【技术实现步骤摘要】
入侵检测模型的鲁棒性测定方法、系统、存储介质及终端
[0001]本专利技术属于机器学习
,尤其涉及一种入侵检测模型的鲁棒性测定方法、系统、存储介质及终端。
技术介绍
[0002]目前,无论是企业还是个人用户每天上网时都面临着各种各样的安全威胁,例如钓鱼邮件中的恶意链接或者恶意软件的非法操作等,这些日新月异的攻击手段给用户带来了极大的安全困扰,造成了严重的安全威胁。如今网络安全已成为数据保护和网络完整性、可用性的关键问题,防御者通常授权和控制各种网络安全技术和工具,包括入侵检测系统(Intrusion Detection System,IDS)、恶意软件检测、防火墙、反病毒和反垃圾邮件等系统,对网络、端点和应用程序的访问,以检测和防止各种威胁和恶意活动在网络中传播,保护敏感服务和数据免受入侵。
[0003]入侵检测系统,是网络系统中的一个基本组件,可以用于监控和分析实时网络流量以及可疑、异常活动的任何症状,并在发现入侵时发出警报。作为一种强有的检测工具,IDS的目标就是提供高效率的自动化检测服务。而由于传统的检测...
【技术保护点】
【技术特征摘要】
1.一种入侵检测模型的鲁棒性测定方法,其特征在于,所述入侵检测模型的鲁棒性测定方法在入侵检测模型返回分类标签的黑盒场景中采用入侵检测模型的自动鲁棒性测试策略,将模型提取和测试过程相结合;流量测试样本的生成在网络协议格式的约束下对抗性流量示例变形;利用自动提取目标机器学习模型分类器的原型框架对目标IDS系统执行模型提取;在向目标模型发送查询并获取标签之后,数据用作本地替代模型的训练数据集;使用本地白盒测试来寻找本地替代模型上的对抗性样本,并利用本地模型的对抗样本对目标模型进行鲁棒性测试;使用对抗样本执行黑盒迁移测试,生成的测试流量对抗样本。2.如权利要求1所述的入侵检测模型的鲁棒性测定方法,其特征在于,所述入侵检测模型的鲁棒性测定方法包括以下步骤:第一步,采用针对性矩阵、空间遍历、代表性数据集迁移三种适合网络流量场景的查询构造合成查询,注意对于其它的用于模型提取的流量数据构造方案都属于本发明的保护范围内,此处构造使用了3种合成查询实例来说明本发明的可行性和有效性;第二步,目标模型提取,将构造的查询向目标IDS发送,结合返回的标签信息构成本地模型训练数据集;第三步,采用增加流量中载荷长度、增加流量的包数量、更改流量中部分包的时间戳生成流量对抗样本,注意其它的用于模型测试的流量样本特征的修改方案也应都属于本发明的保护范围内,此处构造介绍了3种修改方法实例来说明本发明的可行性和有效性;第四步,选择的白盒测试方法PGD寻找本地替代模型上的对抗性样本;第五步,黑盒迁移,将黑盒抽象为一个优化问题,通过求解以下优化问题来给出本地迁移的方向。3.如权利要求2所述的入侵检测模型的鲁棒性测定方法,其特征在于,所述第一步采用针对性矩阵、空间遍历、数据集迁移三种适合网络流量场景的代表性查询构造合成查询的针对性矩阵:一个由单位矩阵和零行向量组成的相关矩阵M:其中d是目标模型维度的编号;M的每一行中的元素1对应于目标模型的权重系数向量中的项,用于求解相应的参数,M中的零行求解目标模型的截距;空间遍历,预先判断流量样本中每个特征的值范围,根据算术序列遍历每个特征空间,随机打乱每个特征列中的样本,将所有特征列连接到合成数据集中,构造样本;数据集迁移,采用IDS中具有代表性的流量数据集。4.如权利要求2所述的入侵检测模型的鲁棒性测定方法,其特征在于,所述第二步目标模型提取,将构造的查询向目标IDS发送,结合返回的标签信息构成本地模型训练数据集引入集成学习,并用autoML实现集成学习。5.如权利要求2所述的入侵检测模型的鲁棒性测定方法,其特征在于,所述第三步采用增加流量中载荷长度、增加流量的包数量、更改流量中部分包的时间戳生成流量对抗样本
中增加流量中载荷长度,流量数据包的载荷长度通过添加无意义的字符进行更改,也可以添加无意义的字符实现恶意数据包长度的改变;修改后的payloa...
【专利技术属性】
技术研发人员:李晖,闫皓楠,王瑞,郭子尧,郑献春,赵兴文,李凤华,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。