本發(fā)明提供了一種基于卷積神經(jīng)網(wǎng)絡(luò)的快速網(wǎng)絡(luò)攻擊回溯挖掘方法和應(yīng)用，所述快速網(wǎng)絡(luò)攻擊回溯挖掘方法包括以下步驟：構(gòu)建基于后向卷積神經(jīng)網(wǎng)絡(luò)的后向序列挖掘模型：通過高階正向通道預(yù)先訓(xùn)練后向序列挖掘模型以獲得每層的輸出，構(gòu)建損失函數(shù)并將其降至最低；構(gòu)建確定性包標記模型:引入兩個路由器負載閾值Min、Max；如果負載在Min和Max之間，則標記數(shù)據(jù)包，若不在則轉(zhuǎn)發(fā)，判斷目的地選項頭DOH是否存在，若已經(jīng)存在，路由器將只編碼入口地址并轉(zhuǎn)發(fā)該數(shù)據(jù)包，如果不存在，則應(yīng)通過創(chuàng)建DOH對入口地址進行編碼，并傳輸數(shù)據(jù)包；利用確定性包標記模型解決數(shù)據(jù)負載問題后，重建挖掘序列。本發(fā)明有利于主動發(fā)現(xiàn)潛伏在公司信息網(wǎng)絡(luò)中的高級、持續(xù)性攻擊行為。

技術(shù)領(lǐng)域

本發(fā)明涉及電力信息安全技術(shù)領(lǐng)域，特別是涉及一種基于卷積神經(jīng)網(wǎng)絡(luò)的快速網(wǎng)絡(luò)攻擊回溯挖掘方法和應(yīng)用。

背景技術(shù)

當前，網(wǎng)絡(luò)攻擊的復(fù)雜性在增加，企業(yè)、組織對網(wǎng)絡(luò)系統(tǒng)保護的意識也在進一步強化。企業(yè)開始使用網(wǎng)絡(luò)安全技術(shù)解決或緩解網(wǎng)絡(luò)安全威脅問題，由于網(wǎng)絡(luò)及各類設(shè)備的普及應(yīng)用，企業(yè)為了解決網(wǎng)絡(luò)安全問題，在企業(yè)內(nèi)部部署了許多安全產(chǎn)品，如入侵檢測系統(tǒng)(IDS)、入侵防御系統(tǒng)(IPS)、防火墻、Web應(yīng)用防護系統(tǒng)(WAF)、VPN等，但這些產(chǎn)品的應(yīng)用在滿足了人們保護網(wǎng)絡(luò)環(huán)境的目的的同時，還衍生了新的問題，總結(jié)起來表現(xiàn)為：在對全網(wǎng)范圍的告警事件進行實時監(jiān)測時，難度極大，既難從泛濫的實時攻擊告警中分析出真正的威脅，也不能實時監(jiān)測復(fù)雜攻擊。針對上述問題，國網(wǎng)公司于2015年開始籌建網(wǎng)絡(luò)與信息安全預(yù)警分析平臺(即SG-S6000平臺)，其總體目標是加強公司人員、組織、設(shè)備、應(yīng)用四方面資源基礎(chǔ)管理。預(yù)警分析平臺規(guī)劃實現(xiàn)網(wǎng)絡(luò)設(shè)備、系統(tǒng)主機、內(nèi)外網(wǎng)及移動終端、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)流量、物理監(jiān)控和公開情報等7大類的數(shù)據(jù)采集，具備漏洞分析、風險處理等能力，并規(guī)劃基于大數(shù)據(jù)分析的實現(xiàn)攻擊異常檢測功能。目前，預(yù)警分析平臺已具備數(shù)據(jù)采集和展示功能，但在大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)攻擊溯源分析方面仍存在一些不足，缺乏對安全事件深入關(guān)聯(lián)調(diào)查、源頭溯源和根因分析的能力。

分析產(chǎn)生上述針對網(wǎng)絡(luò)攻擊缺乏溯源分析的原因，主要是現(xiàn)階段各個安全設(shè)備都會產(chǎn)生大量的日志記錄，并且這些日志記錄直接缺乏顯性的關(guān)聯(lián)性。對于零散的海量告警日志，安全處置人員需要花費大量時間進行手動關(guān)聯(lián)，導(dǎo)致對安全事件的響應(yīng)效率低且準確率不高。

發(fā)明內(nèi)容

本發(fā)明的目的是針對現(xiàn)有技術(shù)中存在的網(wǎng)絡(luò)攻擊缺乏溯源分的問題，而提供一種基于卷積神經(jīng)網(wǎng)絡(luò)的快速網(wǎng)絡(luò)攻擊回溯挖掘方法。

本發(fā)明的另一個目的是提供所述快速網(wǎng)絡(luò)攻擊回溯挖掘方法在網(wǎng)絡(luò)攻擊預(yù)警中的應(yīng)用。

為實現(xiàn)本發(fā)明的目的所采用的技術(shù)方案是：

一種基于卷積神經(jīng)網(wǎng)絡(luò)的快速網(wǎng)絡(luò)攻擊回溯挖掘方法，包括以下步驟：

步驟1，構(gòu)建基于后向卷積神經(jīng)網(wǎng)絡(luò)(TR-CNN)的后向序列挖掘模型：

通過高階正向通道預(yù)先訓(xùn)練后向序列挖掘模型以獲得每層的輸出，構(gòu)建損失函數(shù)并將其降至最低；

步驟2，構(gòu)建確定性包標記模型:

S1，判斷步驟1輸出的數(shù)據(jù)包是否為負載，若是，則進行以下步驟，若不是直接將其轉(zhuǎn)發(fā)接收新的數(shù)據(jù)包；

S2，引入兩個路由器負載閾值，Min、Max；

S3，若所述負載低于Min或高于Max時，則標記為沒有數(shù)據(jù)包并轉(zhuǎn)發(fā)；如果負載在Min和Max之間，則標記數(shù)據(jù)包；

S4，判斷目的地選項頭DOH是否存在，如果已經(jīng)存在，路由器將只編碼入口地址，然后轉(zhuǎn)發(fā)該數(shù)據(jù)包，如果不存在，則應(yīng)通過創(chuàng)建DOH對入口地址進行編碼，并傳輸數(shù)據(jù)包；

S5，在程序的重建過程中，應(yīng)根據(jù)受到攻擊的主機決定是否搜索DOH，如果存在，受攻擊的主機將提取地址，然后將地址放入地址表中；