CN115865483A

CN115865483A - 一种基于机器学习的异常行为分析方法和装置

Info

Publication number: CN115865483A
Application number: CN202211518544.8A
Authority: CN
Inventors: 胡章一; 范佳; 冯其; 唐博
Original assignee: Sichuan Cric Technology Co ltd
Current assignee: Sichuan Cric Technology Co ltd
Priority date: 2022-11-30
Filing date: 2022-11-30
Publication date: 2023-03-28

Abstract

本发明涉及网络安全领域，其公开了一种基于机器学习的异常行为分析方法和装置，解决现有异常行为分析方法存在误报较多的问题，整体准确率不高，在硬件资源受限的情况下，异常行为分析方法的处理效率不高的问题。该方法包括：S1、获取期望到达工业服务器HTTP请求；S2、判断该HTTP请求是否在白名单中，若是，则执行步骤S4，否则执行步骤S3；S3、基于预先训练的异常流量检测模型判断该HTTP请求是否为异常请求，若是，执行步骤S5，否则，执行步骤S4；所述异常流量检测模型包括联合部署的有监督学习模型和无监督学习模型；S4、放行该HTTP请求，结束流程；S5、阻止该HTTP请求并存档，供后续人工对该请求进行审核，若审核通过，则将该请求加入白名单中。

Description

一种基于机器学习的异常行为分析方法和装置

技术领域

本发明涉及网络安全领域，具体涉及一种基于机器学习的异常行为分析方法和装置。

背景技术

在工业生产中，工业互联网逐渐从概念提出快速发展到在工厂等重要生产场所中落地应用，很多工业设备也逐步更新并接入互联网。面对急剧增加的网络通信量，工业生产所面临的外部安全威胁也日益增多，因此，为了防止攻击者通过网络对工业系统发起攻击，Web应用防火墙(WAF)、基于机器学习的流量检测方法等工具得到了大规模应用。

然而，基于规则的传统WAF和有监督的机器学习检测方法只能检测到已知的网络攻击请求，而对新型的未知攻击请求束手无策。此外，基于无监督学习训练得到的机器学习方法虽然能够检测到部分未知攻击，但仍存在准确率欠佳、误报率较高的问题。同时，在工业硬件资源受限的情况下，深度神经网络等资源消耗大的机器学习模型存在处理效率较低的问题，导致在大流量情况下输出检测结果存在延迟。

发明内容

本发明所要解决的技术问题是：提出一种基于机器学习的异常行为分析方法和装置，解决现有异常行为分析方法存在误报较多的问题，整体准确率不高，在硬件资源受限的情况下，异常行为分析方法的处理效率不高的问题。

本发明解决上述技术问题采用的技术方案是：

一种基于机器学习的异常行为分析方法，包括以下步骤：

S1、获取期望到达工业服务器HTTP请求；

S2、判断该HTTP请求是否在白名单中，若是，则执行步骤S4，否则执行步骤S3；

S3、基于预先训练的异常流量检测模型判断该HTTP请求是否为异常请求，若是，执行步骤S5，否则，执行步骤S4；所述异常流量检测模型包括联合部署的有监督学习模型和无监督学习模型；

S4、放行该HTTP请求，结束流程；

S5、阻止该HTTP请求并存档，供后续人工对该请求进行审核，若审核通过，则将该请求加入白名单中。

进一步的，所述异常流量检测模型中的有监督学习模型和无监督学习模型采用并联方式进行联合部署，或者将监督学习模型和无监督学习模型采用串联方式进行联合部署。

进一步的，当异常流量检测模型采用有监督学习模型和无监督学习模型以并联方式联合部署时，判断该HTTP请求是否为异常请求的方法包括：

有监督学习模型和无监督学习模型分别对该HTTP请求进行判断，然后对两个模型的判断结果分别采用预设的不同权重值进行融合，最后根据融合结果判断该HTTP请求是否为异常请求。

