CN118018260A - 网络攻击的检测方法、系统、设备及介质 - Google Patents
网络攻击的检测方法、系统、设备及介质 Download PDFInfo
- Publication number
- CN118018260A CN118018260A CN202410104530.4A CN202410104530A CN118018260A CN 118018260 A CN118018260 A CN 118018260A CN 202410104530 A CN202410104530 A CN 202410104530A CN 118018260 A CN118018260 A CN 118018260A
- Authority
- CN
- China
- Prior art keywords
- network
- attack
- characteristic
- data
- stage classification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims description 42
- 238000013145 classification model Methods 0.000 claims abstract description 101
- 238000000034 method Methods 0.000 claims abstract description 82
- 238000006243 chemical reaction Methods 0.000 claims abstract description 60
- 230000006399 behavior Effects 0.000 claims description 41
- 230000008569 process Effects 0.000 claims description 36
- 238000012549 training Methods 0.000 claims description 34
- 238000011176 pooling Methods 0.000 claims description 32
- 239000002245 particle Substances 0.000 claims description 26
- 238000012545 processing Methods 0.000 claims description 25
- 238000010606 normalization Methods 0.000 claims description 21
- 238000003860 storage Methods 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 12
- 238000009826 distribution Methods 0.000 claims description 10
- 238000010276 construction Methods 0.000 claims description 9
- 230000004913 activation Effects 0.000 claims description 7
- 238000007781 pre-processing Methods 0.000 claims description 7
- 238000012163 sequencing technique Methods 0.000 claims description 4
- 230000009466 transformation Effects 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 description 16
- 238000013527 convolutional neural network Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 11
- 238000013473 artificial intelligence Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 238000000605 extraction Methods 0.000 description 6
- 230000002085 persistent effect Effects 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 238000013507 mapping Methods 0.000 description 5
- 238000013508 migration Methods 0.000 description 5
- 230000005012 migration Effects 0.000 description 5
- 238000005457 optimization Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000004140 cleaning Methods 0.000 description 2
- 230000010485 coping Effects 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 238000013135 deep learning Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 238000003058 natural language processing Methods 0.000 description 2
- 210000002569 neuron Anatomy 0.000 description 2
- 238000013526 transfer learning Methods 0.000 description 2
- 238000009827 uniform distribution Methods 0.000 description 2
- 239000013598 vector Substances 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- DWJXYEABWRJFSP-XOBRGWDASA-N DAPT Chemical compound N([C@@H](C)C(=O)N[C@H](C(=O)OC(C)(C)C)C=1C=CC=CC=1)C(=O)CC1=CC(F)=CC(F)=C1 DWJXYEABWRJFSP-XOBRGWDASA-N 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013136 deep learning model Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005315 distribution function Methods 0.000 description 1
- 238000011977 dual antiplatelet therapy Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 210000003918 fraction a Anatomy 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 230000016273 neuron death Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种网络攻击的检测方法、系统、设备及介质,包括:获取待检测网络中多个连续的网络流量数据,并提取每个网络流量数据中的多个流量特征;对所有的流量特征分别进行数据标准化转换,得到转换后在同一数值范围内的多个特征值;依次将每个网络流量数据下的各个特征值,分别作为多通道的像素点中各个通道的数值,得到多个像素点,并依次将连续的多个网络流量数据对应的各个像素点进行拼接,得到待检测网络的流量特征图像;将流量特征图像输入到预先训练好的攻击阶段分类模型中,得到攻击阶段分类结果,并根据攻击阶段分类结果确定待检测网络中网络攻击行为所处的目标攻击阶段。本申请能够提高对不同攻击阶段识别的效率和准确率。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络攻击的检测方法、系统、设备及介质。
背景技术
随着计算机及互联网的飞速发展,网络安全成为人们重点关注的问题。现如今网络中存在高级持续性威胁(Advanced Persistent Threat,APT)攻击,这是一种复杂而有组织的网络攻击行为,旨在长期潜伏并持续地对特定目标进行攻击和渗透。APT攻击行为可以划分为多个攻击阶段,每个阶段的攻击存在多样化,因此识别不同的攻击阶段对提高网络安全至关重要。
相关技术中,在进行网络安全检测时,往往侧重于对单个APT攻击阶段的检测,这种方式只能针对特定阶段检测是否存在攻击行为,而另一种检测APT多个攻击阶段的检测方案中,又依赖于从网络流量中获取所需要的特征,经常需要提取高维度特征,因此经常遇到特征提取不完整的问题,最终降低了APT攻击阶段的识别效率和准确率。
发明内容
本申请实施例的主要目的在于提出一种网络攻击的检测方法、系统、设备及介质,能够提高对不同攻击阶段识别的效率和准确率。
为实现上述目的,本申请实施例的第一方面提出了一种网络攻击的检测方法,包括:获取待检测网络中多个连续的网络流量数据,并提取每个所述网络流量数据中的多个流量特征;对所有的所述流量特征分别进行数据标准化转换,得到转换后在同一数值范围内的多个特征值;依次将每个所述网络流量数据下的各个所述特征值,分别作为多通道的像素点中各个通道的数值,得到多个所述像素点,并依次将连续的多个所述网络流量数据对应的各个所述像素点进行拼接,得到所述待检测网络的流量特征图像;将所述流量特征图像输入到预先训练好的攻击阶段分类模型中,得到攻击阶段分类结果,并根据所述攻击阶段分类结果确定所述待检测网络中网络攻击行为所处的目标攻击阶段。
在一些实施例中,所述依次将每个所述网络流量数据下的各个所述特征值,分别作为多通道的像素点中各个通道的数值,得到多个所述像素点,包括:按照对应的每个所述流量特征在连续的多个所述网络流量数据中提取时间的先后顺序,对各个所述特征值进行排序,得到特征值队列;根据多通道的像素点中的通道数量,依次从所述特征值队列中选择对应数量下的多个所述特征值,并作为多通道的像素点中各个通道的数值,得到多个所述像素点。
在一些实施例中,每个所述流量数据下的多个所述特征值之间的类型不同,所述依次将每个所述网络流量数据下的各个所述特征值,分别作为多通道的像素点中各个通道的数值,得到多个所述像素点,包括:计算多个所述网络流量数据下,每个所述类型的所述特征值与对应的所述网络流量数据的标签特征之间的相似度;根据所有所述类型的所述特征值对应的多个所述相似度确定相似度阈值,并根据所述相似度阈值和各个所述相似度从多个所述类型中确定目标类型;依次将每个所述网络流量数据下的各个所述目标类型的所述特征值,分别作为多通道的像素点中各个通道的数值,得到多个所述像素点。
在一些实施例中,所述对所有的所述流量特征分别进行数据标准化转换,得到转换后在同一数值范围内的多个特征值,包括:对所有的所述流量特征分别进行数据标准化转换,得到多个特征分数值,其中,多个所述特征分数值之间满足正态分布;基于所述像素点中各个通道数值的预设阈值,与各个所述特征分数值进行乘积,得到转换后在同一数值范围内的多个特征值。
在一些实施例中,所述对所有的所述流量特征分别进行数据标准化转换,得到多个特征分数值,包括:获取预设的第一数值和第二数值,其中,所述第一数值小于各个所述流量特征,所述第二数值大于各个所述流量特征;依次基于各个所述流量特征与所述第一数值的差值,以及所述第二数值与各个所述流量特征的差值,对各个所述流量特征进行分数位变换,得到多个特征分数值。
在一些实施例中,所述得到攻击阶段分类结果,包括:对所述流量特征图像进行特征转换,得到输入特征;对所述输入特征进行多次卷积操作,并在每次卷积操作之后进行激活和池化处理,得到卷积特征;对所述卷积特征进行全局平均池化操作,得到全局平均池化特征;对所述全局平均池化特征进行归一化处理,得到攻击阶段分类结果。
在一些实施例中,所述攻击阶段分类模型通过以下步骤训练得到,包括:获取样本网络中多个连续的样本流量数据,并提取每个所述样本流量数据中的多个样本流量特征;对所有的所述样本流量特征分别进行数据标准化转换,得到转换后在同一数值范围内的多个样本特征值;依次将每个所述样本流量数据下的各个所述样本特征值,分别作为多通道的样本像素点中各个通道的数值,得到多个所述样本像素点,并依次将连续的多个所述样本流量数据对应的各个所述样本像素点进行拼接,得到所述样本网络的样本流量特征图像;将所述样本流量特征图像输入到初始攻击阶段分类模型中,得到样本攻击阶段分类结果;根据多个连续的所述样本流量数据的数据标签,确定所述样本流量特征图像的图像标签,并基于所述样本攻击阶段分类结果和所述图像标签调整所述初始攻击阶段分类模型的参数,得到训练好的所述攻击阶段分类模型。
在一些实施例中,所述基于所述样本攻击阶段分类结果和所述图像标签调整所述初始攻击阶段分类模型的参数,得到训练好的所述攻击阶段分类模型,包括:提取预训练得到的学习模型中的目标参数,将所述目标参数作为所述初始攻击阶段分类模型的初始参数,其中,所述学习模型与所述初始攻击阶段分类模型的类型相同;基于所述样本攻击阶段分类结果和所述图像标签调整所述初始攻击阶段分类模型的所述初始参数,得到训练好的所述攻击阶段分类模型。
在一些实施例中,所述网络攻击的检测方法还包括:确定所述初始攻击阶段分类模型的多个超参数,并基于每个所述超参数确定对应的粒子,其中,每个所述粒子具有对应的位置和速度;针对每个所述粒子,根据对应位置的所述超参数,训练所述初始攻击阶段分类模型,并确定训练过程模型的适应度;根据当前训练过程的所述适应度和历史时刻上的最佳适应度,更新每个所述粒子的位置和速度,直至所述初始攻击阶段分类模型的训练达到最大迭代次数或所述适应度收敛,得到训练好的所述攻击阶段分类模型。
在一些实施例中,所述将所述流量特征图像输入到预先训练好的攻击阶段分类模型中,得到攻击阶段分类结果,并根据所述攻击阶段分类结果确定所述待检测网络中网络攻击行为所处的目标攻击阶段,包括:将所述流量特征图像输入到预先训练好的攻击阶段分类模型中,得到多个分类概率值;当多个所述分类概率值均大于预设的攻击阈值,得到多攻击阶段分类结果,并根据所述多攻击阶段分类结果确定所述待检测网络中网络攻击行为所处的多个连续的目标攻击阶段;根据多个所述分类概率值的大小关系,从多个连续的所述目标攻击阶段确定网络攻击行为所处的主攻击阶段。
为实现上述目的,本申请实施例的第二方面提出了一种网络攻击的检测系统,包括:流量数据获取模块,用于获取待检测网络中多个连续的网络流量数据,并提取每个所述网络流量数据中的多个流量特征;数据预处理模块,用于对所有的所述流量特征分别进行数据标准化转换,得到转换后在同一数值范围内的多个特征值;图像构建模块,用于依次将每个所述网络流量数据下的各个所述特征值,分别作为多通道的像素点中各个通道的数值,得到多个所述像素点,并依次将连续的多个所述网络流量数据对应的各个所述像素点进行拼接,得到所述待检测网络的流量特征图像;检测模块,用于将所述流量特征图像输入到预先训练好的攻击阶段分类模型中,得到攻击阶段分类结果,并根据所述攻击阶段分类结果确定所述待检测网络中网络攻击行为所处的目标攻击阶段。
为实现上述目的,本申请实施例的第三方面提出了一种电子设备,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面实施例所述的网络攻击的检测方法。
为实现上述目的,本申请实施例的第四方面提出了一种存储介质,所述存储介质为计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面实施例所述的网络攻击的检测方法。
本申请实施例提出的网络攻击的检测方法、系统、设备及介质,网络攻击的检测方法可以应用在网络攻击的检测系统中。通过执行网络攻击的检测方法,为了对待检测网络中的网络攻击行为所处的攻击阶段进行检测,需要先获取待检测网络中多个连续的网络流量数据,并提取每个网络流量数据中的多个流量特征,接着对所有的流量特征分别进行数据标准化转换,将不同特征之间的差异性消除,使得不同特征在同一数值范围内进行比较和分析,得到转换后在同一数值范围内的多个特征值,随后依次将每个网络流量数据下的各个特征值,分别作为多通道的像素点中各个通道的数值,得到多个像素点,由于经过了数据标准化转换,将不同特征缩放到相同的尺度上,避免了特征之间的差异性对像素点构建产生的影响,所构建的像素点就可以作为多个特征值的表达,然后依次将连续的多个网络流量数据对应的各个像素点进行拼接,即可得到待检测网络的流量特征图像,至此完成将流量特征转化为图像的操作,通过图像来保留攻击流量特征信息,不会遇到特征提取不完整的问题,因此可以通过图像的分类来实现对不同攻击阶段的检测,后续就可以将流量特征图像输入到预先训练好的攻击阶段分类模型中,得到攻击阶段分类结果,并根据攻击阶段分类结果确定待检测网络中网络攻击行为所处的目标攻击阶段,使得本申请实施例最终能够提高对不同攻击阶段识别的效率和准确率。
附图说明
图1是本申请实施例提供的网络攻击的检测方法的流程示意图;
图2是本申请实施例提供的不同攻击阶段流量特征图像的示意图;
图3是图1中的步骤S103的流程示意图;
图4是图1中的步骤S103的另一个流程示意图;
图5是图1中的步骤S102的流程示意图;
图6是图5中的步骤S301的流程示意图;
图7是图1中的步骤S104的流程示意图;
图8是本申请实施例提供的攻击阶段分类模型的结构示意图;
图9是本申请实施例提供的攻击阶段分类模型训练过程的流程示意图;
图10是图9中的步骤S705的流程示意图;
图11是本申请实施例提供的网络攻击的检测方法还包括的另一个流程示意图;
图12是本申请实施例提供的攻击阶段分类模型训练过程完整的示意图;
图13是图1中的步骤S104的另一个流程示意图;
图14是本申请实施例提供的网络攻击的检测系统的功能模块示意图;
图15是本申请实施例提供的电子设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
首先,对本申请中涉及的若干名词进行解析:
人工智能(artificial intelligence,AI):是研究、开发用于模拟、延伸和扩展人的智能的理论、方法、技术及应用系统的一门新的技术科学;人工智能是计算机科学的一个分支,人工智能企图了解智能的实质,并生产出一种新的能以人类智能相似的方式做出反应的智能机器,该领域的研究包括机器人、语言识别、图像识别、自然语言处理和专家系统等。人工智能可以对人的意识、思维的信息过程的模拟。人工智能还是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、机器人技术、生物识别技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
高级持续性威胁(Advanced Persistent Threat,APT)攻击,这是一种复杂而有组织的网络攻击行为,是一种复杂且有目标性的网络攻击方式,APT攻击以隐秘性、持续性和高度定制化为特点,旨在长期潜伏并获取目标系统中的敏感信息,且通常由高度专业化和组织化的团体、机构或其他恶意组织执行,攻击者通过利用先进的技术手段、社会工程和漏洞利用等方式,渗透目标网络并逃避传统的安全防护措施。
在典型的网络安全攻击中,攻击者通常快速进入目标网络,窃取信息或实施破坏,然后退出。然而,APT是一种持续性、有针对性的网络攻击,其目标非常明确(实施破坏或窃取数据),攻击者常常使用各种隐蔽技术努力适应和逃避任何防御,实现对目标系统和数据的持续访问。APT攻击行为多样化和动态,其主要区别是对于攻击目标和每个攻击阶段使用的技术手段。基于APT的攻击步骤可以考虑如下:侦察、交付、利用、操作、数据收集、泄露等阶段,上述基于APT的攻击步骤被称为入侵杀伤链。因此,为了不被发现,而顺利达到攻击目标,攻击者会根据目标环境,在不同攻击阶段利用不同规避技术(如:欺骗、隐藏、加密、模仿正常行为等)在杀伤链的攻击步骤中。
APT攻击一般包括多个阶段,可以被拆解为一系列事件,这些事件单独考虑时可能对目标系统没有危害,但是随着时间推移,这些事件被联系到一起时就会对目标系统造成严重破坏。将这些事件映射到相关的网络杀伤链阶段,杀伤链的阶段越高,事件的危害性就越大,解决它的必须性也就越迫切。因此,识别APT攻击阶段有着重要意义。通过对APT攻击杀伤链步骤的溯源,有助于更准确地重构攻击场景和理解相应的战术、技术和过程,帮助攻击后的取证调查。此外,准确的定位APT攻击阶段,能够帮助网络工程师系统地部署防御措施来应对和避免再次的攻击活动。
相关技术中,在进行网络安全检测时,往往侧重于对单个APT攻击阶段的检测,这种方式只能针对特定阶段检测是否存在攻击行为,而另一种检测APT多个攻击阶段的检测方案中,又依赖于从网络流量中获取所需要的特征,经常需要提取高维度特征,因此经常遇到特征提取不完整的问题,最终降低了APT攻击阶段的识别效率和准确率。
基于此,本申请实施例提供了一种网络攻击的检测方法、系统、设备及介质,能够提高对不同攻击阶段识别的效率和准确率。
基于此,本申请实施例中的网络攻击的检测方法可以通过如下实施例进行说明。
本申请实施例可以基于人工智能技术对相关的数据进行获取和处理。
本申请实施例提供的网络攻击的检测方法可应用于终端中,也可应用于服务器端中,还可以是运行于终端或服务器端中的软件。在一些实施例中,终端可以是智能手机、平板电脑、笔记本电脑、台式计算机等;服务器端可以配置成独立的物理服务器,也可以配置成多个物理服务器构成的服务器集群或者分布式系统,还可以配置成提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN以及大数据和人工智能平台等基础云计算服务的云服务器;软件可以是实现网络攻击的检测方法的应用等,但并不局限于以上形式。
本申请可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
需要说明的是,在本申请的各个具体实施方式中,当涉及到需要根据用户信息、用户行为数据,用户历史数据以及用户位置信息等与用户身份或特性相关的数据进行相关处理时,都会先获得用户的许可或者同意。例如,在获取网络流量数据时,就需要获取而且用户的许可或者同意,对这些数据的收集、使用和处理等,都会遵守相关法律法规和标准。此外,当本申请实施例需要获取用户的敏感个人信息时,会通过弹窗或者跳转到确认页面等方式获得用户的单独许可或者单独同意,在明确获得用户的单独许可或者单独同意之后,再获取用于使本申请实施例能够正常运行的必要的用户相关数据。
图1是本申请实施例提供的网络攻击的检测方法的流程示意图,图1中的方法可以包括但不限于包括步骤S101至步骤S104。
步骤S101,获取待检测网络中多个连续的网络流量数据,并提取每个网络流量数据中的多个流量特征。
其中,待检测网络指的是需要进行网络安全检测的网络环境,这个网络环境可能是一个局域网、广域网、互联网或者是某个特定的网络设备或系统,具体的网络环境需要根据实际的应用场景和需求来确定,在此不做具体限制。在网络安全领域中,对网络进行全面的安全检测和防护是非常重要的,可以及时发现并应对各种网络攻击行为,保障网络的安全稳定运行。
网络流量数据指的是在网络中传输的数据,是在一段时间内通过网络的数据包的数量或大小,这些数据可以被用来衡量网络的使用情况。在网络流量数据中,可以提取出各种特征作为流量特征,例如流量大小、流量速率、包数量、包大小、包时间间隔以及协议类型等,这些特征可以用于更好地了解网络的使用情况,从而进行有针对性的管理和优化。在网络攻击检测中,通过对网络流量数据的分析,可以识别出不同的攻击阶段,提高对攻击行为的识别效率和准确率。
示例性的,每个网络流量数据都可以提取到相同数量的流量特征,例如,每个网络流量数据都可以提取到85个流量特征。
可以理解的是,待检测网络中传输的数据流是不断变化的,每时每刻都有大量的数据在网络中传输,这些数据流是由数据包组成的,每个数据包都包含了一定的信息,通过网络进行传输。因此,网络流量数据是待检测网络性能的重要指标之一,可以反映网络的负载情况、网络设备的运行状态以及网络攻击行为等,在网络攻击检测中,通过对连续的网络流量数据进行实时监测和分析,可以及时发现攻击行为。
步骤S102,对所有的流量特征分别进行数据标准化转换,得到转换后在同一数值范围内的多个特征值。
其中,数据标准化转换是为了消除不同流量特征之间的差异性,使得不同特征可以在同一数值范围内进行比较和分析。数据标准化转换的方法有很多种,本申请实施例中进行的是最小和最大标准化,也称为缩放,因此无论原始的流量特征中的数值范围如何,经过数据标准化转换后,所有的流量特征都会被缩放到预设范围内。
需要说明的是,本申请实施例中的数据标准化转换还保留了原始的流量特征之间的相对关系,使得不同流量特征之间可以进行比较和分析。
特征值用于表示网络流量数据的某些特定属性或行为,这些属性或行为可能表明是否存在网络攻击,例如,特征值可以包括数据包的大小、数量、频率、流向等。特征值是对网络流量数据中的流量特征进行标准化转换后得到的具体数值,这些特征值后续可以作为像素点构建流量特征图像。
因此,在上述APT攻击阶段检测中,对所有的流量特征分别进行数据标准化转换,可以将不同特征缩放到相同的尺度上,避免了特征之间的差异性对像素点构建产生的影响,从而提高了APT攻击阶段识别的效率和准确率。
步骤S103,依次将每个网络流量数据下的各个特征值,分别作为多通道的像素点中各个通道的数值,得到多个像素点,并依次将连续的多个网络流量数据对应的各个像素点进行拼接,得到待检测网络的流量特征图像。
其中,像素点也可以称为像素块,具体而言,多通道的像素点是用于表示不同特征值的图像元素,这里的每个像素点由多个通道组成,每个通道对应一个特征值。通过这种方式,可以将不同特征缩放到相同的尺度上,避免了特征之间的差异性对像素点构建产生的影响。
示例性的,像素点的通道数量可以有多种。例如,像素点是一个三通道(RGB)的像素点,它由三个通道组成,分别是红色(R)、绿色(G)和蓝色(B),在RGB图像中,每个像素由这三个通道的数值组合而成;或者,像素点是一个双通道的像素点,它由两个通道组成,分别是红色(R)、绿色(G)和蓝色(B)中的任意两个,每个像素由这两个通道的数值组合而成;或者,像素点是一个青、洋红、黄和黑(Cyan Magenta Yellow and Key,CMYK)通道,它由四个通道组成,分别是青色(Cyan)、洋红色(Magenta)、黄色(Yellow)和黑色(Key),每个像素由这四个通道的数值组合而成。本申请后续实施例中仅以像素点为RGB像素点为例子进行说明。
流量特征图像是指将多个连续的网络流量数据中的多个流量特征提取出来后,经过对特征的处理,最终转化得到的图像形式,这种图像能够保留攻击流量特征信息,并可以用于后续的分类和识别。通过将流量特征转化为图像,而不是传统的将特征转化为特征向量,可以更直观地观察和分析网络流量数据中的特征,使用图像保留APT攻击流量特征信息,能够有效解决特征提取单一问题,能够充分捕获APT攻击阶段流量特征,后续可以利用图像处理和机器学习等技术进行更准确的攻击阶段识别和分类。
示例性的,对某个网络流量数据来说,若该网络流量数据含有27个特征值,需要将27个特征值作为三通道的像素点中各个通道的数值,具体的,需要按照27个特征值的顺序,依次选择3个特征值作为第一个像素点中各个通道的数值,得到第一个像素点,接着,不断重复这样的操作,直至得到9个像素点,通过这9个像素点可以作为当前网络流量数据的特征表达。
进一步的,对连续的多个网络流量数据来说,每个网络流量数据都可以得到多个像素点,因此,在构建图像的过程中,可以按照多个网络流量数据的顺序,依次对各个像素点进行拼接,即可得到一个完整的流量特征图像。例如,若网络流量数据有81个,则共有81x27=2187个特征值,可以构成一个27x27的正方形彩色RGB图像,即为流量特征图像,因为流量特征图像是基于连续的数据生成的,所以生成的流量特征图像能够保留原始的网络流量数据的时间序列相关性。
请参阅图2,图2是本申请实施例提供的不同攻击阶段流量特征图像的示意图。如图中所示,展示了无攻击(良性)时,以及几个不同攻击阶段(建立立足点、横向移动和侦查)下网络流量数据的流量特征图像,可以看出,不同攻击阶段的图像之间存在差异,从图中左右的图像之间可以看出,而同一攻击阶段下的流量特征图像之间,又极为相似,从图中上下图像之间可以看出。因此,通过将流量特征转化为图像,可以更直观地观察和分析网络流量数据中的特征,并且可以利用图像处理和机器学习等技术进行更准确的攻击阶段识别和分类。
步骤S104,将流量特征图像输入到预先训练好的攻击阶段分类模型中,得到攻击阶段分类结果,并根据攻击阶段分类结果确定待检测网络中网络攻击行为所处的目标攻击阶段。
其中,攻击阶段分类模型是一种预先训练好的一个分类模型,用于对流量特征图像进行分类,以识别不同的攻击阶段,该模型可以根据输入的流量特征图像,输出对应的攻击阶段分类结果。通过使用攻击阶段分类模型,可以有效地提高对不同攻击阶段识别的效率和准确率。
攻击阶段分类结果是根据攻击阶段分类模型的输出,将待检测网络中的网络攻击行为所处的攻击阶段进行分类标识的结果。攻击阶段分类结果可以帮助网络安全人员快速识别出网络中存在的攻击行为,并根据不同的攻击阶段采取相应的应对措施,提高网络安全性。
目标攻击阶段是指待检测网络中网络攻击行为所处的攻击阶段,通过将流量特征转化为图像,并使用攻击阶段分类模型进行分类,可以确定网络攻击行为所处的目标攻击阶段。识别目标攻击阶段对于提高网络安全至关重要,因为不同的攻击阶段可能对应着不同的威胁程度和应对策略,因此,通过准确识别目标攻击阶段,可以更好地应对网络攻击行为,提高网络安全性。
综上,本申请实施例中通过执行网络攻击的检测方法,为了对待检测网络中的网络攻击行为所处的攻击阶段进行检测,需要先获取待检测网络中多个连续的网络流量数据,并提取每个网络流量数据中的多个流量特征,接着对所有的流量特征分别进行数据标准化转换,将不同特征之间的差异性消除,使得不同特征在同一数值范围内进行比较和分析,得到转换后在同一数值范围内的多个特征值,随后依次将每个网络流量数据下的各个特征值,分别作为多通道的像素点中各个通道的数值,得到多个像素点,由于经过了数据标准化转换,将不同特征缩放到相同的尺度上,避免了特征之间的差异性对像素点构建产生的影响,所构建的像素点就可以作为多个特征值的表达,然后依次将连续的多个网络流量数据对应的各个像素点进行拼接,即可得到待检测网络的流量特征图像,至此完成将流量特征转化为图像的操作,通过图像来保留攻击流量特征信息,不会遇到特征提取不完整的问题,因此可以通过图像的分类来实现对不同攻击阶段的检测,后续就可以将流量特征图像输入到预先训练好的攻击阶段分类模型中,得到攻击阶段分类结果,并根据攻击阶段分类结果确定待检测网络中网络攻击行为所处的目标攻击阶段,使得本申请实施例最终能够提高对不同攻击阶段识别的效率和准确率。
上面,对网络攻击的检测方法的整体过程进行了详细介绍,下面,对网络攻击的检测方法中的各个步骤进行详细介绍。
请参阅图3,在一些实施例中,步骤S103可以包括步骤S201至步骤S202:
步骤S201,按照对应的每个流量特征在连续的多个网络流量数据中提取时间的先后顺序,对各个特征值进行排序,得到特征值队列;
步骤S202,根据多通道的像素点中的通道数量,依次从特征值队列中选择对应数量下的多个特征值,并作为多通道的像素点中各个通道的数值,得到多个像素点。
特征值队列是一个按照时间顺序排列的特征值列表。在构建特征值队列时,首先需要从连续的网络流量数据中提取出各个特征值,然后按照提取时间先后顺序对这些特征值进行排序,形成特征值队列,每个特征值在队列中都有一个对应的位置,这个位置反映了该特征值在时间序列中的位置。
每个像素点由多个通道组成,每个通道对应一个特定的特征值,通道的数量决定了每个像素点的复杂性和信息量。因此,本申请实施例依次在已经排序的特征值队列中,按照像素点所需的通道数量,依次选择相应的特征值,确保每个像素点能够全面反映网络流量的特性,并为后续的攻击阶段检测提供足够的信息,这些像素点将构成后续用于攻击阶段检测的流量特征图像。
需要说明的是,网络流量数据是按照时间顺序进行记录的,因此按照时间的先后顺序提取特征值可以更好地反映网络流量的动态变化。而在攻击阶段检测中,了解攻击行为随时间的变化情况是非常重要的,因此对特征值进行排序可以更好地分析攻击行为的时序特征,且对特征值进行排序后,可以更好地比较不同特征值之间的差异,在构建像素点时,需要将不同特征值进行比较和分析,因此排序可以使得特征值的比较更加直观和方便。
此外,对特征值进行排序可以使得后续的像素点构建更加高效。在选择像素点中的通道数值时,需要从特征值队列中选择对应数量下的多个特征值,如果特征值队列没有进行排序,那么选择过程可能会变得复杂和耗时,通过排序,可以快速地定位到所需特征值的位置,提高构建像素点的效率。
在一些实施例中,每个流量数据下的多个特征值之间的类型不同,因此,请参阅图4,在一些实施例中,步骤S103还可以包括步骤S301至步骤S303:
步骤S301,计算多个网络流量数据下,每个类型的特征值与对应的网络流量数据的标签特征之间的相似度;
步骤S302,根据所有类型的特征值对应的多个相似度确定相似度阈值,并根据相似度阈值和各个相似度从多个类型中确定目标类型;
步骤S303,依次将每个网络流量数据下的各个目标类型的特征值,分别作为多通道的像素点中各个通道的数值,得到多个像素点。
需要说明的是,本申请实施例在最后形成流量特征图像之前,需要对数据进行预处理,数据预处理包括对特征值之间进行相似度判断并选择特征值。
网络流量数据的标签特征是该网络流量数据在处于某个阶段下的特征,用于表征对应的网络流量数据所处的阶段,也即,标签特征用于反应网络流量数据的运行状态。通过计算多个流量数据下,每个类型的特征值与对应的流量数据的标签特征之间的相似度,可以评估每个特征值与标签特征的相似程度,使得相似度判断和选择特征值的过程可以帮助筛选出与标签特征最为接近的特征值,从而更准确地反应当前的网络流量数据的情况。
相似度阈值是用于判断两个特征值相似程度的阈值,且相似度阈值是根据所有类型的特征值对应的多个相似度确定到的,在一实施例中,可以根据所有类型的特征值对应的多个相似度的平均值作为相似度阈值,也可以选择所有类型的特征值对应的多个相似度中的中位值作为相似度阈值。
在确定相似度阈值之后,就可以从多个类型中确定目标类型了。具体的,本申请实施例中在相似度大于相似度阈值时,将对应特征值的类型确定为目标类型,接着,依次将每个网络流量数据下的各个目标类型的特征值,分别作为多通道的像素点中各个通道的数值,得到多个像素点。
进一步的,相似度是一个相关系数,可以通过下面计算得到:
示例性的,本申请实施例使用所有特征值的相关性系数均值作为相似度阈值,其基本思想是,降低多余特征和噪声的同时保留数据的本质特性。对于n个网络流量数据,也即n个样本,每个样本下的特征值有多个,如85个,同一样本下的每个特征值之间类型不同,设定特征值为X,网络流量数据的标签特征为Y,可以理解的是,Y是固定的,与对应的网络流量数据相关,因此,每个特征值X的相关度r计算公式如下:
其中,表示n个样本下X的均值,表示n个样本下Y的均值,计算公式如下:
经过上述处理后,可以将低于r的特征值删除,也即将对应类型删除,例如最后只将每个样本下的85个特征值缩减到27个,也即只保留27个类型的特征值。然后,将预处理后的特征值转换为图像,然后输入到模型中。
总之,本申请实施例通过对特征值之间进行相似度判断,可以筛选出与流量数据的标签特征最为相似的特征值,以便过滤掉与当前的网络流量数据相关性较差的特征值,从而优化特征选择,这些特征值能够更好地代表对应的网络流量数据,进而提高后续对不同攻击阶段识别的效率和准确率,并且可以减少数据集的数量,减少了特征值数量的大小,也进一步提高了后续对不同攻击阶段识别的效率。
请参阅图5,在一些实施例中,步骤S102可以包括步骤S401至步骤S402:
步骤S401,对所有的流量特征分别进行数据标准化转换,得到多个特征分数值;
其中,多个特征分数值之间满足正态分布;
步骤S402,基于像素点中各个通道数值的预设阈值,与各个特征分数值进行乘积,得到转换后在同一数值范围内的多个特征值。
其中,特征分数值是数据标准化转换的目的,也即,数据标准化是为了将各个流量特征转换为各个分数值,在本申请实施例中,需要先将各个流量特征现在转换到特征分数值,以便将不同特征缩放到相同的尺度上,并消除特征之间的差异性,使得不同特征可以在同一数值范围内进行比较和分析。
进一步的,正态分布是一种常见的概率分布,它可以将复杂的特征数据简化为易于处理和分析的分布形式,从而简化了数据处理的难度。在本申请实施例中,多个特征分数值之间满足正态分布,可以使不同特征的特征分数值之间具有相同的量纲和参照系,从而便于对不同特征分数值进行比较和分析,得出更为准确和客观的结论。
预设阈值是在数据标准化转换中用于将特征分数值转换为特征值的阈值。通过与预设阈值进行乘积操作,可以将特征分数值转换为转换后在同一数值范围内的多个特征值。具体来说,预设阈值的作用是将特征分数值进行缩放,以使其满足特定的数值范围或标准。这样做可以使得不同特征的数值具有可比性和可分析性,同时避免了由于特征之间的差异而导致的数值范围过大或过小的问题。
进一步的,预设阈值基于像素点中各个通道数值确定到的,特征分数值是一个小于1的分数值,通过将流量特征与像素点中的各个通道数值进行比较,可以更好地将流量特征转换为图像的形式,以便于后续的图像处理和分析。具体的,本申请实施例中选择像素点各个通道所能包括的最大值作为预设阈值,例如,若像素点是三通道(RGB)的像素点,那么每个通道的数值范围在0到255之间,因此,本申请实施例将255作为预设阈值,在得到上述的特征分数值后,就可以与255进行乘积,从而得到一个在0到255之间范围内的数值。
请参阅图6,在一些实施例中,步骤S401可以包括步骤S501至步骤S502:
步骤S501,获取预设的第一数值和第二数值;
其中,第一数值小于各个流量特征,第二数值大于各个流量特征;
步骤S502,依次基于各个流量特征与第一数值的差值,以及第二数值与各个流量特征的差值,对各个流量特征进行分数位变换,得到多个特征分数值。
其中,数据标准化转换是为了消除不同流量特征之间的差异性,使得不同特征可以在同一数值范围内进行比较和分析。具体的,本申请实施例中对所有流量特征分别进行分数位转换,使用分位数变换方法将特征分布转换为均匀分布,减少数据中对模型影响的异常值和极端值,避免数据尺度差异的影响,以完成标准化操作。
在分数位变换中,需要确定变换后的分子和分母,其中,分子需要基于第一数值和流量特征决定,分母由第二数值和第一数值决定,且第一数值小于各个流量特征,第二数值大于各个流量特征,因此,将各个流量特征与第一数值的差值作为分数位的分子,将第二数值与各个流量特征的差值作为分母,得到最终的特征分数值。
示例性的,由于像素点各个通道的像素值范围是0~255,因此,特征值也应该归一化到0~255的范围之内。分位数变换可以改变特征达到正态分布,每个特征都会被单独进行转换,最后使用累积分布函数将原生特征转换为新特征,并符合均匀分布。计算公式如下:
其中,x是流量特征,a是第一数值,b是第二数值,a和b是两个固定值,且a<x<b。
示例性的,除了通过分数位转换的方式外,还可以通过其他映射的方式实现数据标准化转换。例如,可以采用对数变换,可以使用对数变换将流量特征转换为更接近正态分布的形式,对数变换是将每个流量特征取对数,通常是以10为底或以e为底,对此不做具体限制。
此外,若存在一些非数值型的流量特征,则需要对流量特征进行编码,使其先转换为数字型特征,最后再通过映射的方式映射到通道的数值范围内,且为了与其他数值型特征区别,会有指定的数值范围内进行映射,对此,本申请实施例不做具体限制。
请参阅图7,在一些实施例中,步骤S104可以包括步骤S601至步骤S604:
步骤S601,对流量特征图像进行特征转换,得到输入特征;
步骤S602,对输入特征进行多次卷积操作,并在每次卷积操作之后进行激活和池化处理,得到卷积特征;
步骤S603,对卷积特征进行全局平均池化操作,得到全局平均池化特征;
步骤S604,对全局平均池化特征进行归一化处理,得到攻击阶段分类结果。
需要说明的是,本申请实施例中的攻击阶段分类模型是一个深度卷积神经网络(Convolutional Neural Networks,CNN)模型,包括输入层、多层卷积层、池化层等结构,以便对输入数据进行特征处理。
具体的,首先在将流量特征图像输入到攻击阶段分类模型中后,需要转换为特征表达,因此对流量特征图像进行特征转换,得到输入特征;随后,输入特征输入到多层卷积层中,每个卷积层可以执行相应的卷积操作,通过多次的卷积操作,更充分挖掘APT攻击阶段的特征,并在每次卷积操作之后进行激活和池化处理,最终最后一个卷积层输出得到卷积特征;接着,卷积特征被输入到全局平均池化层中进行处理,得到全局平均池化特征;最后,通过归一化层对全局平均池化特征进行归一化处理,得到攻击阶段分类结果。
下面,结合图示,对攻击阶段分类模型中的处理过程进行详细说明:
请参阅图8,图8是本申请实施例提供的攻击阶段分类模型的结构示意图。本申请实施例中设计的攻击阶段分类模型一共包括21层,其中包括13个卷积层、5个池化层、3个全局平均池化层和归一化(soft-max)层。其中,输入层在这里省略,以输入的流量特征图像大小为224x224x3为例子,卷积层中的块(block)1和块2有两个卷积层,大小分别是224x224和112x112,块3、块4和块5有3个卷积层,大小分别是56x56、28x28和14x14,每个卷积层使用Leaky ReLU激活函数,卷积核的大小是3x3,每个块的最后一层都有一个最大池化层,大小是2x2,从第一层池化层的64开始,在每个最大池化层后增加2倍,直到达到512。
不同于传统的CNN模型,本申请实施例将全连接层替换为全局平均池化层,然后由Softmax进行输出。在降维的同时,减少了过拟合问题,从而提高网络的识别精度。因此,加入全局平均池化层(Global Average),模型具有全局感知能力,能够使底层网络使用全局信息来获得更好结果。如图中,最后含有三层全局平均池化层,第一层全局平均池化层的大小为1x1x512,用于对最后一个卷积块的输出进行降维,在保留重要信息的同时减少特征图的数量,从而减少参数量。接着,两个1x1x256的全局平均池化层分别对前两个卷积块的输出进行降维,进一步减小了特征图的数量和参数量,使得网络更加轻量化,训练速度更快,同时也可以避免过拟合的问题。
其次,本申请实施例使用Leaky ReLU激活函数替换了ReLU函数。ReLU函数在输入x<0时,梯度为0,无法更新权值,导致神经元处于非学习状态,即出现神经元“死亡”现象。因此,本申请实施例使用带泄漏校正的线性单位函数Leaky ReLU激活函数替换了ReLU函数。Leaky ReLU函数在负轴上保留了一个非常小的小数a。在输入信息小于0时,信息没有完全丢失,能够解决ReLU函数在负区间神经元未被激活的问题。Leaky ReLU函数的计算公式如下:
其中,x是每个卷积层的输出。
攻击阶段分类模型最后一层使用Softmax函数计算每个类别的分类置信度的后验概率值,并利用平均置信度最高的类标签作为最终的分类结果。其中,Softmax函数计算公式如下:
其中,z为输入向量,也即全局平均池化特征,n为数据集中的类别数,zi和zj为其中的一个元素。最终,可以得到流量特征图像属于哪个攻击阶段的分类概率,选取最大的一个作为攻击阶段分类结果,即可知道网络攻击行为所处的目标攻击阶段。
请参阅图9,在一些实施例中,攻击阶段分类模型通过以下步骤训练得到,可以包括步骤S701至步骤S705:
步骤S701,获取样本网络中多个连续的样本流量数据,并提取每个样本流量数据中的多个样本流量特征;
步骤S702,对所有的样本流量特征分别进行数据标准化转换,得到转换后在同一数值范围内的多个样本特征值;
步骤S703,依次将每个样本流量数据下的各个样本特征值,分别作为多通道的样本像素点中各个通道的数值,得到多个样本像素点,并依次将连续的多个样本流量数据对应的各个样本像素点进行拼接,得到样本网络的样本流量特征图像;
步骤S704,将样本流量特征图像输入到初始攻击阶段分类模型中,得到样本攻击阶段分类结果;
步骤S705,根据多个连续的样本流量数据的数据标签,确定样本流量特征图像的图像标签,并基于样本攻击阶段分类结果和图像标签调整初始攻击阶段分类模型的参数,得到训练好的攻击阶段分类模型。
其中,样本网络、样本流量数据和样本流量特征与应用过程的待检测网络、网络流量数据和流量特征类似,在此不再赘述。
进一步的,样本流量数据来自预设的数据集,为了让预设的数据集包含真正的APT活动,本申请实施例使用DAPT2020数据集作为本申请实施例中的预设数据集,将该数据集中的样本数据作为样本流量数据,该数据集是第一个捕获了跨越APT所有阶段的网络行为数据集。因此,预设数据集是在涉及5天以上的公网流量数据,其中每天可以被视为真实世界场景中的3个月,它涉及四个主要APT攻击阶段,包括:侦察、立足点建立、横向移动和数据漏出,除此之外,本申请实施例还可以获取其他样本数据,以得到其他攻击阶段下的样本数据来进行模型的训练,在此不做具体限制。可以理解的是,样本流量数据也由85个特征及对阶段的标签组成。
同样的,在训练过程中,也需要对所有的样本流量特征分别进行数据标准化转换,得到转换后在同一数值范围内的多个样本特征值,随后依次将每个样本流量数据下的各个样本特征值,分别作为多通道的样本像素点中各个通道的数值,得到多个样本像素点,并依次将连续的多个样本流量数据对应的各个样本像素点进行拼接,得到样本网络的样本流量特征图像,将样本流量特征图像输入到初始攻击阶段分类模型中,得到样本攻击阶段分类结果,其过程与上述应用过程中得到特征值之后,再建立流量特征图像以及输入到攻击阶段分类模型中得到攻击阶段分类结果的步骤类似,在此不再赘述。
在得到样本攻击阶段分类结果后,本申请实施例中通过监督学习的方式来训练攻击阶段分类模型,因此,需要获取每个样本流量特征图像的图像标签,基于图像标签和样本攻击阶段分类结果计算得到的初始攻击阶段分类模型的损失值,再基于损失值调整初始攻击阶段分类模型的参数,直至损失值收敛,最终得到训练后的攻击阶段分类模型。
需要说明的是,图像标签是通过对生成的样本流量特征图像进行APT攻击阶段数据标注得到的,这里需要获取各个样本流量特征的数据标签,如果图像中所有的样本都是正常样本,则被多个数据标签标记为“正常”,相反,如果图像中包含攻击样本,则被多个数据标签标记为图像中出现最频繁的APT攻击阶段,也即将图像标签标记为对应的APT攻击阶段。
请参阅图10,在一些实施例中,步骤S705可以包括步骤S801至步骤S802:
步骤S801,提取预训练得到的学习模型中的目标参数,将目标参数作为初始攻击阶段分类模型的初始参数;
其中,学习模型与初始攻击阶段分类模型的类型相同;
步骤S802,基于样本攻击阶段分类结果和图像标签调整初始攻击阶段分类模型的初始参数,得到训练好的攻击阶段分类模型。
进一步的,本申请实施例中采用迁移学习的策略还训练初始攻击阶段分类模型。迁移学习策略可以将在一个数据集上训练的深度神经网络模型的权重迁移到另一个数据集,这种策略可以加快网络的训练时间,使模型更快收敛。
具体的,由于典型的CNN模型主要由卷积层、池化层和全连接层组成,因此,CNN模型可以直接迁移到不同的分类任务中,这项技术在图像处理任务中已经有很多成功的应用。本申请实施例中采用迁移学习策略,提取预训练得到的学习模型中的目标参数,将目标参数作为初始攻击阶段分类模型的初始参数。
其中,学习模型与初始攻击阶段分类模型的类型相同,也即,学习模型也是一个CNN模型,不同的是,学习模型可能包含全连接层,那么迁移过程就不再将全连接层的数据迁移到全局平均池化层中,若学习模型也包含全局平均池化层,则可以将同样的参数迁移到初始攻击阶段分类模型中。
需要说明的是,学习模型可以是基于ImageNet大型数据集上预训练得到的,不同于全新模型训练,迁移学习可以加快网络的训练时间,模型收敛更快。因此,迁移学习的有效性可以在深度学习的迁移过程中微调,使学习的初始攻击阶段分类模型能够更新预训练模型中的高阶特征,更好地拟合目标任务或数据集,提升模型的泛化能力,后续就可以基于样本攻击阶段分类结果和图像标签调整初始攻击阶段分类模型的初始参数,得到训练好的攻击阶段分类模型。
请参阅图11,在一些实施例中,网络攻击的检测方法还可以步骤S901至步骤S903:
步骤S901,确定初始攻击阶段分类模型的多个超参数,并基于每个超参数确定对应的粒子;
其中,每个粒子具有对应的位置和速度;
步骤S902,针对每个粒子,根据对应位置的超参数,训练初始攻击阶段分类模型,并确定训练过程模型的适应度;
步骤S903,根据当前训练过程的适应度和历史时刻上的最佳适应度,更新每个粒子的位置和速度,直至初始攻击阶段分类模型的训练达到最大迭代次数或适应度收敛,得到训练好的攻击阶段分类模型。
进一步的,为了最大程度发挥攻击阶段分类模型的图像分类能力,训练过程需要对初始攻击阶段分类模型进行超参数优化,也即,需要对初始攻击阶段分类模型的关键超参数进行优化和调整,这些超参数影响CNN模型的网络结构,有效性和效率。
示例性的,初始攻击阶段分类模型有许多超参数,可以划分为两组:影响模型结构的周期(epoch)和批次(batch)大小、早停等待期(early_stop_patience)、学习率(learning rate)、退出率(drop_out rate),以及迁移学习框架中的冻结层等。因此,本申请实施例中采用粒子群算法进行超参数优化。
在粒子群算法中,首先需要确定初始攻击阶段分类模型的多个超参数,并基于每个超参数确定对应的粒子,其中,每个粒子具有对应的位置和速度。这一步是超参数优化的基础,首先,需要确定哪些超参数需要优化,对于深度学习模型,确定这些超参数后,每个超参数都会对应一个“粒子”。这里的“粒子”是一个概念,代表了超参数的一个可能值或范围,每个粒子都有自己的“位置”和“速度”。位置决定了该粒子的超参数值,而速度则决定了搜索的方向和步长。
接着,本申请实施例会根据每个粒子的位置(即超参数的设定值)来训练初始攻击阶段分类模型,模型的适应度是根据其性能来确定的,通常使用验证集上的准确率、精度、召回率等指标。这个适应度值用于评估不同超参数组合下模型的表现。
随后,根据当前训练过程的适应度和历史时刻上的最佳适应度,更新每个粒子的位置和速度,直至初始攻击阶段分类模型的训练达到最大迭代次数或适应度收敛,得到训练好的攻击阶段分类模型。这一步是超参数优化的核心,会根据每个粒子的历史最佳适应度和当前适应度来更新其位置和速度,通过这样的更新机制,粒子会逐渐“学习”到如何调整超参数以获得更好的模型性能。当达到预设的最大迭代次数或适应度收敛时,会停止搜索并输出最佳的超参数组合,以及对应的训练好的攻击阶段分类模型。
因此,本申请实施例中通过粒子群算法通过粒子移动和信息共享来找到全局最优解,具有简单性,通用性,及大规模并行化能力。
示例性的,下面,结合附图对网络攻击的检测过程进行详细描述。
请参阅图12,图12是本申请实施例提供的攻击阶段分类模型训练过程完整的示意图。训练过程与应用过程类似,都需要涉及到数据预处理、数据转化和APT攻击阶段识别三个阶段。
如图12所示,数据预处理包括数据清洗、数据标准化和特征选择三个步骤。首先,在得到训练过程的样本流量数据后,都需要进行数据清洗。数据清洗主要包括数据检查,以及对重复数据进行删除,因为原始的数据中可能存在缺失值、不稳定数据点等各种网络流量数据。然而,在训练过程中,数据清洗还包括清洗样本数据的样本标签,如DAPT2020没有空数据,但是其正常流量有时被标记为正常,有时被标记为良性,所以,需要将良性值替换为正常值。
接着,对清洗后的数据进行数据标准化操作,具体包括采用分数位变换操作进行标准化处理,接着,计算样本特征值的相关度,以便进行特征选择,在此不再赘述。
随后,建立样本流量特征图像,完成图像生成,并在生成图像的过程中,进行数据标记,也即根据各个样本流量数据的标签对样本流量特征图像所处的攻击阶段进行标记,得到图像标签。
最后,训练过程就可以将样本流量特征图像输入到初始攻击阶段分类模型中,得到样本攻击阶段分类结果,根据多个连续的样本流量数据的数据标签,确定样本流量特征图像的图像标签,并基于样本攻击阶段分类结果和图像标签调整初始攻击阶段分类模型的参数,得到训练好的攻击阶段分类模型,应用过程就可以对不同的APT攻击阶段进行检测了。
为了验证本申请实施例中训练得到的攻击阶段分类模型的性能,下面,以实验中的数据进行论证。
示例性的,本申请实施例对提出的框架在公开数据集DAPT2020上进行了评估。首先,将数据集DAPT2020中的10个CSV文件拼接到一起以获得一个完整的数据集,采用了四个性能指标评估模型的有效性:准确率(Accuracy)、检测率(Precision)、召回率(Recall)和F1评分(F1-score)。在预处理阶段,由于没有发现重复值和缺失值,对数据集进行标准化和特征筛选,最终保留了其中的27个特征。在图像转化阶段,将数据集转化为图像并进行重新标记。将标记后的图像数据的80%划分为训练数据,20%作为为验证数据。在识别阶段,为了构建最优的攻击阶段分类模型,对提出的攻击阶段分类模型的主要超参数进行优化,并将优化后的攻击阶段分类模型作为本申请实施例中最终的识别模型。
表1显示了本申请实施例提出的攻击阶段分类模型(DCNN)与其他的检测模型在DAPT2020数据集中对APT攻击阶段识别每个类别的性能,包括CNN、Auto Encoder with CNN(AE+CNN)、ResNet-CNN,APTSID and Bayesian Network。可以看出,所提出的模型在各阶段的识别效果均有较好表现,其中,召回率均优于其他方法。在横向移动阶段,其他模型的Recall一般在60%左右或更低,本申请实施例提出的DCNN模型达到了80%,表现远远优于其他CNN模型。Bayesian Network的Accuracy虽然比本申请实施例高了3%,但其Recall比本申请实施例低了68%,F1-Score低了69%。由此可以证明,本申请实施例提出的网络流量转换为图像,使用DCNN模型识别APT攻击阶段的方法能够有效提取APT攻击信息,能够有效的对未知流量进行识别和分类。
表1
请参阅图13,在一些实施例中,步骤S104还可以包括步骤S1001至步骤S1003:
步骤S1001,将流量特征图像输入到预先训练好的攻击阶段分类模型中,得到多个分类概率值;
步骤S1002,当多个分类概率值均大于预设的攻击阈值,得到多攻击阶段分类结果,并根据多攻击阶段分类结果确定待检测网络中网络攻击行为所处的多个连续的目标攻击阶段;
步骤S1003,根据多个分类概率值的大小关系,从多个连续的目标攻击阶段确定网络攻击行为所处的主攻击阶段。
进一步的,本申请实施例中还可以对多个连续的APT攻击阶段进行识别。一般来说,若网络中存在多个APT攻击阶段,那么这些APT攻击阶段一般是连续的,因此,本申请实施例中可以通过在训练过程对多个连续的APT攻击阶段进行标记的方式,使得应用过程可以识别到。
具体的,将前面构建的流量特征图像输入到已经训练好的攻击阶段分类模型中,攻击阶段分类模型已经学习过各种攻击阶段的特征,能够根据输入的图像(即流量特征)判断其所属的攻击阶段,模型会输出一个或多个分类概率值,也即上述实施例中说的置信度,表示待检测网络流量属于各个攻击阶段的概率。
攻击阈值是一种设定的边界值,如果所有的分类概率值都大于预设的攻击阈值,说明待检测网络中存在多个连续的目标攻击阶段,这表示网络中存在复杂的、持续的攻击行为。根据分类概率值的大小,可以确定各个攻击阶段的可能性,从而全面了解攻击的态势。
在确定了存在多个连续的目标攻击阶段后,可以进一步识别出主攻击阶段。主攻击阶段通常是指对网络造成最大威胁或者影响最深的攻击阶段,根据分类概率值的大小关系,可以判断出哪个攻击阶段的影响最大,从而确定为主攻击阶段,这对于及时应对和减轻网络攻击的影响至关重要。
请参阅图14,本申请实施例还提供一种网络攻击的检测系统,可以实现上述网络攻击的检测方法,网络攻击的检测系统包括:
流量数据获取模块1401,用于获取待检测网络中多个连续的网络流量数据,并提取每个网络流量数据中的多个流量特征;
