CN115296857A - 基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法 - Google Patents
基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法 Download PDFInfo
- Publication number
- CN115296857A CN115296857A CN202210812894.9A CN202210812894A CN115296857A CN 115296857 A CN115296857 A CN 115296857A CN 202210812894 A CN202210812894 A CN 202210812894A CN 115296857 A CN115296857 A CN 115296857A
- Authority
- CN
- China
- Prior art keywords
- ais
- training
- data
- network
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 230000003053 immunization Effects 0.000 title claims abstract description 29
- 238000002649 immunization Methods 0.000 title claims abstract description 28
- 238000012549 training Methods 0.000 claims abstract description 46
- 239000000427 antigen Substances 0.000 claims abstract description 43
- 102000036639 antigens Human genes 0.000 claims abstract description 43
- 108091007433 antigens Proteins 0.000 claims abstract description 43
- 210000000987 immune system Anatomy 0.000 claims abstract description 22
- 238000000605 extraction Methods 0.000 claims abstract description 18
- 230000008447 perception Effects 0.000 claims abstract description 18
- 238000003491 array Methods 0.000 claims abstract description 10
- 238000005065 mining Methods 0.000 claims abstract description 3
- 210000004027 cell Anatomy 0.000 claims description 47
- 230000000638 stimulation Effects 0.000 claims description 26
- 230000008569 process Effects 0.000 claims description 15
- 210000003719 b-lymphocyte Anatomy 0.000 claims description 14
- 238000010367 cloning Methods 0.000 claims description 11
- 230000006870 function Effects 0.000 claims description 11
- 230000007246 mechanism Effects 0.000 claims description 10
- 238000001514 detection method Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 7
- 210000001728 clone cell Anatomy 0.000 claims description 4
- 230000000295 complement effect Effects 0.000 claims description 4
- 238000007781 pre-processing Methods 0.000 claims description 4
- 238000013468 resource allocation Methods 0.000 claims description 4
- 230000004913 activation Effects 0.000 claims description 3
- 230000002776 aggregation Effects 0.000 claims description 3
- 238000004220 aggregation Methods 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000013507 mapping Methods 0.000 claims description 3
- 230000035772 mutation Effects 0.000 claims description 3
- 238000005457 optimization Methods 0.000 claims description 3
