本发明专利技术提供的一种基于多模组学习的网络攻击免疫防御方法,其目标是在攻击发生时立即捕获攻击特征,并检测出相应的攻击并进行防御,从而确保整个系统的网络安全。主要功能是发现、收集、报告、计划阻止或阻止恶意活动。入侵防御系统是入侵检测系统的扩展,本发明专利技术将两者融合为一体;信息和物理的耦合特性使得信息物理两侧通常相互关联,并遵循一定的物理规律或人为既定规则,本发明专利技术结合信息侧和物理侧单侧的多源数据,对多模态数据进行感知,自学习的方法使得其不断在认知学习中进行检测异常;最终,提供相应的预测与预警,挖掘精心设计的隐蔽攻击行为,为信息侧的攻击溯源/阻断、网络资源调整提供支撑。资源调整提供支撑。资源调整提供支撑。
【技术实现步骤摘要】
一种采用多模组学习的网络攻击免疫防御方法及系统
[0001]本专利技术涉及网络技术与信息安全领域,尤其涉及一种采用多模组学习的网络攻击免疫防御方法及系统。
技术介绍
[0002]随着通信、计算能力极大的提升,网络数字设备数量大量增加,同时信息与物理的关系愈加强耦合,然而这也引入了更多网络攻击的风险,使得人们在维护系统的信息与通信技术的网络安全时存在相当大的难度。在已知流行的网络安全防范体系中,防火墙技术是对入侵行为防御的第一道防线,入侵检测系统则是对防火墙技术的补充,两者的结合一定程度上防御网络攻击,然而传统的入侵检测和防火墙存在一些缺陷,如只能区分特定的行为,对于迂回的、隐蔽的入侵行为检测表现得效果一般。而入侵检测与防御系统(intrusion detection and prevention system,IDPS)以入侵检测为基础,对网络能够进行全面、深度、主动的保护,在防御网络攻击方面取得了良好的性能,因此研究入侵防御系统对保护系统安全具有重大意义。
[0003]入侵检测(intrusion detection system,IDS)是指识别出针对计算机或网络资源的恶意攻击的行为并对此做出反应的过程。IDS方案主要分为误用检测和异常检测。误用检测即基于签名的系统在很大程度上依赖于攻击和恶意行为的签名,并支持多类分类,基于误用检测的方法在识别已知恶意行为及其变体方面更准确。然而,无法检测到新的攻击,因为新的攻击的签名没法获得。另一方面,基于异常检测的IDS可以依靠用户的正常行为特征来检测新的攻击,并且只支持二分类。然而,在用户角色偶尔变化的动态组织中,他们的个人资料应该相应地更新。此外,异常检测方案可能会有误报问题。
[0004]入侵检测和防御系统(IDPS)是监视系统或网络中的可疑活动或异常行为并对其采取适当操作的系统。入侵检测系统(IDS)在网络中只检测到恶意活动并向管理员发出警报,以便管理员必须决定如何处理这些警报。入侵防御系统(intrusion prevention system,IPS)系统除了生成警报外,它还可以自动对异常活动做出反应,可以阻止攻击源或重置连接。在所有类型的这些系统中,最常被考虑的是它们会产生大量的错误警报。减少这些错误警报的方法之一是使用结合了两种或两种以上技术的优点的混合系统。IDPS系统的目标是在攻击成功之前阻止攻击,并采取多种措施来防止网络受到不同类型的攻击,如DoS攻击和FTP攻击。
[0005]传统的机器学习缺乏有标签的训练数据集,严重依赖于人类提取的特征,这使得它很难在大型平台上部署,而深度学习是机器学习的子集,其训练时间短,准确率高,相比传统方法具有更高的性能,它旨在利用分层结构从原始输入数据中找到合适的高级特征,而不是使用手动特征。因此,深度学习在研究入侵检测和防御方法时得到了广泛的关注。
[0006]现有的基于深度学习的入侵检测与防御系统有感知能力弱,检测误报率高,自适应学习能力不足。
技术实现思路
[0007]鉴于上述问题,提出了本专利技术以便提供克服上述问题或者至少部分地解决上述问题的一种采用多模组学习的网络攻击免疫防御方法及系统。
[0008]根据本专利技术的一个方面,提供了一种采用多模组学习的网络攻击免疫防御方法,所述防御方法包括:
[0009]收集信息侧数据和物理侧数据;
[0010]对所述信息侧数据和物理侧数据进行预处理,获得多源数据;
[0011]对所述多源数据进行特征学习;
[0012]利用自学习模型对异常进行检测;
[0013]对检测到的异常数据包进行处置,再采取措施恢复主机的正常通信。
[0014]可选的,所述收集信息侧数据具体包括:网络流、分段数据,所述物理侧数据包括时间、位置、设备id、网段、区域、设备类型特征、用户组织。
[0015]可选的,所述对所述信息侧数据和物理侧数据进行预处理,获得多源数据具体包括:
[0016]数据预处理:对系统进行入侵检测首先需要对目标系统有一个全面概括性的了解,对数据的来源以及结构进行概括性的统计和了解;
[0017]可选的,所述对所述多源数据进行特征学习具体包括:
[0018]基于预训练的特征表示:随着基于深度学习的单模态技术的发展,在深度学习中,希望机器学到的表示能够与人的认知一样包含着数据的完整语义信息,为了使得模型针对具体样本构建具有丰富与全面的语义信息的表示仅使用单模态数据是不足够的,因此多模态技术逐渐引起了更多的关注;
[0019]在对物理层信息和包的原始字节码,以及网络流进行表征学习,利用信息侧和物理侧联合防御。
[0020]可选的,所述利用自学习模型对异常进行检测具体包括:
[0021]采用自监督的认知记忆网络,实现表征学习;
[0022]利用特征稀疏、特征重构、样本重构,对模型进行优化,以实现更好地提取潜在空间特征。
[0023]本专利技术还提供了一种采用多模组学习的网络攻击免疫防御系统,所述防御系统包括:
[0024]数据收集模块,用于收集信息侧数据和物理侧数据;
[0025]特征计算模块,用于对所述信息侧数据和物理侧数据进行预处理,获得多源数据;对所述多源数据进行特征学习;
[0026]攻击检测模块,用于利用自学习模型对异常进行检测;
[0027]攻击判断模块,用于判断是否需要发起攻击;
[0028]防御模块,用于对检测到的异常数据包进行处置;
[0029]恢复模块,用于采取措施恢复主机的正常通信。
[0030]本专利技术提供的一种采用多模组学习的网络攻击免疫防御方法,所述防御方法包括:收集信息侧数据和物理侧数据;对所述信息侧数据和物理侧数据进行预处理,获得多源数据;对所述多源数据进行特征学习;利用自学习模型对异常进行检测;对检测到的异常数
据包进行处置,再采取措施恢复主机的正常通信。实现了在攻击发生时立即捕获攻击特征,并检测出相应的攻击并进行防御,从而确保整个系统的网络安全。
[0031]上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。
附图说明
[0032]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0033]图1为本专利技术实施例提供的入侵检测与防御模型系统架构图;
[0034]图2为本专利技术实施例提供的入侵检测和防御流程图;
[0035]图3为本专利技术实施例提供的基于BEiT
‑
3预训练模型的表征学习方法的流程图;
[0036]图4为本专利技术实施例提供的BEiT
‑
3预训练模型示意图本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种采用多模组学习的网络攻击免疫防御方法,其特征在于,所述防御方法包括:收集信息侧数据和物理侧数据;对所述信息侧数据和物理侧数据进行预处理,获得多源数据;对所述多源数据进行特征学习;利用自学习模型对异常进行检测;对检测到的异常数据包进行处置,再采取措施恢复主机的正常通信。2.根据权利要求1所述的一种采用多模组学习的网络攻击免疫防御方法,其特征在于,所述收集信息侧数据具体包括:网络流、分段数据,所述物理侧数据包括时间、位置、设备id、网段、区域、设备类型特征、用户组织。3.根据权利要求1所述的一种采用多模组学习的网络攻击免疫防御方法,其特征在于,所述对所述信息侧数据和物理侧数据进行预处理,获得多源数据具体包括:数据预处理:对系统进行入侵检测首先需要对目标系统有一个全面概括性的了解,对数据的来源以及结构进行概括性的统计和了解。4.根据权利要求1所述的一种采用多模组学习的网络攻击免疫防御方法,其特征在于,所述对所述多源数据进行特征学习具体包括:基于预训练的特征表示:随着基于深度学习的单模态技术的发展,在深度学...
【专利技术属性】
技术研发人员:陈玉强,秦峰,吴昊,陆月明,韩道岐,高佳琪,王成月,樊明睿,王秦君,王大明,徐文杰,陆文强,王占峰,
申请(专利权)人:北京国信蓝盾科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。