一种基于欺骗性防御的未知威胁自适应检测方法技术

本发明专利技术公开了一种基于欺骗性防御的未知威胁自适应检测方法，该方法采用基于欺骗性防御技术的未知威胁自适应流量检测系统实现，该系统包括恶意流量检测模块、蜜罐模块、自适应检测升级模块，恶意流量检测模块发现网络中的攻击，蜜罐模块获取网络中的未知威胁流量，自适应检测升级模块分析和学习蜜罐模块中的未知威胁流量，将学习后的模型更新到恶意流量检测模块中。本发明专利技术将欺骗性防御技术和恶意流量检测技术相融合，通过欺骗性防御技术对未知威胁进行捕获，使用改进数据集平衡算法对属于少样本的未知威胁进行扩充，使得恶意流量识别算法能够对未知威胁进行识别，自适应的扩展自身能够识别的攻击方式，提高恶意流量检测系统的泛用性。泛用性。泛用性。

【技术实现步骤摘要】
一种基于欺骗性防御的未知威胁自适应检测方法


[0001]本专利技术涉及工业控制安全领域，具体涉及一种基于欺骗性防御的未知威胁自适应检测方法。

技术介绍

[0002]工业互联网作为新一代网络信息技术与制造业深度融合的产物，是实现产业数字化、网络化、智能化发展的重要基础设施和关键技术支撑，被广泛认为是第四次工业革命的重要基石。近年来5G基础设施建设不断完善，新技术、新应用与工业互联网技术融合持续研发和推广使用，给工业互联网发展带来了巨大的机遇的同时，也让工业互联网面临严峻的挑战。
[0003]许多攻击会通过工业互联网对工业控制系统造成危害，需要有安全防护系统对工业互联网中的流量进行检测，对恶意流量进行发现。但是随着时代的发展，攻击方式层出不穷，检测的更新速度比不上攻击方式的更新速度。欺骗性防御技术能够对攻击流量进行引导和捕获，避免正常流量误触发的同时，对攻击进行针对性的捕获。被欺骗性防御技术捕获的威胁，却无法被现有检测系统识别的威胁，被称为未知威胁。未知威胁往往是网络潜在的重大威胁，提升对该部分攻击的检测能力，能够极大的提高网络整体的安全性。
[0004]欺骗性防御技术是一种高欺骗性的安全防护技术，可运行于多种网络和故意留有特征漏洞的终端系统中。欺骗性防御技术能够诱导入侵者发动攻击行为，在此基础上捕捉攻击源继而实现安全防御，保护重要系统终端免受侵害。未知威胁所使用的攻击手段，通常是未披露，这些威胁通常情况下无法被检测系统捕获。而欺骗性防御技术，能够伪装成为重要资产，引诱这些威胁进行攻击，进而对这些攻击进行捕获。而这些未知威胁的具有样本数量少、隐蔽性强、危害性高的特点。
[0005]对未知威胁进行自动化分析和防御，弥补人工分析的滞后性，增强现有防御技术对于未知攻击的防御能力。通过欺骗性防御技术捕获网络中的攻击流量，对捕获的攻击流量进行分析和分类，将无法分析的攻击流量加入恶意流量检测系统的数据集中。当未知威胁加入数据集时，对数据集使用改进数据集样本平衡算法，避免不平衡数据集对恶意流量检测系统造成影响。恶意流量检测系统通过更新后数据集，更新原有的检测模型，使得恶意流量检测系统可以检测攻击类型增加，能够自适应的发现网络中潜在的攻击流量，减少了人为的干预。
[0006]本专利技术涉及在工控系统中对局域网中的未知威胁进行发现和检测，利用欺骗性防御技术对攻击流量进行引导和捕获，对捕获的攻击流量进行检测和过滤，自适应检出未知威胁并自动升级局域网中的流量检测系统，实现对未知威胁的识别。
[0007](1)提出了基于欺骗性防御技术的未知威胁自适应流量检测系统(简称自适应检测系统)。该自适应检测系统由恶意流量检测模块、蜜罐模块、自适应检测升级模块组成。恶意流量检测模块(自适应检测系统中的一个模块)对网络中的攻击进行及时的发现。蜜罐模块获取网络中的未知威胁流量。自适应检测升级模块对蜜罐模块中的未知威胁流量进行分
析和学习，将学习后的模型更新到恶意流量检测模块中。自此自适应检测系统能够对局域网中的未知威胁进行分析和发现。
[0008](2)改进了数据集样本平衡算法，通过近邻少数类平均距离和近邻多数类个数对少数类进行样本扩充，使得数据集中各个类别的样本数量平衡，避免不平衡数据集对深度学习算法的影响。该算法作用于上文中的自适应检测升级模块中，作为分析和学习未知威胁流量的核心算法。

技术实现思路

[0009]为了解决当前工控系统中恶意流量检测领域的不足，本专利技术提出了一种基于欺骗性防御的未知威胁自适应检测方法，该方法采用基于欺骗性防御技术的未知威胁自适应流量检测系统实现。该系统在现有局域网中部署示意图如图1所示。其中，工控设备、路由器、交换机为已经存在的设备，网关服务器和蜜罐为搭载了本专利技术系统的设备。自适应流量检测系统的恶意流量检测模块和自适应检测升级模块部署在网关服务器中。各个蜜罐设备搭载本系统的蜜罐模块，能够将捕获的攻击流量反馈给网关服务器。同时各个蜜罐设备具备已存在的欺骗性防御技术，能够对未知威胁进行引导和捕获(本专利技术作用于现有的局域网设备中，其中网关服务器和蜜罐是承载本专利技术的载体，本专利技术是软件)。
[0010]工业控制网络中应部署一个及以上的蜜罐设备。本系统中恶意流量检测模块是通过现有的神经网络模型进行威胁检测。自适应检测升级模块通过重新训练神经网络模型的方式，实现对恶意流量检测模块的升级和更新，提升自适应流量检测系统的检测准确率和增加系统识别威胁类型的种类。
[0011]与正常流量相比，攻击流量占比较少。而当捕获到未知威胁时，这些未知攻击的原理和手段通常是未披露的，具有较强的隐蔽性和针对性，通常会更少，因此当未知威胁数据融入原始数据集中，在数据集样本空间会比较孤立离散。在进行神经网络模型(神经网络模型为人工智能检测，为本专利技术作用的对象)训练时，会导致模型训练过拟合，因此当未知威胁融入数据集时需要对数据集进行样本平衡。恶意流量检测模块最初携带的数据集，称为原始数据集记为D
org
。
[0012]本专利技术提出的一种基于欺骗性防御的未知威胁自适应检测方法具体包括以下步骤：
[0013]S1、构建如上所述的基于欺骗性防御技术的未知威胁自适应流量检测系统。
[0014]S2、使用恶意流量检测模块对蜜罐模块捕获的威胁流量进行分析，获取未知威胁流量。将未知威胁流量制作为预处理数据集D
pre
。
[0015]S3、将预处理数据集D
pre
和原始数据集D
org
进行合并，得到合并数据集D
cbn*
。对合并数据集D
cbn*
进行样本空间的聚类，得到聚类后的数据集D
cbn
，并确定数据集D
cbn
中的少数类和多数类的划分。下面是对合并数据集D
cbn*
进行聚类的公式和聚类后的数据集D
cbn
过程。
[0016]在进行聚类操作前，D
cbn*
由两个部分组成D
org
和D
pre
。D
cbn
中原属于D
org
的样本点，具有完备的类簇标识集合C
old
，其中，表示第k类中心点位置，k＝1,2,
…
,S，原始数据集中含有的类别总数为S。D
cbn
中原属于D
pre
的样本点，均作为独立类簇。通过如下公式完成D
cbn*
的聚类，并得到D
cbn
中新的类簇标识集合C
new
。公式计算D
cbn*
所有类簇之间的距离，如果小于预先设定的阈值η，则将两个类簇合并。
[0017]类簇距离计算公式如下：
[0018][0019]其中，C
a
和C
b
表示两个任意类簇，x,y分别为C
a
和C
b
中的样本点，|C...

【技术保护点】

【技术特征摘要】
1.一种基于欺骗性防御的未知威胁自适应检测方法，其特征在于，该方法采用基于欺骗性防御技术的未知威胁自适应流量检测系统实现，该系统在现有局域网中部署方式为：工控设备、路由器、交换机为已经存在的设备，网关服务器和蜜罐设备搭载所述自适应流量检测系统；所述自适应流量检测系统中的恶意流量检测模块和自适应检测升级模块部署在网关服务器中，各个蜜罐设备搭载所述自适应流量检测系统的蜜罐模块，能够将捕获的攻击流量反馈给网关服务器，同时各个蜜罐设备具备已存在的欺骗性防御技术，能够对未知威胁进行引导和捕获；工业控制网络中部署一个及以上的蜜罐设备，所述自适应流量检测系统中的恶意流量检测模块通过现有的神经网络模型进行威胁检测，自适应检测升级模块通过重新训练神经网络模型的方式，实现对恶意流量检测模块的升级和更新；该方法包括以下步骤：S1、使用恶意流量检测模块对蜜罐模块捕获的威胁流量进行分析，获取未知威胁流量，将未知威胁流量制作为预处理数据集D
pre
，同时将恶意流量检测模块最初携带的数据集记为原始数据集D
org
；S2、将预处理数据集D
pre
和原始数据集D
org
进行合并，得到合并数据集D
cbn*
，对合并数据集D
cbn*
进行样本空间的聚类，得到聚类后的数据集D
cbn
，并确定数据集D
cbn
中的少数类和多数类的划分；下面是对合并数据集D
cbn*
进行聚类的公式和聚类后的数据集D
cbn
过程：在进行聚类操作前，D
cbn*
由两个部分组成D
org
和D
pre
；D
cbn
中原属于D
org
的样本点，具有完备的类簇标识集合C
old
，其中，表示第k类中心点位置，k＝1,2,
…
,S，原始数据集中含有的类别总数为S，D
cbn
中原属于D
pre
的样本点，均作为独立类簇；通过如下公式完成D
cbn*
的聚类，并得到D
cbn
中新的类簇标识集合C
new
，采用如下公式计算D
cbn*
所有类簇之间的距离，如果小于预先设定的阈值η，则将两个类簇合并；类簇距离计算公式如下：其中，C
a
和C
b
表示两个任意类簇，x,y分别为C
a
和C
b
中的样本点，|C
a
|和|C
b
|表示类簇中样本总数，如果d(C
a
,C
b
)小于η则将两个类簇进行合并，重复到无法合并为止，新得到的若干类簇按照样本数量，从大到小排序新的类簇有N个，自此得聚类后的数据集D
cbn
；通过计算流程可知，新的样本点被聚合到两个地方，第一个是已有的S个类别中，第二个是形成新的类别，由于未知威胁样本数量少的特点，前S个已知类别为多数类，后N
‑
S个类别为少数类，其中未知威胁集中在少数类中；S3、对聚类后的数据集D
cbn
，通过样本空间中近邻少数类的平均距离d
sa
和近邻多数类的个数N
ma
，度量其中少数类样本的学习复杂度ld；针对某个少数类C
i
，邻近少数类平均距离计算过程如下，其中，C
i
为集合集中的某个类，i的取值范围为S+1到N的整数：C
i
与m个邻近少数类的平均距离为C
i
的邻近少数类平均距离，表示该类样本在少数
类空间的稀疏程度，其中，m为预先设置的常数，m个邻近少数类表示C
i
...

【专利技术属性】
技术研发人员：丁旭阳，刘子为，谢盈，韩幸，张小松，
申请(专利权)人：电子科技大学，
类型：发明
国别省市：