- 230000008929 regeneration Effects 0.000 claims description 2
- 238000011069 regeneration method Methods 0.000 claims description 2
- 230000008901 benefit Effects 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 6
- 238000013135 deep learning Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000013528 artificial neural network Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 125000004122 cyclic group Chemical group 0.000 description 3
- 238000013136 deep learning model Methods 0.000 description 3
- 238000000547 structure data Methods 0.000 description 3
- 238000013480 data collection Methods 0.000 description 2
- 238000002372 labelling Methods 0.000 description 2
- 230000001172 regenerating effect Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000009824 affinity maturation Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 238000013527 convolutional neural network Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000036737 immune function Effects 0.000 description 1
- 229920002521 macromolecule Polymers 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 210000000653 nervous system Anatomy 0.000 description 1
- 244000052769 pathogen Species 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 102000004169 proteins and genes Human genes 0.000 description 1
- 108090000623 proteins and genes Proteins 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Human Computer Interaction (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了基于拓扑结构和DeepLearning‑AIS的网络威胁感知及免疫方法,原始数据流量数据格式转换后输入到流量数据可视化程序中,所得输入改进的ViT训练模型结合参数进行特征提取训练,得到基于ViT模型的自动化特征提取模型,而后处理所有会话数据,得到数据的特征表示,将数据映射到向量空间,形成高维空间内的拓扑结构;利用拓扑结构,挖掘节点之间的关联性信息,执行LBP,迭代训练节点分类器至其收敛;将流量数据与分类结果输入AIS进行进化学习;选取自动生成的各类初始加密流量特征抗原种群和记忆抗体,存入各类抗体数组和记忆抗体数组;对流量特征抗原进行人工免疫系统训练,得到所有的抗原集合,进一步对AIS免疫网络系统进行训练,直到搜索完毕。
Description
技术领域
本发明涉及网络安全技术等领域,具体的说,是基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法。
背景技术
随着新兴的网络攻击行为中的广泛应用,大量恶意攻击开始使用加密传输的方式逃避检测,从而达到对受害者进行攻击的目的。这些以加密流量为载体实施的网络恶意行为,对网络威胁感知以及对应的应急处理造成了新的挑战。
图结构数据以及其蕴含的的拓扑结构信息,因为其能够从根本上表征非欧氏空间中的信息,因此被用于社交网络、网络拓扑结构、生物蛋白质大分子等拥有复杂结构与关系的场景中,相较传统方法有着更好的性能表现。
AIS是人工免疫系统(Artificial Immune System)的简称。近年来,生物免疫系统成为一个新兴的生物信息研究课题。计算机的安全问题与生物免疫系统所遇到的问题具有惊人的相似性,两者都要在不断变化的环境中维持系统的稳定性。人体免疫系统具有天生发现并消灭外来病原体的能力,生物免疫系统所具有的这些特性正是计算机科学工作者所梦寐以求的。
作为Deep Learning领域中的计算机视觉方向的代表性成果,VisionTransformer(又称ViT)将在自然语言处理任务中取得巨大成功的Transformer架构引入了计算机视觉方向,能够在图片分类、图片Embedding等任务中,将注意力机制引入图像感受野,取得比传统CNN模型和ResNet模型更好的效果。ViT模型使用Transformer模型的编码器结构,通过对输入图片进行切分并分批获取Embedding,并且引入位置编码以获取图片更丰富的信息,根据公式2获取图片的注意力权重信息:
