CN116056087A - 网络攻击检测方法、装置及设备 - Google Patents
网络攻击检测方法、装置及设备 Download PDFInfo
- Publication number
- CN116056087A CN116056087A CN202310334691.8A CN202310334691A CN116056087A CN 116056087 A CN116056087 A CN 116056087A CN 202310334691 A CN202310334691 A CN 202310334691A CN 116056087 A CN116056087 A CN 116056087A
- Authority
- CN
- China
- Prior art keywords
- network
- transceiving data
- network attack
- data samples
- samples
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种网络攻击检测方法、装置及设备,涉及人工智能技术领域。该方法包括:在确定无线自组网未受到已知类型网络攻击的情况下,将所述无线自组网中各节点之间的收发数据输入至第一网络攻击检测模型中,获取所述无线自组网的检测结果,所述检测结果为受到未知类型网络攻击或者未受到网络攻击;其中,所述第一网络攻击检测模型是基于未受到网络攻击的多个第一收发数据样本和多个虚假收发数据样本对初始第一网络攻击检测模型进行训练得到的,所述虚假收发数据样本为受到未知类型网络攻击的收发数据样本。本申请的方案,能够实现未知类型网络攻击的检测。
Description
技术领域
本申请涉及人工智能技术领域,尤其涉及一种网络攻击检测方法、装置及设备。
背景技术
无线自组网是由一组带有无线收发装置的可移动节点所组成的一个临时性多跳自治系统,它不依赖于预设的基础设施,具有可临时组网、快速展开、无控制中心、抗毁性强等特点,具有广阔的应用前景。
由于无线自组网的各个可移动节点之间通信过程中可能受到网络攻击,因此为了保证无线自组网的各个可移动节点之间的通信安全,需要对无线自组网进行网络攻击检测,检测无线自组网是否受到网络攻击。通过网络攻击检测,能够在无线自组网受到网络攻击后及时采取相应的措施,保障通信安全。
目前,网络攻击检测通常是基于机器学习来实现的。通过获取大量正常的收发数据和受到网络攻击的收发数据来训练机器学习模型,并基于训练好的机器学习模型进行网络攻击检测。然而,上述方式只能检测出已知类型的网络攻击,无法检测出未知类型的网络攻击。
发明内容
本申请提供一种网络攻击检测方法、装置及设备,以解决目前的网络攻击检测方案无法检测出未知类型的网络攻击的问题。
第一方面,本申请提供一种网络攻击检测方法,包括:
在确定无线自组网未受到已知类型网络攻击的情况下,将所述无线自组网中各节点之间的收发数据输入至第一网络攻击检测模型中,获取所述无线自组网的检测结果,所述检测结果为受到未知类型网络攻击或者未受到网络攻击;
其中,所述第一网络攻击检测模型是基于未受到网络攻击的多个第一收发数据样本和多个虚假收发数据样本对初始第一网络攻击检测模型进行训练得到的,所述虚假收发数据样本为受到未知类型网络攻击的收发数据样本。
在一种可能的实施方式中,所述初始第一网络攻击检测模型包括生成器和判别器,所述第一网络攻击检测模型通过如下步骤训练得到:
获取未受到网络攻击的多个第二收发数据样本;
基于所述生成器对所述多个第二收发数据样本进行随机噪声处理,生成所述多个虚假收发数据样本;
基于所述判别器对所述多个第一收发数据样本和所述多个虚假收发数据样本进行处理,生成所述多个虚假收发数据样本各自对应的检测结果样本;
根据所述检测结果样本更新所述初始第一网络攻击检测模型的模型参数,以得到所述第一网络攻击检测模型。
在一种可能的实施方式中,所述基于所述生成器对所述多个第二收发数据样本进行随机噪声处理,生成所述多个虚假收发数据样本,包括:
针对各第二收发数据样本,对所述第二收发数据样本进行预处理,得到预处理后的第二收发数据样本,所述预处理包括数据数值化处理、数据归一化处理、特征降维与图像化处理中的至少一项;
基于所述生成器对所述预处理后的第二收发数据样本进行随机噪声处理,生成所述虚假收发数据样本。
在一种可能的实施方式中,所述基于所述判别器对所述多个第一收发数据样本和所述多个虚假收发数据样本进行处理,生成所述多个虚假收发数据样本各自对应的检测结果样本,包括:
基于所述生成器分别对所述多个虚假收发数据样本进行图像转换处理,得到多个虚假收发图像样本;
对所述多个第一收发数据样本进行图像转换处理,得到多个第一收发图像样本;
将所述多个第一收发图像样本和所述多个虚假收发图像样本输入至所述判别器中,生成所述多个虚假收发数据样本各自对应的检测结果样本。
在一种可能的实施方式中,所述将所述无线自组网中各节点之间的收发数据输入至第一网络攻击检测模型中,获取所述无线自组网的检测结果,包括:
将所述收发数据输入至所述判别器中,得到所述判别器输出的所述检测结果。
在一种可能的实施方式中,所述方法还包括:
对所述收发数据进行预处理,得到预处理后的收发数据,所述预处理包括数据数值化处理、数据归一化处理、特征降维与图像化处理中的至少一项;
将所述预处理后的收发数据输入至第二网络攻击检测模型,得到输出结果,所述输出结果指示所述无线自组网是否受到所述已知类型网络攻击;
其中,所述第二网络攻击检测模型是基于未受到网络攻击的多个第三收发数据样本和受到已知类型网络攻击的多个第四收发数据样本对初始第二网络攻击检测模型进行训练得到的。
在一种可能的实施方式中,所述方法还包括:
获取受到已知类型网络攻击的多个收发数据样本,以及所述多个收发数据样本各自对应的网络攻击类型;
根据所述多个收发数据样本各自对应的网络攻击类型,确定各所述网络攻击类型的频次;
将对应的网络攻击类型的频次大于或等于预设阈值的收发数据样本,确定为所述第四收发数据样本。
第二方面,本申请提供一种网络攻击检测装置,包括:
处理模块,用于在确定无线自组网未受到已知类型网络攻击的情况下,将所述无线自组网中各节点之间的收发数据输入至第一网络攻击检测模型中,获取所述无线自组网的检测结果,所述检测结果为受到未知类型网络攻击或者未受到网络攻击;
其中,所述第一网络攻击检测模型是基于未受到网络攻击的多个第一收发数据样本和多个虚假收发数据样本对初始第一网络攻击检测模型进行训练得到的,所述虚假收发数据样本为受到未知类型网络攻击的收发数据样本。
在一种可能的实施方式中,所述初始第一网络攻击检测模型包括生成器和判别器,所述处理模块还用于:
获取未受到网络攻击的多个第二收发数据样本;
基于所述生成器对所述多个第二收发数据样本进行随机噪声处理,生成所述多个虚假收发数据样本;
基于所述判别器对所述多个第一收发数据样本和所述多个虚假收发数据样本进行处理,生成所述多个虚假收发数据样本各自对应的检测结果样本;
根据所述检测结果样本更新所述初始第一网络攻击检测模型的模型参数,以得到所述第一网络攻击检测模型。
在一种可能的实施方式中,所述处理模块具体还用于:
针对各第二收发数据样本,对所述第二收发数据样本进行预处理,得到预处理后的第二收发数据样本,所述预处理包括数据数值化处理、数据归一化处理、特征降维与图像化处理中的至少一项;
基于所述生成器对所述预处理后的第二收发数据样本进行随机噪声处理,生成所述虚假收发数据样本。
在一种可能的实施方式中,所述处理模块具体还用于:
基于所述生成器分别对所述多个虚假收发数据样本进行图像转换处理,得到多个虚假收发图像样本;
