本發(fā)明提供了一種基于生成式對(duì)抗網(wǎng)絡(luò)的入侵流量的生成方法。使用該方法可以生成十分接近合法網(wǎng)絡(luò)流量的入侵流量，用于幫助入侵檢測(cè)系統(tǒng)或方法或技術(shù)是否能檢測(cè)經(jīng)過干擾的惡意網(wǎng)絡(luò)流量，從而增強(qiáng)自身發(fā)明的健壯性和魯棒性。

技術(shù)領(lǐng)域

本發(fā)明屬于入侵檢測(cè)技術(shù)領(lǐng)域，具體涉及一種基于生成式對(duì)抗網(wǎng)絡(luò)的入侵流量的生成方法。

背景技術(shù)

由于機(jī)器學(xué)習(xí)與深度學(xué)習(xí)技術(shù)的發(fā)展和普及，許多基于機(jī)器學(xué)習(xí)或者深度學(xué)習(xí)的入侵檢測(cè)系統(tǒng)已經(jīng)在文獻(xiàn)中被提出用于檢測(cè)惡意網(wǎng)絡(luò)流量。然而，最近的研究表明這些模型在對(duì)抗干擾下是脆弱的，通過這種干擾，敵手可以通過在網(wǎng)絡(luò)流量中引入一個(gè)小的不切實(shí)際的干擾，導(dǎo)致檢測(cè)系統(tǒng)的錯(cuò)誤分類。而機(jī)器學(xué)習(xí)模型或深度學(xué)習(xí)模型中，假設(shè)在實(shí)時(shí)監(jiān)測(cè)時(shí)也會(huì)遇到訓(xùn)練數(shù)據(jù)遵循的分布。這一假設(shè)導(dǎo)致對(duì)抗性示例通常是輸入樣本的最壞情況域移動(dòng)。

近年來，針對(duì)網(wǎng)絡(luò)安全應(yīng)用開發(fā)的對(duì)抗擾動(dòng)研究主要集中在惡意軟件分類和可移植可執(zhí)行程序分類上。在惡意軟件和可移植可執(zhí)行程序中，生成式對(duì)抗網(wǎng)絡(luò)被用于生成入侵流量的例子相對(duì)較少。

生成式對(duì)抗網(wǎng)絡(luò)的核心思想是在類似設(shè)置的互動(dòng)博弈理論中，將生成器網(wǎng)絡(luò)與鑒別器網(wǎng)絡(luò)進(jìn)行對(duì)比。生成器網(wǎng)絡(luò)的目標(biāo)是學(xué)習(xí)訓(xùn)練數(shù)據(jù)的最佳近似值，而識(shí)別器網(wǎng)絡(luò)的目標(biāo)是區(qū)分原始數(shù)據(jù)和生成數(shù)據(jù)的樣本。

條件生成式網(wǎng)絡(luò)是生成式對(duì)抗網(wǎng)絡(luò)的一個(gè)擴(kuò)展，通過添加一些條件作為輸入，生成器網(wǎng)絡(luò)G可以生成具有特定條件或特征的偽樣本，而不是根據(jù)噪聲分布生成普通樣本。條件生成式對(duì)抗網(wǎng)絡(luò)可以確保生成器轉(zhuǎn)換網(wǎng)絡(luò)流量的非內(nèi)在特征來創(chuàng)建對(duì)抗性攻擊，從而保證總線流量的功能行為。所謂內(nèi)在特征是指這些特性對(duì)于任何網(wǎng)絡(luò)流量的有效性都是必要的，對(duì)這些特性的任何更改都將使網(wǎng)絡(luò)流量失效。因此對(duì)于命令字或者狀態(tài)字位的常量特征或者固定特征不需要添加噪聲影響，確保攻擊流量符合規(guī)范，可以傳輸?shù)娇偩€上。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種基于生成式對(duì)抗網(wǎng)絡(luò)的入侵流量的生成方法，提前測(cè)試入侵檢測(cè)模型，可以更真實(shí)的了解入侵檢測(cè)模型的性能；提前使用本發(fā)明測(cè)試系統(tǒng)可以盡早進(jìn)入防范和防御狀態(tài)，減少出錯(cuò)的可能。

實(shí)現(xiàn)本發(fā)明目的的具體技術(shù)方案是：

一種基于生成式對(duì)抗網(wǎng)絡(luò)的入侵流量的生成方法，該方法包括下列步驟：

步驟1：數(shù)據(jù)預(yù)處理

收集合法網(wǎng)絡(luò)流量樣本；將所有網(wǎng)絡(luò)流量樣本處理成為樣本特征為(x_i,y_i)的數(shù)據(jù)集，其中x_i為網(wǎng)絡(luò)流量樣本，y_i為所屬樣本的分類，是合法網(wǎng)絡(luò)流量樣本y_i等于1，不是則為0；

步驟2：構(gòu)建網(wǎng)絡(luò)

生成器G和識(shí)別器D都使用深度神經(jīng)網(wǎng)絡(luò)模型；生成器的神經(jīng)網(wǎng)絡(luò)模型結(jié)構(gòu)是具有5層的前饋感知神經(jīng)網(wǎng)絡(luò)，輸入為流量樣本特征為(x_i,y_i)的數(shù)據(jù)集和條件噪聲δ，每層輸出維度為256×512×1024×64，最終輸出為模擬合法網(wǎng)絡(luò)流量的樣本集X^*＝{x_i^*}，其激活函數(shù)選用LeakyReLU非線性函數(shù)；識(shí)別器的神經(jīng)網(wǎng)絡(luò)模型結(jié)構(gòu)是具有3層的前饋感知網(wǎng)絡(luò)，輸入為生成器網(wǎng)絡(luò)的輸出x_i^*，每層輸出維度為128×256×2，最終輸出為y′_i,y″_i，范圍為[0,1]，y′_i表示該輸入被判斷為非法樣本的置信度，y″_i表示該輸入被判斷為合法樣本的置信度，其輸出層采用tanh激活函數(shù)；

步驟3：選擇入侵檢測(cè)系統(tǒng)B

選擇一個(gè)現(xiàn)有的入侵檢測(cè)系統(tǒng)，對(duì)于所選入侵檢測(cè)系統(tǒng)要求：一是輸入網(wǎng)絡(luò)流量并獲得檢測(cè)結(jié)果，判斷輸入是否是合法網(wǎng)絡(luò)流量；二是收集誤報(bào)樣本集，所述誤報(bào)樣本集為合法網(wǎng)絡(luò)流量被識(shí)別為非法網(wǎng)絡(luò)流量的數(shù)據(jù)集；