其中Q、K、V分别为运算中涉及的注意力权重矩阵。
AIS对人工神经网络不仅是有效的补充,更重要的是它们之间可以互相促进,提出多种解决问题的新思路。
发明内容
本发明的目的在于提供基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,将基于拓扑结构的网络表征,同ViT与AIS相结合,充分利用深度学习在自动化特征提取方面的优势,采用拓扑结构中的信息传播机制,结合AIS算法在自动免疫进化学习上的长处,用于网络威胁感知及免疫的进化学习。
本发明通过下述技术方案实现:基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,包括下述步骤:
1)通过数据收集工作获取网络中的原始数据流量包,并将原始数据流量包的网络流量元数据按Pcap的形式存储,原始数据流量包的网络流量元数据存储在单独的Pcap文件中,每个Pcap文件是一个包含不同大小的数据包的集合,每个Pcap文件代表一种应用程序;
2)将原始数据流量包中的原始数据流量经数据预处理转换为改进的ViT训练模型所需数据格式;
3)将步骤2)所得输入到流量数据可视化程序(Python程序,能快速批量处理数据,将输入数据之间归入相应的类别)中,得二维灰度图像;
4)将二维灰度图像输入改进的ViT训练模型,结合改进的ViT训练网络所需的参数,进行特征提取训练,得到基于ViT模型的自动化特征提取模型;
5)使用基于ViT模型的自动化特征提取模型处理所有会话数据,得到数据的特征表示,将数据映射到向量空间,形成高维空间内的拓扑结构;
6)利用拓扑结构所特有的结构特征和信息传播机制,根据节点同质性(Homophily)与影响力(Influence)属性挖掘节点之间的关联性信息,执行循环信任传播算法(LBP),迭代训练节点分类器至其收敛;
7)将经过以上步骤得到的流量数据与分类结果输入AIS进行进化学习,并输入算法参数;
8)选取自动生成的各类初始加密流量特征抗原种群和记忆抗体,存入各类抗体数组和记忆抗体数组;
9)对流量特征抗原进行人工免疫系统训练,直到得到所有的抗原集合;
10)将步骤9)所得到的所有抗原集合,进一步对AIS免疫网络系统进行训练;
11)重复步骤1)~10)直到所有抗原模式搜索完毕,否则继续重复步骤10)。
进一步的为更好地实现本发明所述的基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,特别采用下述设置方式:所述步骤2)包括下述具体步骤:
2.1)使用所有协议层次数据,根据相同的五元组将原始数据流量在会话层面进行划分,删除会话中与检测无关的信息,将会话长度固定为784Bytes;
1.2)将固定长度后的会话转换为二维灰度图像,以png的格式存储。
进一步的为更好地实现本发明所述的基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,特别采用下述设置方式:所述改进的ViT训练网络所需的参数包括学习率、激活函数、优化算法、损失函数、批处理大小、迭代次数,且采用损失函数计算值的大小作为特征提取停止的判断条件。
进一步的为更好地实现本发明所述的基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,特别采用下述设置方式:在高维空间内的拓扑结构上,按照随机顺序,根据公式
更新节点的类别概率,直至算法收敛。
进一步的为更好地实现本发明所述的基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,特别采用下述设置方式:迭代训练节点分类器的过程包括:
步骤一:在训练集上求两个分类器
和
分类器
基于节点特征向量fv预测节点类标签,分类器
基于节点特征向量fv和邻居节点的类标签聚合zv预测节点类标签;
步骤二:基于分类器
设置节点v的类标签,计算zv并利用分类器
预测节点v的类标签。
进一步的为更好地实现本发明所述的基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,特别采用下述设置方式:所述步骤7)的算法参数包括选择抗体数、克隆率、最大迭代次数、分类类别数;其中,最大迭代次数作为AIS进化学习训练停止的判断条件,根据克隆率对选择出来的抗体进行克隆操作。
进一步的为更好地实现本发明所述的基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,特别采用下述设置方式:所述步骤10)包括下述具体步骤:
10.1)从抗原集合中选出一个子集作为初始的网络细胞;
10.2)计算每一个网络细胞的受激程度;
10.3)通过资源分配机制,去除低受激程度的网络细胞;
10.4)选择受激程度较大的细胞,并根据它们的受激程度对它们进行克隆再生;
10.5)以与受激程度成反比的几率将每个克隆细胞进行变异;
10.6)选择变异后的克隆细胞组成新的网络。
进一步的为更好地实现本发明所述的基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,特别采用下述设置方式:通过下述公式选择受激程度较大的细胞:s=arg max Abj,j∈O;其中O={Abj|ζj>1},ε为亲和力阈值,当ζj>1时,细胞s为分裂的候选者,且具有最高抗原浓度的细胞s是唯一的候选者;每次被选择的细胞s将进行克隆,新克隆细胞的权值与细胞s最差匹配的抗原的互补,这点与克隆选择原理不相同,但这产生了一个与所有给定抗原能最大匹配的抗体网络。
