一種基于雙域VAE的零日多步威脅識別方法，基于VAE的網絡攻擊防御模型，利用監督學習技術，實現基本的已知多步威脅檢測；再利用VAE的雙域，實現零日多步威脅的識別；整體分為以下主要步驟：進行多步攻擊實驗收集網絡攻擊流量數據；對多步攻擊數據集分別進行特征提取和數據預處理；通過雙域損失對公開的多步攻擊數據集進行訓練；設計一種雙域防御策略及搭建一個深度神經網絡分類器，實現零日威脅的識別及已知多步威脅檢測。本發明的方法能夠適應資源受限的物聯網環境且不依賴于昂貴的入侵檢測系統軟件，另外能對未知的多步攻擊威脅進行有效發現。

技術領域

本發明涉及物聯網多步攻擊檢測領域，尤其涉及一種基于雙域變分自編碼器(Variational?Auto-Encoder,VAE)的零日多步威脅識別方法。

背景技術

隨著人工智能、大數據以及5G等新技術的發展，物聯網(Internet?of?Things,IoT)信息時代已經到來。作為物聯網的重要組成部分，智能家居存在著大量的物聯網設備，這些設備常常被部署在物聯網的邊緣端，與人們的日常生活息息相關。一旦這些設備被攻擊或入侵，會帶來嚴重的隱私泄露以及人身安全問題。當前，物聯網設備存在的主要安全風險包括Mirai僵尸網絡、分布式拒絕服務(Distributed?Denial?of?Service，DDoS)、拒絕服務(Denial?of?Service，DoS)、干擾、欺騙、中間人(Man-in-the-Middle，MITM)攻擊、隱私泄漏等。其中，造成這些設備容易受到攻擊的主要原因是其有限的計算資源和長久不更新的設備固件。

為了保護物聯網設備，入侵檢測系統(Intrusion?Detection?System，IDS)常常被部署去檢測網絡威脅。傳統的IDS主要采用防火墻，密碼學等技術，但是這些技術的部署需要占據大量的計算資源，在傳統網絡中是適用的，針對資源受限的物聯網環境來說存在一定的挑戰。另外，這些傳統的IDS通過預定義的規則和專家經驗來建立網絡的入站規則，對于經常超出規則和協議行為的物聯網來說難以適用，因為物聯網環境的復雜和動態性。

近年來，人工智能技術的快速發展為其提供了一個很好的解決方案，它能夠有效的識別物聯網的異常事件，并且在單步攻擊檢測方面取得了極大的成功。然而，現實世界的網絡攻擊通常是精心策劃的多步攻擊，這些攻擊往往是未知的，即所謂的零日多步威脅。現有的基于人工智能的物聯網IDS利用大量已知威脅樣本進行訓練學習，從而建立一個具有攻擊識別能力的智能IDS。但是該IDS僅限于識別已知威脅或相類似的威脅，難以對未知的零日多步威脅進行有效的判斷，這帶來了全新的挑戰。因此，設計一種能夠同時識別已知多步威脅和未知多步威脅的物聯網設備保護系統具有重要的意義。

發明內容

為了克服零日多步威脅檢測問題，本發明提出一種基于雙域VAE的零日多步威脅識別方法，基于VAE的網絡攻擊防御模型，利用監督學習技術，實現基本的已知多步威脅檢測，再利用VAE的雙域，即重構域和潛域，實現零日多步威脅的識別。

為了實現上述目標，本發明提供如下的技術方案：

一種基于雙域VAE的零日多步威脅識別方法，所述方法包括以下步驟：

(1)搭建智能家居平臺，并進行多步攻擊實驗來收集網絡攻擊流量數據；

(2)對收集的實驗數據和公開可用的多步攻擊數據集分別進行特征提取和數據預處理工作；

(3)搭建基于VAE的網絡模型，通過雙域損失對公開的多步攻擊數據集進行訓練；

(4)設計一種雙域防御策略并且將收集的實驗數據作為零日多步威脅進行驗證測試，實現零日威脅的識別；

(5)搭建一個深度神經網絡(DNN)分類器，利用多分類交叉熵損失對已知的多步威脅進行監督訓練，實現已知多步威脅檢測。

所述步驟(1)中，多步攻擊實驗數據收集的步驟如下：