本發明提供一種對抗性網絡的網絡攻擊檢測方法及系統，可以基于歷史訪問數據，分析構建一個噪聲模擬網絡攻擊模型，首先使用真實網絡攻擊流量訓練所述噪聲模擬網絡攻擊模型，模型自身還有不斷復合、變異網絡攻擊的能力，當噪聲模擬網絡攻擊模型訓練完畢后，在接入機器學習模塊，作為機器學習模塊的模擬攻擊源，不間斷地攻擊訓練機器學習模塊，幫助提升機器學習模塊檢測的能力。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種對抗性網絡的網絡攻擊檢測方法及系統。

背景技術

現有的統計分析和機器學習雖然能檢測惡意軟件、惡意代碼、惡意行為等，但還存在兩個不足：一是，訓練過程中攻擊數據不足，遠遠少于正常數據，數據的不足和不平衡會導致檢測模型失衡，無法正確檢測攻擊數據或者行為；二是，隨著技術的發展，攻擊者的攻擊手段也在不斷改變，然而這些攻擊數據不會提前公開，無法將它們用于模型訓練，導致模型無法檢測未知的攻擊數據。所以急需一種可以自我生成可使用的攻擊數據，增強訓練數據，提升檢測模型性能的方法和系統。

發明內容

本發明的目的在于提供一種對抗性網絡的網絡攻擊檢測方法及系統，可以基于歷史訪問數據，分析構建一個噪聲模擬網絡攻擊模型，首先使用真實網絡攻擊流量訓練所述噪聲模擬網絡攻擊模型，模型自身還有不斷復合、變異網絡攻擊的能力，當噪聲模擬網絡攻擊模型訓練完畢后，在接入機器學習模塊，作為機器學習模塊的模擬攻擊源，不間斷地攻擊訓練機器學習模塊，幫助提升機器學習模塊檢測的能力。

第一方面，本申請提供一種對抗性網絡的網絡攻擊檢測方法，所述方法包括：

獲取歷史訪問數據，根據已知的網絡攻擊類型的特征，分析提取歷史訪問數據中攻擊數據的特征向量；

基于所述攻擊數據的特征向量，構建噪聲模擬網絡攻擊模型，應用該模型可隨機生成已知的各種類型的網絡攻擊以及多種網絡攻擊復合；

所述多種網絡攻擊復合包括同時具備若干種網絡攻擊的特征，或者連續進行若干種網絡攻擊，或變異網絡攻擊特征；

將所述噪聲模擬網絡攻擊模型作為對抗性網絡的生成器，所述生成器的輸出流量不間斷地與真實網絡攻擊流量一并送入判別器；

所述判別器根據兩端輸入的生成器輸出流量和真實網絡攻擊流量，得出判別結果；如果判別結果為真時，表明生成器輸出流量與真實網絡攻擊流量在特征向量上非常接近，判別器將相似度信息反饋給生成器；如果判別結果為假時，表明生成器輸出流量與真實網絡攻擊流量在特征向量上差別很大，判別器將差別度信息、真實網絡攻擊流量的特征向量一并反饋給生成器；

生成器根據判別器的反饋結果調整噪聲模擬網絡攻擊模型的參數，再次生成新的輸出流量；

當判別器得到的判別結果為真的比率大于預先設置的閾值時，表明所述噪聲模擬網絡攻擊模型訓練完畢；

將所述噪聲模擬網絡攻擊模型接入機器學習模塊，由所述噪聲模擬網絡攻擊模型不間斷隨機生成網絡攻擊流量，供機器學習模塊自我學習；

所述機器學習模塊借助所述噪聲模擬網絡攻擊模型，不間斷豐富各種網絡攻擊特征向量樣本，對真實網絡流量進行網絡攻擊檢測，并將檢測結果反饋給管理員，管理員可以定時根據檢測結果調整所述噪聲模擬網絡攻擊模型的參數，啟動所述噪聲模擬網絡攻擊模型的更新機制。

結合第一方面，在第一方面第一種可能的實現方式中，所述變異網絡攻擊特征包括對已知的網絡攻擊特征向量做擴展，以及修改若干攻擊的字段。

結合第一方面，在第一方面第二種可能的實現方式中，所述判別器還會將判別的結果反饋給管理員，供管理員實時調整所述噪聲模擬網絡攻擊模型的參數。

結合第一方面，在第一方面第三種可能的實現方式中，所述噪聲模擬網絡攻擊模型的更新機制，是指再次將所述噪聲模擬網絡攻擊模型作為生成器，將生成器的輸出流量送入所述判別器。