每一个网络细胞的受激程度通过下述公式计算:
其中,si为受激程度,M表示抗原的数量,n为相连的B细胞数量,Di,j为抗原j与B细胞i之间的Euclidean距离,Di,k为B细胞i和与之相连的B细胞k之间的Euclidean距离,
本发明与现有技术相比,具有以下优点及有益效果:
本发明将基于拓扑结构的网络表征,同ViT与AIS相结合,充分利用深度学习在自动化特征提取方面的优势,采用拓扑结构中的信息传播机制,结合AIS算法在自动免疫进化学习上的长处,用于网络威胁感知及免疫的进化学习。
附图说明
图1为生物免疫过程示意图。
图2为AIS算法一般步骤示意图。
图3为使用ViT获取图片编码表示的过程图。
图4为流量数据拓扑结构图。
图5为免疫网络的适应度进化学习流程图。
图6为训练得到的基于免疫系统的检测器生命周期图。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
为使本发明实施方式的目的、技术方案和优点更加清楚,下面将结合本发明实施方式中的附图,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式是本发明一部分实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。因此,以下对在附图中提供的本发明的实施方式的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施方式。基于本发明中的实施方式,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。
本发明基于下述理论基础而得到:
随着网络攻防博弈的不断升级,越来越多的恶意攻击利用加密等手段隐藏攻击特征,从而绕过传统的网络威胁感知系统的检测,对企业形成新威胁、新挑战。据Gartner统计,2020年有超过70%的恶意网络攻击能够绕过传统的网络威胁感知系统。目前,基于传统的规则匹配以及基于算法的防护措施无法及时发现和阻止恶意加密流量的攻击行为,这可能会对资产、声誉和数据造成严重损害,如何形成对网络威胁的有效感知已成为工业界和学术界的重点难点课题,对于这个重要且具有挑战性的主题,企业需要探索新的安全技术以增强其安全能力。
恶意加密流量是一种使用加密技术如https加密等,对攻击命令、恶意攻击软件、恶意程序等加密后进行传输的数据流。识别基于恶意加密流量的网络威胁涉及处理和分析大量数据的复杂任务,对网络安全运营提出了重大挑战。主要有三个原因:首先,加密的流量特征与明文的流量特征相比变化很大,不能通过常规的负载匹配来检测和识别;其次,恶意软件利用流量伪装技术(如流量变形、链路信息填充)将恶意流量特征转化为常规流量特征,使得识别更加困难;第三,不同编码协议的编码方法和封装模式存在显着差异,需要考虑检测和区分策略。
拓扑结构主要以图结构数据(Graph-Structured Data)的形式将以流量数据为代表的网络威胁感知信息进行建模表征,并且为AIS实现相关免疫功能进行支撑。
人工免疫系统(Artificial Immune System,简称AIS)是一种受免疫学理论启发的计算机系统,它通过观察免疫系统的功能、原理和模型,用于解决现实世界的问题。二十世纪八十年代,学术界首次出现基于免疫网络学说的免疫系统的动态模型,并探讨了免疫系统与其它人工智能方法的联系,开始了人工免疫系统的研究。直到1996年12月,在日本首次举行了基于免疫性系统的国际专题讨论会,首次提出了“人工免疫系统”的概念。随后,人工免疫系统进入了兴盛发展时期。
以ViT模型为代表的深度学习模型和免疫系统之间有许多异同。AIS和深度学习模型都是受生物启发而产生的技术,二者利用学习、记忆、联想恢复等能力实现在高度分布式系统中识别问题功能。由于AIS能学习并记住曾被识别的模式并能高效地组建新的模式检测器,所以Glenn认为免疫系统是继神经系统之后的“第二大脑系统”。免疫系统中亲和力成熟过程等同于神经网络中权值更新过程,二者都是增加对被识别模式的响应能力。
本发明使用循环信念传播算法(Loopy Belief Propagation,LBP)处理网络威胁感知拓扑结构图,首先做以下定义:
Label-Label potential matrixψ(Yi,Yj):表示节点i是类别Yi,的条件下,其邻接节点j为类别Yj的概率;
Prior beliefφi(Yi):表示节点i为类别Yi的先验概率;
mi→j(Yj):节点i预测其邻接节点j为状态Yj;
根据公式(1)进行节点之间的信息传递:
在节点间的信息传递中,考虑节点i为Yi,的先验概率ψ,且根据类似于状态转移矩阵来得到节点j为Yj,同时考虑所有邻居节点传递的信息mk→j(Yi),随机顺序迭代,直到最终状态稳定,得到节点i为类别Yi的概率
因此,AIS对神经网络不仅是有效的补充,更重要的是它们之间可以互相促进,提出多种解决问题的新思路。基于此,本发明提出了基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法。
实施例1:
本发明设计出基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,基于拓扑结构的网络表征,同ViT与AIS相结合,充分利用深度学习在自动化特征提取方面的优势,采用拓扑结构中的信息传播机制,结合AIS算法在自动免疫进化学习上的长处,用于网络威胁感知及免疫的进化学习,包括下述步骤:
1)通过数据收集工作获取网络中的原始数据流量包,并将原始数据流量包的网络流量元数据按Pcap的形式存储,原始数据流量包的网络流量元数据存储在单独的Pcap文件中,每个Pcap文件是一个包含不同大小的数据包的集合,每个Pcap文件代表一种应用程序;
2)将原始数据流量包中的原始数据流量经数据预处理转换为改进的ViT训练模型所需数据格式,具体包括下述步骤:
2.1)使用所有协议层次数据,根据相同的五元组(源IP,目的IP,源端口,目的端口,协议号)将原始数据流量在会话层面进行划分,删除会话中与检测无关的信息,将会话长度固定为784Bytes;
1.2)将固定长度后的会话转换为二维灰度图像,以png的格式存储;
3)将步骤2)所得输入到流量数据可视化程序(Python程序,能快速批量处理数据,将输入数据之间归入相应的类别)中,得二维灰度图像;
4)将二维灰度图像输入改进的ViT训练模型,结合改进的ViT训练网络所需的参数(包括学习率、激活函数、优化算法、损失函数、批处理大小、迭代次数,且采用损失函数计算值的大小作为特征提取停止的判断条件),进行特征提取训练,得到基于ViT模型的自动化特征提取模型;
5)使用基于ViT模型的自动化特征提取模型处理所有会话数据,得到数据的特征表示,将数据映射到向量空间,形成高维空间内的拓扑结构,在高维空间内的拓扑结构上,按照随机顺序,根据公式
更新节点的类别概率,直至算法收敛;
6)利用拓扑结构所特有的结构特征和信息传播机制,根据节点同质性(Homophily)与影响力(Influence)属性挖掘节点之间的关联性信息,执行循环信任传播算法(LBP),迭代训练节点分类器至其收敛;迭代训练节点分类器的过程包括:
步骤一:在训练集上求两个分类器
和
分类器
基于节点特征向量fv预测节点类标签,分类器
基于节点特征向量fv和邻居节点的类标签聚合zv预测节点类标签;
步骤二:基于分类器
设置节点v的类标签,计算zv并利用分类器
预测节点v的类标签;
7)将经过以上步骤得到的流量数据与分类结果输入AIS进行进化学习,并输入算法参数(包括选择抗体数、克隆率、最大迭代次数、分类类别数;其中,最大迭代次数作为AIS进化学习训练停止的判断条件,根据克隆率对选择出来的抗体进行克隆操作);
8)选取自动生成的各类初始加密流量特征抗原种群和记忆抗体,存入各类抗体数组和记忆抗体数组;
9)对流量特征抗原进行人工免疫系统训练,直到得到所有的抗原集合;
10)将步骤9)所得到的所有抗原集合,进一步对AIS免疫网络系统进行训练;
11)重复步骤1)~10)直到所有抗原模式搜索完毕,否则继续重复步骤10)。
实施例2:
本实施例是在上述实施例的基础上进一步优化,与前述技术方案相同之处在此不再赘述,进一步的为更好地实现本发明所述的基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,特别采用下述设置方式:所述步骤10)包括下述具体步骤:
10.1)从抗原集合中选出一个子集作为初始的网络细胞;
10.2)计算每一个网络细胞的受激程度;
10.3)通过资源分配机制,去除低受激程度的网络细胞;
10.4)选择受激程度较大的细胞,并根据它们的受激程度对它们进行克隆再生;
10.5)以与受激程度成反比的几率将每个克隆细胞进行变异;
10.6)选择变异后的克隆细胞组成新的网络。
实施例3:
本实施例是在上述任一实施例的基础上进一步优化,与前述技术方案相同之处在此不再赘述,进一步的为更好地实现本发明所述的基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,抗体网络的成长过程基于克隆选择原理。成长过程基于两个参数:ζj和亲和力阈值ε,特别采用下述设置方式:通过下述公式选择受激程度较大的细胞:s=arg max Abj,j∈O;其中O={Abj|ζj>1},ε为亲和力阈值,当ζj>1时,细胞s为分裂的候选者,且具有最高抗原浓度的细胞s是唯一的候选者;每次被选择的细胞s将进行克隆,新克隆细胞的权值与细胞s最差匹配的抗原的互补,这点与克隆选择原理不相同,但这产生了一个与所有给定抗原能最大匹配的抗体网络。
免疫网络训练过程中每一个网络细胞的受激程度通过下述公式计算:
其中,si为受激程度,M表示抗原的数量,n为相连的B细胞数量,Di,j为抗原j与B细胞i之间的Euclidean距离,Di,k为B细胞i和与之相连的B细胞k之间的Euclidean距离,
实施例4:
本实施例是在上述任一实施例的基础上进一步优化,与前述技术方案相同之处在此不再赘述,基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,包括下述步骤:
(1)通过数据预处理,将原始数据流量包中的原始数据流量转换为改进的ViT训练模型所需数据格式。原始数据流量包的数据存储在单独的Pcap文件中,每个Pcap文件是一个包含不同大小的数据包的集合,每个Pcap文件代表一种应用程序。在这一步骤中,原始数据流量包数据文件首先按会话分段,使用所有协议层次数据,根据五元组(源IP地址,源端口,目的IP地址,目的端口,传输层协议)将原始数据流量包划分为会话;删除会话中与检测无关的信息,例如IP地址、MAC地址,同时,删除重复的数据包和空数据包;将会话长度固定为784字节(Bytes);对固定长度的会话文件进行复制和扩展,并将固定长度后的会话转换为二维灰度图像,规定以png的格式存储;
(2)将经过预处理的数据输入到数据标注处理程序(流量数据可视化程序)中进行类别标注,程序的输入数据为预处理后的二维灰度图像,输出数据为打好标签的数据;数据标注程序为Python程序,能快速批量处理数据,将输入数据之间归入相应的类别;(步骤(2)与前面的步骤存在不同,请核对)
(3)对二维灰度图像输入改进的ViT训练模型进行特征提取,并确定训练网络所需的参数;采用公开可用的预训练模型为基础,调整网络结构以适应加密流量输入数据得到改进的ViT训练模型;
(4)对经过改进的ViT训练模型训练得到的图特征构建成为网络威胁拓扑结构图,并且应用LBP算法进行拓扑结构图的节点分类,从中识别出威胁节点输入AIS进行进化学习,并输入算法参数;
(5)选取自动生成的各类初始加密流量特征抗原种群和记忆抗体,存入各类抗体数组和记忆抗体数组;
(6)根据学习到的抗原集合,进一步对AIS免疫网络系统进行训练,该训练过程包含以下六个阶段:
(6.1)从抗原集合中选出一个子集作为初始的网络细胞;
(6.2)对每一个网络细胞,计算它的受激程度;
(6.3)通过资源分配机制,去除低受激程度的网络细胞;
(6.4)选择受激程度较大的细胞,并根据它们的受激程度对它们进行克隆再生;
(6.5)以与受激程度成反比的几率对每个克隆细胞进行变异;
(6.6)选择变异后的克隆细胞组成新的网络;
(7)判断是否满足训练结束条件,如果不满足则从步骤(6)开始进行下一次迭代,满足则检测完成并输出检测结果。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。
Claims (8)
1.基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,其特征在于:包括下述步骤:
1)获取网络中的原始数据流量包,并按Pcap的形式存储;
2)将原始数据流量包中的原始数据流量经数据预处理转换为改进的ViT训练模型所需数据格式;
3)将步骤2)所得输入到流量数据可视化程序中,得二维灰度图像;
4)将二维灰度图像输入改进的ViT训练模型,结合改进的ViT训练网络所需的参数,进行特征提取训练,得到基于ViT模型的自动化特征提取模型;
5)使用基于ViT模型的自动化特征提取模型处理所有会话数据,得到数据的特征表示,将数据映射到向量空间,形成高维空间内的拓扑结构;
6)利用拓扑结构,根据节点同质性与影响力属性挖掘节点之间的关联性信息,执行循环信任传播算法,迭代训练节点分类器至其收敛;
7)将经过以上步骤得到的流量数据与分类结果输入AIS进行进化学习,并输入算法参数;
8)选取自动生成的各类初始加密流量特征抗原种群和记忆抗体,存入各类抗体数组和记忆抗体数组;
9)对流量特征抗原进行人工免疫系统训练,直到得到所有的抗原集合;
10)将步骤9)所得到的所有抗原集合,进一步对AIS免疫网络系统进行训练;
11)重复步骤1)~10)直到所有抗原模式搜索完毕,否则继续重复步骤10)。
2.根据权利要求1所述的基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,其特征在于:所述步骤2)包括下述具体步骤:
2.1)使用所有协议层次数据,根据相同的五元组将原始数据流量在会话层面进行划分,删除会话中与检测无关的信息,将会话长度固定为784Bytes;
1.2)将固定长度后的会话转换为二维灰度图像,以png的格式存储。
3.根据权利要求1或2所述的基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,其特征在于:所述改进的ViT训练网络所需的参数包括学习率、激活函数、优化算法、损失函数、批处理大小、迭代次数,且采用损失函数计算值的大小作为特征提取停止的判断条件。
4.根据权利要求1或2所述的基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,其特征在于:在高维空间内的拓扑结构上,按照随机顺序,根据公式
更新节点的类别概率,直至算法收敛。
5.根据权利要求1或2所述的基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,其特征在于:迭代训练节点分类器的过程包括:
步骤一:在训练集上求两个分类器
和
分类器
基于节点特征向量fv预测节点类标签,分类器
基于节点特征向量fv和邻居节点的类标签聚合zv预测节点类标签;
步骤二:基于分类器
设置节点v的类标签,计算zv并利用分类器
预测节点v的类标签。
6.根据权利要求1或2所述的基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,其特征在于:所述步骤7)的算法参数包括选择抗体数、克隆率、最大迭代次数、分类类别数;其中,最大迭代次数作为AIS进化学习训练停止的判断条件,根据克隆率对选择出来的抗体进行克隆操作。
7.根据权利要求1或2所述的基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,其特征在于:所述步骤10)包括下述具体步骤:
10.1)从抗原集合中选出一个子集作为初始的网络细胞;
10.2)计算每一个网络细胞的受激程度;
10.3)通过资源分配机制,去除低受激程度的网络细胞;
10.4)选择受激程度较大的细胞,并根据它们的受激程度对它们进行克隆再生;
10.5)以与受激程度成反比的几率将每个克隆细胞进行变异;
10.6)选择变异后的克隆细胞组成新的网络。
8.根据权利要求7所述的基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法,其特征在于:通过下述公式选择受激程度较大的细胞:s=arg max Abj,j∈O;其中O={Abj|ζj>1},ε为亲和力阈值,当ζj>1时,细胞s为分裂的候选者,且具有最高抗原浓度的细胞s是唯一的候选者;每次被选择的细胞s将进行克隆,新克隆细胞的权值与细胞s最差匹配的抗原的互补。
每一个网络细胞的受激程度通过下述公式计算:
其中,si为受激程度,M表示抗原的数量,n为相连的B细胞数量,Di,j为抗原j与B细胞i之间的Euclidean距离,Di,k为B细胞i和与之相连的B细胞k之间的Euclidean距离。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210812894.9A CN115296857A (zh) | 2022-07-12 | 2022-07-12 | 基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210812894.9A CN115296857A (zh) | 2022-07-12 | 2022-07-12 | 基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115296857A true CN115296857A (zh) | 2022-11-04 |
Family
ID=83821522
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210812894.9A Pending CN115296857A (zh) | 2022-07-12 | 2022-07-12 | 基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115296857A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116915720A (zh) * | 2023-09-12 | 2023-10-20 | 武汉烽火凯卓科技有限公司 | 物联网设备流量识别方法、系统、电子设备及存储介质 |
| CN117095243A (zh) * | 2023-10-18 | 2023-11-21 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 基于分支策略的小样本网络入侵检测增量学习分类方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101478534A (zh) * | 2008-12-02 | 2009-07-08 | 广东海洋大学 | 一种基于人工免疫原理的网络异常检测方法 |
| CN101976313A (zh) * | 2010-09-19 | 2011-02-16 | 四川大学 | 基于频繁子图挖掘的异常入侵检测方法 |
| CN107567005A (zh) * | 2017-06-12 | 2018-01-09 | 华东师范大学 | 基于人工免疫系统的车联网车辆异常行为检测方法及系统 |
| JP2020086292A (ja) * | 2018-11-29 | 2020-06-04 | 日本電信電話株式会社 | 暗号システム、暗号化装置、復号装置、暗号方法、暗号化方法、復号方法及びプログラム |
| US20200204574A1 (en) * | 2015-12-15 | 2020-06-25 | Flying Cloud Technologies, Inc. | Data Surveillance for Privileged Assets based on Threat Streams |
| CN111490897A (zh) * | 2020-02-27 | 2020-08-04 | 华中科技大学 | 一种针对复杂网络的网络故障分析方法和系统 |
| CN114172688A (zh) * | 2021-11-05 | 2022-03-11 | 四川大学 | 基于gcn-dl的加密流量网络威胁关键节点自动提取方法 |
-
2022
- 2022-07-12 CN CN202210812894.9A patent/CN115296857A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101478534A (zh) * | 2008-12-02 | 2009-07-08 | 广东海洋大学 | 一种基于人工免疫原理的网络异常检测方法 |
| CN101976313A (zh) * | 2010-09-19 | 2011-02-16 | 四川大学 | 基于频繁子图挖掘的异常入侵检测方法 |
| US20200204574A1 (en) * | 2015-12-15 | 2020-06-25 | Flying Cloud Technologies, Inc. | Data Surveillance for Privileged Assets based on Threat Streams |
| CN107567005A (zh) * | 2017-06-12 | 2018-01-09 | 华东师范大学 | 基于人工免疫系统的车联网车辆异常行为检测方法及系统 |
| JP2020086292A (ja) * | 2018-11-29 | 2020-06-04 | 日本電信電話株式会社 | 暗号システム、暗号化装置、復号装置、暗号方法、暗号化方法、復号方法及びプログラム |
| CN111490897A (zh) * | 2020-02-27 | 2020-08-04 | 华中科技大学 | 一种针对复杂网络的网络故障分析方法和系统 |
| CN114172688A (zh) * | 2021-11-05 | 2022-03-11 | 四川大学 | 基于gcn-dl的加密流量网络威胁关键节点自动提取方法 |
Non-Patent Citations (3)
| Title |
|---|
| XIONG HAO ET AL: "Artificial Immune Network Classification Algorithm for Fault Diagnosis of Power Transformer", 《IEEE》, 2 April 2007 (2007-04-02) * |
| 白琳;潘晓英;: "基于免疫优势多克隆网络的异常检测", 计算机工程, no. 17, 5 September 2012 (2012-09-05) * |
| 莫宏伟, 吕淑萍, 管凤旭, 徐立芳, 叶秀芬, 马忠丽, 王辉: "基于人工免疫网络记忆的新型分类器研究", 计算机工程与应用, no. 36, 1 December 2006 (2006-12-01) * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116915720A (zh) * | 2023-09-12 | 2023-10-20 | 武汉烽火凯卓科技有限公司 | 物联网设备流量识别方法、系统、电子设备及存储介质 |
| CN116915720B (zh) * | 2023-09-12 | 2023-12-01 | 武汉烽火凯卓科技有限公司 | 物联网设备流量识别方法、系统、电子设备及存储介质 |
| CN117095243A (zh) * | 2023-10-18 | 2023-11-21 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 基于分支策略的小样本网络入侵检测增量学习分类方法 |
| CN117095243B (zh) * | 2023-10-18 | 2024-05-07 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 基于分支策略的小样本网络入侵检测增量学习分类方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Farahnakian et al. | A deep auto-encoder based approach for intrusion detection system | |
| Rezende et al. | Malicious software classification using transfer learning of resnet-50 deep neural network | |
| CN115296857A (zh) | 基于拓扑结构和DeepLearning-AIS的网络威胁感知及免疫方法 | |
| CN109951444B (zh) | 一种加密匿名网络流量识别方法 | |
| White et al. | Improved pattern recognition with artificial clonal selection? | |
| CN113177132B (zh) | 基于联合语义矩阵的深度跨模态哈希的图像检索方法 | |
| CN113542259B (zh) | 基于多模态深度学习的加密恶意流量检测方法及系统 | |
| CN110929848B (zh) | 基于多挑战感知学习模型的训练、跟踪方法 | |
| CN112906019B (zh) | 基于改进dcgan模型的流量数据生成方法、装置及系统 | |
| CN113989583A (zh) | 一种互联网恶意流量检测方法及系统 | |
| CN112804253B (zh) | 一种网络流量分类检测方法、系统及存储介质 | |
| CN113472751B (zh) | 一种基于数据包头的加密流量识别方法及装置 | |
| CN112054967A (zh) | 网络流量分类方法、装置、电子设备及存储介质 | |
| CN109033833B (zh) | 一种基于多特征与特征选择的恶意代码分类方法 | |
| CN113901448A (zh) | 基于卷积神经网络和轻量级梯度提升机的入侵检测方法 | |
| Mohammadi et al. | A new metaheuristic feature subset selection approach for image steganalysis | |
| Han et al. | An effective encrypted traffic classification method based on pruning convolutional neural networks for cloud platform | |
| CN116883751A (zh) | 基于原型网络对比学习的无监督领域自适应图像识别方法 | |
| CN114580571B (zh) | 一种基于迁移互学习的小样本电力设备图像分类方法 | |
| CN114358177B (zh) | 一种基于多维度特征紧凑决策边界的未知网络流量分类方法及系统 | |
| CN115296856B (zh) | 基于ResNet-AIS的加密流量网络威胁检测器进化学习方法 | |
| CN113194092B (zh) | 一种精准的恶意流量变种检测方法 | |
| CN115587318A (zh) | 一种基于神经网络的源码分类方法 | |
| Wan et al. | Boosting graph contrastive learning via adaptive sampling | |
| Zhang et al. | Encrypted network traffic classification: A data driven approach |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |