【技术实现步骤摘要】
一种基于改进自编码器的特征提取及漏洞利用攻击检测方法
[0001]本专利技术属于网络安全恶意入侵检测领域,涉及一种基于改进自编码器的特征提取及漏洞利用攻击检测方法。
技术介绍
[0002]近些年网络规模正逐渐扩大,人们对互联网的依赖程度与日俱增,但随之也产生了更多的安全问题。针对用户系统中存在的安全漏洞,攻击者通过输入提交一些有特殊目的的特殊数据来实现对漏洞的利用,进而发起攻击。随着高危漏洞问题的频繁曝光,漏洞利用攻击行为也频繁发生,给当前的网络环境带来了极大的危害。因此对网络流量中漏洞利用攻击的识别和检测在网络安全保护方面发挥着不容忽视的作用。近年来,一些浅层学习方法如K近邻算法、支持向量机算法在入侵检测领域发挥了良好的性能,但由于此类方法对数据样本的要求以及复杂函数的表示能力有一定的限制,因此在面临复杂问题时浅层学习算法存在着一定的局限性。
[0003]卷积自编码器(CAE)是在传统自编码器的基础上发展而来的,它利用了传统自编码器无监督的学习方式,在此之上结合了卷积神经网络的卷积和池化操作来完成编码和解码,进而实...
【技术保护点】
【技术特征摘要】
1.一种基于改进自编码器的特征提取及漏洞利用攻击检测方法,其特征在于,包括如下步骤:步骤1,对采集的恶意流量进行数值化、标准化、归一化和矩阵化预处理操作;步骤2,应用基于改进自编码器的特征提取方法对预处理后的网络流量进行特征提取,以得到原始数据的最优特征表示;步骤3,将提取到的特征用于分类模型的训练,对不同的漏洞利用攻击行为进行分类识别;步骤4,根据步骤3所得的识别结果,得出漏洞利用攻击检测报告。2.如权利要求1所述方法,其特征在于,所述步骤1的具体实现包括如下内容:步骤1.1,采用one
‑
hot编码方式将数据样本中的协议类型、网络服务类型、网络连接状态等字符性的属性转换为数值型;步骤1.2,利用z
‑
score标准化方法对经过数值化处理后的网络流量进行标准化处理,首先计算样本集各属性的平均值表示第i条数据的平均值;和平均绝对误差S
k
,S
k
表示第k个属性的平均绝对误差;然后对每条数据进行标准化度量,从而让标准化后的每条数据记录中的各个属性都对应标准化取值;步骤1.3,采用离差标准化方法对经过标准化处理后的数据集进行归一化处理,使得数据样本在不同维度之间存在可比性;步骤1.4,针对归一化处理后的数据集,通过填充数字0将原始1维的41个特征属性样本集扩充到64个特征,并将其转换为8
×
8的2维数据,从而得到特征提取模型的规范输入,所述41项特征分为TCP连接基本特征、TCP连接的内容特征、基于时间的网络流量统计特征、基于主机的网络流量统计特征4大类,下面按顺序解释各个特征的含义:1.连接基本特征基本连接特征包含了一些连接的基本属性,如连续时间,协议类型,传送的字节数;1)Duration.表示连接持续的时间的特征名,单位为秒,连续类型值;2)Protocol_Type.表示协议类型的特征名,离散类型值;3)Service.表示目标主机的网络服务类型,离散类型值;4)Flag.表示连接正常或错误的状态,离散类型值;5)Src_bytes.表示从源主机到目标主机的数据的字节数,连续类型值;6)Dst_bytes.表示从目标主机到源主机的数据的字节数,连续类型值;7)Land.表示连接是否来自同一个主机/端口,若连接来自/送达同一个主机/端口则为1,否则为0,离散类型值;8)Wrong Fragment.表示错误分段的数量,连续类型值;9)Urgent.表示加急包的个数,连续类型值;2.连接的内容特征10)Hot.访问系统敏感文件和目录的次数,连续类型值;11)Num Failed Logins.登录尝试失败的次数,连续类型值;12)Logged in.表示是否成功登陆,如果成功登录则为1,否则为0,离散类型值;13)Num Compromised.表示compromised条件出现的次数,连续类型值;
14)Root Shell.指获得超级用户权限。表示是否获得root shell权限,若获得则为1,否则为0,离散类型值;15)Su Attempted.表示是否出现“su root”命令,若出现则为1,否则为0,离散类型值;16)Num Root.表示root用户访问的次数,连续类型值;17)Num File Creations.表示进行创建文件操作的次数,连续类型值;18)Num Shells.表示使用shell命令的次数,连续类型值;19)Num Access Files.表示访问控制文件的次数,连续类型值;20)Num_outbound_cmds.表示一次FTP会话过程中出站连接的次数,连续类型值;21)Is Hot Login.表示登录用户是否属于“hot”列表,如果属于则取值为1,否则取值为0,离散类型值;22)Is Guest Login.表示是否为Guest用户登陆,若是则为1,否则为0,离散类型值;3.基于时间的网络流量统计特征23)Count.表示在当前连接前两秒这个时间段,和当前连接具有目标主机相同的连接数,连续类型值;24)Srv Count.表示在当前连接前两秒这个时间段,服务类型与当前连接相同的连接数,连续类型值;25)Serror Rate.表示在当前连接前两秒这个时间段,目标主机与当前连接相同且出现“SYN”错误的连接百分比,连续类型值;26)Srv Serror Rate.表示在当前连接前两秒这个时间段,服务类型与当前连接相同且出现“SYN”错误的连接百分比,连续类型值;27)Rerror Rate.表示在当前连接前两秒这个时间段,目标主机与当前连接相同且出现“REJ”错误的连接百分比,连续类型值;28)Srv Rerror Rate.表示在当前连接前两秒这个时间段,服务类型与当前连接相同且出现“REJ”错误的连接百分比,连续类型值;29)Same Srv Rate.表示在当前连接前两秒这个时间段,目标主机和服务类型与当前连接都相同的连接百分比,连续类型值;30)Diff Srv Rate.表示在当前连接前两秒这个时间段,目标主机与当前连接相同...
【专利技术属性】
技术研发人员:陈锦富,耿晔,赵玲玲,蔡赛华,陈海波,施登州,
申请(专利权)人:江苏大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。