本發明屬于網絡安全和深度學習技術領域，具體涉及一種基于GAN的APT攻擊序列的生成與檢測方法。本發明的針對目前在APT攻擊的檢測方向尚存在無法檢測長序列攻擊、歷史信息關聯差、未知攻擊檢測能力差等問題，為有效檢測APT攻擊并且擴充APT攻擊攻擊數據集，提出了一種基于GAN的APT攻擊序列生成與檢測方法。本發明通過生成式對抗網絡的形式采用LSTM網絡增加了對前后文相關聯的步驟，記憶了網絡流量的歷史記錄，對時序性數據具有較好的檢測能力；通過生成模型可以利用隨機噪聲生成符合APT攻擊特征的數據，擴充了現有APT攻擊數據集。

技術領域

本發明屬于網絡安全和深度學習技術領域，具體涉及一種基于GAN的APT攻擊序列的生成與檢測方法。

背景技術

網絡技術對國際政治、經濟、文化、軍事等領域的發展產生了深遠影響，信息掌握的多少成為了國家軟實力和競爭力的重要標志。在這種國際環境下，高級持續威脅(advanced persistent threat，APT)攻擊開始走入了人們的視線里。高級持續性威脅一詞是2006年美國空軍信息戰中心指揮官Greg Rattray上校提出的，描述的是自20世紀90年代末至21世紀初美國在網絡空間遭遇的大規模持續性的網絡攻擊。如今的APT攻擊往往與經濟利益和政治沖突相關，是網絡攻擊中最難以防范的攻擊手段之一。這類攻擊并非盲目攻擊，其攻擊目的相當明確，攻擊手段也復雜多樣難以抵擋。同時，APT的攻擊過程具有極強的隱蔽性，可長期潛伏于目標系統中而不被發現，最終達到竊取目標核心資料或對目標進行破壞的目的。APT攻擊者的攻擊目標有政府、軍隊等相關部門，涉及互聯網、金融業、新能源技術等多個領域的范疇。

目前，APT攻擊的檢測方法有威脅情報、大數據、云計算和數據挖掘等。但是，由于APT攻擊規模龐大、攻擊持續時間長等特點導致這類攻擊的樣本往往較少，采集成本過大。同時，傳統方法在解決APT攻擊的時序性上有所欠缺。

在已有的文獻中效果較好的方法主要包括：1.引入深度學習技術：Liu F,Li Y,Xia F,et al.A Method of APT Attack Detection Based on DBN-SVDD[J].2017，提出了一種基于DBN-SVDD的入侵檢測系統，該網絡架構主要有三部分：數據預處理、深度信念網(Deep Belief Net,DBN)網絡訓練、支持向量數據描述方法(Support Vector DataDescription,SVDD)網絡識別。實驗采用的數據是由NSL-KDD數據集處理后的標準數據集。將標準數據集作為DBN網絡的輸入，利用DBN網絡對數據降維，再將數據在各網絡間傳遞，通過不斷反向優化權值，得到降維后的數據。最后，將降維后的數據集輸入SVDD進行識別。2.加強對時序數據的檢測，Ghafir I,Hammoudeh M,Prenosil V,et al.Detection ofadvanced persistent threat using machine-learning correlation analysis[J].Future Generation Computer Systems,2018,89:349-359，提出了名為MLAPT的檢測模型，MLAPT主要有兩個部分：威脅檢測和攻擊預測。威脅檢測模塊在檢測到異常行為后會產生報警，關聯模塊會接受檢測模塊的全部報警信息，當檢測到符合APT特征的報警信息時，將報警信息傳遞到APT檢測報警模塊，APT檢測報警模塊再將可疑信息進行綜合判斷。同時，在預測模塊，網絡安全團隊將收集到的APT攻擊數據輸入SVM、KNN、Decision Trees等模型來判斷該數據是否為APT攻擊數據。3.從URL的特征入手檢測，Chuan,Bernard Lee Jin,Manmeet Mahinderjit Singh,and Azizul Rahman Mohd Shariff.APTGuard:AdvancedPersistent Threat(APT)Detections and Predictions using Android Smartphone.Computational Science and Technology.Springer,Singapore,2019.545-555，結合決策樹和神經網絡提出了一種APT檢測方法APTGuard，其能夠利用決策樹和神經網絡相結合的集成學習器提取URL的特征，并對其進行分類，進而識別出具有釣魚性質的APT攻擊網站。