Active CN115037558B (zh) | 2022-08-10 | 2022-08-10 | 一种对抗驱动的异常检测进化方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115037558B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102638466A (zh) * | 2012-03-29 | 2012-08-15 | 广州大学 | 一种基于免疫的动态实时网络异常检测方法 |
US20180262525A1 (en) * | 2017-03-09 | 2018-09-13 | General Electric Company | Multi-modal, multi-disciplinary feature discovery to detect cyber threats in electric power grid |
US20190219994A1 (en) * | 2018-01-18 | 2019-07-18 | General Electric Company | Feature extractions to model large-scale complex control systems |
CN110868431A (zh) * | 2019-12-24 | 2020-03-06 | 华北电力大学 | 一种网络流量异常检测方法 |
CN112738016A (zh) * | 2020-11-16 | 2021-04-30 | 中国南方电网有限责任公司 | 一种面向威胁场景的智能化安全事件关联分析系统 |
CN114065933A (zh) * | 2021-11-26 | 2022-02-18 | 北京邮电大学 | 一种基于人工免疫思想的未知威胁检测方法 |
-
2022
- 2022-08-10 CN CN202210953486.5A patent/CN115037558B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102638466A (zh) * | 2012-03-29 | 2012-08-15 | 广州大学 | 一种基于免疫的动态实时网络异常检测方法 |
US20180262525A1 (en) * | 2017-03-09 | 2018-09-13 | General Electric Company | Multi-modal, multi-disciplinary feature discovery to detect cyber threats in electric power grid |
US20190219994A1 (en) * | 2018-01-18 | 2019-07-18 | General Electric Company | Feature extractions to model large-scale complex control systems |
CN110868431A (zh) * | 2019-12-24 | 2020-03-06 | 华北电力大学 | 一种网络流量异常检测方法 |
CN112738016A (zh) * | 2020-11-16 | 2021-04-30 | 中国南方电网有限责任公司 | 一种面向威胁场景的智能化安全事件关联分析系统 |
CN114065933A (zh) * | 2021-11-26 | 2022-02-18 | 北京邮电大学 | 一种基于人工免疫思想的未知威胁检测方法 |
Non-Patent Citations (1)
Title |
---|
姜梅等: "一个基于生物免疫系统的网络安全模型", 《青岛理工大学学报》 * |
Also Published As
Publication number | Publication date |
---|---|
CN115037558B (zh) | 2022-10-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102480204B1 (ko) | 침입 탐지를 위한 지속적인 학습 | |
US10812504B2 (en) | Systems and methods for cyber intrusion detection and prevention | |
US11775826B2 (en) | Artificial intelligence with cyber security | |
CN108965001B (zh) | 一种车辆报文数据模型的评估方法及装置 | |
CN113965404A (zh) | 一种网络安全态势自适应主动防御系统及方法 | |
US20130312092A1 (en) | System and method for forensic cyber adversary profiling, attribution and attack identification | |
Husain et al. | Development of an efficient network intrusion detection model using extreme gradient boosting (XGBoost) on the UNSW-NB15 dataset | |
Haddadi et al. | On botnet behaviour analysis using GP and C4. 5 | |
CN110912874B (zh) | 有效识别机器访问行为的方法及系统 | |
Raihan-Al-Masud et al. | Network intrusion detection system using voting ensemble machine learning | |
Dehlaghi-Ghadim et al. | Anomaly detection dataset for industrial control systems | |
CN106911665B (zh) | 一种识别恶意代码弱口令入侵行为的方法及系统 | |
Ibrahim et al. | Performance comparison of intrusion detection system using three different machine learning algorithms | |
Muhati et al. | Asynchronous advantage actor-critic (a3c) learning for cognitive network security | |
CN110874638A (zh) | 面向行为分析的元知识联邦方法、装置、电子设备及系统 | |
CN115037558B (zh) | 一种对抗驱动的异常检测进化方法 | |
Şeker | Use of Artificial Intelligence Techniques/Applications in Cyber Defense | |
Yin et al. | Defending Against Data Poisoning Attack in Federated Learning With Non-IID Data | |
Ambika | An economical machine learning approach for anomaly detection in IoT environment | |
Dubey et al. | Investigating the Impact of Feature Reduction through Information Gain and Correlation on the Performance of Error Back Propagation Based IDS | |
CN112751863B (zh) | 一种攻击行为分析方法及装置 | |
CN114329449A (zh) | 系统安全检测方法和装置、存储介质及电子装置 | |
CN114398635A (zh) | 分层安全联邦学习方法、装置、电子设备及存储介质 | |
Jannat et al. | Exploration of Machine Learning Algorithms for Development of Intelligent Intrusion Detection Systems | |
Zhang | Application of Artificial Intelligence Technology in Computer Network Security. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |