本發(fā)明屬于網(wǎng)絡(luò)空間安全，涉及一種網(wǎng)絡(luò)未知攻擊檢測(cè)方法、系統(tǒng)、設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)：

1、當(dāng)前網(wǎng)絡(luò)威脅環(huán)境日益復(fù)雜且動(dòng)態(tài)變化，新型的攻擊手法和惡意軟件不斷涌現(xiàn)，網(wǎng)絡(luò)威脅變得具有隱蔽性和對(duì)抗性。同時(shí)，未知攻擊種類不斷增加，戰(zhàn)術(shù)和技術(shù)更加新穎，若不能有效檢測(cè)，會(huì)造成嚴(yán)重的信息泄露、系統(tǒng)癱瘓和數(shù)據(jù)損失等后果，進(jìn)而對(duì)正常業(yè)務(wù)運(yùn)作和信息資產(chǎn)造成嚴(yán)重影響。然而，傳統(tǒng)的網(wǎng)絡(luò)安全檢測(cè)手段只能應(yīng)對(duì)已知攻擊模式和惡意代碼，檢測(cè)漏報(bào)率高、效率低，難以滿足新的網(wǎng)絡(luò)安全需求，對(duì)未知攻擊的檢測(cè)與識(shí)別是如今安全領(lǐng)域的研究熱點(diǎn)和難點(diǎn)。

2、及時(shí)檢測(cè)未知攻擊可以幫助防御者掌握攻擊意圖并預(yù)測(cè)后續(xù)攻擊，指導(dǎo)防御策略，提高安全防御水平和應(yīng)對(duì)能力。但是，一方面零日漏洞利用及apt等新型攻擊隱蔽性強(qiáng)，捕獲難度大，攻擊樣本數(shù)據(jù)少；另一方面未知攻擊樣本數(shù)據(jù)的缺乏導(dǎo)致訓(xùn)練樣本不均衡，使得基于深度學(xué)習(xí)的檢測(cè)模型無法對(duì)未知攻擊進(jìn)行準(zhǔn)確識(shí)別，在檢測(cè)準(zhǔn)確性及召回率等方面存在不足。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于克服上述現(xiàn)有技術(shù)的缺點(diǎn)，提供一種網(wǎng)絡(luò)未知攻擊檢測(cè)方法、系統(tǒng)、設(shè)備及存儲(chǔ)介質(zhì)。

2、為達(dá)到上述目的，本發(fā)明采用以下技術(shù)方案予以實(shí)現(xiàn)：

3、本發(fā)明第一方面，提供一種網(wǎng)絡(luò)未知攻擊檢測(cè)方法，包括：獲取網(wǎng)絡(luò)的待檢測(cè)流量數(shù)據(jù)并提取待檢測(cè)流量數(shù)據(jù)的特征；根據(jù)待檢測(cè)流量數(shù)據(jù)的特征，通過未知攻擊檢測(cè)模型得到攻擊檢測(cè)結(jié)果；其中，未知攻擊檢測(cè)模型通過下述訓(xùn)練方式訓(xùn)練得到：獲取訓(xùn)練流量數(shù)據(jù)并提取訓(xùn)練流量數(shù)據(jù)的特征，以及根據(jù)訓(xùn)練流量數(shù)據(jù)的特征，采用預(yù)設(shè)的樣本生成模型生成訓(xùn)練流量數(shù)據(jù)的偽特征；基于廣義零樣本學(xué)習(xí)訓(xùn)練方式，根據(jù)訓(xùn)練流量數(shù)據(jù)的特征和訓(xùn)練流量數(shù)據(jù)的偽特征訓(xùn)練預(yù)設(shè)的有監(jiān)督分類器，得到未知攻擊檢測(cè)模型。

4、可選的，所述獲取網(wǎng)絡(luò)的待檢測(cè)流量數(shù)據(jù)包括：采用基于蜜點(diǎn)的攻擊數(shù)據(jù)捕獲方法，通過預(yù)構(gòu)建的基于ip地址的外網(wǎng)蜜點(diǎn)和/或基于域名與路徑的內(nèi)網(wǎng)蜜點(diǎn)，獲取網(wǎng)絡(luò)的待檢測(cè)流量數(shù)據(jù)。

5、可選的，所述提取待檢測(cè)流量數(shù)據(jù)的特征包括：將待檢測(cè)流量數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理得到預(yù)處理待檢測(cè)流量數(shù)據(jù)，并根據(jù)選定特征類型對(duì)預(yù)處理待檢測(cè)流量數(shù)據(jù)進(jìn)行特征提取，得到待檢測(cè)流量數(shù)據(jù)的特征；所述提取訓(xùn)練流量數(shù)據(jù)的特征包括：將訓(xùn)練流量數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理得到預(yù)處理訓(xùn)練流量數(shù)據(jù)，并根據(jù)選定特征類型對(duì)預(yù)處理訓(xùn)練流量數(shù)據(jù)進(jìn)行特征提取，得到訓(xùn)練流量數(shù)據(jù)的特征；其中，選定特征類型通過下述方式得到：基于有監(jiān)督分類器lightgbm模型，根據(jù)每次分裂時(shí)各特征類型的信息增益或基尼系數(shù)，得到各特征類型的特征重要度；以及根據(jù)預(yù)設(shè)的特征重要度選擇閾值，按照特征重要度從高到低的順序選取若干初選特征類型；采用皮爾遜相關(guān)系數(shù)計(jì)算若干初選特征類型之間的特征相關(guān)系數(shù)，并剔除特征相關(guān)系數(shù)大于特征相關(guān)系數(shù)閾值的初選特征類型，得到選定特征類型。

6、可選的，所述預(yù)設(shè)的樣本生成模型通過下述方式得到：將訓(xùn)練流量數(shù)據(jù)的特征分為已知攻擊類型特征和未知攻擊類型特征；根據(jù)已知攻擊類型特征，通過預(yù)設(shè)的屬性提取網(wǎng)絡(luò)得到各已知攻擊類型的屬性信息；并根據(jù)已知攻擊類型特征和各已知攻擊類型的屬性信息，訓(xùn)練預(yù)設(shè)的條件變分自編碼器，得到預(yù)訓(xùn)練條件變分自編碼器；其中，屬性提取網(wǎng)絡(luò)通過將多層感知機(jī)去除最后一層分類層后得到；獲取預(yù)訓(xùn)練條件變分自編碼器中的解碼器，得到預(yù)設(shè)的樣本生成模型。

7、可選的，所述根據(jù)訓(xùn)練流量數(shù)據(jù)的特征，采用預(yù)設(shè)的樣本生成模型生成訓(xùn)練流量數(shù)據(jù)的偽特征包括：從預(yù)訓(xùn)練條件變分自編碼器的潛在空間中的先驗(yàn)分布中采樣一個(gè)隨機(jī)向量；根據(jù)未知攻擊類型特征，通過預(yù)設(shè)的屬性提取網(wǎng)絡(luò)得到各未知攻擊類型的屬性信息，以及將隨機(jī)向量與各未知攻擊類型的屬性信息及各已知攻擊類型的屬性信息分別組合后輸入至預(yù)設(shè)的樣本生成模型，生成已知攻擊類型偽特征和未知攻擊類型偽特征；其中，各已知攻擊類型的已知攻擊類型偽特征以及各未知攻擊類型的未知攻擊類型偽特征的數(shù)量相同。

8、可選的，所述得到未知攻擊檢測(cè)模型后，還包括：獲取未知攻擊檢測(cè)模型的預(yù)設(shè)測(cè)試指標(biāo)值；以及當(dāng)未知攻擊檢測(cè)模型的預(yù)設(shè)測(cè)試指標(biāo)值小于未知攻擊檢測(cè)模型的預(yù)設(shè)測(cè)試指標(biāo)值閾值時(shí)，通過調(diào)整未知攻擊檢測(cè)模型的訓(xùn)練過程中的訓(xùn)練參數(shù)的方式重新訓(xùn)練預(yù)設(shè)的有監(jiān)督分類器，至未知攻擊檢測(cè)模型的預(yù)設(shè)測(cè)試指標(biāo)值不小于未知攻擊檢測(cè)模型的預(yù)設(shè)測(cè)試指標(biāo)值閾值，得到最終的未知攻擊檢測(cè)模型。

