本發明公開了一種基于可解釋卷積神經網絡(CNN)與圖檢測的多步攻擊檢測方法及系統，將網絡通信流量進行捕捉，建立通信狀態圖。將捕獲的網絡通信流量對其進行分流，將分流后得到的數據進行規整。將得到的數據作為輸入，形成規整后的訓練數據集，利用卷積神經網絡進行學習得到能夠有效對流量異常檢測和分類的模型。并利用類激活圖提取細節與決策樹結合建立代理模型得到可解釋的卷積神經網絡。利用得到的可解釋的卷積神經網絡模型對待檢測的流量進行檢測，對建立的通信狀態圖進行更新。從建立的通信狀態圖中提取帶權重的異常攻擊子圖，得到攻擊場景，利用帶權重的深度優先遍歷算法提取攻擊鏈。本發明可以提高精度的同時降低誤報的出現。還能夠輸出對應的權重信息，方便安全管理員對于檢測信息的直接利用。

技術領域

本發明屬于網絡信息安全技術領域，涉及攻擊檢測技術領域，特別是傳統網絡下多步攻擊檢測技術。

背景技術

隨著近年來網絡事件數量呈上升趨勢，基礎網絡或者關鍵基礎設施依然面臨著較大的安全風險，網絡攻擊事件多有發生。針對于重要信息系統，如企業網絡、工業控制系統、工業互聯網平臺、云平臺等高強度、有組織的威脅日益嚴峻，多步攻擊已經成為網絡攻擊的主要方式。單步攻擊是指具有獨立的、不可分解攻擊目的的攻擊，與單步攻擊相比，多步攻擊是將單步攻擊按照一定的邏輯關系進行排列，在特定的時間和空間中形成的攻擊序列，從而實現僅用單步攻擊無法實現的攻擊意圖。多步攻擊采用的手段更加豐富，如拒絕服務攻擊、web滲透、掃描攻擊、暴力破解等等。像采用新型攻擊手段的多步攻擊以復雜網絡攻擊和APT?為典型代表，其造成的危害更加嚴重，是目前影響當前安全狀況的重要因素。如表1所示的擊殺鏈模型，攻擊者往往利用網絡邊緣進入網絡，掃描當前網絡下的設備狀態尋找可以利用的主機進行漏洞查詢并掃描入侵，之后利用被入侵的主機做跳板向下游主機繼續入侵直到達到目的主機；在達到目的主機后，對目的主機的數據進行竊取或者使其服務停止等操作來破壞網絡的正常運行。如此可見，企業網絡或者工業互聯網等極其容易受多步攻擊的困擾，檢測多步攻擊成為了日前網絡安全領域的重點。

表1常規網絡下的擊殺鏈模型