本发明专利技术公开了一种基于交互行为分析的网络渗透识别方法,所述方法通过Sebek客户端采集蜜罐机的交互行为数据作为分析对象,对采集的数据进行特征提取和清洗、特征分类、特征编码形成一个特征序列;根据交互行为特征序列具有不定长和时序性的特点,采用LSTM模型作为攻击识别分类器,分别分析激活函数、损失函数和梯度下降算法并选取合适的作为本模型使用,然后通过多次超参数调参优化训练模型。本发明专利技术针对捕获行为数据特征的时序性进行建模,筛选特征减少特征维数并通过特征编码,提高模型的训练速度和精度。本发明专利技术通过反复参数调优训练,模型对渗透攻击识别的准确率和误报率明显优于其他模型。
A Network Permeation Recognition Method Based on Interactive Behavior Analysis
【技术实现步骤摘要】
一种基于交互行为分析的网络渗透识别方法
本专利技术涉及一种网络渗透识别方法,具体涉及一种基于交互行为分析的网络渗透识别方法。
技术介绍
网络渗透攻击是一种系统渐进型的综合攻击方式,其攻击目标是明确的,攻击目的往往不那么单一,危害性也非常严重。攻击者实施攻击的步骤是非常系统的,假设其获取了目标网络中网站服务器的权限,则不会仅满足于控制此台服务器,而是会利用此台服务器,继续入侵目标网络,获取整个网络中所有主机的权限。为了实现渗透攻击,攻击者采用的攻击方式不会仅此于一种简单的Web脚本漏洞攻击。攻击者会综合运用远程溢出、木马攻击、密码破解、嗅探、ARP欺骗等多种攻击方式。攻击者对远程服务器发起攻击时,一般通过SSH协议登录远程主机,然后通过命令对主机进行控制。为了观察入侵者,采用Sebek工具收集攻击行为。以往通过攻击行为对攻击类型进行识别,或者通过行为判别是不是攻击行为。关于攻击识别的论文较多,但只要是以下几种:第一是基于统计分析,这种方法能对数据统计中呈现出比较明显变化的异常具有很高的检测率,但通常需要一个确定的阈值,当行为模式变化时,阈值不能自适应调整;第二是基于数据挖掘,这种方法特别适用于海量的行为分析,挖掘出行为的联系,但挖掘算法对行为数据比较敏感;第三是基于机器学习,这种方法不需要领域专家的先验知识,但复杂度高,需要较长的训练时间。
技术实现思路
鉴于现有攻击识别方法存在的上述问题,本专利技术提供了一种具有更高准确率的基于交互行为分析的网络渗透识别方法。本专利技术的目的是通过以下技术方案实现的:一种基于交互行为分析的网络渗透识别方法,包括如下步骤:步骤一、数据预处理(1)利用Sebek技术对攻击行为进行捕获;(2)提取和清洗数据,去掉无效和奇异的数据,利用最大信息系数法获取特征关联度并对特征进行筛选;(3)将特征进行分类,使用独热编码方式将离散特征数值化,变成攻击识别模型能够接受的特征序列;步骤二、构建渗透攻击识别模型(1)选取长短时记忆循环神经网络对交互行为进行建模;(2)设置模型的隐藏层的激活函数为ReLU,输出层采用Softmax实现模型多分类输出;(3)采用交叉熵作为损失函数来描述模型实际输出与预期输出的差距;(4)使用基于时间反向传播算法BPTT对模型进行训练;步骤三、渗透攻击识别将步骤一处理后的特征序列输入步骤二训练好的模型中,根据输出确定是哪种类型的渗透攻击。相比于现有技术,本专利技术具有如下优点:1、本专利技术针对捕获行为数据特征的时序性进行建模,筛选特征减少特征维数并通过特征编码,提高模型的训练速度和精度。2、本专利技术通过反复参数调优训练,模型对渗透攻击识别的准确率和误报率明显优于其他模型。附图说明图1为基于LSTM的渗透攻击识别模型。具体实施方式下面结合附图对本专利技术的技术方案作进一步的说明,但并不局限于此,凡是对本专利技术技术方案进行修改或者等同替换,而不脱离本专利技术技术方案的精神和范围,均应涵盖在本专利技术的保护范围中。本专利技术提供了一种基于交互行为分析的网络渗透识别方法,如图1所示,所述方法具体步骤如下:步骤一、数据预处理(1)利用Sebek采集交互行为数据。Sebek是一种能捕获主机击键记录的安全工具,捕获的数据格式为:[时间戳IP地址进程ID命令用户ID]文本,其中,时间戳表示击键动作的时间;IP地址是蜜罐主机的IP地址;进程ID是运行的进程ID;命令是运行命令的前10个字符;用户ID是该进程拥有者的用户ID。Sebek分为客户端和服务端,Sebek客户端采集主机的交互行为,通过网络传输到Sebek服务器端。(2)提取和清洗数据,去掉无效和奇异的数据,利用最大信息系数法计算特征关联度并对特征进行筛选。最大信息系数一般会涉及到互信息,互信息表示如下:式中,I(x;y)代表互信息,x、y分别代表候选特征集中的两个特征,p(x)、p(y)分别代表x、y的边缘概率分布函数,p(x,y)分别x和y的联合概率分布函数。最大信息系数计算的公式如下:式中,MIC(x;y)代表最大信息系数,a和b分别代表横轴和纵轴方向划分的区间数,C是参数。对特征集进行筛选计算时采用MMIFS算法作为评估标准:式中,fi代表特征;G(fi)代表候选特征fi的评价函数;I(fi;y)中,y是类别,表示fi与类别y的互相信息量,即相关性;fs表示已选特征代表;β为比例系数,在0~1之间;|G|表示已选特征个数。(3)将特征进行分类,使用独热编码方式将离散特征数值化,变成攻击识别模型能够接受的特征序列。经过特征处理后的特征以向量形式存储,特征向量格式如下所示:Oi=(a1,a2,...,am,b1,b2,...,bn)(4);式中,Oi代表特征向量,a1,a2,...,am,b1,b2,...,bn代表特征编码序列,比如特征1编码010,特征2编码0001,编码序列就是0100001。步骤二、构建渗透攻击识别模型(1)根据交互行为的不定长和时序性特点,采用循环神经网络对交互行为进行建模。(2)选取ReLU作为隐藏层的激活函数,解决模型梯度消失并加快模型收敛速度,输出层用Softmax实现模型多分类输出。ReLU函数表达式如下所示:f(x)=max(0,x)(5);式中,x代表神经元的输入。3)经由softmax对输出层运算之后,单个节点的输出变成结果是该分类的可能性,交叉熵描述的是实际输出与预期输出的相似程度距离。若交叉熵越低,则表征实际输出与预期输出越接近。假设p是期望输出的概率,q是实际输出的概率,用H(p,q)表示交叉熵,则有:H(p,q)=-∑p(x)logq(x)(7);式中,p(x)代表边缘分布式概率函数,q(x)代表边缘分布概率函数。(4)利用基于时间反向传播算法BPTT训练算法,通过梯度下降的方法不断更新模型参数,迭代至最优停止。最优由梯度决定,理想是梯度全局最小为最优。比如梯度变化为0.2到0.1到0.05再到0.1,那么梯度为0.05时最优。步骤三、渗透攻击识别(1)将采集的交互行为利用步骤1)处理,得到特征序列。(2)将处理后的特征序列输入训练好的模型,根据输出确定是哪种类型的渗透攻击。本专利技术通过Sebek客户端采集蜜罐机的交互行为数据作为分析对象,对采集的数据进行特征提取和清洗、特征分类、特征编码形成一个特征序列;根据交互行为特征序列具有不定长和时序性的特点,采用LSTM模型作为攻击识别分类器,分别分析激活函数、损失函数和梯度下降算法并选取合适的作为本模型使用,然后通过多次超参数调参优化训练模型。最后对比实验分析LSTM模型在准确率上较RNN模型和HMM模型有较大优势(表1)。表1本文档来自技高网...
【技术保护点】
1.一种基于交互行为分析的网络渗透识别方法,其特征在于所述方法包括如下步骤:步骤一、数据预处理(1)利用Sebek技术对攻击行为进行捕获;(2)提取和清洗数据,去掉无效和奇异的数据,利用最大信息系数法获取特征关联度并对特征进行筛选;(3)将特征进行分类,使用独热编码方式将离散特征数值化,变成攻击识别模型能够接受的特征序列;步骤二、构建渗透攻击识别模型(1)选取长短时记忆循环神经网络对交互行为进行建模;(2)设置模型的隐藏层的激活函数为ReLU,输出层采用Softmax实现模型多分类输出;(3)采用交叉熵作为损失函数来描述模型实际输出与预期输出的差距;(4)使用基于时间反向传播算法BPTT对模型进行训练;步骤三、渗透攻击识别将步骤一处理后的特征序列输入步骤二训练好的模型中,根据输出确定是哪种类型的渗透攻击。
【技术特征摘要】
1.一种基于交互行为分析的网络渗透识别方法,其特征在于所述方法包括如下步骤:步骤一、数据预处理(1)利用Sebek技术对攻击行为进行捕获;(2)提取和清洗数据,去掉无效和奇异的数据,利用最大信息系数法获取特征关联度并对特征进行筛选;(3)将特征进行分类,使用独热编码方式将离散特征数值化,变成攻击识别模型能够接受的特征序列;步骤二、构建渗透攻击识别模型(1)选取长短时记忆循环神经网络对交互行为进行建模;(2)设置模型的隐藏层的激活函数为ReLU,输出层采用Softmax实现模型多分类输出;(3)采用交叉熵作为损失函数来描述模型实际输出与预期输出的差距;(4)使用基于时间反向传播算法BPTT对模型进行训练;步骤三、渗透攻击识别将步骤一处理后的特征序列输入步骤二训练好的模型中,根据输出确定是哪种类型的渗透攻击。2.根据权利要求1所述的基于交互行为分析的网络渗透识别方法,其特征在于所述Sebek分为客户端和服务端,Sebek客户端采集主机的交互行为,通过网络传输到Sebek服务器端。3.根据权利要求1所述的基于交互行为分析的网络渗透识别方法,其特征在于所述最大信息系数法...
【专利技术属性】
技术研发人员:杨武,
申请(专利权)人:哈尔滨英赛克信息技术有限公司,
类型:发明
国别省市:黑龙江,23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。