9、本發(fā)明第二方面，提供一種網(wǎng)絡(luò)未知攻擊檢測(cè)系統(tǒng)，包括：特征提取模塊，用于獲取網(wǎng)絡(luò)的待檢測(cè)流量數(shù)據(jù)并提取待檢測(cè)流量數(shù)據(jù)的特征；攻擊檢測(cè)模塊，用于根據(jù)待檢測(cè)流量數(shù)據(jù)的特征，通過未知攻擊檢測(cè)模型得到攻擊檢測(cè)結(jié)果；其中，未知攻擊檢測(cè)模型通過下述訓(xùn)練方式訓(xùn)練得到：獲取訓(xùn)練流量數(shù)據(jù)并提取訓(xùn)練流量數(shù)據(jù)的特征，以及根據(jù)訓(xùn)練流量數(shù)據(jù)的特征，采用預(yù)設(shè)的樣本生成模型生成訓(xùn)練流量數(shù)據(jù)的偽特征；基于廣義零樣本學(xué)習(xí)訓(xùn)練方式，根據(jù)訓(xùn)練流量數(shù)據(jù)的特征和訓(xùn)練流量數(shù)據(jù)的偽特征訓(xùn)練預(yù)設(shè)的有監(jiān)督分類器，得到未知攻擊檢測(cè)模型。

10、可選的，還包括數(shù)據(jù)捕獲模塊；數(shù)據(jù)捕獲模塊用于采用基于蜜點(diǎn)的攻擊數(shù)據(jù)捕獲方法，通過預(yù)構(gòu)建的基于ip地址的外網(wǎng)蜜點(diǎn)和/或基于域名與路徑的內(nèi)網(wǎng)蜜點(diǎn)，獲取網(wǎng)絡(luò)的待檢測(cè)流量數(shù)據(jù)。

11、本發(fā)明第三方面，提供一種計(jì)算機(jī)設(shè)備，包括存儲(chǔ)器、處理器以及存儲(chǔ)在所述存儲(chǔ)器中并可在所述處理器上運(yùn)行的計(jì)算機(jī)程序，所述處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)上述網(wǎng)絡(luò)未知攻擊檢測(cè)方法的步驟。

12、本發(fā)明第四方面，提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述網(wǎng)絡(luò)未知攻擊檢測(cè)方法的步驟。

13、與現(xiàn)有技術(shù)相比，本發(fā)明具有以下效果：

14、本發(fā)明網(wǎng)絡(luò)未知攻擊檢測(cè)方法，通過提取待檢測(cè)流量數(shù)據(jù)的特征，然后通過預(yù)設(shè)的未知攻擊檢測(cè)模型實(shí)現(xiàn)對(duì)待檢測(cè)流量數(shù)據(jù)的攻擊檢測(cè)，進(jìn)而得到待檢測(cè)流量數(shù)據(jù)的攻擊檢測(cè)結(jié)果。其中，未知攻擊檢測(cè)模型在訓(xùn)練過程中，針對(duì)現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境中缺乏大量未知攻擊樣本的問題，采用通過預(yù)設(shè)的樣本生成模型生成訓(xùn)練流量數(shù)據(jù)的偽特征的方式，提升訓(xùn)練樣本的數(shù)據(jù)量，并保證樣本的均衡性，進(jìn)而有效克服樣本缺失帶來的模型檢測(cè)精度低的問題。同時(shí)，基于有監(jiān)督分類器實(shí)現(xiàn)未知攻擊檢測(cè)模型的構(gòu)建，將未知攻擊檢測(cè)問題轉(zhuǎn)換為有監(jiān)督分類問題，并且采用基于廣義零樣本學(xué)習(xí)訓(xùn)練方式進(jìn)行訓(xùn)練，更加符合網(wǎng)絡(luò)未知攻擊檢測(cè)的現(xiàn)實(shí)場(chǎng)景，進(jìn)而保證未知攻擊檢測(cè)模型具有較高的檢測(cè)準(zhǔn)確性，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)未知攻擊的準(zhǔn)確檢測(cè)，耗費(fèi)攻擊者攻擊資源，一定程度上扭轉(zhuǎn)攻防不對(duì)稱局面，及時(shí)發(fā)現(xiàn)未知攻擊行為，增強(qiáng)網(wǎng)絡(luò)安全防護(hù)的整體水平。

技術(shù)特征：

1.一種網(wǎng)絡(luò)未知攻擊檢測(cè)方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)未知攻擊檢測(cè)方法，其特征在于，所述獲取網(wǎng)絡(luò)的待檢測(cè)流量數(shù)據(jù)包括：

3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)未知攻擊檢測(cè)方法，其特征在于，所述提取待檢測(cè)流量數(shù)據(jù)的特征包括：

4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)未知攻擊檢測(cè)方法，其特征在于，所述預(yù)設(shè)的樣本生成模型通過下述方式得到：

5.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)未知攻擊檢測(cè)方法，其特征在于，所述根據(jù)訓(xùn)練流量數(shù)據(jù)的特征，采用預(yù)設(shè)的樣本生成模型生成訓(xùn)練流量數(shù)據(jù)的偽特征包括：

6.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)未知攻擊檢測(cè)方法，其特征在于，所述得到未知攻擊檢測(cè)模型后，還包括：

7.一種網(wǎng)絡(luò)未知攻擊檢測(cè)系統(tǒng)，其特征在于，包括：

8.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)未知攻擊檢測(cè)系統(tǒng)，其特征在于，還包括數(shù)據(jù)捕獲模塊；

9.一種計(jì)算機(jī)設(shè)備，包括存儲(chǔ)器、處理器以及存儲(chǔ)在所述存儲(chǔ)器中并可在所述處理器上運(yùn)行的計(jì)算機(jī)程序，其特征在于，所述處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)如權(quán)利要求1至6任一項(xiàng)所述網(wǎng)絡(luò)未知攻擊檢測(cè)方法的步驟。

10.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)程序，其特征在于，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1至6任一項(xiàng)所述網(wǎng)絡(luò)未知攻擊檢測(cè)方法的步驟。

技術(shù)總結(jié)
本發(fā)明屬于網(wǎng)絡(luò)空間安全技術(shù)領(lǐng)域，公開了一種網(wǎng)絡(luò)未知攻擊檢測(cè)方法、系統(tǒng)、設(shè)備及存儲(chǔ)介質(zhì)，包括獲取網(wǎng)絡(luò)的待檢測(cè)流量數(shù)據(jù)并提取待檢測(cè)流量數(shù)據(jù)的特征；根據(jù)待檢測(cè)流量數(shù)據(jù)的特征，通過未知攻擊檢測(cè)模型得到攻擊檢測(cè)結(jié)果；其中，通過獲取訓(xùn)練流量數(shù)據(jù)并提取訓(xùn)練流量數(shù)據(jù)的特征，以及根據(jù)訓(xùn)練流量數(shù)據(jù)的特征，采用預(yù)設(shè)的樣本生成模型生成訓(xùn)練流量數(shù)據(jù)的偽特征；基于廣義零樣本學(xué)習(xí)訓(xùn)練方式，根據(jù)訓(xùn)練流量數(shù)據(jù)的特征和訓(xùn)練流量數(shù)據(jù)的偽特征訓(xùn)練預(yù)設(shè)的有監(jiān)督分類器，得到未知攻擊檢測(cè)模型。可有效解決未知攻擊樣本小及訓(xùn)練樣本不均衡問題，克服未知攻擊檢測(cè)能力不足的缺陷，提高檢測(cè)的準(zhǔn)確性，增強(qiáng)網(wǎng)絡(luò)防護(hù)水平。

技術(shù)研發(fā)人員：邱日軒,徐天福,何群,羅志遠(yuǎn),張俊鋒,陳凱,高雪芹
受保護(hù)的技術(shù)使用者：國網(wǎng)江西省電力有限公司信息通信分公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/6