CN116668089B - 基于深度学习的网络攻击检测方法、系统及介质 - Google Patents
基于深度学习的网络攻击检测方法、系统及介质 Download PDFInfo
- Publication number
- CN116668089B CN116668089B CN202310533089.7A CN202310533089A CN116668089B CN 116668089 B CN116668089 B CN 116668089B CN 202310533089 A CN202310533089 A CN 202310533089A CN 116668089 B CN116668089 B CN 116668089B
- Authority
- CN
- China
- Prior art keywords
- layer
- network
- attack
- data
- deep learning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 40
- 238000013135 deep learning Methods 0.000 title claims abstract description 30
- 239000013598 vector Substances 0.000 claims description 32
- 238000000034 method Methods 0.000 claims description 25
- 238000003062 neural network model Methods 0.000 claims description 21
- 238000013527 convolutional neural network Methods 0.000 claims description 19
- 230000008569 process Effects 0.000 claims description 16
- 238000012549 training Methods 0.000 claims description 15
- 230000006870 function Effects 0.000 claims description 14
- 210000004027 cell Anatomy 0.000 claims description 12
- 238000007781 pre-processing Methods 0.000 claims description 9
- 238000011176 pooling Methods 0.000 claims description 8
- 230000004913 activation Effects 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 5
- 238000002347 injection Methods 0.000 claims description 5
- 239000007924 injection Substances 0.000 claims description 5
- 239000000523 sample Substances 0.000 claims description 5
- 239000011159 matrix material Substances 0.000 claims description 3
- 210000002569 neuron Anatomy 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 5
- 238000013461 design Methods 0.000 abstract description 4
- 238000012545 processing Methods 0.000 description 4
- 230000007547 defect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2415—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/2431—Multiple classes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
- G06N3/0442—Recurrent networks, e.g. Hopfield networks characterised by memory or gating, e.g. long short-term memory [LSTM] or gated recurrent units [GRU]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
- G06N3/0455—Auto-encoder networks; Encoder-decoder networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/047—Probabilistic or stochastic networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/048—Activation functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2123/00—Data types
- G06F2123/02—Data types in the time domain, e.g. time-series data
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Biomedical Technology (AREA)
- Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Probability & Statistics with Applications (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于深度学习的网络攻击检测方法及系统,采用CNN网络模型和LSTM网络模型等深度学习技术,通过对网络中报文数据进行类型识别,判断不同的数据类型,针对不同的数据类型设计不同的流量攻击识别模块,提高了网络攻击识别的效率,解决了现有技术中网络攻击类型检测针对数据类型单一的缺陷,以及检测手段不高效的问题。
Description
技术领域
本申请属于网络安全技术领域,尤其涉及一种基于深度学习的网络攻击检测方法及系统。
背景技术
网络攻击检测是网络安全的核心要素,其主要目的是识别攻击者在网络和计算机系统中的异常行为和企图。但是由于网络数据存在着异构特性,在网络攻击检测中,需要使用合理的方法对异构数据进行整合,然而,现有的网络攻击检测手段单一,且过多的依赖于人工分析,其工作量大,系统设计较为复杂,检测效率低下。
发明内容
针对现有技术中的缺陷,本发明提供一种基于深度学习的网络攻击检测方法及系统,解决了现有技术中攻击类型检测针对数据类型单一的缺陷,以及检测手段不高效的问题。为实现上述目的,本发明提供如下技术方案:
一种基于深度学习的网络攻击检测方法,其特征在于,包括以下步骤:
报文数据接收模块接收网络中的报文数据;
报文数据识别模块识别网络中的报文数据的类型,报文数据的类型为包含URL的访问请求数据以及连续的网络流量数据;
当报文数据的类型为包含URL的访问请求数据时,预处理模块对包含URL的访问请求数据进行预处理,转化为词向量,并输入到预先建立并训练好的第一神经网络模型模块,基于所述词向量和第一神经网络模型模块确定包含URL的访问请求数据是否为恶意攻击以及恶意攻击的类型;所述第一神经网络模型为CNN网络,该CNN网络包括卷积层、池化层和全连接层;
当报文数据的类型为连续的网络流量数据时,将连续的网络流量数据输入自编码器进行特征提取,自编码器由输入层、隐藏层和输出层组成,其中输出层和输入层的神经元数目相同,自编码器通过编码和解码两个过程实现,对于输入数据x,定义从输入层到隐藏层的编码过程为:e=f(W1x+b1),定义从隐藏层到输出层的解码过程为:y=f(W2e+b2),其中W1、W2分别表示输入层到隐藏层和隐藏层到输出层的权重向量,b1、b2分别是输入层和隐藏层的偏置向量,f(·)为sigmoid激活函数,自编码器中的参数W1、W2、b1、b2通过最小化重建误差来学习;
将自编码器的隐藏变量e输入至预先训练好的第二神经网络模型模块,所述第二神经网络模型模块为LSTM网络模型模块,所述LSTM网络模型模块内部分为遗忘门、输入门和输出门三个部分;经过所述LSTM网络模型模块处理后识别出连续的网络流量数据是否为恶意攻击以及恶意攻击的类型;其中所述LSTM网络模型模块识别的恶意攻击类型包括拒绝服务DoS攻击、远程到本地R2L攻击、探针Probe攻击和用户到根用户U2R攻击。
在一些实施例中,所述预处理包括Word2Vec词嵌入算法。
在一些实施例中,所述CNN网络的卷积层、池化层和全连接层处理过程如下:假设CNN网络输入共有n个词,向量维度为m,则卷积层输入矩阵表示为Xn×m,卷积层使用多种卷积核获取多种数据特征cj,cj=σ1(Wj·Xn×m+b),σ1为relu函数,Wj为权重向量,b是偏置向量,cj为第j种数据特征信息;卷积后的特征信息cj输入池化层进一步压缩信息,提取更加重要的特征信息,最后进入全连接层融合特征信息,使用非线性函数softmax或者sigmoid进行分类确定恶意攻击的类型。
在一些实施例中,所述CNN网络在训练阶段通过爬虫从互联网安全公司采集数据集,数据集中包括已标注好的正常URL和恶意URL,所述恶意URL类型至少包括XSS攻击、SQL注入和敏感文件攻击。
在一些实施例中,所述自编码器在预训练过程中利用KDD99中的数据集对参数进行训练,寻找合适的参数W1、W2、b1、b2使解码后的y最大程度的与输入x接近,该近似程度使用重构误差来表示。
在一些实施例中,所述LSTM网络模型模块遗忘门、输入门和输出门三个部分的相关处理更新公式如下:
ft=sigmoid(Wf·[ht-1,xt]+bf),
it=sigmoid(Wi·[ht-1,xt]+bi),
ot=sigmoid(Wo·[ht-1,xt]+bo),
ht=ot*tanh(Ct),
其中xt是自编码器提取出的隐藏变量e的序列表示,ft是遗忘门,it是输入门,ot是输出门,表示tanh层创造的将要加入单元当前时刻的候选状态,Ct表示单元的当前状态,Ct-1表示单元在前一时刻的状态,ht表示当前单元的输出,并且ht-1表示单元在前一时刻的输出,sigmoid和tanh是激活函数,Wf、Wi、WC、Wo是权重向量,bf、bi、bC、bo是偏置向量。
在一些实施例中,所述LSTM模型模块在预训练阶段使用的训练数据来自于KDD99数据集。
本发明的另一目的在于提供一种基于深度学习的网络攻击检测系统,该系统包括报文数据接收模块、报文数据识别模块、预处理模块、第一神经网络模型模块、自编码器以及第二神经网络模型模块,所述基于深度学习的网络攻击检测系统用于执行上述基于深度学习的网络攻击检测方法。
本发明的另一目的在于提供一种计算机可读存储介质,存储一个或多个程序,所述一个或多个程序使得计算机执行上述基于深度学习的网络攻击检测方法。
结合所述的所有技术方案,本发明与现有技术相比具有如下优点:
本发明采用CNN网络模型和LSTM网络模型等深度学习技术,通过对网络中报文数据进行类型识别,判断不同的数据类型,针对数据类型设计不同的流量攻击识别模块,提高了攻击识别的效率,解决了现有技术中攻击类型检测针对数据类型单一的缺陷,以及检测手段不高效的问题。
具体来说,由于URL类网络数据长度较短,CNN模型擅长处理短序列数据,因此针对URL类网络数据采用CNN模型检测,可以简化URL类攻击检测的模型设计,提高URL类攻击识别的准确率和效率。
针对连续的网络流量数据,采用自编码器连续网络流量数据进行特征提取,使得提取的特征信息更具实际意义,降低大量无关的噪声,经过特征提取后再输入LSTM网络模型模块检测,可以利用LSTM处理长序列特征信息的优势,尤其是针对DoS攻击和探针Probe攻击需要提取时间特征,我们可以充分利用LSTM网络适合处理和预测时间序列中间隔和延迟非常长的重要事件的这一特性,提高上述两种类型攻击识别的能力。可见,本申请通过联合编码器和LSTM网络有利于直接处理原始大流量数据,特别适合网络中存在庞大流量数据这一场景,能够提高大流量类网络数据攻击的识别速度和精度。
附图说明
图1是本发明基于深度学习的网络攻击检测系统的结构示意图。
具体实施方式
下面通过实施例并结合附图1做进一步描述。显然,所描述的实施例是本发明的部分实施例,而不是全部实施例。基于本发明的实施例,本领域普通技术人员在没有付出创造性劳动的前提下所获得的所有其他实施例,都属于本发明的保护范围。
所述基于深度学习的网络攻击检测方法应用于图1所示的系统。本发明提供一种基于深度学习的网络攻击检测方法,包括以下步骤:
报文数据接收模块接收网络中的报文数据;
报文数据识别模块识别网络中的报文数据的类型,报文数据的类型为包含URL(统一资源定位符,又叫网页地址)的访问请求数据以及连续的网络流量数据;
当报文数据的类型为包含URL的访问请求数据时,预处理模块对包含URL的访问请求数据进行预处理,转化为词向量,并输入到预先建立并训练好的第一神经网络模型模块,基于所述词向量和第一神经网络模型模块确定包含URL的访问请求数据是否为恶意攻击以及恶意攻击的类型;所述第一神经网络模型为CNN(卷积神经网络)网络,该CNN网络包括卷积层、池化层和全连接层;
进一步地,预处理包括Word2Vec词嵌入算法。
进一步地,假设CNN网络输入共有n个词,向量维度为m,则卷积层输入矩阵表示为Xn×m,卷积层使用多种卷积核获取多种数据特征cj,cj=σ1(Wj·Xn×m+b),σ1为relu函数,Wj为权重向量,b是偏置向量,cj为第j种数据特征信息;卷积后的特征信息cj输入池化层进一步压缩信息,提取更加重要的特征信息,最后进入全连接层融合特征信息,使用非线性函数(softmax或者sigmoid)进行分类确定恶意攻击的类型;其中n,m,j为自然数,具体数值本发明不做限制。
进一步地,其中CNN网络在训练阶段通过爬虫从互联网安全公司(例如三六零、绿盟科技、深信服等)采集数据集,数据集中包括已标注好的正常URL和恶意URL,其中恶意URL类型至少包括XSS攻击、SQL注入和敏感文件攻击。其中XSS攻击:即跨站脚本攻击,是一种常见的Web安全攻击,它允许攻击者将恶意代码写入到网站提供给用户使用的页面,不同于只涉及到攻击者和受害者的攻击,XSS攻击涉及到攻击者、客户端和Web应用,XSS攻击的目标是窃取存储在客户端的cookie或者其他网站用于识别用户身份的敏感信息,一旦窃取到用户信息,攻击者可以假冒合法用户与网站进行交互。SQL注入:攻击者成功地向服务器提交恶意的SQL查询语句,服务器的数据库误将其认为是正常的SQL指令而执行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除、导致网站被嵌入恶意代码、被植入后门程序等。敏感文件攻击:攻击者通过URL中构造文件位置,访问系统文件或是备用文件等,正常的URL中一般不会出现访问关键文件的后缀名或者文件路径。
当报文数据的类型为连续的网络流量数据时,将连续的网络流量数据输入自编码器进行特征提取,自编码器由输入层、隐藏层和输出层组成,其中输出层和输入层的神经元数目相同,自编码器通过编码和解码两个过程实现,对于输入数据x,定义从输入层到隐藏层的编码过程为:e=f(W1x+b1),定义从隐藏层到输出层的解码过程为:y=f(W2e+b2),其中W1、W2分别表示输入层到隐藏层和隐藏层到输出层的权重向量,b1、b2分别是输入层和隐藏层的偏置向量,f(·)为sigmoid激活函数,自编码器中的参数W1、W2、b1、b2通过最小化重建误差来学习。
进一步地,在解码过程中,由于需要进行重构运算,通常使用均方误差。自编码器训练的目的是使输入向量与重构向量之间的差值最小化,在预训练过程中利用KDD99中的数据集对参数进行训练,寻找合适的参数W1、W2、b1、b2使解码后的y最大程度的与输入x接近。该近似程度使用重构误差来表示。自编码器提取出的低维深度隐藏特征指的是自编码器的输出,即隐藏变量e,可以直接作为后续LSTM网络模型模块的输入。
将自编码器的隐藏变量e输入至预先训练好的第二神经网络模型模块,所述第二神经网络模型模块为LSTM(长短期记忆神经网络)网络模型模块,LSTM网络模型模块内部分为遗忘门、输入门和输出门三个部分;
进一步地,LSTM网络模型模块相关处理更新公式如下:
ft=sigmoid(Wf·[ht-1,xt]+bf),
it=sigmoid(Wi.[ht-1,xt]+bi),
ot=sigmoid(Wo.[ht-1,xt]+bo),
ht=ot*tanh(Ct),
其中xt是自编码器提取出的隐藏变量e的序列表示,ft是遗忘门,it是输入门,ot是输出门,表示tanh层创造的将要加入单元当前时刻的候选状态,Ct表示单元的当前状态,Ct-1表示单元在前一时刻的状态,ht表示当前单元的输出,并且ht-1表示单元在前一时刻的输出,sigmoid和tanh是激活函数,Wf、Wi、WC、Wo是权重向量,bf、bi、bC、bo是偏置向量。
经过LSTM网络模型模块处理后识别出连续网络流量是否为恶意攻击以及恶意攻击的类型,其中LSTM网络模型模块识别的恶意攻击类型包括拒绝服务DoS攻击、远程到本地R2L攻击、探针Probe攻击和用户到根用户U2R攻击。
其中拒绝服务DoS攻击:DoS是Denial of service的简称,即拒绝服务,任何对服务的干涉,使得其可用性降低或者失去可用性均称为拒绝服务。例如一个计算机系统崩溃或其带宽耗尽或其硬盘被填满,导致其不能提供正常的服务,就构成拒绝服务。造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。远程到本地R2L攻击:攻击者在没有合法账户的情况下,通过网络向计算机发送数据包,然后利用计算机的漏洞,非法获得对计算机的本地访问权限进行攻击。探针Probe攻击:通过对网络进行扫描以获取其中的缺陷,从而使具有网络上可用的机器和服务映射的攻击者可以使用这些缺陷信息来进行攻击。U2R攻击:用户到根用户攻击,攻击者通过利用正常系统用户的系统应用漏洞,或绕过一些验证,来获得对本地超级用户(根)特权的未经授权的访问权限,进而进行一些非法的操作。
进一步地,LSTM模型模块预训练阶段使用的训练数据来自于KDD99数据集。KDD99数据集是最早构建也是最经典的基准数据集,其来自于美国国防部模拟的空军网络攻击环境。
另外,本发明基于深度学习的网络攻击检测系统的结构示意图见图1。
根据图1,本发明提供一种基于深度学习的网络攻击检测系统,该系统包括报文数据接收模块、报文数据识别模块、预处理模块、第一神经网络模型模块、自编码器以及第二神经网络模型模块,所述基于深度学习的网络攻击检测系统用于执行上述基于深度学习的网络攻击检测方法。图1中各个模块相关连接关系仅为示意,并非用于限定本说明书的保护范围。
需要说明的是,本领域技术人员应当理解,所述基于深度学习的网络攻击检测系统的实施方式中所示的各模块的实现功能可参照所述基于深度学习的网络攻击检测方法的相关描述而理解。所述基于深度学习的网络攻击检测系统的实施方式中所示的各模块的功能可通过运行于处理器上的程序(可执行指令)而实现,也可通过具体的逻辑电路而实现。
相应地,本发明还提供一种计算机可读存储介质,其中存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现本申请的各方法实施方式。计算机可读存储介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括但不限于,相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
此外应理解,以上所述仅为本说明书的较佳实施例而已,并非用于限定本说明书的保护范围。凡在本说明书一个或多个实施例的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本说明书一个或多个实施例的保护范围之内。
Claims (9)
1.一种基于深度学习的网络攻击检测方法,其特征在于,包括以下步骤:
报文数据接收模块接收网络中的报文数据;
报文数据识别模块识别网络中的报文数据的类型,报文数据的类型为包含URL的访问请求数据以及连续的网络流量数据;
当报文数据的类型为包含URL的访问请求数据时,预处理模块对包含URL的访问请求数据进行预处理,转化为词向量,并输入到预先建立并训练好的第一神经网络模型模块,基于所述词向量和第一神经网络模型模块确定包含URL的访问请求数据是否为恶意攻击以及恶意攻击的类型;所述第一神经网络模型为CNN网络,该CNN网络包括卷积层、池化层和全连接层;其中所述CNN网络在训练阶段通过爬虫从互联网安全公司采集数据集,数据集中包括已标注好的正常URL和恶意URL,其中恶意URL类型至少包括XSS攻击、SQL注入和敏感文件攻击;
当报文数据的类型为连续的网络流量数据时,将连续的网络流量数据输入自编码器进行特征提取,自编码器由输入层、隐藏层和输出层组成,其中输出层和输入层的神经元数目相同,自编码器通过编码和解码两个过程实现,对于输入数据x,定义从输入层到隐藏层的编码过程为:e=f(W1x+b1),定义从隐藏层到输出层的解码过程为:y=f(W2e+b2),其中W1、W2分别表示输入层到隐藏层和隐藏层到输出层的权重向量,b1、b2分别是输入层和隐藏层的偏置向量,f(·)为sigmoid激活函数,自编码器中的参数W1、W2、b1、b2通过最小化重建误差来学习;
将自编码器的隐藏变量e输入至预先训练好的第二神经网络模型模块,所述第二神经网络模型模块为LSTM网络模型模块,所述LSTM网络模型模块内部分为遗忘门、输入门和输出门三个部分;经过所述LSTM网络模型模块处理后识别出连续的网络流量数据是否为恶意攻击以及恶意攻击的类型;其中所述LSTM网络模型模块识别的恶意攻击类型包括拒绝服务DoS攻击、远程到本地R2L攻击、探针Probe攻击和用户到根用户U2R攻击。
2.如权利要求1所述的一种基于深度学习的网络攻击检测方法,其特征在于,所述预处理包括Word2Vec词嵌入算法。
3.如权利要求1所述的一种基于深度学习的网络攻击检测方法,其特征在于,所述CNN网络的卷积层、池化层和全连接层处理过程如下:假设CNN网络输入共有n个词,向量维度为m,则卷积层输入矩阵表示为Xn×m,卷积层使用多种卷积核获取多种数据特征cj,cj=σ1(Wj·Xn×m+b),σ1为relu函数,Wj为权重向量,b是偏置向量,cj为第j种数据特征信息;卷积后的特征信息cj输入池化层进一步压缩信息,提取更加重要的特征信息,最后进入全连接层融合特征信息,使用非线性函数softmax或者sigmoid进行分类确定恶意攻击的类型。
4.如权利要求1所述的一种基于深度学习的网络攻击检测方法,其特征在于,所述CNN网络在训练阶段通过爬虫从互联网安全公司采集数据集,数据集中包括已标注好的正常URL和恶意URL,所述恶意URL类型至少包括XSS攻击、SQL注入和敏感文件攻击。
5.如权利要求1所述的一种基于深度学习的网络攻击检测方法,其特征在于,所述自编码器在预训练过程中利用KDD99中的数据集对参数进行训练,寻找合适的参数W1、W2、b1、b2使解码后的y最大程度的与输入x接近,近似程度使用重构误差来表示。
6.如权利要求1所述的一种基于深度学习的网络攻击检测方法,其特征在于,所述LSTM网络模型模块遗忘门、输入门和输出门三个部分的相关处理更新公式如下:
ft=sigmoid(Wf·[ht-1,xt]+bf),
it=sigmoid(Wi·[ht-1,xt]+bi),
ot=sigmoid(Wo·[ht-1,xt]+bo),
ht=ot*tanh(Ct),
其中xt是自编码器提取出的隐藏变量e的序列表示,ft是遗忘门,it是输入门,ot是输出门,表示tanh层创造的将要加入单元当前时刻的候选状态,Ct表示单元的当前状态,Ct-1表示单元在前一时刻的状态,ht表示当前单元的输出,并且ht-1表示单元在前一时刻的输出,sigmoid和tanh是激活函数,Wf、Wi、WC、Wo是权重向量,bf、bi、bC、bo是偏置向量。
7.如权利要求1所述的一种基于深度学习的网络攻击检测方法,其特征在于,所述LSTM模型模块在预训练阶段使用的训练数据来自于KDD99数据集。
8.一种基于深度学习的网络攻击检测系统,其特征在于,该系统包括报文数据接收模块、报文数据识别模块、预处理模块、第一神经网络模型模块、自编码器以及第二神经网络模型模块,所述基于深度学习的网络攻击检测系统用于执行如权利要求1-7任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,存储一个或多个程序,所述一个或多个程序使得计算机执行如权利要求1-7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310533089.7A CN116668089B (zh) | 2023-05-11 | 2023-05-11 | 基于深度学习的网络攻击检测方法、系统及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310533089.7A CN116668089B (zh) | 2023-05-11 | 2023-05-11 | 基于深度学习的网络攻击检测方法、系统及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116668089A CN116668089A (zh) | 2023-08-29 |
CN116668089B true CN116668089B (zh) | 2024-04-16 |
Family
ID=87725191
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310533089.7A Active CN116668089B (zh) | 2023-05-11 | 2023-05-11 | 基于深度学习的网络攻击检测方法、系统及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116668089B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117411684A (zh) * | 2023-10-17 | 2024-01-16 | 国网新疆电力有限公司营销服务中心(资金集约中心、计量中心) | 一种基于深度学习的工业控制网络入侵检测方法和系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108259494A (zh) * | 2018-01-17 | 2018-07-06 | 北京邮电大学 | 一种网络攻击检测方法及装置 |
CN110691100A (zh) * | 2019-10-28 | 2020-01-14 | 中国科学技术大学 | 基于深度学习的分层网络攻击识别与未知攻击检测方法 |
CN113543137A (zh) * | 2021-07-26 | 2021-10-22 | 国网甘肃省电力公司电力科学研究院 | 一种基于人工智能的新型物联网无线网络攻击检测方法 |
CN113556319A (zh) * | 2021-06-11 | 2021-10-26 | 杭州电子科技大学 | 物联网下基于长短期记忆自编码分类器的入侵检测方法 |
KR20220084865A (ko) * | 2020-12-14 | 2022-06-21 | 한전케이디엔주식회사 | Cnn-lstm 조합 모델을 이용한 정오탐 판별 시스템 및 그 방법 |
-
2023
- 2023-05-11 CN CN202310533089.7A patent/CN116668089B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108259494A (zh) * | 2018-01-17 | 2018-07-06 | 北京邮电大学 | 一种网络攻击检测方法及装置 |
CN110691100A (zh) * | 2019-10-28 | 2020-01-14 | 中国科学技术大学 | 基于深度学习的分层网络攻击识别与未知攻击检测方法 |
KR20220084865A (ko) * | 2020-12-14 | 2022-06-21 | 한전케이디엔주식회사 | Cnn-lstm 조합 모델을 이용한 정오탐 판별 시스템 및 그 방법 |
CN113556319A (zh) * | 2021-06-11 | 2021-10-26 | 杭州电子科技大学 | 物联网下基于长短期记忆自编码分类器的入侵检测方法 |
CN113543137A (zh) * | 2021-07-26 | 2021-10-22 | 国网甘肃省电力公司电力科学研究院 | 一种基于人工智能的新型物联网无线网络攻击检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN116668089A (zh) | 2023-08-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Mahdavifar et al. | Application of deep learning to cybersecurity: A survey | |
Wang et al. | PDRCNN: Precise phishing detection with recurrent convolutional neural networks | |
Benavides et al. | Classification of phishing attack solutions by employing deep learning techniques: A systematic literature review | |
Vinayakumar et al. | Scalable framework for cyber threat situational awareness based on domain name systems data analysis | |
Zhang et al. | A deep learning method to detect web attacks using a specially designed CNN | |
US20200349430A1 (en) | System and method for predicting domain reputation | |
US20190364059A1 (en) | Identifying command and control endpoint used by domain generation algorithm (DGA) malware | |
Mourtaji et al. | Hybrid Rule‐Based Solution for Phishing URL Detection Using Convolutional Neural Network | |
Wu et al. | Session‐Based Webshell Detection Using Machine Learning in Web Logs | |
CN109344661B (zh) | 一种基于机器学习的微代理的网页防篡改方法 | |
Liu et al. | GraphXSS: an efficient XSS payload detection approach based on graph convolutional network | |
Liu et al. | An efficient multistage phishing website detection model based on the CASE feature framework: Aiming at the real web environment | |
CN111143654B (zh) | 辅助识别爬虫的、爬虫识别方法、装置及电子设备 | |
CN116668089B (zh) | 基于深度学习的网络攻击检测方法、系统及介质 | |
Yong et al. | Malicious Web traffic detection for Internet of Things environments | |
CN110602021A (zh) | 一种基于http请求行为与业务流程相结合的安全风险值评估方法 | |
Muslihi et al. | Detecting SQL injection on web application using deep learning techniques: a systematic literature review | |
Hong et al. | [Retracted] Abnormal Access Behavior Detection of Ideological and Political MOOCs in Colleges and Universities | |
Mohammadi et al. | Anomaly-based Web Attack Detection: The Application of Deep Neural Network Seq2Seq With Attention Mechanism. | |
Li et al. | Deep learning algorithms for cyber security applications: A survey | |
Hu et al. | Cross-site scripting detection with two-channel feature fusion embedded in self-attention mechanism | |
Yan et al. | Cross-site scripting attack detection based on a modified convolution neural network | |
Stiawan et al. | An Improved LSTM-PCA Ensemble Classifier for SQL Injection and XSS Attack Detection. | |
Kasim | Automatic detection of phishing pages with event-based request processing, deep-hybrid feature extraction and light gradient boosted machine model | |
Kotenko et al. | LSTM neural networks for detecting anomalies caused by web application cyber attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |