CN116668089B

CN116668089B - 基于深度学习的网络攻击检测方法、系统及介质

Info

Publication number: CN116668089B
Application number: CN202310533089.7A
Authority: CN
Inventors: 刘超; 闫文达; 牟春苗; 孙志鹏; 王洪志; 赵伟男
Original assignee: Qiqihar University
Current assignee: Qiqihar University
Priority date: 2023-05-11
Filing date: 2023-05-11
Publication date: 2024-04-16
Anticipated expiration: 2043-05-11
Also published as: CN116668089A

Abstract

本发明公开了一种基于深度学习的网络攻击检测方法及系统，采用CNN网络模型和LSTM网络模型等深度学习技术，通过对网络中报文数据进行类型识别，判断不同的数据类型，针对不同的数据类型设计不同的流量攻击识别模块，提高了网络攻击识别的效率，解决了现有技术中网络攻击类型检测针对数据类型单一的缺陷，以及检测手段不高效的问题。

Description

基于深度学习的网络攻击检测方法、系统及介质

技术领域

本申请属于网络安全技术领域，尤其涉及一种基于深度学习的网络攻击检测方法及系统。

背景技术

网络攻击检测是网络安全的核心要素，其主要目的是识别攻击者在网络和计算机系统中的异常行为和企图。但是由于网络数据存在着异构特性，在网络攻击检测中，需要使用合理的方法对异构数据进行整合，然而，现有的网络攻击检测手段单一，且过多的依赖于人工分析，其工作量大，系统设计较为复杂，检测效率低下。

发明内容

针对现有技术中的缺陷，本发明提供一种基于深度学习的网络攻击检测方法及系统，解决了现有技术中攻击类型检测针对数据类型单一的缺陷，以及检测手段不高效的问题。为实现上述目的，本发明提供如下技术方案：

一种基于深度学习的网络攻击检测方法，其特征在于，包括以下步骤：

报文数据接收模块接收网络中的报文数据；

报文数据识别模块识别网络中的报文数据的类型，报文数据的类型为包含URL的访问请求数据以及连续的网络流量数据；

当报文数据的类型为包含URL的访问请求数据时，预处理模块对包含URL的访问请求数据进行预处理，转化为词向量，并输入到预先建立并训练好的第一神经网络模型模块，基于所述词向量和第一神经网络模型模块确定包含URL的访问请求数据是否为恶意攻击以及恶意攻击的类型；所述第一神经网络模型为CNN网络，该CNN网络包括卷积层、池化层和全连接层；

当报文数据的类型为连续的网络流量数据时，将连续的网络流量数据输入自编码器进行特征提取，自编码器由输入层、隐藏层和输出层组成，其中输出层和输入层的神经元数目相同，自编码器通过编码和解码两个过程实现，对于输入数据x，定义从输入层到隐藏层的编码过程为：e＝f(W₁x+b₁)，定义从隐藏层到输出层的解码过程为：y＝f(W₂e+b₂)，其中W₁、W₂分别表示输入层到隐藏层和隐藏层到输出层的权重向量，b₁、b₂分别是输入层和隐藏层的偏置向量，f(·)为sigmoid激活函数，自编码器中的参数W₁、W₂、b₁、b₂通过最小化重建误差来学习；

将自编码器的隐藏变量e输入至预先训练好的第二神经网络模型模块，所述第二神经网络模型模块为LSTM网络模型模块，所述LSTM网络模型模块内部分为遗忘门、输入门和输出门三个部分；经过所述LSTM网络模型模块处理后识别出连续的网络流量数据是否为恶意攻击以及恶意攻击的类型；其中所述LSTM网络模型模块识别的恶意攻击类型包括拒绝服务DoS攻击、远程到本地R2L攻击、探针Probe攻击和用户到根用户U2R攻击。

在一些实施例中，所述预处理包括Word2Vec词嵌入算法。

在一些实施例中，所述CNN网络的卷积层、池化层和全连接层处理过程如下：假设CNN网络输入共有n个词，向量维度为m，则卷积层输入矩阵表示为X_n×m，卷积层使用多种卷积核获取多种数据特征c_j，c_j＝σ₁(W_j·X_n×m+b)，σ₁为relu函数，W_j为权重向量，b是偏置向量，c_j为第j种数据特征信息；卷积后的特征信息c_j输入池化层进一步压缩信息，提取更加重要的特征信息，最后进入全连接层融合特征信息，使用非线性函数softmax或者sigmoid进行分类确定恶意攻击的类型。

在一些实施例中，所述CNN网络在训练阶段通过爬虫从互联网安全公司采集数据集，数据集中包括已标注好的正常URL和恶意URL，所述恶意URL类型至少包括XSS攻击、SQL注入和敏感文件攻击。

在一些实施例中，所述自编码器在预训练过程中利用KDD99中的数据集对参数进行训练，寻找合适的参数W₁、W₂、b₁、b₂使解码后的y最大程度的与输入x接近，该近似程度使用重构误差来表示。

在一些实施例中，所述LSTM网络模型模块遗忘门、输入门和输出门三个部分的相关处理更新公式如下：

f_t＝sigmoid(W_f·[h_t-1，x_t]+b_f)，

i_t＝sigmoid(W_i·[h_t-1，x_t]+b_i)，

o_t＝sigmoid(W_o·[h_t-1，x_t]+b_o)，

h_t＝o_t*tanh(C_t)，

其中x_t是自编码器提取出的隐藏变量e的序列表示，f_t是遗忘门，i_t是输入门，o_t是输出门，表示tanh层创造的将要加入单元当前时刻的候选状态，C_t表示单元的当前状态，C_t-1表示单元在前一时刻的状态，h_t表示当前单元的输出，并且h_t-1表示单元在前一时刻的输出，sigmoid和tanh是激活函数，W_f、W_i、W_C、W_o是权重向量，b_f、b_i、b_C、b_o是偏置向量。

在一些实施例中，所述LSTM模型模块在预训练阶段使用的训练数据来自于KDD99数据集。

本发明的另一目的在于提供一种基于深度学习的网络攻击检测系统，该系统包括报文数据接收模块、报文数据识别模块、预处理模块、第一神经网络模型模块、自编码器以及第二神经网络模型模块，所述基于深度学习的网络攻击检测系统用于执行上述基于深度学习的网络攻击检测方法。

本发明的另一目的在于提供一种计算机可读存储介质，存储一个或多个程序，所述一个或多个程序使得计算机执行上述基于深度学习的网络攻击检测方法。

结合所述的所有技术方案，本发明与现有技术相比具有如下优点：

本发明采用CNN网络模型和LSTM网络模型等深度学习技术，通过对网络中报文数据进行类型识别，判断不同的数据类型，针对数据类型设计不同的流量攻击识别模块，提高了攻击识别的效率，解决了现有技术中攻击类型检测针对数据类型单一的缺陷，以及检测手段不高效的问题。

具体来说，由于URL类网络数据长度较短，CNN模型擅长处理短序列数据，因此针对URL类网络数据采用CNN模型检测，可以简化URL类攻击检测的模型设计，提高URL类攻击识别的准确率和效率。

针对连续的网络流量数据，采用自编码器连续网络流量数据进行特征提取，使得提取的特征信息更具实际意义，降低大量无关的噪声，经过特征提取后再输入LSTM网络模型模块检测，可以利用LSTM处理长序列特征信息的优势，尤其是针对DoS攻击和探针Probe攻击需要提取时间特征，我们可以充分利用LSTM网络适合处理和预测时间序列中间隔和延迟非常长的重要事件的这一特性，提高上述两种类型攻击识别的能力。可见，本申请通过联合编码器和LSTM网络有利于直接处理原始大流量数据，特别适合网络中存在庞大流量数据这一场景，能够提高大流量类网络数据攻击的识别速度和精度。

附图说明

图1是本发明基于深度学习的网络攻击检测系统的结构示意图。

具体实施方式

下面通过实施例并结合附图1做进一步描述。显然，所描述的实施例是本发明的部分实施例，而不是全部实施例。基于本发明的实施例，本领域普通技术人员在没有付出创造性劳动的前提下所获得的所有其他实施例，都属于本发明的保护范围。

所述基于深度学习的网络攻击检测方法应用于图1所示的系统。本发明提供一种基于深度学习的网络攻击检测方法，包括以下步骤：

报文数据接收模块接收网络中的报文数据；

报文数据识别模块识别网络中的报文数据的类型，报文数据的类型为包含URL(统一资源定位符，又叫网页地址)的访问请求数据以及连续的网络流量数据；

当报文数据的类型为包含URL的访问请求数据时，预处理模块对包含URL的访问请求数据进行预处理，转化为词向量，并输入到预先建立并训练好的第一神经网络模型模块，基于所述词向量和第一神经网络模型模块确定包含URL的访问请求数据是否为恶意攻击以及恶意攻击的类型；所述第一神经网络模型为CNN(卷积神经网络)网络，该CNN网络包括卷积层、池化层和全连接层；

进一步地，预处理包括Word2Vec词嵌入算法。

进一步地，假设CNN网络输入共有n个词，向量维度为m，则卷积层输入矩阵表示为X_n×m，卷积层使用多种卷积核获取多种数据特征c_j，c_j＝σ₁(W_j·X_n×m+b)，σ₁为relu函数，W_j为权重向量，b是偏置向量，c_j为第j种数据特征信息；卷积后的特征信息c_j输入池化层进一步压缩信息，提取更加重要的特征信息，最后进入全连接层融合特征信息，使用非线性函数(softmax或者sigmoid)进行分类确定恶意攻击的类型；其中n，m，j为自然数，具体数值本发明不做限制。

进一步地，其中CNN网络在训练阶段通过爬虫从互联网安全公司(例如三六零、绿盟科技、深信服等)采集数据集，数据集中包括已标注好的正常URL和恶意URL，其中恶意URL类型至少包括XSS攻击、SQL注入和敏感文件攻击。其中XSS攻击：即跨站脚本攻击，是一种常见的Web安全攻击，它允许攻击者将恶意代码写入到网站提供给用户使用的页面，不同于只涉及到攻击者和受害者的攻击，XSS攻击涉及到攻击者、客户端和Web应用，XSS攻击的目标是窃取存储在客户端的cookie或者其他网站用于识别用户身份的敏感信息，一旦窃取到用户信息，攻击者可以假冒合法用户与网站进行交互。SQL注入：攻击者成功地向服务器提交恶意的SQL查询语句，服务器的数据库误将其认为是正常的SQL指令而执行，从而使数据库受到攻击，可能导致数据被窃取、更改、删除、导致网站被嵌入恶意代码、被植入后门程序等。敏感文件攻击：攻击者通过URL中构造文件位置，访问系统文件或是备用文件等，正常的URL中一般不会出现访问关键文件的后缀名或者文件路径。

当报文数据的类型为连续的网络流量数据时，将连续的网络流量数据输入自编码器进行特征提取，自编码器由输入层、隐藏层和输出层组成，其中输出层和输入层的神经元数目相同，自编码器通过编码和解码两个过程实现，对于输入数据x，定义从输入层到隐藏层的编码过程为：e＝f(W₁x+b₁)，定义从隐藏层到输出层的解码过程为：y＝f(W₂e+b₂)，其中W₁、W₂分别表示输入层到隐藏层和隐藏层到输出层的权重向量，b₁、b₂分别是输入层和隐藏层的偏置向量，f(·)为sigmoid激活函数，自编码器中的参数W₁、W₂、b₁、b₂通过最小化重建误差来学习。

进一步地，在解码过程中，由于需要进行重构运算，通常使用均方误差。自编码器训练的目的是使输入向量与重构向量之间的差值最小化，在预训练过程中利用KDD99中的数据集对参数进行训练，寻找合适的参数W₁、W₂、b₁、b₂使解码后的y最大程度的与输入x接近。该近似程度使用重构误差来表示。自编码器提取出的低维深度隐藏特征指的是自编码器的输出，即隐藏变量e，可以直接作为后续LSTM网络模型模块的输入。

将自编码器的隐藏变量e输入至预先训练好的第二神经网络模型模块，所述第二神经网络模型模块为LSTM(长短期记忆神经网络)网络模型模块，LSTM网络模型模块内部分为遗忘门、输入门和输出门三个部分；

进一步地，LSTM网络模型模块相关处理更新公式如下：

f_t＝sigmoid(W_f·[h_t-1，x_t]+b_f)，

i_t＝sigmoid(W_i.[h_t-1，x_t]+b_i)，

o_t＝sigmoid(W_o.[h_t-1，x_t]+b_o)，

h_t＝o_t*tanh(C_t)，

经过LSTM网络模型模块处理后识别出连续网络流量是否为恶意攻击以及恶意攻击的类型，其中LSTM网络模型模块识别的恶意攻击类型包括拒绝服务DoS攻击、远程到本地R2L攻击、探针Probe攻击和用户到根用户U2R攻击。

其中拒绝服务DoS攻击：DoS是Denial of service的简称，即拒绝服务，任何对服务的干涉，使得其可用性降低或者失去可用性均称为拒绝服务。例如一个计算机系统崩溃或其带宽耗尽或其硬盘被填满，导致其不能提供正常的服务，就构成拒绝服务。造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。远程到本地R2L攻击：攻击者在没有合法账户的情况下，通过网络向计算机发送数据包，然后利用计算机的漏洞，非法获得对计算机的本地访问权限进行攻击。探针Probe攻击：通过对网络进行扫描以获取其中的缺陷，从而使具有网络上可用的机器和服务映射的攻击者可以使用这些缺陷信息来进行攻击。U2R攻击：用户到根用户攻击，攻击者通过利用正常系统用户的系统应用漏洞，或绕过一些验证，来获得对本地超级用户(根)特权的未经授权的访问权限，进而进行一些非法的操作。

进一步地，LSTM模型模块预训练阶段使用的训练数据来自于KDD99数据集。KDD99数据集是最早构建也是最经典的基准数据集，其来自于美国国防部模拟的空军网络攻击环境。

另外，本发明基于深度学习的网络攻击检测系统的结构示意图见图1。

根据图1，本发明提供一种基于深度学习的网络攻击检测系统，该系统包括报文数据接收模块、报文数据识别模块、预处理模块、第一神经网络模型模块、自编码器以及第二神经网络模型模块，所述基于深度学习的网络攻击检测系统用于执行上述基于深度学习的网络攻击检测方法。图1中各个模块相关连接关系仅为示意，并非用于限定本说明书的保护范围。

需要说明的是，本领域技术人员应当理解，所述基于深度学习的网络攻击检测系统的实施方式中所示的各模块的实现功能可参照所述基于深度学习的网络攻击检测方法的相关描述而理解。所述基于深度学习的网络攻击检测系统的实施方式中所示的各模块的功能可通过运行于处理器上的程序(可执行指令)而实现，也可通过具体的逻辑电路而实现。

相应地，本发明还提供一种计算机可读存储介质，其中存储有计算机可执行指令，该计算机可执行指令被处理器执行时实现本申请的各方法实施方式。计算机可读存储介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括但不限于，相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。

此外应理解，以上所述仅为本说明书的较佳实施例而已，并非用于限定本说明书的保护范围。凡在本说明书一个或多个实施例的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本说明书一个或多个实施例的保护范围之内。

Claims

1.一种基于深度学习的网络攻击检测方法，其特征在于，包括以下步骤：

报文数据接收模块接收网络中的报文数据；

当报文数据的类型为包含URL的访问请求数据时，预处理模块对包含URL的访问请求数据进行预处理，转化为词向量，并输入到预先建立并训练好的第一神经网络模型模块，基于所述词向量和第一神经网络模型模块确定包含URL的访问请求数据是否为恶意攻击以及恶意攻击的类型；所述第一神经网络模型为CNN网络，该CNN网络包括卷积层、池化层和全连接层；其中所述CNN网络在训练阶段通过爬虫从互联网安全公司采集数据集，数据集中包括已标注好的正常URL和恶意URL，其中恶意URL类型至少包括XSS攻击、SQL注入和敏感文件攻击；

2.如权利要求1所述的一种基于深度学习的网络攻击检测方法，其特征在于，所述预处理包括Word2Vec词嵌入算法。

3.如权利要求1所述的一种基于深度学习的网络攻击检测方法，其特征在于，所述CNN网络的卷积层、池化层和全连接层处理过程如下：假设CNN网络输入共有n个词，向量维度为m，则卷积层输入矩阵表示为X_n×m，卷积层使用多种卷积核获取多种数据特征c_j，c_j＝σ₁(W_j·X_n×m+b)，σ₁为relu函数，W_j为权重向量，b是偏置向量，c_j为第j种数据特征信息；卷积后的特征信息c_j输入池化层进一步压缩信息，提取更加重要的特征信息，最后进入全连接层融合特征信息，使用非线性函数softmax或者sigmoid进行分类确定恶意攻击的类型。

4.如权利要求1所述的一种基于深度学习的网络攻击检测方法，其特征在于，所述CNN网络在训练阶段通过爬虫从互联网安全公司采集数据集，数据集中包括已标注好的正常URL和恶意URL，所述恶意URL类型至少包括XSS攻击、SQL注入和敏感文件攻击。

5.如权利要求1所述的一种基于深度学习的网络攻击检测方法，其特征在于，所述自编码器在预训练过程中利用KDD99中的数据集对参数进行训练，寻找合适的参数W₁、W₂、b₁、b₂使解码后的y最大程度的与输入x接近，近似程度使用重构误差来表示。

6.如权利要求1所述的一种基于深度学习的网络攻击检测方法，其特征在于，所述LSTM网络模型模块遗忘门、输入门和输出门三个部分的相关处理更新公式如下：

f_t＝sigmoid(W_f·[h_t-1,x_t]+b_f)，

i_t＝sigmoid(W_i·[h_t-1,x_t]+b_i)，

o_t＝sigmoid(W_o·[h_t-1,x_t]+b_o)，

h_t＝o_t*tanh(C_t)，

7.如权利要求1所述的一种基于深度学习的网络攻击检测方法，其特征在于，所述LSTM模型模块在预训练阶段使用的训练数据来自于KDD99数据集。

8.一种基于深度学习的网络攻击检测系统，其特征在于，该系统包括报文数据接收模块、报文数据识别模块、预处理模块、第一神经网络模型模块、自编码器以及第二神经网络模型模块，所述基于深度学习的网络攻击检测系统用于执行如权利要求1-7任一项所述的方法。

9.一种计算机可读存储介质，其特征在于，存储一个或多个程序，所述一个或多个程序使得计算机执行如权利要求1-7任一项所述的方法。