【技术实现步骤摘要】
本专利技术属于计算机网络,进一步涉及移动目标防御技术,具体为一种基于入侵检测的深度强化学习移动目标防御系统及方法,可用于各企业、机构的内部网络安全系统构建。
技术介绍
1、移动目标防御是一种新型的网络安全策略,旨在通过不断变化系统或网络配置来增加攻击者的攻击成本,从而有效地防止攻击者利用已知的系统信息来实施攻击。这种方法与传统的静态防御策略形成对比,后者往往依赖于固定的安全措施。动态更换网络配置可以阻止攻击者利用长时间观察得出的规律进行攻击。现阶段的移动目标防御方法,很大程度上依赖于正确的配置和持续的管理,由于需要频繁变更配置,可能导致网络延迟增加和处理速度减慢,从而影响用户体验。而入侵检测技术能够通过分析网络流量和用户行为,识别出异常模式,从而及时发现潜在的安全威胁,特别是利用深度学习技术,如卷积神经网络cnn和长短期记忆网络lstm,可以有效地处理和分析大量数据,识别出复杂的攻击模式,这些技术的引入,不仅提高了传统ids的检测精度,也使得入侵检测过程更加自动化和智能化。通过将深度学习技术集成到移动目标防御策略中,可以实现更为动态和适应性强的防御机制。例如,基于实时入侵检测结果自动调整移动目标防御配置,不仅可以迷惑攻击者,还能够实时阻断攻击路径。此外,深度学习模型还可以根据历史数据和当前网络状态预测潜在的攻击趋势,指导移动目标防御策略的调整,使网络防御更加前瞻性和主动性。
2、例如在申请公布号为cn113114666a,名称为“一种sdn网络中针对扫描攻击的移动目标防御方法”的专利文献中,通过在软件定义网络扫描阶段
技术实现思路
1、本专利技术目的在于针对上述已有技术的不足,提出了一种基于入侵检测的深度强化学习移动目标防御系统及方法,用于解决现有技术中复杂网络环境下频繁ip跳变消耗资源过多且对于网络攻击流量无法进行针对性防御的问题。首先,通过构建实验网络,监控并获取提取网络中的实时流量;再利用cnn和lstm来分析和处理网络流量数据,从而有效识别潜在的威胁和异常行为;在此基础上,集成深度强化学习方法,通过从环境中获得的反馈来不断学习和调整ip跳变策略,最终实现系统自适应能力和整体安全性的提升。
2、本专利技术为实现上述目的,本专利技术提出一种基于入侵检测的深度强化学习移动目标防御系统,包括入侵检测单元、ip跳变单元和深度强化学习单元;其中入侵检测单元和ip跳变单元的输出连接深度强化学习单元的输入;
3、所述入侵检测单元,由数据预处理模块、cnn+lstm模块和注意力机制模块构成;其中数据预处理模块用于清洗网络流量数据,提取网络流量特征并进行标准化,之后将数据送入cnn+lstm模块,该模块中的cnn部分从数据中提取空间特征并输出给lstm部分,由该部分捕捉数据中的时间依赖性;注意力机制对lstm部分处理后的数据通过加权来评估每个时间步或特征的重要性;
4、所述ip跳变单元,包括ip映射模块和滑动窗口模块;其中ip映射模块利用sdn控制器为网络中的所有服务器分配一个真实ip和一个与之对应的虚拟ip,将真实ip记作rip,虚拟ip记作vip;所述rip固定不变,vip根据网络检测情况进行跳变;滑动窗口模块用于维持vip跳变时产生的通信,每个服务器均存在一个滑动窗口表,用于存储n'次跳变内的vip,维持通信质量;
5、所述深度强化学习单元,包括状态定义模块、动作选择模块以及奖励计算模块;其中状态定义模块根据当前网络环境和历史攻击数据定义强化学习的状态空间;动作选择模块利用ppo算法,通过策略更新实现最优ip跳变策略;奖励计算模块根据动作执行后的网络安全状况和业务影响计算奖励,用于指导模型学习,优化未来的动作选择。
6、进一步,上述网络流量特征,至少包括数据包大小、频率和ip地址。
7、进一步,上述cnn部分从数据中提取空间特征,具体是通过cnn网络中的多个卷积层和池化层捕捉空间细节,获取空间特征。
8、进一步,上述强化学习的状态空间,包括由入侵检测单元输出的入侵检测结果、网络流量特征以及ip跳变单元的ip资源;所述动作包括选择一个新的ip地址、保持当前ip地址不变。
9、同时,本专利技术还提出一种基于入侵检测的深度强化学习移动目标防御方法,包括如下步骤:
10、(1)由一台sdn控制器、多台服务器以及不多于服务器数量的交换机构建sdn网络拓扑,其中控制器使用openflow协议与交换机进行通信;
