一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用技术

本发明专利技术提供了一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用，所述快速网络攻击回溯挖掘方法包括以下步骤：构建基于后向卷积神经网络的后向序列挖掘模型：通过高阶正向通道预先训练后向序列挖掘模型以获得每层的输出，构建损失函数并将其降至最低；构建确定性包标记模型:引入两个路由器负载阈值Min、Max；如果负载在Min和Max之间，则标记数据包，若不在则转发，判断目的地选项头DOH是否存在，若已经存在，路由器将只编码入口地址并转发该数据包，如果不存在，则应通过创建DOH对入口地址进行编码，并传输数据包；利用确定性包标记模型解决数据负载问题后，重建挖掘序列。本发明专利技术有利于主动发现潜伏在公司信息网络中的高级、持续性攻击行为。

A fast network attack backtracking mining method based on convolutional neural network and its application

【技术实现步骤摘要】
一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用
本专利技术涉及电力信息安全
，特别是涉及一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用。
技术介绍
当前，网络攻击的复杂性在增加，企业、组织对网络系统保护的意识也在进一步强化。企业开始使用网络安全技术解决或缓解网络安全威胁问题，由于网络及各类设备的普及应用，企业为了解决网络安全问题，在企业内部部署了许多安全产品，如入侵检测系统(IDS)、入侵防御系统(IPS)、防火墙、Web应用防护系统(WAF)、VPN等，但这些产品的应用在满足了人们保护网络环境的目的的同时，还衍生了新的问题，总结起来表现为：在对全网范围的告警事件进行实时监测时，难度极大，既难从泛滥的实时攻击告警中分析出真正的威胁，也不能实时监测复杂攻击。针对上述问题，国网公司于2015年开始筹建网络与信息安全预警分析平台(即SG-S6000平台)，其总体目标是加强公司人员、组织、设备、应用四方面资源基础管理。预警分析平台规划实现网络设备、系统主机、内外网及移动终端、应用系统、网络流量、物理监控和公开情报等7大类的数据采集，具本文档来自技高网...

【技术保护点】
1.一种基于卷积神经网络的快速网络攻击回溯挖掘方法，其特征在于，包括以下步骤：/n步骤1，构建基于后向卷积神经网络的后向序列挖掘模型：/n通过高阶正向通道预先训练后向序列挖掘模型以获得每层的输出，构建损失函数并将其降至最低；/n步骤2，构建确定性包标记模型:/nS1，判断步骤1输出的数据包是否为负载，若是，则进行以下步骤，若不是直接将其转发接收新的数据包；/nS2，引入两个路由器负载阈值，Min、Max；/nS3，若所述负载低于Min或高于Max时，则标记为没有数据包并转发；如果负载在Min和Max之间，则标记数据包；/nS4，判断目的地选项头DOH是否存在，如果已经存在，路由器将只编码入口地...

【技术特征摘要】
1.一种基于卷积神经网络的快速网络攻击回溯挖掘方法，其特征在于，包括以下步骤：
步骤1，构建基于后向卷积神经网络的后向序列挖掘模型：
通过高阶正向通道预先训练后向序列挖掘模型以获得每层的输出，构建损失函数并将其降至最低；
步骤2，构建确定性包标记模型:
S1，判断步骤1输出的数据包是否为负载，若是，则进行以下步骤，若不是直接将其转发接收新的数据包；
S2，引入两个路由器负载阈值，Min、Max；
S3，若所述负载低于Min或高于Max时，则标记为没有数据包并转发；如果负载在Min和Max之间，则标记数据包；
S4，判断目的地选项头DOH是否存在，如果已经存在，路由器将只编码入口地址，然后转发该数据包，如果不存在，则应通过创建DOH对入口地址进行编码，并传输数据包；
S5，在程序的重建过程中，应根据受到攻击的主机决定是否搜索DOH，如果存在，受攻击的主机将提取地址，然后将地址放入地址表中；
步骤3，利用步骤2的确定性包标记模型解决数据负载问题后，重建挖掘序列。


2.如权利要求1所述的基于卷积神经网络的快速网络攻击回溯挖掘方法，其特征在于，所述步骤1中，利用截断的支持向量机压缩后向序列挖掘模型的输出层，以加速后向序列挖掘模型的计算速度。


3.如权利要求1所述的基于卷积神经网络的快速网络攻击回溯挖掘方法，其特征在于，所述步骤1中，在后向序列挖掘模型更新过程...

【专利技术属性】
技术研发人员：何金，赵迪，董阳，李妍，张国强，李洁，
申请(专利权)人：国网天津市电力公司，国家电网有限公司，
类型：发明
国别省市：天津;12