【技术实现步骤摘要】
一种基于生成对抗网络的恶意流量规避检测方法
[0001]本专利技术涉及网络安全和生成对抗技术,具体涉及一种基于生成对抗网络的恶意流量规避检测方法。
技术介绍
[0002]随着网络技术的快速发展,网络流量攻击事件频繁发生,不仅造成了巨大的经济损失,也对国家安全造成了巨大危害。入侵检测通过积极主动的安全防护技术,通过对网络流量的实时监控,将恶意流量与正常流量区分开,起到了主动防御的目的。然而,随着攻击手段的多样化和复杂化,传统的基于特征的检测方法无法完全识别出新的或者复杂的攻击。
[0003]近几年生成对抗技术发展迅速,其中基于生成对抗的入侵检测算法也得到了广泛应用。这类方法尝试生成与真实恶意流量相似的样本,以此欺骗并测试检测系统的鲁棒性。
[0004]对抗样本是指对输入样本中添加细微的干扰形成的新样本,此样本会导致模型给出一个错误输出。然而,如何精确地生成这种能够有效误导入侵检测系统的对抗样本,是一个技术难题。GAN在网络安全领域主要应用于对抗样本的生成,通过对入侵检测系统进行攻击,来对入侵检测系统的检测率进行改进。但由于网络流量的复杂性,比如流量大小、频率、源和目标IP地址、协议类型等,如何确保生成的对抗性恶意流量样本包含了真实恶意流量的各种特征也是一大挑战。另外,GAN的训练过程通常需要大量的计算资源和时间,对实时性和检测效率的要求越来越高。
技术实现思路
[0005]本专利技术的目的在于解决如何进一步提高检测恶意流量攻击的有效性的问题,并提出一种对抗性恶意流量样本生成算法,通过生成 ...
【技术保护点】
【技术特征摘要】
1.一种基于生成对抗网络的恶意流量规避检测方法,其特征在于,所述基于生成对抗网络的恶意流量规避检测方法,包括:抓取带有标签的网络流量数据,所述网络流量数据包括正常流量和恶意流量,从网络流量数据中抽取网络流量特征;对网络流量特征进行预处理得到网络流量特征的取值,并提取恶意流量的功能性特征;构建基于GAN的入侵检测模型,所述基于GAN的入侵检测模型包括生成器、判别器和黑盒入侵检测系统;将一个恶意流量的所有网络流量特征的取值和恶意流量所带有的标签构成一个恶意流量样本特征向量,将对该恶意流量的每个网络流量特征进行扰动得到的扰动值构成噪声向量,根据恶意流量样本特征向量和噪声向量生成经过扰动的恶意流量样本;将恶意流量样本输入生成器,输出对抗样本,将对抗样本和正常流量作为训练样本输入黑盒入侵检测系统,得到分类结果,该分类结果作为训练判别器的目标标签,将所述训练样本输入到判别器,得到判断是否为恶意流量的预测标签;根据目标标签与预测标签优化判别器和生成器的参数,重复训练基于GAN的入侵检测模型,完成预训练;基于预训练好的基于GAN的入侵检测模型进行再训练;用再训练好的基于GAN的入侵检测模型中的黑盒入侵检测系统检测待检测网络流量,得到最终分类结果。2.根据权利要求1所述的基于生成对抗网络的恶意流量规避检测方法,其特征在于,所述对网络流量特征进行预处理得到网络流量特征的取值,并提取恶意流量的功能性特征,包括:恶意流量的攻击类型分为Probe、Dos、U2R、R2L四个类型,将网络流量数据分为四个集合,每个集合都包括正常流量以及一种类型的恶意流量;网络流量特征包括数值特征和非数值特征,将非数值特征进行数值转换形成数值特征,通过最小最大归一化将数值特征归一为[0,1]之间,得到网络流量特征的取值;利用WEKA工具根据网络流量特征的取值得到网络流量特征的信息增益,对每个集合中的网络流量特征的信息增益分别进行降序排序,提取信息增益高于阈值且排序前x个的网络流量特征,分别得到四个集合的功能性特征。3.根据权利要求2所述的基于生成对抗网络的恶意流量规避检测方法,其特征在于,所述对每个集合中的网络流量特征的信息增益分别进行降序排序,包括:将网络流量特征分为基本特征、内容特征、基于时间的流量特征和基于主机的流量特征四种特征类型,对每个集合中的每个特征类型的信息增益分别进行降序排序。4.根据权利要求1所述的基于生成对抗网络的恶意流量规避检测方法,其特征在于,所述生成器具有5层线性神经网络,利用ReLU非线性函数激活前4层线性层的输出,第5层输出层具有m...
【专利技术属性】
技术研发人员:吕明琪,陈浩然,陈铁明,朱添田,
申请(专利权)人:浙江工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。