数据预处理模块1402,用于对所有的流量特征分别进行数据标准化转换,得到转换后在同一数值范围内的多个特征值;
图像构建模块1403,用于依次将每个网络流量数据下的各个特征值,分别作为多通道的像素点中各个通道的数值,得到多个像素点,并依次将连续的多个网络流量数据对应的各个像素点进行拼接,得到待检测网络的流量特征图像;
检测模块1404,用于将流量特征图像输入到预先训练好的攻击阶段分类模型中,得到攻击阶段分类结果,并根据攻击阶段分类结果确定待检测网络中网络攻击行为所处的目标攻击阶段。
综上,网络攻击的检测系统通过执行网络攻击的检测方法,为了对待检测网络中的网络攻击行为所处的攻击阶段进行检测,需要先获取待检测网络中多个连续的网络流量数据,并提取每个网络流量数据中的多个流量特征,接着对所有的流量特征分别进行数据标准化转换,将不同特征之间的差异性消除,使得不同特征在同一数值范围内进行比较和分析,得到转换后在同一数值范围内的多个特征值,随后依次将每个网络流量数据下的各个特征值,分别作为多通道的像素点中各个通道的数值,得到多个像素点,由于经过了数据标准化转换,将不同特征缩放到相同的尺度上,避免了特征之间的差异性对像素点构建产生的影响,所构建的像素点就可以作为多个特征值的表达,然后依次将连续的多个网络流量数据对应的各个像素点进行拼接,即可得到待检测网络的流量特征图像,至此完成将流量特征转化为图像的操作,通过图像来保留攻击流量特征信息,不会遇到特征提取不完整的问题,因此可以通过图像的分类来实现对不同攻击阶段的检测,后续就可以将流量特征图像输入到预先训练好的攻击阶段分类模型中,得到攻击阶段分类结果,并根据攻击阶段分类结果确定待检测网络中网络攻击行为所处的目标攻击阶段,使得本申请实施例最终能够提高对不同攻击阶段识别的效率和准确率。
该网络攻击的检测系统的具体实施方式与上述网络攻击的检测方法的具体实施例基本相同,在此不再赘述。在满足本申请实施例要求的前提下,网络攻击的检测系统还可以设置其他功能模块,以实现上述实施例中的网络攻击的检测方法。
本申请实施例还提供了一种电子设备,电子设备包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现上述网络攻击的检测方法。该电子设备可以为包括平板电脑、车载电脑等任意智能终端。
请参阅图15,图15示意了另一实施例的电子设备的硬件结构,电子设备包括:
处理器1501,可以采用通用的CPU(CentralProcessingUnit,中央处理器)、微处理器、应用专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本申请实施例所提供的技术方案;
存储器1502,可以采用只读存储器(ReadOnlyMemory,ROM)、静态存储设备、动态存储设备或者随机存取存储器(RandomAccessMemory,RAM)等形式实现。存储器1502可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1502中,并由处理器1501来调用执行本申请实施例的网络攻击的检测方法;
输入/输出接口1503,用于实现信息输入及输出;
通信接口1504,用于实现本设备与其他设备的通信交互,可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信;
总线1505,在设备的各个组件(例如处理器1501、存储器1502、输入/输出接口1503和通信接口1504)之间传输信息;
其中处理器1501、存储器1502、输入/输出接口1503和通信接口1504通过总线1505实现彼此之间在设备内部的通信连接。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行时实现上述网络攻击的检测方法。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序以及非暂态性计算机可执行程序。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至该处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本申请实施例描述的实施例是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域技术人员可知,随着技术的演变和新应用场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本领域技术人员可以理解的是,图中示出的技术方案并不构成对本申请实施例的限定,可以包括比图示更多或更少的步骤,或者组合某些步骤,或者不同的步骤。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、设备中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的,例如,上述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括多指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例的方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序的介质。
以上参照附图说明了本申请实施例的优选实施例,并非因此局限本申请实施例的权利范围。本领域技术人员不脱离本申请实施例的范围和实质内所作的任何修改、等同替换和改进,均应在本申请实施例的权利范围之内。
Claims (13)
1.一种网络攻击的检测方法,其特征在于,包括:
获取待检测网络中多个连续的网络流量数据,并提取每个所述网络流量数据中的多个流量特征;
对所有的所述流量特征分别进行数据标准化转换,得到转换后在同一数值范围内的多个特征值;
依次将每个所述网络流量数据下的各个所述特征值,分别作为多通道的像素点中各个通道的数值,得到多个所述像素点,并依次将连续的多个所述网络流量数据对应的各个所述像素点进行拼接,得到所述待检测网络的流量特征图像;
将所述流量特征图像输入到预先训练好的攻击阶段分类模型中,得到攻击阶段分类结果,并根据所述攻击阶段分类结果确定所述待检测网络中网络攻击行为所处的目标攻击阶段。
2.根据权利要求1所述的网络攻击的检测方法,其特征在于,所述依次将每个所述网络流量数据下的各个所述特征值,分别作为多通道的像素点中各个通道的数值,得到多个所述像素点,包括:
按照对应的每个所述流量特征在连续的多个所述网络流量数据中提取时间的先后顺序,对各个所述特征值进行排序,得到特征值队列;
根据多通道的像素点中的通道数量,依次从所述特征值队列中选择对应数量下的多个所述特征值,并作为多通道的像素点中各个通道的数值,得到多个所述像素点。
3.根据权利要求1所述的网络攻击的检测方法,其特征在于,每个所述流量数据下的多个所述特征值之间的类型不同,所述依次将每个所述网络流量数据下的各个所述特征值,分别作为多通道的像素点中各个通道的数值,得到多个所述像素点,包括:
计算多个所述网络流量数据下,每个所述类型的所述特征值与对应的所述网络流量数据的标签特征之间的相似度;
根据所有所述类型的所述特征值对应的多个所述相似度确定相似度阈值,并根据所述相似度阈值和各个所述相似度从多个所述类型中确定目标类型;
依次将每个所述网络流量数据下的各个所述目标类型的所述特征值,分别作为多通道的像素点中各个通道的数值,得到多个所述像素点。
4.根据权利要求1所述的网络攻击的检测方法,其特征在于,所述对所有的所述流量特征分别进行数据标准化转换,得到转换后在同一数值范围内的多个特征值,包括:
对所有的所述流量特征分别进行数据标准化转换,得到多个特征分数值,其中,多个所述特征分数值之间满足正态分布;
基于所述像素点中各个通道数值的预设阈值,与各个所述特征分数值进行乘积,得到转换后在同一数值范围内的多个特征值。
5.根据权利要求4所述的网络攻击的检测方法,其特征在于,所述对所有的所述流量特征分别进行数据标准化转换,得到多个特征分数值,包括:
获取预设的第一数值和第二数值,其中,所述第一数值小于各个所述流量特征,所述第二数值大于各个所述流量特征;
依次基于各个所述流量特征与所述第一数值的差值,以及所述第二数值与各个所述流量特征的差值,对各个所述流量特征进行分数位变换,得到多个特征分数值。
6.根据权利要求1所述的网络攻击的检测方法,其特征在于,所述得到攻击阶段分类结果,包括:
对所述流量特征图像进行特征转换,得到输入特征;
对所述输入特征进行多次卷积操作,并在每次卷积操作之后进行激活和池化处理,得到卷积特征;
对所述卷积特征进行全局平均池化操作,得到全局平均池化特征;
对所述全局平均池化特征进行归一化处理,得到攻击阶段分类结果。
7.根据权利要求1所述的网络攻击的检测方法,其特征在于,所述攻击阶段分类模型通过以下步骤训练得到,包括:
获取样本网络中多个连续的样本流量数据,并提取每个所述样本流量数据中的多个样本流量特征;
对所有的所述样本流量特征分别进行数据标准化转换,得到转换后在同一数值范围内的多个样本特征值;
依次将每个所述样本流量数据下的各个所述样本特征值,分别作为多通道的样本像素点中各个通道的数值,得到多个所述样本像素点,并依次将连续的多个所述样本流量数据对应的各个所述样本像素点进行拼接,得到所述样本网络的样本流量特征图像;
将所述样本流量特征图像输入到初始攻击阶段分类模型中,得到样本攻击阶段分类结果;
根据多个连续的所述样本流量数据的数据标签,确定所述样本流量特征图像的图像标签,并基于所述样本攻击阶段分类结果和所述图像标签调整所述初始攻击阶段分类模型的参数,得到训练好的所述攻击阶段分类模型。
8.根据权利要求7所述的网络攻击的检测方法,其特征在于,所述基于所述样本攻击阶段分类结果和所述图像标签调整所述初始攻击阶段分类模型的参数,得到训练好的所述攻击阶段分类模型,包括:
提取预训练得到的学习模型中的目标参数,将所述目标参数作为所述初始攻击阶段分类模型的初始参数,其中,所述学习模型与所述初始攻击阶段分类模型的类型相同;
基于所述样本攻击阶段分类结果和所述图像标签调整所述初始攻击阶段分类模型的所述初始参数,得到训练好的所述攻击阶段分类模型。
9.根据权利要求7所述的网络攻击的检测方法,其特征在于,所述网络攻击的检测方法还包括:
确定所述初始攻击阶段分类模型的多个超参数,并基于每个所述超参数确定对应的粒子,其中,每个所述粒子具有对应的位置和速度;
针对每个所述粒子,根据对应位置的所述超参数,训练所述初始攻击阶段分类模型,并确定训练过程模型的适应度;
根据当前训练过程的所述适应度和历史时刻上的最佳适应度,更新每个所述粒子的位置和速度,直至所述初始攻击阶段分类模型的训练达到最大迭代次数或所述适应度收敛,得到训练好的所述攻击阶段分类模型。
10.根据权利要求1所述的网络攻击的检测方法,其特征在于,所述将所述流量特征图像输入到预先训练好的攻击阶段分类模型中,得到攻击阶段分类结果,并根据所述攻击阶段分类结果确定所述待检测网络中网络攻击行为所处的目标攻击阶段,包括:
将所述流量特征图像输入到预先训练好的攻击阶段分类模型中,得到多个分类概率值;
当多个所述分类概率值均大于预设的攻击阈值,得到多攻击阶段分类结果,并根据所述多攻击阶段分类结果确定所述待检测网络中网络攻击行为所处的多个连续的目标攻击阶段;
根据多个所述分类概率值的大小关系,从多个连续的所述目标攻击阶段确定网络攻击行为所处的主攻击阶段。
11.一种网络攻击的检测系统,其特征在于,包括:
流量数据获取模块,用于获取待检测网络中多个连续的网络流量数据,并提取每个所述网络流量数据中的多个流量特征;
数据预处理模块,用于对所有的所述流量特征分别进行数据标准化转换,得到转换后在同一数值范围内的多个特征值;
图像构建模块,用于依次将每个所述网络流量数据下的各个所述特征值,分别作为多通道的像素点中各个通道的数值,得到多个所述像素点,并依次将连续的多个所述网络流量数据对应的各个所述像素点进行拼接,得到所述待检测网络的流量特征图像;
检测模块,用于将所述流量特征图像输入到预先训练好的攻击阶段分类模型中,得到攻击阶段分类结果,并根据所述攻击阶段分类结果确定所述待检测网络中网络攻击行为所处的目标攻击阶段。
12.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现权利要求1至10任一项所述的网络攻击的检测方法。
13.一种计算机可读存储介质,所述存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至10任一项所述的网络攻击的检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410104530.4A CN118018260A (zh) | 2024-01-24 | 2024-01-24 | 网络攻击的检测方法、系统、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410104530.4A CN118018260A (zh) | 2024-01-24 | 2024-01-24 | 网络攻击的检测方法、系统、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118018260A true CN118018260A (zh) | 2024-05-10 |
Family
ID=90948043
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410104530.4A Pending CN118018260A (zh) | 2024-01-24 | 2024-01-24 | 网络攻击的检测方法、系统、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118018260A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118353723A (zh) * | 2024-06-18 | 2024-07-16 | 鹏城实验室 | 攻击检测方法、装置、设备及介质 |
-
2024
- 2024-01-24 CN CN202410104530.4A patent/CN118018260A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118353723A (zh) * | 2024-06-18 | 2024-07-16 | 鹏城实验室 | 攻击检测方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111783442A (zh) | 入侵检测方法、设备和服务器、存储介质 | |
| CN111600919B (zh) | 智能网络应用防护系统模型的构建方法和装置 | |
| CN112468347B (zh) | 一种云平台的安全管理方法、装置、电子设备及存储介质 | |
| CN109309675A (zh) | 一种基于卷积神经网络的网络入侵检测方法 | |
| CN118018260A (zh) | 网络攻击的检测方法、系统、设备及介质 | |
| Butt et al. | Towards secure private and trustworthy human-centric embedded machine learning: An emotion-aware facial recognition case study | |
| CN114330966A (zh) | 一种风险预测方法、装置、设备以及可读存储介质 | |
| CN116707859A (zh) | 特征规则提取方法和装置、网络入侵检测方法和装置 | |
| Vijayalakshmi et al. | Hybrid dual-channel convolution neural network (DCCNN) with spider monkey optimization (SMO) for cyber security threats detection in internet of things | |
| CN115758337A (zh) | 基于时序图卷积网络的后门实时监测方法、电子设备、介质 | |
| CN117454380B (zh) | 恶意软件的检测方法、训练方法、装置、设备及介质 | |
| CN116232694A (zh) | 轻量级网络入侵检测方法、装置、电子设备及存储介质 | |
| CN112418256A (zh) | 分类、模型训练、信息搜索方法、系统及设备 | |
| CN113434857A (zh) | 一种应用深度学习的用户行为安全解析方法及系统 | |
| CN117435999A (zh) | 一种风险评估方法、装置、设备以及介质 | |
| CN110855474B (zh) | Kqi数据的网络特征提取方法、装置、设备及存储介质 | |
| CN115567305B (zh) | 基于深度学习的顺序网络攻击预测分析方法 | |
| CN112948237B (zh) | 基于神经通路的中毒模型测试方法、装置及系统 | |
| CN115622810A (zh) | 一种基于机器学习算法的业务应用识别系统及方法 | |
| KR20210142443A (ko) | 사이버 공간에서 실시간 공격 탐지를 위한 시간에 따른 지속적인 적응형 학습을 제공하는 방법 및 시스템 | |
| Pawlicki et al. | Improving siamese neural networks with border extraction sampling for the use in real-time network intrusion detection | |
| CN110460569A (zh) | 在线访问的检测方法及检测装置 | |
| Huang et al. | Detection of Network Time Covert Channels Based on Image Processing | |
| Murugesan et al. | Mitigating Missing Rate and Early Cyberattack Discrimination Using Optimal Statistical Approach with Machine Learning Techniques in a Smart Grid | |
| WO2024174583A9 (zh) | 一种模型训练方法、装置、设备、存储介质及产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |