本發(fā)明涉及一種網(wǎng)絡(luò)攻擊樣本生成方法及裝置，在網(wǎng)絡(luò)監(jiān)測(cè)數(shù)據(jù)出現(xiàn)異常且無(wú)法識(shí)別異常類(lèi)型的監(jiān)測(cè)數(shù)據(jù)時(shí)，對(duì)其進(jìn)行人工識(shí)別和標(biāo)注，形成數(shù)據(jù)集，針對(duì)數(shù)據(jù)集采用PSO方法進(jìn)行特征選擇，并根據(jù)特征選擇的結(jié)果形成最終數(shù)據(jù)集，將其輸入到生成對(duì)抗網(wǎng)絡(luò)中以生成網(wǎng)絡(luò)攻擊樣本。本發(fā)明中首先使用PSO進(jìn)行特征選擇，可以提高樣本生成效率和分類(lèi)方法性能，再使用改進(jìn)的生成對(duì)抗網(wǎng)絡(luò)進(jìn)行樣本生成，解決了樣本不平衡的問(wèn)題。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)攻擊樣本生成方法及裝置。

背景技術(shù)

NIDS為基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，可以通過(guò)外部機(jī)器學(xué)習(xí)方法模型訓(xùn)練提升NIDS的入侵檢測(cè)效果，且一般采用離線訓(xùn)練在線檢測(cè)的策略，采用有監(jiān)督學(xué)習(xí)的分類(lèi)方法，即方法模型訓(xùn)練(將驗(yàn)證效果好的方法模型和參數(shù)固定下來(lái))和實(shí)際檢測(cè)(將模型移到NIDS設(shè)備上)分別進(jìn)行。

然而方法的訓(xùn)練效果(或者說(shuō)預(yù)測(cè)準(zhǔn)確度)受到方法和數(shù)據(jù)的多重影響。可能存在對(duì)某些類(lèi)型的網(wǎng)絡(luò)攻擊識(shí)別效率低的問(wèn)題。一種較為常見(jiàn)的情況是，當(dāng)通過(guò)外部措施發(fā)現(xiàn)未知網(wǎng)絡(luò)攻擊(此前NIDS不具備這種攻擊的檢測(cè)能力)，會(huì)通過(guò)人工標(biāo)注的方式構(gòu)建訓(xùn)練數(shù)據(jù)集，即人為將未知攻擊相關(guān)的網(wǎng)絡(luò)流量數(shù)據(jù)或網(wǎng)絡(luò)狀態(tài)檢測(cè)數(shù)據(jù)篩選出來(lái)，和其他數(shù)據(jù)混合后，構(gòu)建新的數(shù)據(jù)集，并用這個(gè)數(shù)據(jù)集重新對(duì)方法模型進(jìn)行訓(xùn)練，以使得模型具備這種未知攻擊的檢測(cè)能力。

然而，由于所謂未知攻擊必然是新發(fā)現(xiàn)的，其數(shù)據(jù)數(shù)量必然是稀少的，此時(shí)構(gòu)造的數(shù)據(jù)集，如果要保證足夠多的數(shù)據(jù)量，則數(shù)據(jù)集必然是不平衡的，即不同種類(lèi)數(shù)據(jù)(未知攻擊數(shù)據(jù)和其他類(lèi)型數(shù)據(jù))所占比例失衡。這種情況會(huì)對(duì)大多數(shù)有監(jiān)督學(xué)習(xí)的分類(lèi)方法造成效果下降的情況。

解決這種方法的原因，一般是進(jìn)行數(shù)據(jù)過(guò)采樣(重復(fù)復(fù)制稀少數(shù)據(jù))、欠采樣(刪減其他類(lèi)型的數(shù)據(jù)、縮小數(shù)據(jù)集)等方法解決，但這些方式普遍會(huì)改變?cè)紨?shù)據(jù)分布、并造成數(shù)據(jù)特征或樣本缺失、放大噪音，以及過(guò)擬合等問(wèn)題。

另一種方法偽樣本生成，即通過(guò)方法學(xué)習(xí)稀少類(lèi)型數(shù)據(jù)方法的數(shù)據(jù)特征，并生成和稀少類(lèi)型數(shù)據(jù)具有相同規(guī)律的偽樣本數(shù)據(jù)，方法的核心在于對(duì)數(shù)據(jù)規(guī)律的分析。常見(jiàn)方法如SMOTE、生成對(duì)抗網(wǎng)絡(luò)等。

其中生成對(duì)抗網(wǎng)絡(luò)可以通過(guò)生成器和鑒別器的零和博弈構(gòu)建接近或符合真實(shí)特點(diǎn)的偽樣本，并避免欠采樣和過(guò)采樣方法帶來(lái)的各種問(wèn)題。然后一般的生成對(duì)抗存在梯度消失和模式崩潰等問(wèn)題，因此目前也出現(xiàn)了多種功能生成對(duì)抗網(wǎng)絡(luò)的改進(jìn)型。

然而在不同的領(lǐng)域(例如圖像樣本生成、自然語(yǔ)言樣本生成等)，不同的生成對(duì)抗網(wǎng)絡(luò)類(lèi)型具有差別較大的效果，如何在網(wǎng)絡(luò)入侵檢測(cè)領(lǐng)域得到一個(gè)更適合、更有效地生成對(duì)抗網(wǎng)絡(luò)、以及樣本生成流程，是本文研究改進(jìn)的問(wèn)題。

另一方面，如何更有效地評(píng)估和保障生成樣本的效果，以及如何更好的適配多類(lèi)型的攻擊檢測(cè)方法(有監(jiān)督學(xué)習(xí)的分類(lèi)方法)，也是一個(gè)本文研究改進(jìn)的問(wèn)題。如果缺乏獨(dú)立評(píng)估和保障生成樣本效果的方法或策略，則必須將生成數(shù)據(jù)直接輸入到攻擊檢測(cè)方法進(jìn)行測(cè)試評(píng)估，但此時(shí)的測(cè)試效果取法區(qū)分是生成數(shù)據(jù)的問(wèn)題還是攻擊檢測(cè)方法的問(wèn)題，即造成數(shù)據(jù)生成和攻擊檢測(cè)環(huán)節(jié)的緊耦合，可能需要進(jìn)行聯(lián)合優(yōu)化，這會(huì)造成這兩個(gè)環(huán)節(jié)的優(yōu)化調(diào)整變得困難。

由于不同攻擊檢測(cè)方法可能對(duì)不同類(lèi)型攻擊的檢測(cè)效果不同，因此如果對(duì)攻擊檢測(cè)方法(類(lèi)型)具有較多限定和綁定，則可能造成檢測(cè)效果的降低。此外，由于攻擊檢測(cè)方法自身存在持續(xù)更新、持續(xù)改進(jìn)的可能，如果樣本生成方法和攻擊檢測(cè)方法綁定過(guò)緊，則不利于持續(xù)改進(jìn)。

發(fā)明內(nèi)容

基于現(xiàn)有技術(shù)的上述情況，本發(fā)明的目的在于提供一種網(wǎng)絡(luò)攻擊樣本生成方法及裝置，通過(guò)粒子群優(yōu)化方法(PSO，以下簡(jiǎn)稱(chēng)“PSO”)方法進(jìn)行特征選擇，降低生成對(duì)抗網(wǎng)絡(luò)面對(duì)的特征維度，降低噪音干擾，提升樣本生成的效率。

為達(dá)到上述目的，根據(jù)本發(fā)明的一個(gè)方面，提供了一種網(wǎng)絡(luò)攻擊樣本生成方法，包括步驟：

收集網(wǎng)絡(luò)監(jiān)測(cè)數(shù)據(jù)；