对所述多个第一收发数据样本进行图像转换处理,得到多个第一收发图像样本;
将所述多个第一收发图像样本和所述多个虚假收发图像样本输入至所述判别器中,生成所述多个虚假收发数据样本各自对应的检测结果样本。
在一种可能的实施方式中,所述处理模块具体用于:
将所述收发数据输入至所述判别器中,得到所述判别器输出的所述检测结果。
在一种可能的实施方式中,还包括检测模块,所述检测模块用于:
对所述收发数据进行预处理,得到预处理后的收发数据,所述预处理包括数据数值化处理、数据归一化处理、特征降维与图像化处理中的至少一项;
将所述预处理后的收发数据输入至第二网络攻击检测模型,得到输出结果,所述输出结果指示所述无线自组网是否受到所述已知类型网络攻击;
其中,所述第二网络攻击检测模型是基于未受到网络攻击的多个第三收发数据样本和受到已知类型网络攻击的多个第四收发数据样本对初始第二网络攻击检测模型进行训练得到的。
在一种可能的实施方式中,所述检测模块还用于:
获取受到已知类型网络攻击的多个收发数据样本,以及所述多个收发数据样本各自对应的网络攻击类型;
根据所述多个收发数据样本各自对应的网络攻击类型,确定各所述网络攻击类型的频次;
将对应的网络攻击类型的频次大于或等于预设阈值的收发数据样本,确定为所述第四收发数据样本。
第三方面,本申请提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面任一项所述的网络攻击检测方法。
第四方面,本申请提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面任一项所述的网络攻击检测方法。
本申请提供的网络攻击检测方法、装置及设备,首先根据无线自组网中各节点之间的收发数据确定无线自组网是否收到已知类型网络攻击,在确定无线自组网未受到已知类型网络攻击的情况下,将收发数据输入至第一网络攻击检测模型中,获取无线自组网的检测结果,该检测结果为受到未知类型网络攻击或者未受到网络攻击;其中,第一网络攻击检测模型是基于未受到网络攻击的多个第一收发数据样本和多个虚假收发数据样本对初始第一网络攻击检测模型进行训练得到的,虚假收发数据样本为受到未知类型网络攻击的收发数据样本。通过第一收发数据样本和虚假收发数据样本来训练第一网络攻击检测模型,使得第一网络攻击检测模型具备检测收发数据是否为未受到网络攻击的无线自组网的收发数据,从而在无线自组网未受到已知类型网络攻击的情况下,判断无线自组网是否受到未知类型网络攻击,实现了未知类型网络攻击的检测,进一步保障了无线自组网的各节点之间的通信安全。
附图说明
为了更清楚地说明本申请或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的网络攻击检测方法的流程示意图;
图2为本申请实施例提供的第二网络攻击检测模型的训练示意图;
图3为本申请实施例提供的第一网络攻击检测模型的训练示意图;
图4为本申请实施例提供的生成器架构示意图;
图5为本申请实施例提供的判别器架构示意图;
图6为本申请实施例提供的GAN处理流程示意图;
图7为本申请实施例提供的网络攻击检测的流程示意图;
图8为本申请实施例提供的第二网络攻击检测模型与改进GAN模型的检测率对比图;
图9为本申请实施例提供的网络攻击检测装置的结构示意图;
图10为本申请实施例提供的一种电子设备的实体结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
无线自组网是由一组带有无线收发装置的可移动节点所组成的一个临时性多跳自治系统,它不依赖于预设的基础设施,具有可临时组网、快速展开、无控制中心、抗毁性强等特点,具有广阔的应用前景。常见的无线自组网例如包括车载自组网网络等等。
随着物联网技术、计算机科学技术、5G网络通信技术等新技术的进一步融合,无线自组网变得更加智能化、网联化。物联网应用在不同领域,形成了“物联网+X”,无线自组网络收发数据多样、自连属性得到广泛应用,实现万物物联。但这也给无线自组网络通信带来一些风险:首先,网络通信具有较强的开放性,通信的开放性会导致接入节点所在的位置信息有被泄露的风险,然而节点用户又与节点密切相关,在通信过程中数据量不断增长的趋势下,节点所在位置、做出的行为以及身份信息等用户隐私也会遭到泄露,因此对通信过程中数据私密性的要求较高。
其次,无线自组网数据通信量很大。节点的密度影响着通信的分布情况,具有强动态性。无线自组网在发展过程中的关键角色就是面向服务的应用,原因是这种应用的存在方便了各类节点厂商之间的竞争,该竞争推动了无线自组织网络面向服务应用发展的动力,在未来,势必也会随之产生大量的使用数据。因为某些节点在应用过程中会不断移动,所以所在区域的交通流密度分布会影响到节点应用数据的传输效率。根据无线自组网系统的通信特点,避免数据在传输过程中出现安全问题是当前亟待解决的关键问题之一。
入侵检测算法(Intrusion Detection Algorithm,IDA)可以用于解决无线自组网中的网络安全问题,能够检测出通信过程中的攻击者、攻击行为等。在识别或检测的过程中,实时监控网络中的流量,从而实现对正常流量和异常流量的分类,从而判断网通信过程中是否存在风险。
IDA不同于其他防御手段,属于主动防御,因此得到了广泛应用,目前保证无线自组织网网络安全的重要手段之一就是入侵检测。目前,基于机器学习(Machine Learning,ML)的入侵检测取得了良好的效果,但在训练时需要有大量样本数据模型才会有较高的鲁棒性,所以存在两个问题:当攻击样本数量少时,无法很好地学习到该样本的特征,因此检测率会很低;当面临无样本的新型未知攻击时,它几乎没办法被检测到。由此可见,研究面向未知攻击的入侵检测方法对于解决无线自组网安全问题有重要意义。
基于深度学习的入侵检测系统(Intrusion Detection System,IDS)需要在模型选择和网络结构优化上做出改进。同时,对于入侵检测的未知攻击类型的检测精度、稳定性、鲁棒性等也刻不容缓。
通过对无线自组网络系统数据通信的特点和发展现状的分析,发现通信存在各个方面的安全问题。IDS是解决这一问题最有效的方法之一。然而使用IDS仍然存在以下问题:一是当前大多都使用较为常见的数据集来测试IDS的性能,IDS对于样本分布均匀的数据集检测效果很好,但是当数据集中的样本分布不均匀时,少数类样本数据的检测率很低;二是IDS还面临着检测未知攻击的问题,对于无样本的攻击类型IDS几乎检测不到,但是对于无线自组网来说一次攻击就可能会造成严重的后果。
综上,目前基于机器学习进行网络攻击检测的方案均是在大量标注样本的前提下实现的,模型仅能够辨别出训练过的数据类型,然而没有经过训练的类型无法鉴别。零样本学习应运而生,该算法能够在缺乏训练数据的场景下处理机器学习无法完成分类的问题。实现该算法的前提是要有一个语料知识库,在该库中一般会有对于已知或未知的所有类型的描述,同时该库也作为高维语义特征而存在。零样本学习就是为了获得数据最初特征和高维语义特征两者的映射关系,当输入为未知类别时通过该关系就能得到自身的语义特征,接着在语料库知识库里找到与自身最为接近作为该类别的语义描述向量,这样就能够检测出未知样本类型。也就是说在学习的过程中,已知、未知类型均要有自身的语义描述信息。
目前的未知样本学习模型主要有:直接属性预测模型;基于属性分类的标签嵌入;语义自动编码器模型。主要存在两方面问题:(1)枢纽化问题。把图像特征或类标签中的元素输入到特征子空间,在其中就会获得该元素的一个新的表示方法,此时,假如用K近邻来衡量两者之间的相似程度,则容易将图像或类里一些不相干元素映射到测试样本特征空间表示的近邻中,其中不相干的向量就被叫做枢纽。(2)映射域偏移问题。产生该问题的主要原因是映射模型泛化能力差,通过训练数据集中的样本能够得到特征空间与语义空间的对应关系,但因为测试集中的未知攻击数据没有经过训练,所以测试集输入的未知攻击数据在映射时会有偏差。
基于此,本申请实施例提供一种网络攻击检测方法,针对缺乏数据样本的未知类型网络攻击,实现网络攻击检测模型的训练,从而能够计薪未知类型网络攻击的检测。下面将结合附图对本申请实施例的方案进行介绍。
图1为本申请实施例提供的网络攻击检测方法的流程示意图,如图1所示,该方法可以包括:
S11,在确定无线自组网未受到已知类型网络攻击的情况下,将无线自组网中各节点之间的收发数据输入至第一网络攻击检测模型中,获取无线自组网的检测结果,检测结果为受到未知类型网络攻击或者未受到网络攻击;
其中,第一网络攻击检测模型是基于未受到网络攻击的多个第一收发数据样本和多个虚假收发数据样本对初始第一网络攻击检测模型进行训练得到的,虚假收发数据样本为受到未知类型网络攻击的收发数据样本。
无线自组网中包括多个节点,多个节点之间可以互相通信,从而生成各节点之间的收发数据。在无线自组网中,可以设置一个电子设备,电子设备设置在各个节点之间进行通信必须经过的链路上,因此各个节点之间通信的收发数据均会经过电子设备,从而使得电子设备能够获取到无线自组网中各节点之间的收发数据。
在获取到无线自组网中各节点之间的收发数据后,可以根据该收发数据来判断无线自组网是否受到已知类型网络攻击。
本申请实施例中,已知类型网络攻击为网络攻击的一种,其指的是已经出现过的网络攻击,因此其类型是已知的。与已知类型网络攻击相对应的是未知类型网络攻击,未知类型网络攻击指的是未曾出现过的网络攻击,因此其类型是未知的。在一些实施例中,一些已经出现过但是出现频率比较低的网络攻击也认为是未知类型网络攻击。
在一种可能的实施方式中,可以通过第二网络攻击检测模型对收发数据进行处理,得到输出结果,输出结果用于指示无线自组网是否受到已知类型网络攻击。其中,第二网络攻击检测模型是基于未受到网络攻击的多个第三收发数据样本和受到已知类型网络攻击的多个第四收发数据样本对初始第二网络攻击检测模型进行训练得到的。
第二网络攻击检测模型主要实现的是对已知类型网络攻击的训练过程,第二网络攻击检测模型的结构可以为基本的深度神经网络分类模型结构。下面结合图2对第二网络攻击检测模型的训练过程进行介绍。
图2为本申请实施例提供的第二网络攻击检测模型的训练示意图,如图2所示,首先需要获取用于训练第二网络攻击检测模型的第三收发数据样本和第四收发数据样本。
第三收发数据样本为未受到网络攻击的收发数据样本。针对任意一个无线自组网而言,可以将该无线自组网在未受到网络攻击的情况下各节点之间的收发数据确定为第三收发数据样本。本申请实施例中,第三收发数据样本和第一收发数据样本可以是相同的收发数据样本,也可以是不同的收发数据样本。第三收发数据样本和第二收发数据样本可以是相同的收发数据样本,也可以是不同的收发数据样本。
第四收发数据样本为受到已知类型网络攻击的收发数据样本。针对任意一个无线自组网而言,可以将该无线自组网在受到已知类型网络攻击的情况下的各节点之间的收发数据确定为第四收发数据样本。
在一种可能的实施方式中,针对受到已知类型网络攻击的无线自组网,获取受到已知类型网络攻击的无线自组网的多个收发数据样本,以及确定多个收发数据样本各自对应的网络攻击类型。然后,根据多个收发数据样本各自对应的网络攻击类型,确定各个网络攻击类型出现的频次,从而将对应的网络攻击类型的频次大于或等于预设阈值的收发数据样本确定为第四收发数据样本。
针对对应的网络攻击类型的频次小于预设阈值的收发数据样本,由于其网络攻击类型的频次较小,相对应的攻击类型的数据量也较少,难以达到较高的检测率,因此这类收发数据样本不作为第四收发数据样本用于第二网络攻击检测模型的训练。频次较小的网络攻击类型例如可以包括本地非授权用户非法获取本地超级用户或管理员的特权(User-To-Root,U2R)、远程非授权用户非法获得本地主机的用户特权(Remote-to-Local,R2L)等等。
在确定用于进行第二网络攻击检测模型训练的第三收发数据样本和第四收发数据样本后,可以对第三收发数据样本和第四收发数据样本进行预处理,分别得到预处理后的第三收发数据样本和预处理后的第四收发数据样本。其中,预处理包括数据数值化处理、数据归一化处理、特征降维与图像化处理中的至少一项。
针对多个第三收发数据样本和多个第四收发数据样本中的任意收发数据样本,在对该收发数据样本进行预处理后,得到的预处理后的收发数据样本已经符合输入的规范,因此可以将预处理后的收发数据样本输入至初始第二网络攻击检测模型,由初始第二网络攻击检测模型对该预处理后的收发数据样本进行处理,得到该收发数据样本对应的输出结果,该收发数据样本对应的输出结果用于指示该收发数据样本对应的无线自组网是否受到已知类型网络攻击。其中,初始第二网络攻击检测模型对该预处理后的收发数据样本进行处理的过程,包括对预处理后的收发数据样本进行特征提取以及基于提取的特征进行分类的过程。
然后,结合该收发数据样本的标签和输出结果对第二网络攻击检测模型的参数进行更新。其中,针对该收发数据样本为第三收发数据样本的情况,该收发数据样本的标签为未受到已知类型网络攻击,为正常收发数据;针对该收发数据样本为第四收发数据样本的情况,该收发数据样本的标签为受到了已知类型网络攻击。
针对任意一组收发数据样本,均可以基于上述过程对初始第二网络攻击检测模型进行训练,实现模型参数的更新。通过不断的训练过程,第二网络攻击检测模型的分类能力越来越强。在达到模型训练终止条件后,即可得到训练好的第二网络攻击检测模型。其中,模型训练终止条件例如可以为达到预设训练次数,或者输出结果与对应的标签之间的差值小于或等于预设值,模型收敛等等。
训练好的第二网络攻击检测模型具备基于无线自组网的收发数据检测该无线自组网是否受到已知类型网络攻击的能力。因此,针对待检测的无线自组网,在获取到无线自组网中各节点之间的收发数据后,根据第二网络攻击检测模型对该收发数据进行处理,以得到输出结果,该输出结果用于指示该无线自组网是否受到已知类型网络攻击。
具体的,首先对该收发数据进行预处理,得到预处理后的收发数据。其中,预处理包括数据数值化处理、数据归一化处理、特征降维与图像化处理中的至少一项。
在对收发数据进行预处理后,得到的预处理后的收发数据已经符合输入的规范,因此可以将预处理后的收发数据输入至第二网络攻击检测模型,由第二网络攻击检测模型对该预处理后的收发数据进行处理,得到该收发数据对应的输出结果,该收发数据对应的输出结果用于指示该收发数据对应的无线自组网是否受到已知类型网络攻击。其中,第二网络攻击检测模型对该预处理后的收发数据进行处理的过程,包括对预处理后的收发数据进行特征提取以及基于提取的特征进行分类的过程。
由于第二网络攻击检测模型是通过第三收发数据样本和第四收发数据样本进行训练得到的,第三收发数据样本为正常的无线自组网的收发数据,第四收发数据样本为受到已知类型网络攻击的无线自组网的收发数据,因此第二网络攻击检测模型只具备检测已知类型网络攻击的能力,无法检测到未知类型网络攻击。本申请实施例中,可以通过训练第一网络攻击检测模型实现未知类型网络攻击的检测。
其中,第一网络攻击检测模型是基于未受到网络攻击的多个第一收发数据样本和多个虚假收发数据样本对初始第一网络攻击检测模型进行训练得到的,虚假收发数据样本为受到未知类型网络攻击的收发数据样本。
在一种可能的实施方式中,初始第一网络攻击检测模型包括生成器和判别器,在第一网络攻击检测模型的训练过程中,首先获取未受到网络攻击的多个第二收发数据样本,然后基于生成器对多个第二收发数据样本进行随机噪声处理,生成多个虚假收发数据样本。
具体的,针对多个第二收发数据样本中的任意第二收发数据样本,首先对第二收发数据样本进行预处理,得到预处理后的第二收发数据样本,预处理包括数据数值化处理、数据归一化处理、特征降维与图像化处理中的至少一项。然后,基于生成器对预处理后的第二收发数据样本进行随机噪声处理,生成对应的虚假收发数据样本。
然后,基于判别器对多个第一收发数据样本和多个虚假收发数据样本进行处理,生成多个虚假收发数据样本各自对应的检测结果样本,从而根据检测结果样本更新初始第一网络攻击检测模型的模型参数,以得到第一网络攻击检测模型。
下面结合图3至图6对第一网络攻击检测模型的训练过程进行介绍。图3为本申请实施例提供的第一网络攻击检测模型的训练示意图,图4为本申请实施例提供的生成器架构示意图,图5为本申请实施例提供的判别器架构示意图,图6为本申请实施例提供的GAN处理流程示意图:
如图3和图4所示,首先,生成器从任意高斯或正态分布中采样,并建立输入和输出的映射关系;创建一个神经网络,将输入(随机噪声)转换成输出;通过模型连接生成器和判别器,并以对抗方式训练生成器;生成器在训练后可以用来生成新的数据。
具体的,在获取到多个第一收发数据样本和多个虚假收发数据样本后,首先对多个第一收发数据样本和多个虚假收发数据样本进行预处理,分别得到多个预处理后的第一收发数据样本和多个预处理后的虚假收发数据样本,其中,预处理包括数据数值化处理、数据归一化处理、特征降维与图像化处理中的至少一项。在对第一收发数据样本和虚假收发数据样本进行预处理后,得到的预处理后的第一收发数据样本和虚假收发数据样本已经符合输入的规范。
如图5所示,在生成对应的虚假收发数据样本(即图5中的生成数据)后,将该虚假收发数据样本和第一收发数据样本(即图5中的真实数据)输入至判别器D中,通过判别器D对虚假收发数据样本和第一收发数据样本进行处理,生成虚假收发数据样本对应的检测结果样本,检测结果样本用于指示虚假收发数据样本是否为未受到网络攻击的无线自组网的收发数据。判别器D是用于区分生成的虚假样本和真实的样本的。在本申请实施例中,第一收发数据样本即为真实的样本,虚假收发数据样本即为生成的虚假样本。判别器D一般情况下是比较基础的卷积神经网络(Convolutional Neural Networks,CNN)。搭建一个判别器模型,首先需要建立CNN网络用来鉴别数据的真伪,之后使用数据集中的数据让生成器模型学习其分布规律,从而生成与之相似的数据;最后将真实数据和伪数据一同输入判别器中,尽可能使判别器能够最大程度地判断来源数据是否为真实数据。因此判别器D可以用来判断未知类型的网络攻击。
在一种可能的实现方式中,可以将收发数据样本转换为图像进行处理。具体的,在得到多个虚假收发数据样本后,基于生成器对虚假收发数据样本进行图像转换处理,得到多个虚假收发图像样本。然后对多个第一收发数据样本进行图像转换处理,得到多个第一收发图像样本。将多个第一收发图像样本和多个虚假收发图像样本输入至判别器中,可以得到多个虚假收发数据样本各自对应的检测结果样本。由于生成器和判别器对于图像的处理更加高效,因此通过将第一收发数据样本和虚假收发数据样本转换为对应的第一收发图像样本和虚假收发图像样本,能够提高第二网络攻击检测模型的处理效率和准确率。
如图6所示,在判别器D输出检测结果样本后,基于输出的检测结果样本可以对生成器G和判别器D进行反向传播,反向传播的过程即为通过检测结果样本对生成G和判别器D进行模型参数的更新的过程。
针对未知样本攻击类型,生成对抗网络(Generative Adversarial Networks,GAN)实际就是生成器G与判别器D对抗的过程。G主要是用来生成数据,它的输入是随机噪声,这个噪声通过对数据样本规律的学习来生成对应数据。D是一个判断网络,它用来判断输入是不是真实的样本。生成器的目标是最大化判别器将生成器结果误分类为真的可能性,而判别器的目标是不断提高分类能力,从而能够准确地区分数据的真伪。
在GAN中,生成器要在判别器的协作下训练才能不断提高生成数据的能力,而判别器在与生成器进行博弈对抗前要先训练几轮来确保其对数据真伪的鉴别能力。此外,在GAN中另一个重要组成部分就是损失函数,其取值决定了生成器和判别器何时结束训练。
GAN网络的训练是根据损失函数的值不断调整的,在训练的过程中能够依据具体情况通过调整参数来达到优化损失函数的目的。损失函数对于模型训练结果有很大的影响。对于不同的GAN网络架构,需要对损失函数做不同程度的调整。
基于GAN解决未知类型网络攻击的检测问题,不同于解决少数类样本问题博弈的最终目的是提高生成器生成数据的能力,而是通过对正常收发数据的学习,最后使用判别器判断输入收发数据是正常收发数据还是受到网络攻击后的收发数据,主要是通过博弈提高判别器的分类能力,从而将没有训练样本情况下的未知类型网络攻击的检测转换成原始的分类问题。
在第一网络攻击检测模型和第二网络攻击检测模型训练完成后,可以基于第一网络攻击检测模型和第二网络攻击检测模型进行网络攻击检测,下面结合图7对该过程进行介绍。
图7为本申请实施例提供的网络攻击检测的流程示意图,如图7所示,包括:
S71,对无线自组网中各节点之间的收发数据进行预处理,得到预处理后的收发数据。
针对待检测的无线自组网,在无线自组网中各节点之间的收发数据后,对收发数据进行预处理,使得输入的收发数据符合规范。其中,预处理包括数据数值化处理、数据归一化处理、特征降维与图像化处理中的至少一项。
S72,将预处理后的收发数据输入至第二网络攻击检测模型,得到输出结果。
第二网络攻击检测模型能够检测无线自组网是否受到已知类型网络攻击,第二网络攻击检测模型的训练过程可参见上述实施例的相关介绍,此处不再赘述。
S73,判断输出结果是否小于或等于第一阈值,若是,则执行S74,若否,则执行S75。
将预处理后的收发数据输入至第二网络攻击检测模型,得到输出结果,输出结果指示无线自组网是否受到已知类型网络攻击。其中,当输出结果小于或等于第一阈值时,表示无线自组网受到了已知类型网络攻击,当输出结果大于第一阈值时,表示无线自组网未受到已知类型网络攻击。
S74,确定无线自组网受到了已知类型网络攻击。
S75,将预处理后的收发数据输入至判别器,得到判别器输出的检测结果。
在确定无线自组网未受到已知类型网络攻击后,还需要判断无线自组网是否受到了未知类型网络攻击,该过程是基于第二网络攻击检测模型中的判别器实现的。
S76,判断检测结果是否大于或等于第二阈值,若是,则执行S77,若否,则执行S78。
将预处理后的收发数据输入至判别器中,得到判别器输出的检测结果,检测结果为受到未知类型网络攻击或者未受到网络攻击。其中,当检测结果大于或等于第二阈值时,表示无线自组网未受到网络攻击,当检测结果小于第二阈值时,表示无线自组网受到了未知类型网络攻击。
S77,确定无线自组网未受到网络攻击。
S78,确定无线自组网受到了未知类型网络攻击。
下面结合具体的示例检测本申请实施例提供的网络攻击检测方法相比于当前的检测方法的效果。对于提出面向未知类型网络攻击的未知攻击检测算法,进行实验,描述模型的训练过程,最后给出算法的实验结果,验证本方案的有效性。
首先介绍本申请实施例中针对无线自组网受到网络攻击的检测评价指标。
本申请实施例提供的网络攻击检测模型,旨在提高少数类样本类型和无样本类型的攻击检测率,也就是评估分类问题,用于评估此类问题使用较为频繁的标准有:召回率(Recall),精确率(Precision),综合评价分数(F1-Score),准确率(Accuracy)。在得到以上4个评估标准之前,需要先引入如下4个参数:
假阳(False Positive,FP):把假样本错误地预测成真样本的数目;
真阳(True Positive,TP):把真样本正确地预测成真样本的数目;
假阴(False Negative,FN):把真样本错误地预测成假样本的数目;
真阴(True Negative,TN):把假样本正确地预测成假样本的数目。
由此可得上述4个评估标准的计算方式如下所示。
准确率:指正确预测的样本个数占所有预测样本个数的比例,运算方法如式(1)所示:
Accuracy=(TP+TN)/(TP+TN+FP+FN) (1)
其中,Accuracy为准确率,TP为真阳,TN为真阴,FP为假阳,FN为假阴。
精确率:指被预测为所检测样本类型的数据中事实上确实为该样本类型所占的比例,运算方法如式(2)所示:
Precision=TP/(TP+FP) (2)
其中,Precision为精确率,TP为真阳,FP为假阳。
召回率:指所检测样本类型预测正确的个数占该类型全部样本的比例,运算方法如式(3)所示:
Recall=(TP)/(TP+FN) (3)
其中,Recall为召回率,TP为真阳,FN为假阴。
F1-Score(综合评价分数):在对不平衡数据集的入侵检测结果进行评估时,精确率、召回率两者会相互矛盾,也就是说当精确率很高时,召回率却很低。因此,为了平衡两者,将两者进行加权和取平均,当权重系数为1时,被记为F1-Score,运算方法如式(4)所示:
F1-Score=(2*Precision*Recall)/(Precision+Recall) (4)
其中,F1-Score为综合评价分数,为精确率,为召回率。
下面介绍第一网络攻击检测模型的训练过程。
第一网络攻击检测模型包括生成器和判别器。判别器的构建是在TensorFlow深度学习框架(一个端到端开源机器学习平台)上完成的,其卷积层的构造代码如下:
Conv2D(8,(2,2),strides=(1,1),padding='same')
代码中,(8,(2,2))表示卷积核大小为2*2,输出通道数为8。Strides表示步长,(1,1)即步长为1。Padding表示填充方式,当取值为‘valid’时,表示不填充,当取值为‘same’时,表示对输入进行填充,这样卷积后的尺寸大小不会发生变化。卷积操作完毕,对结果进行批标准化处理,将经过批标准化的数据输入激活函数ReLU(一种激活函数)中,随后对数据进行池化处理,池化处理例如可以为最大池化的方式,实现代码如下:
MaxPooling2D(pool_size=(2,2),strides=(1,1), padding='valid')
代码中,pool_size=(2,2)表示池化窗口的大小为2*2,strides=(1,1)表示步长为1。padding='valid'表示不进行填充处理。在经过两次卷积-池化之后,将所得结果输入到全连接层。全连接层的实现代码如下:
Dense(64,activation='relu')
代码中,64表示全连接层有64个神经元节点,activation='relu'表示该层选择的是ReLU激活函数。在全连接层为使判别器训练时不发生过拟合,本申请实施例将dropout应用于全连接层,与此同时也使得模型更加稳定,有较强的鲁棒性。dropouts是指在深度网络的训练中,以一定的概率随机的临时丢弃一部分神经元节点,用于防止深度神经网络的过拟合问题。其中dropout rate设定为0.3,也就是保留70%的神经元。之后是输出层,在该层选用Softmax(归一化指数函数)作为激活函数,实现代码如下:
Dense(2,activation='sigmoid')
代码中,2表示数据集中样本类型的数目。判别器模型训练的实现代码如下:
model.fit(train_x,train_y,batch_size=1000,epochs=200,validation_data=(test_x,test_y))
代码中,train_x表示训练数据,train_y表示训练数据对应的标签,batch_size表示每一次输入模型中的样本数,epochs表示全部数据训练的次数,validation_data表示模型的测试数据及其标签。
生成器的网络同样是在TensorFlow深度学习框架上构建完成的,生成器的输入是符合高斯分布的随机数,实现代码如下:
Input([100,])
其中100表示随机数的长度为100。随机数输入后就需要对其进行reshape(是指将指定的矩阵变换为特定维数矩阵的函数)处理,实现代码如下:
Reshape([3,3,512])
其中[3,3,512]表示输入的100*1随机数reshape为一个3*3*512的网络。对reshape后的结果进行反卷积操作,反卷积的构造方式如下:
Conv2DTranspose(256, (3,3), strides = (1,1), padding=2)
其中,256表示通道数为256,(3,3)表示卷积核的大小为3,strides表示步长为1,padding表示在原始输入周围补0,且补两行。对反卷积后的结果批标准化处理,实现代码如下:
BatchNormalization( )
之后代入激活函数ReLU中,然后重复以上操作,最后将得到的[11,11,1]网络带入激活函数Tanh(双曲正切函数)中,就能得到检测结果。
在进行实验的过程中,设置了两个基于第一网络攻击检测模型的超参数,可以用来提高模型的检测性能。根据不同参数的值,模型也会表现出不同的性能。设置的超参数包括检测阈值和攻击阈值。通过实验找到了最合适的参数值,并将其应用于最终的模型中。两个参数的选择结果如下。
(1)检测阈值:基于第一网络攻击检测模型的输出为0-1之间的值。在这些输出中,模型会按照输出的数值来对攻击数据和正常数据进行分类,在这里选用0.1作为检测阈值。如果模型的输出小于0.1,则将输入判定为异常数据,否则判定为正常数据。虽然也会有极小部分的正常数据输出小于0.1,但这种情况被视为在采样过程中可能会出现的错误。
(2)攻击阈值:攻击阈值是判定收发数据是否为受到网络攻击的无线自组网的收发数据的标准,在这里选用1作为攻击阈值。如果至少一个攻击包含在收发数据中,就将其判定为受到网络攻击的无线自组网的收发数据。
下面将通过实验比较仅采用第二网络攻击检测模型和本申请的方案进行网络攻击检测的效果。也就是说,先使用除R2L和U2R以外的攻击类型数据(也就是将R2L和U2R视为未知类型网络攻击)和正常数据训练第二网络攻击检测模型,之后用测试集测试第二网络攻击检测模型的检测性能(测试集中包含有R2L和U2R类型的攻击)。
在下述实施例中,正常收发数据表示的是未受到网络攻击的无线自组网的各节点之间的收发数据,攻击数据指的是受到网络攻击的无线自组网的各节点之间的收发数据,拒绝服务攻击(DoS)数据指的是受到DoS网络攻击的无线自组网的各节点之间的收发数据,网络刺探攻击(Probe)数据指的是受到Probe网络攻击的无线自组网的各节点之间的收发数据,R2L数据指的是受到R2L网络攻击的无线自组网的各节点之间的收发数据,U2R数据指的是受到U2R网络攻击的无线自组网的各节点之间的收发数据。
表1为第二网络攻击检测模型对各类型的收发数据的检测结果。
表1
根据表1示例的检测结果,可以计算得到各个类型的收发数据的检测率以及第二网络攻击检测模型的整体准确率,具体结果如表2所示。
表2
根据实验结果,可以得到模型整体的准确率为84.90%,用于训练的攻击数据和正常数据能够被很好地检测到,检测率均达到95%以上,但是没有用于训练的攻击数据几乎没有被检测到,这也就说明如果出现未知类型网络攻击,普通的入侵检测模型是无法检测到的。
接着训练第一网络攻击检测模型,通过生成器生成与正常数据相似的数据,判别器通过判断输入是否为正常来识别攻击数据,之后结合第一网络攻击检测模型和第二网络攻击检测模型得到改进GAN模型,通过改进GAN模型对各类型数据进行检查,得到的检测结果如表3所示。
表3
根据表3示例的检测结果,可以计算得到各个类型的收发数据的检测率以及本申请实施例提供的改进GAN模型的整体准确率,具体结果如表4所示。
表4
根据实验结果,本方法提出的改进GAN模型准确率为97.42%,相比于普通的判别器增长了12.52%,而且本申请实施例的方案不仅能够检测到用于训练的网络攻击类型,而且没有用于训练的R2L和U2R类型的网络攻击也能够检测到,检测率达到了90%以上,与此同时在判别器的结合下,正常数据类型、DoS与Probe两种网络攻击类型的检测率也得到了一定程度的提高。
图8为本申请实施例提供的第二网络攻击检测模型与改进GAN模型的检测率对比图,如图8所示。检测率指的是算法对各种类型数据的检测效果,其中算法1为第一网络攻击检测模型的检测结果,算法2为基于改进GAN的未知攻击检测算法。由图可以看到,算法2相比算法1来说,在5种数据类型检测上的检测率都有所提升,R2L和U2R类型样本的检测率更是有质的飞跃,分别提升了88.60%和88.50%。
实验结果表明,普通的入侵检测模型几乎不会检测到没有训练过的数据类型,而在无线自组网中任何一种类型的攻击对于节点的影响也可能会是致命的。对提出的改进GAN模型进行实验之后,结果证明了本申请实施例的方案针对未知类型网络攻击检测问题,能够在一定程度上解决深度学习模型无法检测到未知类型网络攻击的问题。
综上所述,本申请实施例提供的网络攻击检测方法,首先根据无线自组网中各节点之间的收发数据确定无线自组网是否收到已知类型网络攻击,在确定无线自组网未受到已知类型网络攻击的情况下,将收发数据输入至第一网络攻击检测模型中,获取无线自组网的检测结果,该检测结果为受到未知类型网络攻击或者未受到网络攻击;其中,第一网络攻击检测模型是基于未受到网络攻击的多个第一收发数据样本和多个虚假收发数据样本对初始第一网络攻击检测模型进行训练得到的,虚假收发数据样本为受到未知类型网络攻击的收发数据样本。通过第一收发数据样本和虚假收发数据样本来训练第一网络攻击检测模型,使得第一网络攻击检测模型具备检测收发数据是否为未受到网络攻击的无线自组网的收发数据,从而在无线自组网未受到已知类型网络攻击的情况下,判断无线自组网是否受到未知类型网络攻击,实现了未知类型网络攻击的检测,进一步保障了无线自组网的各节点之间的通信安全。
下面对本申请提供的网络攻击检测装置进行描述,下文描述的网络攻击检测装置与上文描述的网络攻击检测方法可相互对应参照。
图9为本申请实施例提供的网络攻击检测装置的结构示意图,如图9所示,该装置包括:
处理模块91,用于在确定无线自组网未受到已知类型网络攻击的情况下,将所述无线自组网中各节点之间的收发数据输入至第一网络攻击检测模型中,获取所述无线自组网的检测结果,所述检测结果为受到未知类型网络攻击或者未受到网络攻击;
其中,所述第一网络攻击检测模型是基于未受到网络攻击的多个第一收发数据样本和多个虚假收发数据样本对初始第一网络攻击检测模型进行训练得到的,所述虚假收发数据样本为受到未知类型网络攻击的收发数据样本。
在一种可能的实施方式中,所述初始第一网络攻击检测模型包括生成器和判别器,所述处理模块91还用于:
获取未受到网络攻击的多个第二收发数据样本;
基于所述生成器对所述多个第二收发数据样本进行随机噪声处理,生成所述多个虚假收发数据样本;
基于所述判别器对所述多个第一收发数据样本和所述多个虚假收发数据样本进行处理,生成所述多个虚假收发数据样本各自对应的检测结果样本;
根据所述检测结果样本更新所述初始第一网络攻击检测模型的模型参数,以得到所述第一网络攻击检测模型。
在一种可能的实施方式中,所述处理模块91具体还用于:
针对各第二收发数据样本,对所述第二收发数据样本进行预处理,得到预处理后的第二收发数据样本,所述预处理包括数据数值化处理、数据归一化处理、特征降维与图像化处理中的至少一项;
基于所述生成器对所述预处理后的第二收发数据样本进行随机噪声处理,生成所述虚假收发数据样本。
在一种可能的实施方式中,所述处理模块91具体还用于:
基于所述生成器分别对所述多个虚假收发数据样本进行图像转换处理,得到多个虚假收发图像样本;
对所述多个第一收发数据样本进行图像转换处理,得到多个第一收发图像样本;
将所述多个第一收发图像样本和所述多个虚假收发图像样本输入至所述判别器中,生成所述多个虚假收发数据样本各自对应的检测结果样本。
在一种可能的实施方式中,所述处理模块91具体用于:
将所述收发数据输入至所述判别器中,得到所述判别器输出的所述检测结果。
在一种可能的实施方式中,还包括检测模块,所述检测模块用于:
对所述收发数据进行预处理,得到预处理后的收发数据,所述预处理包括数据数值化处理、数据归一化处理、特征降维与图像化处理中的至少一项;
将所述预处理后的收发数据输入至第二网络攻击检测模型,得到输出结果,所述输出结果指示所述无线自组网是否受到所述已知类型网络攻击;
其中,所述第二网络攻击检测模型是基于未受到网络攻击的多个第三收发数据样本和受到已知类型网络攻击的多个第四收发数据样本对初始第二网络攻击检测模型进行训练得到的。
在一种可能的实施方式中,所述检测模块还用于:
获取受到已知类型网络攻击的多个收发数据样本,以及所述多个收发数据样本各自对应的网络攻击类型;
根据所述多个收发数据样本各自对应的网络攻击类型,确定各所述网络攻击类型的频次;
将对应的网络攻击类型的频次大于或等于预设阈值的收发数据样本,确定为所述第四收发数据样本。
图10示例了一种电子设备的实体结构示意图,如图10所示,该电子设备可以包括:处理器(processor)1010、通信接口(Communications Interface)1020、存储器(memory)1030和通信总线1040,其中,处理器1010,通信接口1020,存储器1030通过通信总线1040完成相互间的通信。处理器1010可以调用存储器1030中的逻辑指令,以执行网络攻击检测方法,该方法包括:在确定无线自组网未受到已知类型网络攻击的情况下,将所述无线自组网中各节点之间的收发数据输入至第一网络攻击检测模型中,获取所述无线自组网的检测结果,所述检测结果为受到未知类型网络攻击或者未受到网络攻击;其中,所述第一网络攻击检测模型是基于未受到网络攻击的多个第一收发数据样本和多个虚假收发数据样本对初始第一网络攻击检测模型进行训练得到的,所述虚假收发数据样本为受到未知类型网络攻击的收发数据样本。
此外,上述的存储器1030中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本申请还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各实施例所提供的网络攻击检测方法,该方法包括:在确定无线自组网未受到已知类型网络攻击的情况下,将所述无线自组网中各节点之间的收发数据输入至第一网络攻击检测模型中,获取所述无线自组网的检测结果,所述检测结果为受到未知类型网络攻击或者未受到网络攻击;其中,所述第一网络攻击检测模型是基于未受到网络攻击的多个第一收发数据样本和多个虚假收发数据样本对初始第一网络攻击检测模型进行训练得到的,所述虚假收发数据样本为受到未知类型网络攻击的收发数据样本。
又一方面,本申请还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的网络攻击检测方法,该方法包括:在确定无线自组网未受到已知类型网络攻击的情况下,将所述无线自组网中各节点之间的收发数据输入至第一网络攻击检测模型中,获取所述无线自组网的检测结果,所述检测结果为受到未知类型网络攻击或者未受到网络攻击;其中,所述第一网络攻击检测模型是基于未受到网络攻击的多个第一收发数据样本和多个虚假收发数据样本对初始第一网络攻击检测模型进行训练得到的,所述虚假收发数据样本为受到未知类型网络攻击的收发数据样本。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (10)
1.一种网络攻击检测方法,其特征在于,包括:
在确定无线自组网未受到已知类型网络攻击的情况下,将所述无线自组网中各节点之间的收发数据输入至第一网络攻击检测模型中,获取所述无线自组网的检测结果,所述检测结果为受到未知类型网络攻击或者未受到网络攻击;
其中,所述第一网络攻击检测模型是基于未受到网络攻击的多个第一收发数据样本和多个虚假收发数据样本对初始第一网络攻击检测模型进行训练得到的,所述虚假收发数据样本为受到未知类型网络攻击的收发数据样本。
2.根据权利要求1所述的方法,其特征在于,所述初始第一网络攻击检测模型包括生成器和判别器,所述第一网络攻击检测模型通过如下步骤训练得到:
获取未受到网络攻击的多个第二收发数据样本;
基于所述生成器对所述多个第二收发数据样本进行随机噪声处理,生成所述多个虚假收发数据样本;
基于所述判别器对所述多个第一收发数据样本和所述多个虚假收发数据样本进行处理,生成所述多个虚假收发数据样本各自对应的检测结果样本;
根据所述检测结果样本更新所述初始第一网络攻击检测模型的模型参数,以得到所述第一网络攻击检测模型。
3.根据权利要求2所述的方法,其特征在于,所述基于所述生成器对所述多个第二收发数据样本进行随机噪声处理,生成所述多个虚假收发数据样本,包括:
针对各第二收发数据样本,对所述第二收发数据样本进行预处理,得到预处理后的第二收发数据样本,所述预处理包括数据数值化处理、数据归一化处理、特征降维与图像化处理中的至少一项;
基于所述生成器对所述预处理后的第二收发数据样本进行随机噪声处理,生成所述虚假收发数据样本。
4.根据权利要求3所述的方法,其特征在于,所述基于所述判别器对所述多个第一收发数据样本和所述多个虚假收发数据样本进行处理,生成所述多个虚假收发数据样本各自对应的检测结果样本,包括:
基于所述生成器分别对所述多个虚假收发数据样本进行图像转换处理,得到多个虚假收发图像样本;
对所述多个第一收发数据样本进行图像转换处理,得到多个第一收发图像样本;
将所述多个第一收发图像样本和所述多个虚假收发图像样本输入至所述判别器中,生成所述多个虚假收发数据样本各自对应的检测结果样本。
5.根据权利要求2所述的方法,其特征在于,所述将所述无线自组网中各节点之间的收发数据输入至第一网络攻击检测模型中,获取所述无线自组网的检测结果,包括:
将所述收发数据输入至所述判别器中,得到所述判别器输出的所述检测结果。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:
对所述收发数据进行预处理,得到预处理后的收发数据,所述预处理包括数据数值化处理、数据归一化处理、特征降维与图像化处理中的至少一项;
将所述预处理后的收发数据输入至第二网络攻击检测模型,得到输出结果,所述输出结果指示所述无线自组网是否受到所述已知类型网络攻击;
其中,所述第二网络攻击检测模型是基于未受到网络攻击的多个第三收发数据样本和受到已知类型网络攻击的多个第四收发数据样本对初始第二网络攻击检测模型进行训练得到的。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
获取受到已知类型网络攻击的多个收发数据样本,以及所述多个收发数据样本各自对应的网络攻击类型;
根据所述多个收发数据样本各自对应的网络攻击类型,确定各所述网络攻击类型的频次;
将对应的网络攻击类型的频次大于或等于预设阈值的收发数据样本,确定为所述第四收发数据样本。
8.一种网络攻击检测装置,其特征在于,包括:
处理模块,用于在确定无线自组网未受到已知类型网络攻击的情况下,将所述无线自组网中各节点之间的收发数据输入至第一网络攻击检测模型中,获取所述无线自组网的检测结果,所述检测结果为受到未知类型网络攻击或者未受到网络攻击;
其中,所述第一网络攻击检测模型是基于未受到网络攻击的多个第一收发数据样本和多个虚假收发数据样本对初始第一网络攻击检测模型进行训练得到的,所述虚假收发数据样本为受到未知类型网络攻击的收发数据样本。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述的网络攻击检测方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的网络攻击检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310334691.8A CN116056087B (zh) | 2023-03-31 | 2023-03-31 | 网络攻击检测方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310334691.8A CN116056087B (zh) | 2023-03-31 | 2023-03-31 | 网络攻击检测方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116056087A true CN116056087A (zh) | 2023-05-02 |
| CN116056087B CN116056087B (zh) | 2023-06-09 |
Family
ID=86122150
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310334691.8A Active CN116056087B (zh) | 2023-03-31 | 2023-03-31 | 网络攻击检测方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116056087B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040059947A1 (en) * | 2001-12-12 | 2004-03-25 | Lee Susan C. | Method for training a hierarchical neural-network intrusion detector |
| CN108881265A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 一种基于人工智能的网络攻击检测方法及系统 |
| CN110691100A (zh) * | 2019-10-28 | 2020-01-14 | 中国科学技术大学 | 基于深度学习的分层网络攻击识别与未知攻击检测方法 |
| CN111314331A (zh) * | 2020-02-05 | 2020-06-19 | 北京中科研究院 | 一种基于条件变分自编码器的未知网络攻击检测方法 |
| CN111355706A (zh) * | 2020-02-10 | 2020-06-30 | 华东师范大学 | 一种基于can总线车载入侵检测方法及系统 |
| CN113283476A (zh) * | 2021-04-27 | 2021-08-20 | 广东工业大学 | 一种物联网网络入侵检测方法 |
| CN113824684A (zh) * | 2021-08-20 | 2021-12-21 | 北京工业大学 | 一种基于迁移学习的车载网络入侵检测方法及系统 |
| CN114124460A (zh) * | 2021-10-09 | 2022-03-01 | 广东技术师范大学 | 工控系统入侵检测方法、装置、计算机设备及存储介质 |
| CN115580445A (zh) * | 2022-09-22 | 2023-01-06 | 东北大学 | 一种未知攻击入侵检测方法、装置和计算机可读存储介质 |
-
2023
- 2023-03-31 CN CN202310334691.8A patent/CN116056087B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040059947A1 (en) * | 2001-12-12 | 2004-03-25 | Lee Susan C. | Method for training a hierarchical neural-network intrusion detector |
| CN108881265A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 一种基于人工智能的网络攻击检测方法及系统 |
| CN110691100A (zh) * | 2019-10-28 | 2020-01-14 | 中国科学技术大学 | 基于深度学习的分层网络攻击识别与未知攻击检测方法 |
| CN111314331A (zh) * | 2020-02-05 | 2020-06-19 | 北京中科研究院 | 一种基于条件变分自编码器的未知网络攻击检测方法 |
| CN111355706A (zh) * | 2020-02-10 | 2020-06-30 | 华东师范大学 | 一种基于can总线车载入侵检测方法及系统 |
| CN113283476A (zh) * | 2021-04-27 | 2021-08-20 | 广东工业大学 | 一种物联网网络入侵检测方法 |
| CN113824684A (zh) * | 2021-08-20 | 2021-12-21 | 北京工业大学 | 一种基于迁移学习的车载网络入侵检测方法及系统 |
| CN114124460A (zh) * | 2021-10-09 | 2022-03-01 | 广东技术师范大学 | 工控系统入侵检测方法、装置、计算机设备及存储介质 |
| CN115580445A (zh) * | 2022-09-22 | 2023-01-06 | 东北大学 | 一种未知攻击入侵检测方法、装置和计算机可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 彭中联;万巍;荆涛;魏金侠;: "基于改进CGANs的入侵检测方法研究", 信息网络安全, no. 05 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116056087B (zh) | 2023-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Maseer et al. | Benchmarking of machine learning for anomaly based intrusion detection systems in the CICIDS2017 dataset | |
| Ullah et al. | Design and development of RNN anomaly detection model for IoT networks | |
| CN111209563B (zh) | 一种网络入侵检测方法及系统 | |
| CN111585948B (zh) | 一种基于电网大数据的网络安全态势智能预测方法 | |
| CN111600919B (zh) | 智能网络应用防护系统模型的构建方法和装置 | |
| CN116647411B (zh) | 游戏平台网络安全的监测预警方法 | |
| Ortet Lopes et al. | Towards effective detection of recent DDoS attacks: A deep learning approach | |
| CN110378430B (zh) | 一种基于多模型融合的网络入侵检测的方法及系统 | |
| CN113283476A (zh) | 一种物联网网络入侵检测方法 | |
| CN112887325B (zh) | 一种基于网络流量的电信网络诈骗犯罪欺诈识别方法 | |
| CN113556319B (zh) | 物联网下基于长短期记忆自编码分类器的入侵检测方法 | |
| WO2022259125A1 (en) | Unsupervised gan-based intrusion detection system using temporal convolutional networks, self-attention, and transformers | |
| CN113079167B (zh) | 一种基于深度强化学习的车联网入侵检测方法及系统 | |
| CN114372530A (zh) | 一种基于深度自编码卷积网络的异常流量检测方法及系统 | |
| WO2019156680A1 (en) | Proactive device authentication platform | |
| CN109547496B (zh) | 一种基于深度学习的主机恶意行为检测方法 | |
| Hegazy | Tag Eldien, AS; Tantawy, MM; Fouda, MM; TagElDien, HA Real-time locational detection of stealthy false data injection attack in smart grid: Using multivariate-based multi-label classification approach | |
| CN110830504A (zh) | 一种网络入侵行为检测方法及系统 | |
| Lee et al. | CoNN-IDS: Intrusion detection system based on collaborative neural networks and agile training | |
| CN116056087B (zh) | 网络攻击检测方法、装置及设备 | |
| CN113542222B (zh) | 一种基于双域vae的零日多步威胁识别方法 | |
| CN108616318B (zh) | 一种安全频谱感知方法 | |
| Xie et al. | Research and application of intrusion detection method based on hierarchical features | |
| CN116366359B (zh) | 一种工业控制网络的智能协同自进化防御方法及系统 | |
| CN115913769B (zh) | 基于人工智能的数据安全存储方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |