本發(fā)明屬于攻擊檢測(cè)方法技術(shù)領(lǐng)域，具體涉及一種基于用戶(hù)流量行為基線的攻擊檢測(cè)方法。該方法通過(guò)提取用戶(hù)的網(wǎng)絡(luò)流量行為的流級(jí)別的特征集；將特征集輸入改進(jìn)的模型中進(jìn)行訓(xùn)練，得到用戶(hù)行為基線，將基線作為判斷標(biāo)準(zhǔn)對(duì)新接入流量進(jìn)行攻擊檢測(cè)。該方法在訓(xùn)練時(shí)僅使用用戶(hù)的正常行為流量，經(jīng)過(guò)改進(jìn)后的雙向生成對(duì)抗網(wǎng)絡(luò)算法能夠?qū)Ω呔暥鹊牧髁刻卣鬟M(jìn)行較穩(wěn)定的訓(xùn)練，適用于未知攻擊的檢測(cè)，檢測(cè)速度快、準(zhǔn)確度高。

技術(shù)領(lǐng)域

本發(fā)明屬于攻擊檢測(cè)方法技術(shù)領(lǐng)域，具體涉及一種基于用戶(hù)流量行為基線的攻擊檢測(cè)方法。

背景技術(shù)

隨著機(jī)器學(xué)習(xí)技術(shù)在實(shí)際應(yīng)用中的發(fā)展，其在流量的異常檢測(cè)領(lǐng)域也得到了廣泛的應(yīng)用。有研究人員選用少量的流量特征，僅針對(duì)特定的攻擊場(chǎng)景，使用機(jī)器學(xué)習(xí)模型中經(jīng)典的決策樹(shù)算法、聚類(lèi)算法、遺傳算法等區(qū)分正常流量和入侵流量，達(dá)到了較好的檢測(cè)效果。但是這些方法對(duì)于本身復(fù)雜且高維的流量數(shù)據(jù)性能較差，并且時(shí)間開(kāi)銷(xiāo)極大。深度學(xué)習(xí)模型的出現(xiàn)解決了高維復(fù)雜數(shù)據(jù)的訓(xùn)練問(wèn)題，然而攻擊樣本難以獲取，當(dāng)攻擊流量樣本空間不足時(shí)，現(xiàn)有的方法難以使檢測(cè)模型得到充分訓(xùn)練，并且難以對(duì)未知攻擊產(chǎn)生良好的檢測(cè)效果。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有技術(shù)存在的缺陷和問(wèn)題，本發(fā)明提供一種基于用戶(hù)流量行為基線的攻擊檢測(cè)方法，該方法通過(guò)網(wǎng)絡(luò)流量元數(shù)據(jù)來(lái)定義用戶(hù)的行為特征，刻畫(huà)特定用戶(hù)的行為模式，在訓(xùn)練過(guò)程中僅使用正常用戶(hù)的流量數(shù)據(jù)，從而對(duì)非用戶(hù)產(chǎn)生的異常行為流量進(jìn)行檢測(cè)，不但能夠檢測(cè)已知攻擊行為，還能預(yù)警未知行為。

本發(fā)明解決其技術(shù)問(wèn)題所采用的方案是：一種基于用戶(hù)流量行為基線的攻擊檢測(cè)方法，包括如下步驟：

(1)抓取特定用戶(hù)至少一周的網(wǎng)卡關(guān)口出入流量數(shù)據(jù)，對(duì)出入流量數(shù)據(jù)進(jìn)行IP地址過(guò)濾，生成與該用戶(hù)全部相關(guān)的流量數(shù)據(jù)，再對(duì)流量數(shù)據(jù)進(jìn)行過(guò)濾，丟棄超時(shí)、亂序和重傳的流量；獲取用戶(hù)行為流量中完整的雙向TCP會(huì)話流和UDP會(huì)話流，流的方向由第一個(gè)數(shù)據(jù)包的方向標(biāo)定，其中，TCP會(huì)話流以SYN為起始，任意端發(fā)送FIN且數(shù)量小于2為終止，UDP會(huì)話流以120秒為超時(shí)時(shí)間閾值，并以五元組源IP、目的IP、源端口、目的端口、協(xié)議類(lèi)型標(biāo)注為其會(huì)話ID；依據(jù)確定的特征集維數(shù)，提取會(huì)話流中的元數(shù)據(jù)特征，進(jìn)行統(tǒng)計(jì)特征計(jì)算，對(duì)所提取特征中的類(lèi)別特征進(jìn)行變換使輸入模型的特征屬于同一量綱，對(duì)與時(shí)間相關(guān)的統(tǒng)計(jì)特征進(jìn)行標(biāo)準(zhǔn)差計(jì)算，并按照會(huì)話流的ID整合將統(tǒng)計(jì)特征整合為具有特定維度的特征集；

(2)選用用戶(hù)的部分流量特征集作為訓(xùn)練集，對(duì)訓(xùn)練集中的數(shù)值型數(shù)據(jù)進(jìn)行歸一化處理，對(duì)訓(xùn)練集中的類(lèi)別型數(shù)據(jù)進(jìn)行啞編碼使其能夠用于模型訓(xùn)練；

(3)將雙向生成對(duì)抗網(wǎng)絡(luò)模型參數(shù)初始化，確定模型參數(shù)，先對(duì)模型中的判別器進(jìn)行訓(xùn)練，然后對(duì)生成器和編碼器進(jìn)行訓(xùn)練，之后進(jìn)行交替訓(xùn)練直至判別器的損失函數(shù)呈現(xiàn)震蕩趨勢(shì)；訓(xùn)練完畢后分別得到判別器部分的訓(xùn)練損失值以及生成器和編碼器部分的訓(xùn)練損失值，通過(guò)L1范數(shù)分別計(jì)算出判別器部分以及生成器和編碼器部分的損失得分，再通過(guò)異常分?jǐn)?shù)公式計(jì)算出用戶(hù)數(shù)據(jù)的基線；

(4)對(duì)測(cè)試樣本流量行為進(jìn)行行為特征整合，對(duì)測(cè)試樣本特征參數(shù)中連續(xù)型的參數(shù)進(jìn)行歸一化處理，類(lèi)別型的特征進(jìn)行啞編碼；將測(cè)試樣本中的每一條會(huì)話流輸入雙向?qū)咕W(wǎng)絡(luò)模型進(jìn)行計(jì)算，得到測(cè)試樣本中每一條會(huì)話流的特征分布得分；將測(cè)試樣本中的每一條會(huì)話流的特征分布得分與基線進(jìn)行比較，當(dāng)特征分布得分大于基線，則該樣本被判定為攻擊樣本，當(dāng)特征分布得分不大于基線，則該樣本為正常樣本。

上述的用于用戶(hù)流量行為基線的攻擊檢測(cè)方法，第一步中用戶(hù)產(chǎn)生的網(wǎng)絡(luò)通信會(huì)話流與攻擊行為產(chǎn)生的網(wǎng)絡(luò)通信會(huì)話流：當(dāng)滿(mǎn)足下述條件時(shí)，認(rèn)為數(shù)據(jù)包屬于同一條會(huì)話流：

TCP會(huì)話流：

流方向∩SrcIP₁＝SrcIP₂∩DstIP₁＝DstIP₂∩Prot₁