CN116761176A - 多步攻击识别模型的训练方法、多步攻击识别方法 - Google Patents

多步攻击识别模型的训练方法、多步攻击识别方法 Download PDF

Info

Publication number
CN116761176A
CN116761176A CN202310798785.0A CN202310798785A CN116761176A CN 116761176 A CN116761176 A CN 116761176A CN 202310798785 A CN202310798785 A CN 202310798785A CN 116761176 A CN116761176 A CN 116761176A
Authority
CN
China
Prior art keywords
step attack
wireless sensor
model
target
attack recognition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310798785.0A
Other languages
English (en)
Inventor
马一宁
杨春
李洁珊
李燕妮
谢彬瑜
刘重阳
从硕
李于达
赵嘉奇
何双伯
白鹏华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Energy Development Research Institute of China Southern Power Grid Co Ltd
Original Assignee
Energy Development Research Institute of China Southern Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Energy Development Research Institute of China Southern Power Grid Co Ltd filed Critical Energy Development Research Institute of China Southern Power Grid Co Ltd
Priority to CN202310798785.0A priority Critical patent/CN116761176A/zh
Publication of CN116761176A publication Critical patent/CN116761176A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/088Non-supervised learning, e.g. competitive learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Molecular Biology (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Software Systems (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请涉及信息安全技术领域,提供了一种多步攻击识别模型的训练方法、多步攻击识别方法,其中,多步攻击识别模型的训练方法包括:获取自组织映射神经网络模型的训练样本;基于所述训练样本,调整所述自组织映射神经网络模型中的连接权;若确认所述连接权与所述训练样本的输入模式之间的相似度达到目标阈值,则将当前的所述自组织映射神经网络模型,确定为目标多步攻击识别模型。

Description

多步攻击识别模型的训练方法、多步攻击识别方法
技术领域
本申请涉及信息安全技术领域,特别是涉及一种多步攻击识别模型的训练方法、多步攻击识别方法。
背景技术
为了有效确保无线传感网络的运行稳定性,越来越多的技术人员选择通过分析无线传感网络产生的实时流量数据的方式,确定无线传感网络的各个链路中是否存在多步攻击事件。
然而,由于在采用现有技术针对无线传感网络数据中的多步攻击事件进行识别的过程中,并未解决无线传感网络数据中时常出现的维数灾难和过拟合问题,这直接导致了基于现有技术实现的针对无线传感网络数据中的多步攻击事件进行识别的过程,识别效率较低,且识别准确率有待提高。
发明内容
基于此,有必要针对上述技术问题,提供一种多步攻击识别模型的训练方法、多步攻击识别方法。
第一方面,本申请提供了一种多步攻击识别模型的训练方法,所述方法包括:
获取自组织映射神经网络模型的训练样本;
基于所述训练样本,调整所述自组织映射神经网络模型中的连接权;
若确认所述连接权与所述训练样本的输入模式之间的相似度达到目标阈值,则将当前的所述自组织映射神经网络模型,确定为目标多步攻击识别模型。
在其中一个实施例中,所述获取自组织映射神经网络模型的训练样本,所述方法还包括:
基于获取得到的无线传感网络数据样本,获取链路安全历史特征和链路安全评测结果;根据所述链路安全历史特征和所述链路安全评测结果,得到链路安全等级系数集合;处理所述链路安全等级系数集合,得到无线传感网络中的若干链路各自对应的链路安全等级系数分布情况;基于各所述链路安全等级系数分布情况,生成所述训练样本。
在其中一个实施例中,所述处理所述链路安全等级系数集合,得到无线传感网络中的若干链路各自对应的链路安全等级系数分布情况,包括:
采用滑动窗口机制,将所述链路安全等级系数集合,转化为第一样本数据集合;所述第一样本数据集合用于针对深度置信网络模型进行训练;基于预训练好的所述深度置信网络模型,获取各所述链路对应的所述链路安全等级系数分布情况。
在其中一个实施例中,所述基于所述训练样本,调整所述自组织映射神经网络模型中的连接权,包括:
根据所述输入模式与所述自组织映射神经网络模型中的各个竞争层神经元之间的距离,选取出目标神经元;调整所述目标神经元与所述目标神经元的邻域范围中的各个神经元之间的所述连接权,直至所述连接权与所述输入模式之间的相似度达到所述目标阈值。
第二方面,本申请提供了一种无线传感网络的多步攻击识别方法,所述方法包括:
获取目标多步攻击识别模型;所述目标多步攻击识别模型为基于权利要求1至4中任一项所述的方法进行训练;
将无线传感网络数据输入至所述目标多步攻击识别模型,得到所述无线传感网络数据对应的多步攻击识别结果。
第三方面,本申请还提供了一种多步攻击识别模型的训练装置,所述装置包括:
模型训练样本获取模块,用于获取自组织映射神经网络模型的训练样本;
模型连接权调整模块,用于基于所述训练样本,调整所述自组织映射神经网络模型中的连接权;
目标识别模型输出模块,用于若确认所述连接权与所述训练样本的输入模式之间的相似度达到目标阈值,则将当前的所述自组织映射神经网络模型,确定为目标多步攻击识别模型。
第四方面,本申请还提供了一种无线传感网络的多步攻击识别装置,所述装置包括:
多步攻击识别模型获取模块,用于获取目标多步攻击识别模型;所述目标多步攻击识别模型为基于权利要求1至4中任一项所述的方法进行训练;
多步攻击识别结果输出模块,用于将无线传感网络数据输入至所述目标多步攻击识别模型,得到所述无线传感网络数据对应的多步攻击识别结果。
第五方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
第六方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
第七方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述方法的步骤。
上述多步攻击识别模型的训练方法,首先,获取自组织映射神经网络模型的训练样本。然后,基于训练样本,调整自组织映射神经网络模型中的连接权。最后,若确认连接权与训练样本的输入模式之间的相似度达到目标阈值,则将当前的自组织映射神经网络模型,确定为目标多步攻击识别模型。本申请通过基于无线传感网络的链路安全特征,针对自组织映射神经网络模型进行无监督训练,解决了无线传感网络数据中时常出现的维数灾难和过拟合问题,不仅能够提高针对无线传感网络数据中的多步攻击事件进行识别的识别效率,还能够有效提升针对无线传感网络数据中的多步攻击事件进行识别的识别准确率。
附图说明
图1为一个实施例中提供的一种多步攻击识别模型的训练方法的流程示意图;
图2为一个实施例中提供的一种自组织映射神经网络模型的网络结构示意图;
图3为一个实施例中提供的一种生成自组织映射神经网络模型的训练样本的具体方式的流程示意图;
图4为一个实施例中提供的一种获取无线传感网络中的若干链路各自对应的链路安全等级系数分布情况的具体方式的流程示意图;
图5为一个实施例中提供的一种深度置信网络模型的结构示意图;
图6为一个实施例中提供的一种调整自组织映射神经网络模型中的连接权的具体方式的流程示意图;
图7为一个实施例中提供的一种无线传感网络的多步攻击识别方法的流程示意图;
图8为一个实施例中一种多步攻击识别模型的训练装置的结构框图;
图9为一个实施例中一种无线传感网络的多步攻击识别装置的结构框图;
图10为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的多步攻击识别模型的训练方法和无线传感网络的多步攻击识别方法,可以应用于服务器执行。其中,终端通过网络与服务器进行通信;数据存储系统可以存储服务器需要处理的数据;数据存储系统可以集成在服务器上,也可以放在云上或其他网络服务器上;终端可以但不限于是各种个人计算机、笔记本电脑;服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图1所示,提供了一种多步攻击识别模型的训练方法,包括以下步骤:
步骤S110,获取自组织映射神经网络模型的训练样本。
本步骤中,自组织映射神经网络模型,是指自组织映射神经网络模型(Self-Organizing Map,SOM);训练样本,即自组织映射神经网络模型的训练样本,是指用于针对自组织映射神经网络模型进行无监督训练的数据样本。
在实际应用中,自组织映射神经网络模型的具体网络结构,可以是如图2所示的形式。
步骤S120,基于训练样本,调整自组织映射神经网络模型中的连接权。
本步骤中,训练样本,即自组织映射神经网络模型的训练样本,是指用于针对自组织映射神经网络模型进行无监督训练的数据样本;自组织映射神经网络模型中的连接权,是指自组织映射神经网络模型中的各个神经元连接的权重。
具体而言,基于训练样本,调整自组织映射神经网络模型中的连接权的具体过程,可以分为两个阶段:一是用于进行粗学习和粗调整的第一阶段,该阶段将不同方向的连接权向量向输入模式方向移动,同时对其展开初始化调整,进而确定不同输入模式的映射位置;二是用于进行精学习和细调整的第二阶段,该阶段在整个过程中,网络的学习集中在比较小的范围内展开连接权调整,进而使得连接权的调整更加精细化。
步骤S130,若确认连接权与训练样本的输入模式之间的相似度达到目标阈值,则将当前的自组织映射神经网络模型,确定为目标多步攻击识别模型。
本步骤中,连接权,即自组织映射神经网络模型中的连接权,是指自组织映射神经网络模型中的各个神经元连接的权重;训练样本,即自组织映射神经网络模型的训练样本,是指用于针对自组织映射神经网络模型进行无监督训练的数据样本;当前的自组织映射神经网络模型,是指在各个神经元连接的权重与训练样本的输入模式之间的相似度达到目标阈值的情况下,获取得到的自组织映射神经网络模型;目标阈值,是指用于确定自组织映射神经网络模型中的各个神经元的连接权与训练样本的输入模式之间的相似度,是否满足预设标准的目标阈值。
具体而言,将当前的自组织映射神经网络模型,确定为目标多步攻击识别模型的具体方式,可以是在各个神经元连接的权重与训练样本的输入模式之间的相似度达到目标阈值的情况下,将获取得到的自组织映射神经网络模型,确定为目标多步攻击识别模型。
上述多步攻击识别模型的训练方法,首先,获取自组织映射神经网络模型的训练样本。然后,基于训练样本,调整自组织映射神经网络模型中的连接权。最后,若确认连接权与训练样本的输入模式之间的相似度达到目标阈值,则将当前的自组织映射神经网络模型,确定为目标多步攻击识别模型。本申请通过基于无线传感网络的链路安全特征,针对自组织映射神经网络模型进行无监督训练,解决了无线传感网络数据中时常出现的维数灾难和过拟合问题,不仅能够提高针对无线传感网络数据中的多步攻击事件进行识别的识别效率,还能够有效提升针对无线传感网络数据中的多步攻击事件进行识别的识别准确率。
对于生成自组织映射神经网络模型的训练样本的具体方式,在一个实施例中,如图3所示,上述步骤S110之前,上述方法还包括:
步骤S310,基于获取得到的无线传感网络数据样本,获取链路安全历史特征和链路安全评测结果。
本步骤中,获取得到的无线传感网络数据样本,是指在预设时间段内采集得到的无线传感网络数据样本;链路安全历史特征,是指基于获取得到的无线传感网络数据样本,来进行获取的无线传感网络的链路安全历史特征;链路安全评测结果,是指基于获取得到的无线传感网络数据样本,来进行获取的无线传感网络的链路安全评测结果。
具体而言,无线传感网络数据样本的具体表现形式,可以是在预设时间段内采集得到的无线传感网络的流量数据;获取链路安全历史特征的具体方式,可以是基于预训练好的深度置信网络模型,从获取得到的无线传感网络数据样本中,提取出链路安全历史特征;链路安全评测结果的具体表现形式,可以是无线传感网络在未来的一段时间内的链路安全评测结果;获取链路安全评测结果的具体方式,可以是通过采用softmax回归器,基于获取得到的无线传感网络数据样本,预测分析得到无线传感网络在未来的一段时间内的链路安全评测结果。
在实际应用中,获取无线传感网络数据样本的具体方式,可以具体包括为如下步骤:
首先,获取初始样本集S。前述初始样本集S的具体表现形式,可以具体表现为如下公式所示的形式:
然后,通过向量分类机,寻找符合预设条件的最优线性超平面,从而将问题转换为求解最优化问题。完成前述问题的转换之后,需要建立线性模型,且寻找到的最优线性超平面,还需满足如下公式中的约束条件:
xi(ωzi+y)≥1-ψi
其中,xi表示输出样本;ω表示法向量;zi表示输入样本;y代表样本总数;ψi表示样本点到分类边界的距离。
接着,在最小化目标中加入惩罚项,进而获取得到最优超平面决策函数N(x)。前述最优超平面决策函数N(x)的具体表现形式,可以具体表现为如下公式所示的形式:
其中,n和m表示常数;(a,b)表示拉格朗日乘数;sgn表示阶跃函数;c表示偏置项。
之后,根据非线性变换,采用向量分类机,将全部不可分离的样本,经过映射处理,转换到高维特征空间内成为可分离问题。其中,改进后的最优超平面决策函数的具体表现形式,可以具体表现为如下公式所示的形式:
其中,L(a,b)表示核函数。
再之后,为了满足任意分布需求,将RBF作为核函数。其中,前述核函数RBF的具体表现形式,可以具体表现为如下公式所示的形式:
其中,β表示核函数宽度;s表示子样本;si表示样本集合内的第i个子样本。
步骤S320,根据链路安全历史特征和链路安全评测结果,得到链路安全等级系数集合。
本步骤中,链路安全历史特征,是指基于获取得到的无线传感网络数据样本,来进行获取的无线传感网络的链路安全历史特征;链路安全评测结果,是指基于获取得到的无线传感网络数据样本,来进行获取的无线传感网络的链路安全评测结果;链路安全等级系数集合,是指根据链路安全历史特征和链路安全评测结果,获取得到的链路安全等级系数集合。
具体而言,根据链路安全历史特征和链路安全评测结果,得到链路安全等级系数集合的具体方式,可以是通过向量分类机(Support Vector Classification,SVM),基于链路安全历史特征和链路安全评测结果,对无线传感网络的历史链路安全等级系数进行评估,并根据前述评估的结果,得到链路安全等级系数集合。
在实际应用中,无线传感网络中的各个链路呈现出的特性有所不同,可以根据各个链路所处的区域,对其进行等级划分,例如,将处于安全区的链路安全级别定义为1级(最高级,安全系数最高),将处于过渡区的链路安全级别定义为2级(中级),将处于空白区的链路安全级别定义为3级(低级),从而将无线传感网络的链路安全评估问题,转换为无线传感网络的链路安全等级划分问题,以实现针对无线传感网络的链路安全等级的评估。
步骤S330,处理链路安全等级系数集合,得到无线传感网络中的若干链路各自对应的链路安全等级系数分布情况。
本步骤中,链路安全等级系数集合,是指根据链路安全历史特征和链路安全评测结果,获取得到的链路安全等级系数集合;链路安全等级系数分布情况,即无线传感网络中的若干链路各自对应的链路安全等级系数分布情况,是指通过处理链路安全等级系数集合,获取得到的无线传感网络中的若干链路各自对应的链路安全等级系数分布情况。
步骤S340,基于各链路安全等级系数分布情况,生成训练样本。
本步骤中,各链路安全等级系数分布情况,即无线传感网络中的各个链路对应的链路安全等级系数分布情况,是指通过处理链路安全等级系数集合,获取得到的无线传感网络中的若干链路各自对应的链路安全等级系数分布情况;训练样本,即自组织映射神经网络模型的训练样本,是指基于各链路安全等级系数分布情况,生成的自组织映射神经网络模型的训练样本。
本申请实施例通过基于获取得到的无线传感网络数据样本,获取链路安全历史特征和链路安全评测结果,根据链路安全历史特征和链路安全评测结果,得到链路安全等级系数集合,并通过处理链路安全等级系数集合,得到用于生成训练样本的无线传感网络中的若干链路各自对应的链路安全等级系数分布情况的方式,解决了无线传感网络数据中时常出现的维数灾难和过拟合问题,进而有效提升了针对无线传感网络数据中的多步攻击事件进行识别的识别准确率。
对于获取无线传感网络中的若干链路各自对应的链路安全等级系数分布情况的具体方式,在一个实施例中,如图4所示,上述步骤S330具体包括:
步骤S410,采用滑动窗口机制,将链路安全等级系数集合,转化为第一样本数据集合;前述第一样本数据集合用于针对深度置信网络模型进行训练。
本步骤中,链路安全等级系数集合,是指根据链路安全历史特征和链路安全评测结果,获取得到的链路安全等级系数集合;第一样本数据集合,是指采用滑动窗口机制,将链路安全等级系数集合进行转化,以获取得到的用于针对深度置信网络模型进行训练的第一样本数据集合;深度置信网络模型,是指深度置信网络模型(Deep Belief Network,DBN)。
在实际应用中,深度置信网络模型的具体网络结构,可以是如图5所示的形式;第一样本数据集合的具体表现形式,可以具体表现为如下公式所示的形式:
步骤S420,基于预训练好的深度置信网络模型,获取各链路对应的链路安全等级系数分布情况。
本步骤中,预训练好的深度置信网络模型,是指基于第一样本数据集合进行训练的深度置信网络模型;第一样本数据集合,是指采用滑动窗口机制,将链路安全等级系数集合进行转化,以获取得到的用于针对深度置信网络模型进行训练的第一样本数据集合;各链路对应的链路安全等级系数分布情况,即无线传感网络中的各个链路各自对应的链路安全等级系数分布情况,是指基于预训练好的深度置信网络模型,获取得到的无线传感网络中的各个链路各自对应的链路安全等级系数分布情况。
在实际应用中,深度置信网络模型的训练过程,可以分为预训练和微调两个部分;基于预训练好的深度置信网络模型,获取各链路对应的链路安全等级系数分布情况的具体方式,可以具体包括如下步骤:
首先,结合预训练好的深度置信网络模型,计算不同网络节点的概率分布情况Hij。前述不同网络节点的概率分布情况Hij,可以通过如下公式进行获取:
其中,f(x)表示变量;表示随机两个节点之间的连接权重;τi表示可视单元。
然后,提取各个链路的特征,同时获取各个链路在无线传感网络内的分布情况前述各个链路在无线传感网络内的分布情况/>可以通过如下公式进行获取:
其中,ε表示归一化因子。
本申请实施例通过采用滑动窗口机制,将链路安全等级系数集合,转化为用于训练深度置信网络的第一样本数据集合,并基于预训练好的深度置信网络模型,获取各链路对应的链路安全等级系数分布情况的方式,有效解决了无线传感网络数据中时常出现的维数灾难和过拟合问题,进而提高了针对无线传感网络数据中的多步攻击事件进行识别的识别效率。
对于调整自组织映射神经网络模型中的连接权的具体方式,在一个实施例中,如图6所示,上述步骤S120具体包括:
步骤S610,根据输入模式与自组织映射神经网络模型中的各个竞争层神经元之间的距离,选取出目标神经元。
本步骤中,输入模式,即训练样本的输入模式;训练样本,即自组织映射神经网络模型的训练样本,是指用于针对自组织映射神经网络模型进行无监督训练的数据样本;目标神经元,是指根据输入模式与自组织映射神经网络模型中的各个竞争层神经元之间的距离,选取出的目标神经元。
