一种对抗性网络的网络攻击检测方法及系统技术方案

本发明专利技术提供一种对抗性网络的网络攻击检测方法及系统，可以基于历史访问数据，分析构建一个噪声模拟网络攻击模型，首先使用真实网络攻击流量训练所述噪声模拟网络攻击模型，模型自身还有不断复合、变异网络攻击的能力，当噪声模拟网络攻击模型训练完毕后，在接入机器学习模块，作为机器学习模块的模拟攻击源，不间断地攻击训练机器学习模块，帮助提升机器学习模块检测的能力。

A network attack detection method and system for adversarial network

The invention provides a network attack detection method and system for adversarial network, which can analyze and build a noise simulation network attack model based on historical access data. First, the noise simulation network attack model is trained by using real network attack traffic, and the model itself has the ability of continuously compounding and mutating network attacks. When the noise simulation network attack model is trained After accessing the machine learning module, as the simulated attack source of the machine learning module, it continuously attacks the training machine learning module to help improve the detection ability of the machine learning module.

【技术实现步骤摘要】
一种对抗性网络的网络攻击检测方法及系统
本申请涉及网络安全
，尤其涉及一种对抗性网络的网络攻击检测方法及系统。
技术介绍
现有的统计分析和机器学习虽然能检测恶意软件、恶意代码、恶意行为等，但还存在两个不足：一是，训练过程中攻击数据不足，远远少于正常数据，数据的不足和不平衡会导致检测模型失衡，无法正确检测攻击数据或者行为；二是，随着技术的发展，攻击者的攻击手段也在不断改变，然而这些攻击数据不会提前公开，无法将它们用于模型训练，导致模型无法检测未知的攻击数据。所以急需一种可以自我生成可使用的攻击数据，增强训练数据，提升检测模型性能的方法和系统。
技术实现思路
本专利技术的目的在于提供一种对抗性网络的网络攻击检测方法及系统，可以基于历史访问数据，分析构建一个噪声模拟网络攻击模型，首先使用真实网络攻击流量训练所述噪声模拟网络攻击模型，模型自身还有不断复合、变异网络攻击的能力，当噪声模拟网络攻击模型训练完毕后，在接入机器学习模块，作为机器学习模块的模拟攻击源，不间断地攻击训练机器学习模块，帮助提升机器学习模块检测的能力。第一方面，本申请提供一种对抗性网络的网络攻击检测方法，所述方法包括：获取历史访问数据，根据已知的网络攻击类型的特征，分析提取历史访问数据中攻击数据的特征向量；基于所述攻击数据的特征向量，构建噪声模拟网络攻击模型，应用该模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合；所述多种网络攻击复合包括同时具备若干种网络攻击的特征，或者连续进行若干种网络攻击，或变异网络攻击特征；将所述噪声模拟网络攻击模型作为对抗性网络的生成器，所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器；所述判别器根据两端输入的生成器输出流量和真实网络攻击流量，得出判别结果；如果判别结果为真时，表明生成器输出流量与真实网络攻击流量在特征向量上非常接近，判别器将相似度信息反馈给生成器；如果判别结果为假时，表明生成器输出流量与真实网络攻击流量在特征向量上差别很大，判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器；生成器根据判别器的反馈结果调整噪声模拟网络攻击模型的参数，再次生成新的输出流量；当判别器得到的判别结果为真的比率大于预先设置的阈值时，表明所述噪声模拟网络攻击模型训练完毕；将所述噪声模拟网络攻击模型接入机器学习模块，由所述噪声模拟网络攻击模型不间断随机生成网络攻击流量，供机器学习模块自我学习；所述机器学习模块借助所述噪声模拟网络攻击模型，不间断丰富各种网络攻击特征向量样本，对真实网络流量进行网络攻击检测，并将检测结果反馈给管理员，管理员可以定时根据检测结果调整所述噪声模拟网络攻击模型的参数，启动所述噪声模拟网络攻击模型的更新机制。结合第一方面，在第一方面第一种可能的实现方式中，所述变异网络攻击特征包括对已知的网络攻击特征向量做扩展，以及修改若干攻击的字段。结合第一方面，在第一方面第二种可能的实现方式中，所述判别器还会将判别的结果反馈给管理员，供管理员实时调整所述噪声模拟网络攻击模型的参数。结合第一方面，在第一方面第三种可能的实现方式中，所述噪声模拟网络攻击模型的更新机制，是指再次将所述噪声模拟网络攻击模型作为生成器，将生成器的输出流量送入所述判别器。第二方面，本申请提供一种对抗性网络的网络攻击检测系统，所述系统包括：获取单元，用于获取历史访问数据，根据已知的网络攻击类型的特征，分析提取历史访问数据中攻击数据的特征向量；构建单元，用于基于所述攻击数据的特征向量，构建噪声模拟网络攻击模型，应用该模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合；所述多种网络攻击复合包括同时具备若干种网络攻击的特征，或者连续进行若干种网络攻击，或变异网络攻击特征；生成器，用于将所述噪声模拟网络攻击模型作为对抗性网络的生成器，所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器；判别器，用于根据两端输入的生成器输出流量和真实网络攻击流量，得出判别结果；如果判别结果为真时，表明生成器输出流量与真实网络攻击流量在特征向量上非常接近，判别器将相似度信息反馈给生成器；如果判别结果为假时，表明生成器输出流量与真实网络攻击流量在特征向量上差别很大，判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器；所述生成器根据判别器的反馈结果调整噪声模拟网络攻击模型的参数，再次生成新的输出流量；当判别器得到的判别结果为真的比率大于预先设置的阈值时，表明所述噪声模拟网络攻击模型训练完毕；机器学习模块，用于接入所述噪声模拟网络攻击模型，由所述噪声模拟网络攻击模型不间断随机生成网络攻击流量，供机器学习模块自我学习；所述机器学习模块借助所述噪声模拟网络攻击模型，不间断丰富各种网络攻击特征向量样本，对真实网络流量进行网络攻击检测，并将检测结果反馈给管理员，管理员可以定时根据检测结果调整所述噪声模拟网络攻击模型的参数，启动所述噪声模拟网络攻击模型的更新机制。结合第二方面，在第二方面第一种可能的实现方式中，所述变异网络攻击特征包括对已知的网络攻击特征向量做扩展，以及修改若干攻击的字段。结合第二方面，在第二方面第二种可能的实现方式中，所述判别器还会将判别的结果反馈给管理员，供管理员实时调整所述噪声模拟网络攻击模型的参数。结合第二方面，在第二方面第三种可能的实现方式中，所述噪声模拟网络攻击模型的更新机制，是指再次将所述噪声模拟网络攻击模型作为生成器，将生成器的输出流量送入所述判别器。本专利技术提供一种对抗性网络的网络攻击检测方法及系统，可以基于历史访问数据，分析构建一个噪声模拟网络攻击模型，首先使用真实网络攻击流量训练所述噪声模拟网络攻击模型，模型自身还有不断复合、变异网络攻击的能力，当噪声模拟网络攻击模型训练完毕后，在接入机器学习模块，作为机器学习模块的模拟攻击源，不间断地攻击训练机器学习模块，帮助提升机器学习模块检测的能力。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术对抗性网络的网络攻击检测方法的流程图；图2为本专利技术对抗性网络的网络攻击检测系统的架构图。具体实施方式下面结合附图对本专利技术的优选实施例进行详细阐述，以使本专利技术的优点和特征能更易于被本领域技术人员理解，从而对本专利技术的保护范围做出更为清楚明确的界定。图1为本申请提供的对抗性网络的网络攻击检测方法的流程图，所述方法包括：获取历史访问数据，根据已知的网络攻击类型的特征，分析提取历史访问数据中攻击数据的特征向量；基于所述攻击数据的特征向量，构建噪声模拟网络攻击模型，应用该模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合；所述多种网本文档来自技高网...

【技术保护点】
1.一种对抗性网络的网络攻击检测方法，其特征在于，所述方法包括：/n获取历史访问数据，根据已知的网络攻击类型的特征，分析提取历史访问数据中攻击数据的特征向量；/n基于所述攻击数据的特征向量，构建噪声模拟网络攻击模型，应用该模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合；/n所述多种网络攻击复合包括同时具备若干种网络攻击的特征，或者连续进行若干种网络攻击，或变异网络攻击特征；/n将所述噪声模拟网络攻击模型作为对抗性网络的生成器，所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器；/n所述判别器根据两端输入的生成器输出流量和真实网络攻击流量，得出判别结果；如果判别结果为真时，表明生成器输出流量与真实网络攻击流量在特征向量上非常接近，判别器将相似度信息反馈给生成器；如果判别结果为假时，表明生成器输出流量与真实网络攻击流量在特征向量上差别很大，判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器；/n生成器根据判别器的反馈结果调整噪声模拟网络攻击模型的参数，再次生成新的输出流量；/n当判别器得到的判别结果为真的比率大于预先设置的阈值时，表明所述噪声模拟网络攻击模型训练完毕；/n将所述噪声模拟网络攻击模型接入机器学习模块，由所述噪声模拟网络攻击模型不间断随机生成网络攻击流量，供机器学习模块自我学习；/n所述机器学习模块借助所述噪声模拟网络攻击模型，不间断丰富各种网络攻击特征向量样本，对真实网络流量进行网络攻击检测，并将检测结果反馈给管理员，管理员可以定时根据检测结果调整所述噪声模拟网络攻击模型的参数，启动所述噪声模拟网络攻击模型的更新机制。/n...

【技术特征摘要】
1.一种对抗性网络的网络攻击检测方法，其特征在于，所述方法包括：
获取历史访问数据，根据已知的网络攻击类型的特征，分析提取历史访问数据中攻击数据的特征向量；
基于所述攻击数据的特征向量，构建噪声模拟网络攻击模型，应用该模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合；
所述多种网络攻击复合包括同时具备若干种网络攻击的特征，或者连续进行若干种网络攻击，或变异网络攻击特征；
将所述噪声模拟网络攻击模型作为对抗性网络的生成器，所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器；
所述判别器根据两端输入的生成器输出流量和真实网络攻击流量，得出判别结果；如果判别结果为真时，表明生成器输出流量与真实网络攻击流量在特征向量上非常接近，判别器将相似度信息反馈给生成器；如果判别结果为假时，表明生成器输出流量与真实网络攻击流量在特征向量上差别很大，判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器；
生成器根据判别器的反馈结果调整噪声模拟网络攻击模型的参数，再次生成新的输出流量；
当判别器得到的判别结果为真的比率大于预先设置的阈值时，表明所述噪声模拟网络攻击模型训练完毕；
将所述噪声模拟网络攻击模型接入机器学习模块，由所述噪声模拟网络攻击模型不间断随机生成网络攻击流量，供机器学习模块自我学习；
所述机器学习模块借助所述噪声模拟网络攻击模型，不间断丰富各种网络攻击特征向量样本，对真实网络流量进行网络攻击检测，并将检测结果反馈给管理员，管理员可以定时根据检测结果调整所述噪声模拟网络攻击模型的参数，启动所述噪声模拟网络攻击模型的更新机制。


2.根据权利要求1所述的方法，其特征在于，所述变异网络攻击特征包括对已知的网络攻击特征向量做扩展，以及修改若干攻击的字段。


3.根据权利要求1-2任一项所述的方法，其特征在于，所述判别器还会将判别的结果反馈给管理员，供管理员实时调整所述噪声模拟网络攻击模型的参数。


4.根据权利要求1-3任一项所述的方法，其特征在于，所述噪声模拟网络攻击模型的更新机制，是指再次将所述噪声模拟网络攻击模型作为生成器，将生成器的输出流量送入所述判别器。


5.一种对抗...

【专利技术属性】
技术研发人员：段彬，
申请(专利权)人：武汉思普崚技术有限公司，
类型：发明
国别省市：湖北;42