【技术实现步骤摘要】
基于深度信念网络-支持向量数据描述的APT攻击检测方法
本专利技术涉及云计算安全
,具体涉及基于深度信念网络-支持向量数据描述的APT攻击检测方法。
技术介绍
在全球网络信息化程度高速发展的大背景下,具备隐蔽性、渗透性和针对性的高级持续性威胁(APT,advancedpersistentthreat)对各类高等级信息安全系统造成的威胁日益严重,针对特定目标的有组织的APT攻击日益增多,国家、企业的网络信息系统和数据安全面临严峻挑战。例如,2008年中国长城网遭遇到美国国防部网络黑客的攻击渗透,被植入后门并窃取情报;2010年的“震网”经过多年的准备和潜伏,成功攻击了位于物理隔离内网中的工业控制系统,迟滞了伊朗的核计划;2011年的“夜龙行动”窃取了多个跨国能源巨头公司的高度敏感内部文件;2012年的超级病毒“火焰”成功获取了中东各国大量的机密信息。可以看出,APT攻击已经对各类关键信息基础设施安全造成巨大威胁,开展APT攻击防御工作刻不容缓。在APT攻击防御工作中,攻击检测是安全防护和加固的前提和依据,也是APT攻击防御中最困难的部分,因此检测技术已成为当前APT攻击防御领域的研究热点。然而,从典型案例来看,APT攻击是长期的、持续性的网络攻击,攻击行为藏匿在正常行为中难以被发觉。此外,传统的攻击检测技术往往只能识别检测出较为明显的异常或攻击行为,用来检测隐匿在正常行为中的APT攻击并不能得到理想的检测结果且无法有效处理数据量极大的数据集。所以,传统的攻击检测技术大多无法有效检测APT攻击。现有的APT攻击检测方案分沙箱方法、异常检测方法和全流量审计 ...
【技术保护点】
1.一种基于深度信念网络‑支持向量数据描述的APT攻击检测方法,其特征在于,包含以下步骤:S1、收集数据,使用网络流量抓包软件来获取网络数据流量信息,作为检测APT的数据;S2、数据的特征提取,数据通过空间向量模型转换,转化为向量之间的相似性问题,通过计算信息熵及每个词的信息增益即可进行特征提取,为使特征量纲相同和取值范围相同,需进一步标准化;S3、DBN训练神经网络,设计的DBN包含低层的RBM,高层的RBM和BP神经网络,在RBM中包含可见单元,隐藏单元,可见单元v是表示特征,隐藏单元h是学习表示特征,建立RBM层之间的连接,相同级别的单元之间没有连接,即可见‑可见或隐藏‑隐藏连接,对RBM输入数据对其进行训练,使用对数似然的方法来训练RBM,来找到参数θ的值,使得能量最小化;S4、使用DBN模型对数据降维,低层RBM进行初步降维后再使用高层RBM接收从低层RBM传来的简单表征里学习更抽象复杂的表征,并运用BP神经网络反复微调结构参数,提取出特征优秀的数据,直至产生准确度较高的训练模型;S5、SVDD模型识别检测阶段,在高维特征空间中找寻一个尽可能将所有训练样本都包围起来的最小超球 ...
【技术特征摘要】
1.一种基于深度信念网络-支持向量数据描述的APT攻击检测方法,其特征在于,包含以下步骤:S1、收集数据,使用网络流量抓包软件来获取网络数据流量信息,作为检测APT的数据;S2、数据的特征提取,数据通过空间向量模型转换,转化为向量之间的相似性问题,通过计算信息熵及每个词的信息增益即可进行特征提取,为使特征量纲相同和取值范围相同,需进一步标准化;S3、DBN训练神经网络,设计的DBN包含低层的RBM,高层的RBM和BP神经网络,在RBM中包含可见单元,隐藏单元,可见单元v是表示特征,隐藏单元h是学习表示特征,建立RBM层之间的连接,相同级别的单元之间没有连接,即可见-可见或隐藏-隐藏连接,对RBM输入数据对其进行训练,使用对数似然的方法来训练RBM,来找到参数θ的值,使得能量最小化;S4、使用DBN模型对数据降维,低层RBM进行初步降维后再使用高层RBM接收从低层RBM传来的简单表征里学习更抽象复杂的表征,并运用BP神经网络反复微调结构参数,提取出特征优秀的数据,直至产生准确度较高的训练模型;S5、SVDD模型识别检测阶段,在高维特征空间中找寻一个尽可能将所有训练样本都包围起来的最小超球,将DBN处理后的数据用SVDD进行训练学习,并以该最小超球体的决策边界对数据进行分类和描述;S6、结果验证,通过SVDD中决策函数f(x)进行判断,当f(x)≥0时,该样本为正常数据样本,否则为异常数据样本,且产生相应的警告,故通过基于DBN-SVDD深度学习检测方法即可实现APT的攻击检测。2.如权利要求1所述的基于深度信念网络-支持向量数据描述的APT攻击检测方法,其特征在于,所述的步骤S2具体包含:S21、统计样本数据中文档总数N,统计每个词的正文档出现频率A、负文档出现频率B、正文档不出现频率C、负文档不出现频率D,计算每个词的卡方值,公式为最后将每个词按卡方值从大到小排序,选取K个词作为特征,K即特征维数;S22、统计正负分类的文档数:N1、N2,然后计算信息熵,公式为计算每个词的信息增益,公式为将每个词按信息增益值从大到小排序,选取K个词作为特征,K即特征维数;S23、z-score规范化的具体操作步骤如下所示:用公式进行线性函数转换,然后用公式y=log10(x)进行对数函数转换,用公式进行反余切函数转换,最后对每个特征向量进行标准化,公式为其中,means表示均值,variance表示方差。3.如权利要求1所述的基于深度信念网络-支持向量数据描述的APT攻击检测方法,其特征在于,所述的步骤S3具体包含:S31、在RBM中可见单元v为表示特征,隐藏单元h为学习表示特征,即它将来自维度为n的输入空间的输入向量v映射到维度为d=|h|的特征空间里,其中p(v,h)是隐藏和可见向量的联合分布;S32、给定数据集Dm×n作为输入,RBM将其映射到Xm×d中,在RBM中,相同级别的单元之间没有连接,即可见-可见或隐藏-隐藏连接,并且图的两层用隐藏和可见单元对之间的对称权重W连接;S33、在原始的RBM架构中,隐藏和可见向量的联合分布p(v,h)是根据能量函数E(v,h)定义的,假设输入向量是具有方差σ的高斯随机变量,则该高斯伯努利RBM的能量函数E(v,h)可以表示为:其中vi和hj分别是具有wi,j的对称权重的可见v层和隐藏h层的第i和第j个单元,以及相应的偏差ci和bj,因此p(v,h)的公式如下所示:其中,Z是称为分区函数的归一化因子,并且计算公式为:Z=∑v,he-E(v,h)S34、隐含层h是二进制的,并且隐藏单元是伯努利随机变量,而输入单元可以是二进制或实值;联结配置的值由相对于网络参数的值来确定其计算公式为:θ=(W,b,c)其中,b和c分别是对隐藏层和可见层的偏差,给定二元隐藏单元hj,由于隐藏单元之间没有连接,所以可以直接计算条件分布P(h|v):并且类似地,由于在可见单元之间没有连接,因此:其中,是逻辑S型函数和N(μ,σ)表示具有均值μ和方差σ的高斯分布,训练RBM意味着找到参数θ的值,使得...
【专利技术属性】
技术研发人员:张文杰,韩德志,王军,毕坤,
申请(专利权)人:上海海事大学,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。