具体而言,根据输入模式与自组织映射神经网络模型中的各个竞争层神经元之间的距离,选取出目标神经元的具体方式,可以是根据输入模式与自组织映射神经网络模型中的各个竞争层神经元之间的距离,选取出与输入模式距离最短的目标神经元。
步骤S620,调整目标神经元与目标神经元的邻域范围中的各个神经元之间的连接权,直至连接权与输入模式之间的相似度达到目标阈值。
本步骤中,目标神经元,是指根据输入模式与自组织映射神经网络模型中的各个竞争层神经元之间的距离,选取出的目标神经元;连接权,即自组织映射神经网络模型中的连接权,是指自组织映射神经网络模型中的各个神经元连接的权重;输入模式,即训练样本的输入模式;训练样本,即自组织映射神经网络模型的训练样本,是指用于针对自组织映射神经网络模型进行无监督训练的数据样本;目标阈值,是指用于确定自组织映射神经网络模型中的各个神经元的连接权与训练样本的输入模式之间的相似度,是否满足预设标准的目标阈值。
在实际应用中,结合上述步骤S610至S620,对调整自组织映射神经网络模型中的连接权的具体执行步骤,进行整体说明:
首先,将网络的输入模式设置为Bk,竞争层的神经元向量为Bj,在区间[0,1]中选择随机两个节点之间的连接权重则可以通过如下公式,确定网络的初始学习率(其后,还需要进一步确定邻域函数的初始值等相关参数的取值):
其中,t表示采样时间。
然后,通过如下公式,将全部输入模式展开极差变换,得到归一化处理后的其中,前述归一化处理后的/>可以通过如下公式来进行计算:
其中,β0表示链路分布矢量。
接着,给出网络输入模式(即将全部训练样本按照编号排序,根据排序结果依次输入至网络内),将其传输到网络内,同时计算连接权向量和输入模式两者之间的距离Dij(即输入模式与自组织映射神经网络模型中的各个竞争层神经元之间的距离)。其中,前述连接权向量和输入模式两者之间的距离Dij,可以通过如下公式来进行计算:
其中,表示连接权向量。
之后,根据网络连接权矢量和输入矢量两者之间的距离(即输入模式与自组织映射神经网络模型中的各个竞争层神经元之间的距离),选取出距离最短的目标神经元Gbest。前述距离最短的目标神经元Gbest,可以通过如下公式来进行获取:
Gbest=min(Dij)
再之后,调整输入神经元到激活神经元邻域范围内全部竞争层神经元之间的连接权前述连接权/>可以通过如下公式来进行调整:
其中,ψ(t)表示在t时刻的学习率。
最后,将下一个学习模式传输到网络的输入层内,直至网络完成针对全部学习模式的学习。其中,可以通过如下公式,针对网络的学习率和邻域函数进行更新:
其中,表示更新后的学习率;△p表示更新后的邻域函数。
本申请实施例通过根据输入模式与自组织映射神经网络模型中的各个竞争层神经元之间的距离,选取出目标神经元,并调整目标神经元与目标神经元的邻域范围中的各个神经元之间的连接权,直至连接权与输入模式之间的相似度达到目标阈值的方式,有效提高了针对无线传感网络数据中的多步攻击事件进行识别的识别效率。
在一个实施例中,如图7所示,提供了一种无线传感网络的多步攻击识别方法,包括以下步骤:
步骤S710,获取目标多步攻击识别模型;前述目标多步攻击识别模型为基于上述多步攻击识别模型的训练方法进行训练。
本步骤中,目标多步攻击识别模型,是指基于上述多步攻击识别模型的训练方法,针对自组织映射神经网络模型进行训练,获取得到的目标多步攻击识别模型。
步骤S720,将无线传感网络数据输入至目标多步攻击识别模型,得到无线传感网络数据对应的多步攻击识别结果。
本步骤中,无线传感网络数据,是指实时采集得到的无线传感网络数据;目标多步攻击识别模型,是指基于上述多步攻击识别模型的训练方法,针对自组织映射神经网络模型进行训练,获取得到的目标多步攻击识别模型;无线传感网络数据对应的多步攻击识别结果,是指通过将无线传感网络数据输入至目标多步攻击识别模型,获取得到的无线传感网络数据对应的多步攻击识别结果,该多步攻击识别结果,可以用于表征无线传感网络数据中是否存在多步攻击事件。
在实际应用中,将无线传感网络数据输入至目标多步攻击识别模型,得到无线传感网络数据对应的多步攻击识别结果的具体方式,可以是通过基于无线传感网络中的若干链路各自对应的链路安全等级系数分布情况训练得到的目标多步攻击识别模型,针对无线传感网络数据中分别表征多步攻击和正常行为的数据进行区分,进而获取得到用于表征无线传感网络数据中是否存在多步攻击事件的多步攻击识别结果。
本申请实施例通过将无线传感网络数据输入至目标多步攻击识别模型,得到无线传感网络数据对应的多步攻击识别结果的方式,不仅提高了针对无线传感网络数据中的多步攻击事件进行识别的识别效率,还有效提升了针对无线传感网络数据中的多步攻击事件进行识别的识别准确率。
在一个实施例中,为了验证本申请提供的多步攻击识别模型的训练方法和无线传感网络的多步攻击识别方法的有效性,可以将其与现有技术1(采用动静相结合的攻击方式对不同类型网络分别展开攻击,将最大连通子图比例和网络效率作为判断节点是否为攻击节点的识别标准,进而实现多步攻击识别)、现有技术2(优先加入TCP层option字段刻画流量,通过机器学习算法最终实现多步识别)各自产生的实验数据进行对比,并将识别率、误报率以及识别时间作为本次对比实验的评价指标。
具体而言,识别率D(r)是指被正确识别无线传感网络数据多步攻击和样本中全部多步攻击之间的比例关系,该识别率D(r)可以通过如下公式来进行获取:
其中,tp(x,y)表示真正率;fn(x,y)表示假负率。
此外,误报率F(ar)是指被识别为无线传感网络数据多步攻击的正常数据和测试集中全部正常数据之间的比率,误报率的取值越低,则表示识别准确率越高。前述误报率F(ar)可以通过如下公式来进行获取:
其中,fp(x,y)表示真负率;tn(x,y)表示假正率。
首先,本次对比实验可以采用如下表1所示的实验设备配置:
表1
然后,在识别率方面,本申请提供的方法与现有技术1和现有技术2各自对应的识别率,如下表2所示:
表2
通过观察表2中的实验数据可知,在针对无线传感网络数据中的多步攻击事件的识别率方面,本申请提供的方法的识别率,明显高于现有技术1和现有技术2各自对应的识别率。因此,本申请提供的方法,相较于现有技术1和现有技术2,识别准确率更高,具备更好的识别性能。
接着,在误报率方面,本申请提供的方法与现有技术1和现有技术2各自对应的误报率,如下表3所示:
表3
通过观察表3中的实验数据可知,在针对无线传感网络数据中的多步攻击事件进行识别过程中的误报率方面,本申请提供的方法的误报率,明显低于现有技术1和现有技术2各自对应的误报率。因此,本申请提供的方法,相较于现有技术1和现有技术2,误报率更低,识别能力更佳。
最后,在识别时间方面,本申请提供的方法与现有技术1和现有技术2各自对应的识别时间,如下表4所示:
表4
通过观察表4中的实验数据可知,在针对无线传感网络数据中的多步攻击事件进行识别的识别时间方面,本申请提供的方法所需的识别时间,明显低于现有技术1和现有技术2各自需要的识别时间。因此,本申请提供的方法,相较于现有技术1和现有技术2,识别速度更快,识别效率更高。
本申请实施例通过将本申请提供的方法与现有技术在识别率、误报率、以及识别时间方面的实验数据进行直接对比的方式,实现了针对本申请提供的方法的有效性的直观验证,且通过上述实验数据表明,本申请提供的方法不仅能够有效提升针对无线传感网络敏感数据中的多步攻击事件的识别准确率,并有效降低针对无线传感网络敏感数据中的多步攻击事件的识别过程的误报率,还能够有效减少针对无线传感网络敏感数据中的多步攻击事件的识别过程所需的识别时间,进而提高针对无线传感网络敏感数据中的多步攻击事件进行识别的效率。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的多步攻击识别模型的训练方法的多步攻击识别模型的训练装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个多步攻击识别模型的训练装置实施例中的具体限定可以参见上文中对于多步攻击识别模型的训练方法的限定,在此不再赘述。
在一个实施例中,如图8所示,提供了一种多步攻击识别模型的训练装置,该装置包括:
模型训练样本获取模块810,用于获取自组织映射神经网络模型的训练样本;
模型连接权调整模块820,用于基于所述训练样本,调整所述自组织映射神经网络模型中的连接权;
目标识别模型输出模块830,用于若确认所述连接权与所述训练样本的输入模式之间的相似度达到目标阈值,则将当前的所述自组织映射神经网络模型,确定为目标多步攻击识别模型。
在一个实施例中,上述装置还包括:训练样本生成模块,用于基于获取得到的无线传感网络数据样本,获取链路安全历史特征和链路安全评测结果;根据所述链路安全历史特征和所述链路安全评测结果,得到链路安全等级系数集合;处理所述链路安全等级系数集合,得到无线传感网络中的若干链路各自对应的链路安全等级系数分布情况;基于各所述链路安全等级系数分布情况,生成所述训练样本。
在一个实施例中,训练样本生成模块,具体用于采用滑动窗口机制,将所述链路安全等级系数集合,转化为第一样本数据集合;所述第一样本数据集合用于针对深度置信网络模型进行训练;基于预训练好的所述深度置信网络模型,获取各所述链路对应的所述链路安全等级系数分布情况。
在一个实施例中,模型连接权调整模块820,具体用于根据所述输入模式与所述自组织映射神经网络模型中的各个竞争层神经元之间的距离,选取出目标神经元;调整所述目标神经元与所述目标神经元的邻域范围中的各个神经元之间的所述连接权,直至所述连接权与所述输入模式之间的相似度达到所述目标阈值。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的无线传感网络的多步攻击识别方法的无线传感网络的多步攻击识别装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个无线传感网络的多步攻击识别装置实施例中的具体限定可以参见上文中对于无线传感网络的多步攻击识别方法的限定,在此不再赘述。
在一个实施例中,如图9所示,提供了一种无线传感网络的多步攻击识别装置,该装置包括:
多步攻击识别模型获取模块910,用于获取目标多步攻击识别模型;所述目标多步攻击识别模型为基于上述多步攻击识别模型的训练方法进行训练;
多步攻击识别结果输出模块920,用于将无线传感网络数据输入至所述目标多步攻击识别模型,得到所述无线传感网络数据对应的多步攻击识别结果。
上述多步攻击识别模型的训练装置和上述无线传感网络的多步攻击识别装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图10所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储无线传感网络的多步攻击识别相关数据等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种多步攻击识别模型的训练方法或无线传感网络的多步攻击识别方法。
本领域技术人员可以理解,图10中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (10)