进一步的，当异常流量检测模型采用有监督学习模型和无监督学习模型以串联方式联合部署时，判断该HTTP请求是否为异常请求的方法包括：

该HTTP请求先经过有监督学习模型进行判断，再经过无监督学习模型进行判断，仅当两个模型判断均为正常请求时，则该HTTP请求被判定为正常请求，否则，该HTTP请求被判定为异常请求。

进一步的，所述有监督学习模型的训练方式包括：收集带有标签的已知攻击请求样本和带有标签的正常请求样本组成训练数据集，提取训练数据集中的每个请求中的特征并利用有监督学习的方式训练机器学习模型。

进一步的，所述无监督学习模型的训练方式包括：

收集有监督学习模型筛选通过的样本，构建训练样本集；

对训练样本集中的HTTP请求进行预处理，并转换为词向量序列；

在模型训练过程中，通过计算一条请求中的每个词向量和其它词向量的相似性得到归一化后的权重，即当前词向量对应的注意力值，利用反向传播方式和训练样本集中的所有样本训练模型。

进一步的，步骤S5还包括：当人工审核未通过则判定该HTTP请求为新的未知攻击时，将其加入未知攻击请求样本集，以定期或定量采用所述未知攻击请求样本集中的数据对有监督模型进行重新训练或增量训练。

进一步的，步骤S4中在放行HTTP请求以及步骤S5中在阻止该HTTP请求时，均记录从该HTTP请求提取的词向量序列和对该HTTP请求的处理结果；

步骤S2中，还包括：若判断该HTTP请求不在白名单中，再判断从该HTTP请求提取的词向量序列是否已经被处理过，如果已被处理过，则直接查询当前请求对应的处理结果并执行，不再进入步骤S3。

另一方面，本发明还提供了一种基于机器学习的异常行为分析装置，包括：

数据采集模块，用于获取期望到达工业服务器的网络流量数据，将采集到的数据保存到文件中，以进行异常流量检测模型的训练，或者，将采集的数据以数据流的形式发送给数据处理模块，以进行实时异常行为检测；

数据处理模块，用于处理送入数据采集模块传送的原始请求，并将每一条请求按照有监督和无监督学习模型的要求进行相应的处理，并将处理后的数据送入异常检测模块；

异常检测模块，用于基于联合部署的有监督学习模型和无监督学习模型综合判断数据处理模块传送的请求是否为异常请求，将判断结果传入结果处理模块；

结果处理模块，用于根据异常检测模块传入的判断结果执行相应处理策略：若为异常请求，则阻止该请求并保存至数据存储模块，若为正常请求，则放行该请求，并根据需求决定是否将该请求保存至数据存储模块；

数据存储模块，用于保存异常请求、重复检查部件、白名单、模型数据信息和需要存储的正常请求，以供其它模块调用；

模型优化模块，用于供安全工程师读取存储在数据存储模块中的异常请求集合，经过审查后将新增误报的请求保存至白名单和正常请求集合中，将新增的异常请求用于更新有监督学习模型。

进一步的，所述模型优化模块，还用于根据既定的周期或数量读取数据存储模块中的正常请求集合以对无监督学习模型进行重新训练或增量训练。

本发明的有益效果是：

(1)通过结合有监督学习模型和无监督学习模型的异常流量检测模型能够检测出已知和未知的攻击请求，引入注意力机制增强了模型的准确率、降低误报；

(2)通过重复检查部件降低了异常检测模型所需要处理的请求总数，从而在硬件资源受限的情况下提升了系统的整体处理效率，以满足实时性的要求；

(3)通过引入人工审核，对于误报的请求在审核后将其加入白名单中，后续该请求再次访问服务器时能够快速放行，从而实现纠错，提高处理的准确性。

附图说明

图1是本发明中的基于机器学习的异常行为分析原理图。

具体实施方式

本发明旨在提出一种基于机器学习的异常行为分析方法和装置，解决现有异常行为分析方法存在误报较多的问题，整体准确率不高，在硬件资源受限的情况下，异常行为分析方法的处理效率不高的问题。本发明中的基于机器学习的异常行为分析的核心是由有监督学习模型和无监督学习模型联合部署组成的异常流量检测模型，如图1所示，当一条HTTP请求到达服务器所在系统时，有监督学习模型和无监督学习模型分别判断当前请求是否可能为异常请求，这两个模型的判断结果将通过用户选定的结果融合方式得到最终的异常判断结果。只有被判断为正常的请求才能够到达服务器，而被判断为异常的请求都将被阻拦并存档，以便专业的安全工程师对其进行分析并及时更新相应的防护措施。

实施例：

本实施例中提供的基于机器学习的异常行为分析方法以训练好的异常流量检测模型为基础，其中，异常流量检测模型包括有监督学习模型和无监督学习模型。

具体而言，有监督学习模型主要用于检测已知的攻击请求，因此该模型主要基于已知的攻击样本来构建：收集大量带有标签的已知攻击请求样本和同样带有标签的正常样本，提取每个请求中的特征并利用有监督学习的方式训练机器学习模型，可选的模型包括但不限于决策树、随机森林、支持向量机、神经网络模型等，训练好的机器学习模型具有区分正常请求和特定攻击类型的异常请求的能力。当有新的请求到来时，将请求输入训练好的机器学习模型并得到预测结果(对应正常请求或某种类型的攻击)。

对于已知的攻击手段，利用训练全面的有监督学习模型基本能够将其全部检测出来，然而事先未知的攻击方式可能含有模型训练样本中未曾出现过的攻击特征，因此新型的未知攻击请求可能被有监督学习模型误判为正常请求。

为了进一步保障工业系统的安全性，本实施例在有监督学习模型之外增加一个无监督学习模型。理论上经过有监督学习模型筛选后的流量中绝大多数都是正常流量，因此可以利用这些正常流量结合无监督学习的方式来训练一个异常检测模型，该模型能够掌握正常流量的绝大部分特征，对特征差异较大的请求十分敏感并将这些请求判断为未知攻击请求。

本实施例中的无监督学习模型可以采用编码器-解码器框架(encoder-decoder)，在文字处理时编码器和解码器可选择但不限于循环神经网络(Recurrent NeuralNetwork,RNN)、长短期记忆人工神经网络(Long Short-Term Memory,LSTM)、门控循环单元(Gate Recurrent Unit,GRU)等。

结合自然语言处理和文字翻译的思想，训练该模型使其在处理正常样本时尽可能输出与输入训练样本一样的内容。如果将经过有监督学习模型筛选后的正常请求看作一门“语言”，使用大量正常请求作为训练样本训练模型后，模型便能理解并准确翻译或还原这门“语言”中的语句。当出现未知的攻击请求时，由于攻击请求与正常的业务请求在内容和语义结构上可能存在多处不同，因此模型输出的“翻译结果”(重构请求)与原始攻击请求之间会存在明显差异。基于上述分析，对于无监督学习模型可以通过比较原始请求和经模型处理后输出的重构请求之间的相似性来判断请求的属性：如果原始请求和对应的重构请求之间的相似度高，则说明当前请求可能是正常请求，反之则说明当前请求可能是攻击请求。

由于无监督学习是训练模型学习正常样本的特征分布的一种方法，在实际应用过程中当正常的业务请求特征发生变化时，也可能被无监督学习模型错误判断为攻击请求。针对此类准确率欠佳、误报较多的问题，本实施例在无监督学习模型的训练和应用过程中引入了注意力机制和人工审核机制，通过对模型本身以及模型输出结果的优化处理改进异常检测模型的性能。

基于上述，异常检测模型中的无监督学习模型的训练过程主要包含以下几个步骤：

1、数据采集：收集有监督学习模型筛选通过的样本(可视作正常样本)作为训练样本，并划分成训练集、验证集和测试集，以在训练过程中调试模型性能。

2、数据处理：对请求进行分词并去掉非文本部分、空格、停用词、特殊符号等内容，将每一条请求转换成模型可接受的词向量序列。

3、模型训练：在模型训练过程中，通过计算一条请求中的每个词向量和其它词向量的相似性得到归一化后的权重，即当前词向量对应的注意力值，利用反向传播方式和训练集中的所有样本训练模型。注意力机制的主要计算流程如下：

1)输入样本信息X＝[X₁，X₂，X₃，...，X_n]，其中每一个元素代表输入样本的一个信息；

2)通过下列方式计算输入样本中的注意力分布：

α_i＝softmax(s(X_i，q))

其中，s(X_i，q)可选择加性模型、点积模型、缩放点积模型、双线性模型等，注意力分布α_i可看作为在上下文查询某一元素q时，第i个信息受关注的程度。

3)结合输入样本和各个信息对应的注意力分布对输入样本加权平均后编码：

在部署应用过程中，带有注意力的模型对一条请求中的个别词向量具有更高的关注度，因此能够更准确地对和训练样本相似的请求进行重构，同时可能将未知攻击请求重构成与原始请求差异更大的样本。

在实际应用过程中，安全工程师的加入可以帮助异常流量检测模型和整个系统进行持续的优化，具体过程如下：

1、由结果融合阶段后输出的异常请求由安全工程师进行进一步的审核和检测，当发现有新的未知攻击时，安全工程师会基于该攻击的特征生成相应的训练样本，并重新训练有监督学习模型使其能够在后续应用过程中具有识别当前未知攻击的能力，以提高系统的综合安全性能。

2、对于被误报的请求，本系统采用白名单机制避免后续的相同误报：安全工程师将被误报的请求保存在白名单中，有新的请求到来时可以先在白名单中进行查找。已存在于白名单中的请求可以直接被送到服务器而不经过异常流量检测模型的处理，在避免被错误拒绝的同时可以降低机器学习模型的处理负载。

3、由人工审查并去除真实的攻击请求之后，可以定期或定量采用最新的真实数据样本对模型进行重新训练或增量训练，以增加模型对容易被误判的样本的学习，从而降低后续检测过程中的模型误报。

由于异常流量检测模型可能对硬件资源有较高要求，在资源受限的条件下模型的处理效率可能偏低而不能满足系统的实时性要求。为了进一步提高系统的异常检测效率，可以在异常检测模型之前增加一个重复检查部件，用于检查某一请求提取出的词向量序列是否已经被处理过了，如果已被处理过，则直接查询当前请求对应的判断结果。根据实际的硬件条件和内存大小，可选择如哈希表、布隆过滤器、布谷鸟过滤器等具有高效存储和查询的工具。

另一方面，本实施例提供了一种基于机器学习的异常行为分析装置，其中主要包含数据采集模块、数据处理模块、异常检测模块、结果处理模块、数据存储模块、模型优化模块等，各个模块具体实现说明如下：

数据采集模块：主要用于获取期望到达工业服务器的网络流量数据，采集到的数据可以分别用于系统构建和实时检测：用于系统构建时，数据采集模块将收集到的原始请求保存到文件中，用于基于机器学习的异常流量检测模型的训练；此外，在实际应用过程中数据采集模块还可直接将接收到的请求以数据流的形式发送给数据处理模块，以进行下一步的操作。

数据处理模块：主要用于处理送入异常检测系统的原始请求，并将每一条请求按照有监督和无监督学习模型的要求进行相应的处理，并将数据处理结果送入异常检测模块。

异常检测模块：主要包含了有监督学习模型和无监督学习模型两部分，两个主要部分可以按照图1中的并联形式进行部署，由结果融合部分输出最终的判断结果(如利用不同权重计算两个模型的重构请求和原始请求之间的综合相似度，通过比较该相似度值与预设阈值的大小能够判断出当前请求是否为异常)；也可以将二者串联使用，先利用有监督学习模型对请求中的已知攻击进行检测，再进一步将被判断为正常的请求送入无监督学习模型，以检测其中是否可能包含未知的攻击内容，只有两个模型均判断通过的请求才能够到达目标服务器。得到一条请求的判断结果之后，异常检测模块将结果发送给结果处理模块。在异常检测模块处理请求之前，可以在数据存储模块的重复检查部件中查询当前请求是否已经被处理过，如果已被处理过，则直接从中调取当前请求的预测结果，送入结果处理模块。

结果处理模块：主要用于根据异常检测的结果执行相应的处理策略。如果异常检测模块的输出结果为正常，则结果处理模块将允许该请求到达服务器，同时可以根据用户需求将请求信息保存至数据存储模块中。如果一条请求被判断为异常，则阻止该请求到达服务器，并将异常请求保存至数据存储模块，以供模型优化模块的后续操作。

数据存储模块：主要用于分别保存检测到的正常请求(可选)、异常请求、重复检查部件(哈希表、布隆过滤器或布谷鸟过滤器)、白名单、模型数据等信息，以供其它模块调用。

模型优化模块：主要包含人工审查和模型优化训练两大功能。安全工程师可以通过模型优化模块读取存储在数据存储模块中的异常请求集合，经过审查后将新增误报的请求保存至白名单和正常请求集合中，将新增的攻击请求用于更新有监督学习模型。此外，模型优化模块还可以根据既定的周期或数量读取数据存储模块中的正常请求集合以对无监督学习模型进行重新训练或增量训练。

最后应当说明的是，上述实施例仅是优选实施方式，并不用以限制本发明。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可以做出若干修改，等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于机器学习的异常行为分析方法，其特征在于，包括以下步骤：

S1、获取期望到达工业服务器HTTP请求；

S4、放行该HTTP请求，结束流程；

2.如权利要求1所述的一种基于机器学习的异常行为分析方法，其特征在于，

所述异常流量检测模型中的有监督学习模型和无监督学习模型采用并联方式进行联合部署，或者将监督学习模型和无监督学习模型采用串联方式进行联合部署。

3.如权利要求2所述的一种基于机器学习的异常行为分析方法，其特征在于，

当异常流量检测模型采用有监督学习模型和无监督学习模型以并联方式联合部署时，判断该HTTP请求是否为异常请求的方法包括：

4.如权利要求2所述的一种基于机器学习的异常行为分析方法，其特征在于，

当异常流量检测模型采用有监督学习模型和无监督学习模型以串联方式联合部署时，判断该HTTP请求是否为异常请求的方法包括：

5.如权利要求1所述的一种基于机器学习的异常行为分析方法，其特征在于，

所述有监督学习模型的训练方式包括：收集带有标签的已知攻击请求样本和带有标签的正常请求样本组成训练数据集，提取训练数据集中的每个请求中的特征并利用有监督学习的方式训练机器学习模型。

6.如权利要求1所述的一种基于机器学习的异常行为分析方法，其特征在于，

所述无监督学习模型的训练方式包括：

收集有监督学习模型筛选通过的样本，构建训练样本集；

7.如权利要求1所述的一种基于机器学习的异常行为分析方法，其特征在于，

步骤S5还包括：当人工审核未通过则判定该HTTP请求为新的未知攻击时，将其加入未知攻击请求样本集，以定期或定量采用所述未知攻击请求样本集中的数据对有监督模型进行重新训练或增量训练。

8.如权利要求1-7任意一项所述的一种基于机器学习的异常行为分析方法，其特征在于，

步骤S4中在放行HTTP请求以及步骤S5中在阻止该HTTP请求时，均记录从该HTTP请求提取的词向量序列和对该HTTP请求的处理结果；

9.一种基于机器学习的异常行为分析装置，其特征在于，包括：

10.如权利要求9所述的一种基于机器学习的异常行为分析装置，其特征在于，

所述模型优化模块，还用于根据既定的周期或数量读取数据存储模块中的正常请求集合以对无监督学习模型进行重新训练或增量训练。