本發明提供了一種基于詞嵌入的多階段網絡攻擊檢測方法，本方法包括如下步驟：1)對已經發生攻擊后的網絡流量特征所構成的數據集進行特征選擇；2)使用詞嵌入方法向量化網絡流量數據；3)分別構建當前向量和歷史向量，使用負采樣方法構建訓練樣本；4)建立基于詞嵌入的多階段攻擊檢測模型，計算關聯向量，使用有監督學習分類算法計算關聯概率，判斷當前數據屬于多階段攻擊的可能性。該方法的優點是，入侵檢測系統可從數據包層面自動關聯攻擊階段，不需要定義關聯規則，同時避免了從警報層面進行多階段攻擊檢測時部分攻擊階段沒有產生警報的問題。

技術領域

本發明涉及一種基于詞嵌入的多階段攻網絡擊檢測方法，適用于工業互聯網邊界防護場景下攻擊者有目的性的進行多階段網絡攻擊的入侵檢測。

背景技術

工業互聯網邊界防護一般包括識別、防護、檢測、響應、恢復五個方面。入侵檢測技術是工業互聯網邊界防護中的重要一環，通過對工業互聯網進行持續性網絡流的監視和檢測，分析攻擊發生后的網絡流量特征來定位攻擊，以識別安全事件的發生，為安全響應和安全恢復機制提供信息。

由于工業互聯網邊界防護技術的不斷發展，攻擊者逐漸難以通過利用孤立的漏洞和安全缺陷(如SQL注入攻擊、拒絕服務攻擊等)對網絡進行滲透。因此，攻擊者為了成功入侵，往往需要將網絡偵測、漏洞發現和缺陷利用等一系列攻擊手段進行組合并逐漸滲透，從而使一次入侵過程由多個階段組成，形成多階段攻擊，更有甚者，為了達到隱蔽攻擊的目的，攻擊者往往將其中一些攻擊階段偽裝成正常的網絡行為，但這些偽裝的攻擊階段與其他行為關聯起來卻能達到隱蔽攻擊的目的。

傳統的基于機器學習的入侵檢測技術，一般通過對網絡流量分析建模，或基于已有攻擊的網絡特征進行識別，或通過網絡包的異常進行檢測，基本都忽略了網絡數據的序列相關特性，無法檢測多階段攻擊。因此，對多階段攻擊的檢測面臨新的挑戰。另一方面，現有的多階段攻擊檢測方法主要分為基于規則的和基于統計學習算法的，其中，基于規則的方法需要手動編寫規則，一般用來從攻擊后數據中提取多階段攻擊，進行關聯分析。基于統計學習算法的方法以隱馬爾可夫模型為主，通過統計分析學習大量攻擊樣本得到模型參數，但是隱馬爾可夫模型使用了獨立性假設，即當前狀態僅與前一狀態有關，無法學習到更深層次的多階段攻擊特性。

發明內容

本發明的目的在于，從多階段攻擊中不同攻擊階段會導致相應的網絡包具有潛在相關性的角度出發，提出一種基于詞嵌入方法的多階段網絡攻擊檢測方法，入侵檢測系統可從數據包層面自動關聯攻擊階段，不需要定義關聯規則，同時避免了從警報層面進行多階段攻擊檢測時部分攻擊階段沒有產生警報的問題。與現有方法不同，本發明針對網絡流量數據的序列特性和攻擊者有計劃的多階段攻擊行為，開發一種基于詞嵌入的多階段網絡攻擊檢測方法。

為了實現上述發明目的，本發明通過以下技術方案來實現：

一種基于詞嵌入的多階段攻網絡擊檢測方法，包括如下步驟：

1)對已經發生攻擊后的網絡流量特征所構成的數據集進行特征選擇；

2)使用詞嵌入方法向量化網絡流量數據；

3)分別構建當前向量和歷史向量，使用負采樣方法構建訓練樣本；

4)建立基于詞嵌入的多階段攻擊檢測模型，計算關聯向量，使用有監督學習分類算法計算關聯概率，判斷當前數據屬于多階段攻擊的可能性。

所述步驟1)中的特征選取包括下列步驟：