1.一种多步攻击识别模型的训练方法,其特征在于,所述方法包括:
获取自组织映射神经网络模型的训练样本;
基于所述训练样本,调整所述自组织映射神经网络模型中的连接权;
若确认所述连接权与所述训练样本的输入模式之间的相似度达到目标阈值,则将当前的所述自组织映射神经网络模型,确定为目标多步攻击识别模型。
2.根据权利要求1所述的方法,其特征在于,所述获取自组织映射神经网络模型的训练样本,所述方法还包括:
基于获取得到的无线传感网络数据样本,获取链路安全历史特征和链路安全评测结果;
根据所述链路安全历史特征和所述链路安全评测结果,得到链路安全等级系数集合;
处理所述链路安全等级系数集合,得到无线传感网络中的若干链路各自对应的链路安全等级系数分布情况;
基于各所述链路安全等级系数分布情况,生成所述训练样本。
3.根据权利要求2所述的方法,其特征在于,所述处理所述链路安全等级系数集合,得到无线传感网络中的若干链路各自对应的链路安全等级系数分布情况,包括:
采用滑动窗口机制,将所述链路安全等级系数集合,转化为第一样本数据集合;所述第一样本数据集合用于针对深度置信网络模型进行训练;
基于预训练好的所述深度置信网络模型,获取各所述链路对应的所述链路安全等级系数分布情况。
4.根据权利要求1所述的方法,其特征在于,所述基于所述训练样本,调整所述自组织映射神经网络模型中的连接权,包括:
根据所述输入模式与所述自组织映射神经网络模型中的各个竞争层神经元之间的距离,选取出目标神经元;
调整所述目标神经元与所述目标神经元的邻域范围中的各个神经元之间的所述连接权,直至所述连接权与所述输入模式之间的相似度达到所述目标阈值。
5.一种无线传感网络的多步攻击识别方法,其特征在于,所述方法包括:
获取目标多步攻击识别模型;所述目标多步攻击识别模型为基于权利要求1至4中任一项所述的方法进行训练;
将无线传感网络数据输入至所述目标多步攻击识别模型,得到所述无线传感网络数据对应的多步攻击识别结果。
6.一种多步攻击识别模型的训练装置,其特征在于,所述装置包括:
模型训练样本获取模块,用于获取自组织映射神经网络模型的训练样本;
模型连接权调整模块,用于基于所述训练样本,调整所述自组织映射神经网络模型中的连接权;
目标识别模型输出模块,用于若确认所述连接权与所述训练样本的输入模式之间的相似度达到目标阈值,则将当前的所述自组织映射神经网络模型,确定为目标多步攻击识别模型。
7.一种无线传感网络的多步攻击识别装置,其特征在于,所述装置包括:
多步攻击识别模型获取模块,用于获取目标多步攻击识别模型;所述目标多步攻击识别模型为基于权利要求1至4中任一项所述的方法进行训练;
多步攻击识别结果输出模块,用于将无线传感网络数据输入至所述目标多步攻击识别模型,得到所述无线传感网络数据对应的多步攻击识别结果。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至5中任一项所述的方法的步骤。
CN202310798785.0A 2023-06-30 2023-06-30 多步攻击识别模型的训练方法、多步攻击识别方法 Pending CN116761176A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310798785.0A CN116761176A (zh) 2023-06-30 2023-06-30 多步攻击识别模型的训练方法、多步攻击识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310798785.0A CN116761176A (zh) 2023-06-30 2023-06-30 多步攻击识别模型的训练方法、多步攻击识别方法