11、(2)使用sdn控制器实时监控并捕获网络流量,从数据包中提取关键特征,并移除重复或不完整的数据包;
12、(3)构建基于cnn+lstm的入侵检测模型:
13、(3a)利用三个卷积层和一个最大池化层构建cnn模型,设定卷积核大小为3×3,步长为1;最大池化层大小为3×3,步长为2;
14、(3b)搭建lstm模型,连接于cnn模型的输出端;设置lstm的层数为2,并对每个lstm层配置128个隐藏节点数量;
15、(3c)在lstm模型之后引入一个注意力机制,得到基于cnn+lstm的入侵检测模型;所述注意力机制包括计算得分函数,用于衡量每个lstm输出的隐藏状态的重要性,并通过softmax函数转换得分为权重,利用该权重对所有隐藏状态进行加权求和,得到一个综合的上下文向量;
16、(3d)调整并优化学习率、批大小和迭代次数,训练得到优化后的入侵检测模型;
17、(4)ip资源初始化:
18、(4a)初始化可用虚拟ip池{ip1,ip2,…,ip3},记作ips;
19、(4b)sdn控制器维护记录网络中每台服务器rip和相应vip的映射表,当网络中的服务器之间相互通信时,sdn控制器根据映射表对出站和入站数据包的ip地址进行rip与vip之间的转换;
20、(4c)对每台服务器建立一个滑动窗口,记录该服务器最近m次的ip地址使用历史,如果窗口达到m次记录,则移除最旧的记录,并添加新的ip地址;
21、(4d)设定用于记录当前所有服务器正在使用的ip地址的动态集合为u,当需要为服务器选择新地址时,从ips中选出一个既不在u也不在任何服务器滑动窗口中的ip地址作为新的ip地址;
22、(5)构建基于深度强化学习的ip跳变模型:
23、(5a)使用sdn控制器监测网络流量,统计网络总流量、攻击事件数、异常流量占比、每台服务器的流量、每台服务器受到攻击的次数、服务器当前使用的vip地址,结合cnn+lstm本文档来自技高网...
【技术保护点】
1.一种基于入侵检测的深度强化学习移动目标防御系统,其特征在于,包括:入侵检测单元、IP跳变单元和深度强化学习单元;其中入侵检测单元和IP跳变单元的输出连接深度强化学习单元的输入;
2.一种根据权利要求1所述的系统,其特征在于:所述网络流量特征,至少包括数据包大小、频率和IP地址。
3.一种根据权利要求1所述的系统,其特征在于:所述CNN部分从数据中提取空间特征,具体是通过CNN网络中的多个卷积层和池化层捕捉空间细节,获取空间特征。
4.一种根据权利要求1所述的系统,其特征在于:所述强化学习的状态空间,包括由入侵检测单元输出的入侵检测结果、网络流量特征以及IP跳变单元的IP资源;所述动作包括选择一个新的IP地址、保持当前IP地址不变。
5.一种基于入侵检测的深度强化学习移动目标防御方法,其特征在于,包括以下步骤:
6.根据权利要求5所述的方法,其特征在于:步骤(2)中所述关键特征,包括源服务器地址IPsrc、目标服务器地址IPdst、端口号Pport、协议类型Tproto、数据包长度Llen和时间戳Tstamp。
...【技术特征摘要】
1.一种基于入侵检测的深度强化学习移动目标防御系统,其特征在于,包括:入侵检测单元、ip跳变单元和深度强化学习单元;其中入侵检测单元和ip跳变单元的输出连接深度强化学习单元的输入;
2.一种根据权利要求1所述的系统,其特征在于:所述网络流量特征,至少包括数据包大小、频率和ip地址。
3.一种根据权利要求1所述的系统,其特征在于:所述cnn部分从数据中提取空间特征,具体是通过cnn网络中的多个卷积层和池化层捕捉空间细节,获取空间特征。
4.一种根据权利要求1所述的系统,其特征在于:所述强化学习的状态空间,包括由入侵检测单元输出的入侵检测结果、网络流量特征以及ip跳变单元的ip资源;所述动作包括选择一个新的ip地址、保持当前ip地址不变。
5.一种基于入侵检测的深度强化学习移动目标防御方法,其特征在于,包括以下步骤:
...
【专利技术属性】
技术研发人员:李腾,苗涵,谢亚轩,王晨希,党泽旭,童小敏,李德彪,马卓,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。