本發(fā)明提供一種分類對(duì)抗的網(wǎng)絡(luò)攻擊檢測(cè)方法及系統(tǒng)，可以基于歷史訪問數(shù)據(jù)，根據(jù)不同頻率對(duì)數(shù)據(jù)進(jìn)行分類，為不同分類構(gòu)建不同的噪聲模擬網(wǎng)絡(luò)攻擊模型，再使用真實(shí)網(wǎng)絡(luò)攻擊流量訓(xùn)練所述噪聲模擬網(wǎng)絡(luò)攻擊模型，模型自身還有不斷復(fù)合、變異網(wǎng)絡(luò)攻擊的能力。當(dāng)噪聲模擬網(wǎng)絡(luò)攻擊模型訓(xùn)練完畢后，將不同分類的噪聲模擬網(wǎng)絡(luò)攻擊模型接入機(jī)器學(xué)習(xí)模塊，作為機(jī)器學(xué)習(xí)模塊的模擬攻擊源，不間斷地攻擊訓(xùn)練機(jī)器學(xué)習(xí)模塊，幫助提升機(jī)器學(xué)習(xí)模塊檢測(cè)的能力。

技術(shù)領(lǐng)域

本申請(qǐng)涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種分類對(duì)抗的網(wǎng)絡(luò)攻擊檢測(cè)方法及系統(tǒng)。

背景技術(shù)

現(xiàn)有的統(tǒng)計(jì)分析和機(jī)器學(xué)習(xí)雖然能檢測(cè)惡意軟件、惡意代碼、惡意行為等，但還存在兩個(gè)不足：一是，訓(xùn)練過程中攻擊數(shù)據(jù)不足，遠(yuǎn)遠(yuǎn)少于正常數(shù)據(jù)，尤其缺少極端頻率的網(wǎng)絡(luò)攻擊數(shù)據(jù)；二是，隨著技術(shù)的發(fā)展，攻擊者的攻擊手段也在不斷改變，然而這些攻擊數(shù)據(jù)不會(huì)提前公開，無法將它們用于模型訓(xùn)練，導(dǎo)致模型無法檢測(cè)未知的攻擊數(shù)據(jù)。所以急需一種可以自我生成可使用的攻擊數(shù)據(jù)，增強(qiáng)訓(xùn)練數(shù)據(jù)，提升檢測(cè)模型性能的方法和系統(tǒng)。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種分類對(duì)抗的網(wǎng)絡(luò)攻擊檢測(cè)方法及系統(tǒng)，可以基于歷史訪問數(shù)據(jù)，根據(jù)不同頻率對(duì)數(shù)據(jù)進(jìn)行分類，為不同分類構(gòu)建不同的噪聲模擬網(wǎng)絡(luò)攻擊模型，再使用真實(shí)網(wǎng)絡(luò)攻擊流量訓(xùn)練所述噪聲模擬網(wǎng)絡(luò)攻擊模型，模型自身還有不斷復(fù)合、變異網(wǎng)絡(luò)攻擊的能力。當(dāng)噪聲模擬網(wǎng)絡(luò)攻擊模型訓(xùn)練完畢后，將不同分類的噪聲模擬網(wǎng)絡(luò)攻擊模型接入機(jī)器學(xué)習(xí)模塊，作為機(jī)器學(xué)習(xí)模塊的模擬攻擊源，不間斷地攻擊訓(xùn)練機(jī)器學(xué)習(xí)模塊，幫助提升機(jī)器學(xué)習(xí)模塊檢測(cè)的能力。

第一方面，本申請(qǐng)?zhí)峁┮环N分類對(duì)抗的網(wǎng)絡(luò)攻擊檢測(cè)方法，所述方法包括：

獲取歷史訪問數(shù)據(jù)，根據(jù)已知的網(wǎng)絡(luò)攻擊類型的特征，分析提取歷史訪問數(shù)據(jù)中攻擊數(shù)據(jù)的特征向量；

將所述歷史訪問數(shù)據(jù)中攻擊數(shù)據(jù)的特征向量輸入分類器，由所述分類器為其中頻率高于第一閾值的、或者頻率低于第二閾值的攻擊數(shù)據(jù)打標(biāo)；

基于打標(biāo)的攻擊數(shù)據(jù)、未打標(biāo)的攻擊數(shù)據(jù)的特征向量，分別構(gòu)建第一噪聲模擬網(wǎng)絡(luò)攻擊模型、第二噪聲模擬網(wǎng)絡(luò)攻擊模型，應(yīng)用兩個(gè)模型可隨機(jī)生成已知的各種類型的網(wǎng)絡(luò)攻擊以及多種網(wǎng)絡(luò)攻擊復(fù)合；

所述多種網(wǎng)絡(luò)攻擊復(fù)合包括同時(shí)具備若干種網(wǎng)絡(luò)攻擊的特征，或者連續(xù)進(jìn)行若干種網(wǎng)絡(luò)攻擊，或變異網(wǎng)絡(luò)攻擊特征；

所述第一噪聲模擬網(wǎng)絡(luò)攻擊模型、第二噪聲模擬網(wǎng)絡(luò)攻擊模型，按照一定策略交替作為對(duì)抗性網(wǎng)絡(luò)的生成器，所述生成器的輸出流量不間斷地與真實(shí)網(wǎng)絡(luò)攻擊流量一并送入判別器；

所述判別器根據(jù)兩端輸入的生成器輸出流量和真實(shí)網(wǎng)絡(luò)攻擊流量，得出判別結(jié)果；如果判別結(jié)果為真時(shí)，表明生成器輸出流量與真實(shí)網(wǎng)絡(luò)攻擊流量在特征向量上非常接近，判別器將相似度信息反饋給生成器；如果判別結(jié)果為假時(shí)，表明生成器輸出流量與真實(shí)網(wǎng)絡(luò)攻擊流量在特征向量上差別很大，判別器將差別度信息、真實(shí)網(wǎng)絡(luò)攻擊流量的特征向量一并反饋給生成器；

所述生成器根據(jù)判別器的反饋結(jié)果調(diào)整第一噪聲模擬網(wǎng)絡(luò)攻擊模型、第二噪聲模擬網(wǎng)絡(luò)攻擊模型的參數(shù)，再次生成新的輸出流量；

當(dāng)判別器得到的判別結(jié)果為真的比率在預(yù)先設(shè)置的閾值范圍內(nèi)時(shí)，表明第一噪聲模擬網(wǎng)絡(luò)攻擊模型、第二噪聲模擬網(wǎng)絡(luò)攻擊模型訓(xùn)練完畢；

所述第一噪聲模擬網(wǎng)絡(luò)攻擊模型、第二噪聲模擬網(wǎng)絡(luò)攻擊模型，按照一定策略交替接入機(jī)器學(xué)習(xí)模塊，不間斷隨機(jī)生成網(wǎng)絡(luò)攻擊流量，供機(jī)器學(xué)習(xí)模塊自我學(xué)習(xí)；

所述機(jī)器學(xué)習(xí)模塊借助所述第一噪聲模擬網(wǎng)絡(luò)攻擊模型、第二噪聲模擬網(wǎng)絡(luò)攻擊模型，不間斷豐富各種網(wǎng)絡(luò)攻擊特征向量樣本，對(duì)真實(shí)網(wǎng)絡(luò)流量進(jìn)行網(wǎng)絡(luò)攻擊檢測(cè)，并將檢測(cè)結(jié)果反饋給管理員，管理員可以定時(shí)根據(jù)檢測(cè)結(jié)果調(diào)整所述第一噪聲模擬網(wǎng)絡(luò)攻擊模型、第二噪聲模擬網(wǎng)絡(luò)攻擊模型的參數(shù)，啟動(dòng)更新機(jī)制。