Publications (1)

Publication Number Publication Date
CN116761176A true CN116761176A (zh) 2023-09-15

Family

ID=87949529

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310798785.0A Pending CN116761176A (zh) 2023-06-30 2023-06-30 多步攻击识别模型的训练方法、多步攻击识别方法

Country Status (1)

Country Link
CN (1) CN116761176A (zh)

Similar Documents

Publication Publication Date Title
CN110070141B (zh) 一种网络入侵检测方法
CN105224872B (zh) 一种基于神经网络聚类的用户异常行为检测方法
US11585918B2 (en) Generative adversarial network-based target identification
CN116597384B (zh) 基于小样本训练的空间目标识别方法、装置及计算机设备
US20220012538A1 (en) Compact representation and time series segment retrieval through deep learning
CN113328908B (zh) 异常数据的检测方法、装置、计算机设备和存储介质
Rani et al. An ensemble-based multiclass classifier for intrusion detection using Internet of Things
CN111783845A (zh) 一种基于局部线性嵌入和极限学习机的隐匿虚假数据注入攻击检测方法
CN114842343A (zh) 一种基于ViT的航空图像识别方法
CN112749737A (zh) 图像分类方法及装置、电子设备、存储介质
CN117407781B (zh) 基于联邦学习的设备故障诊断方法及装置
CN114003900A (zh) 变电站二次系统网络入侵检测方法、装置及系统
Celik et al. Change detection without difference image computation based on multiobjective cost function optimization
CN116130018A (zh) 有机晶体结构预测方法、装置、设备及存储介质
US20220269991A1 (en) Evaluating reliability of artificial intelligence
CN116761176A (zh) 多步攻击识别模型的训练方法、多步攻击识别方法
CN115169465A (zh) 变压器数据异常检测方法、装置、设备、介质和产品
Zhao et al. Financial Time Series Data Prediction by Combination Model Adaboost-KNN-LSTM
Trentin et al. Unsupervised nonparametric density estimation: A neural network approach
Gao et al. A novel intrusion detection method based on WOA optimized hybrid kernel RVM
CN117540791B (zh) 一种对抗训练的方法及装置
JP4662702B2 (ja) 外れ値度計算装置
CN117251813A (zh) 一种网络流量异常检测方法和系统
Zhou et al. Classification of urban vegetation patterns from hyperspectral imagery: hybrid algorithm based on genetic algorithm tuned fuzzy support vector machine
CN117375970A (zh) 一种电力系统网络入侵检测方法、系统及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination