一种网络攻击面检测方法及系统与流程

本申请涉及网络安全技术领域，尤其涉及一种网络攻击面检测方法及系统。

背景技术：

现在很多攻击来自于隐蔽的、碎片化的形式，单个网络节点的漏洞点和攻击链路会构成多个攻击面，现有的防范网络攻击的方法可能会失效。

同时，现有的统计分析和机器学习还存在两个不足：一是，训练过程中攻击数据不足，远远少于正常数据，数据的不足和不平衡会导致检测模型失衡，无法正确检测攻击数据或者行为；二是，随着技术的发展，攻击者的攻击手段也在不断改变，然而这些攻击数据不会提前公开，无法将它们用于模型训练，导致模型无法检测未知的攻击数据。

因此，急需一种可以自我生成可使用的攻击数据，增强训练数据，提升检测模型性能的方法和系统。

技术实现要素：

本发明的目的在于提供一种网络攻击面检测方法及系统，可以基于历史网络数据，先进行静态分析，寻找异常数据片段，再根据向量化的异常数据片段构建一个噪声模拟网络攻击模型，使用真实网络攻击流量训练所述噪声模拟网络攻击模型，模型自身还有不断复合、变异网络攻击的能力，当噪声模拟网络攻击模型训练完毕后，在接入机器学习模块，作为机器学习模块的模拟攻击源，对真实网络流量进行网络攻击面检测，帮助提升机器学习模块检测的能力。

第一方面，本申请提供一种网络攻击面检测方法，所述方法包括：

收集各个网络节点的数据片段副本，从中提取出可被利用的攻击向量；

将接收到的数据片段与本地的历史数据片段合并；所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并；

使用静态分析模型对所述合并的数据片段进行分析，寻找其中可能存在的异常数据片段，将若干个异常数据片段所属的网络节点或终端标注为异常点，以及分析若干个异常数据片段之间是否存在逻辑关联；

将所述异常数据片段向量化，构建噪声模拟网络攻击模型，应用该模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合；

所述多种网络攻击复合包括同时具备若干种网络攻击的特征，或者连续进行若干种网络攻击，或变异网络攻击特征；

将所述噪声模拟网络攻击模型作为对抗性网络的生成器，所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器；

所述判别器根据两端输入的生成器输出流量和真实网络攻击流量，得出判别结果；如果判别结果为真时，表明生成器输出流量与真实网络攻击流量在特征向量上非常接近，判别器将相似度信息反馈给生成器；如果判别结果为假时，表明生成器输出流量与真实网络攻击流量在特征向量上差别很大，判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器；

所述生成器根据判别器的反馈结果调整噪声模拟网络攻击模型的参数，再次生成新的输出流量；

当判别器得到的判别结果为真的比率大于预先设置的阈值时，表明所述噪声模拟网络攻击模型训练完毕；

将所述噪声模拟网络攻击模型接入机器学习模块，由所述噪声模拟网络攻击模型不间断随机生成网络攻击流量，供机器学习模块自我学习；

所述机器学习模块，对真实网络流量进行网络攻击面检测，判断是否存在安全漏洞；如果存在安全漏洞，评估该安全漏洞可能带来的威胁，调用对应策略对所述可被利用的攻击向量所属的网络节点下发持续监控指令，根据该网络节点的负载状态、资源利用状态、所处环境、用户访问记录中的一个或多个参数，评估该网络节点的安全状态是否可信；如果不存在安全漏洞，下发安全通知给对应的网络节点。

结合第一方面，在第一方面第一种可能的实现方式中，所述变异网络攻击特征包括对已知的网络攻击特征向量做扩展，以及修改若干攻击的字段。

结合第一方面，在第一方面第二种可能的实现方式中，所述判别器还会将判别的结果反馈给管理员，供管理员实时调整所述噪声模拟网络攻击模型的参数。

结合第一方面，在第一方面第三种可能的实现方式中，固定周期向各个网络节点发送指令，所述指令用于命令各个网络节点上传本地的数据片段副本。

第二方面，本申请提供一种网络攻击面检测系统，所述系统包括：

获取单元，用于收集各个网络节点的数据片段副本，从中提取出可被利用的攻击向量；将接收到的数据片段与本地的历史数据片段合并；所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并；

静态分析单元，用于使用静态分析模型对所述合并的数据片段进行分析，寻找其中可能存在的异常数据片段，将若干个异常数据片段所属的网络节点或终端标注为异常点，以及分析若干个异常数据片段之间是否存在逻辑关联；

构建单元，用于将所述异常数据片段向量化，构建噪声模拟网络攻击模型，应用该模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合；所述多种网络攻击复合包括同时具备若干种网络攻击的特征，或者连续进行若干种网络攻击，或变异网络攻击特征；

生成器，用于将所述噪声模拟网络攻击模型作为对抗性网络的生成器，所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器；

判别器，用于根据两端输入的生成器输出流量和真实网络攻击流量，得出判别结果；如果判别结果为真时，表明生成器输出流量与真实网络攻击流量在特征向量上非常接近，判别器将相似度信息反馈给生成器；如果判别结果为假时，表明生成器输出流量与真实网络攻击流量在特征向量上差别很大，判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器；

所述生成器根据判别器的反馈结果调整噪声模拟网络攻击模型的参数，再次生成新的输出流量；

当判别器得到的判别结果为真的比率大于预先设置的阈值时，表明所述噪声模拟网络攻击模型训练完毕；

机器学习模块，用于接入所述噪声模拟网络攻击模型，由所述噪声模拟网络攻击模型不间断随机生成网络攻击流量，供机器学习模块自我学习；对真实网络流量进行网络攻击面检测，判断是否存在安全漏洞；如果存在安全漏洞，评估该安全漏洞可能带来的威胁，调用对应策略对所述可被利用的攻击向量所属的网络节点下发持续监控指令，根据该网络节点的负载状态、资源利用状态、所处环境、用户访问记录中的一个或多个参数，评估该网络节点的安全状态是否可信；如果不存在安全漏洞，下发安全通知给对应的网络节点。

结合第二方面，在第二方面第一种可能的实现方式中，所述变异网络攻击特征包括对已知的网络攻击特征向量做扩展，以及修改若干攻击的字段。

结合第二方面，在第二方面第二种可能的实现方式中，所述判别器还会将判别的结果反馈给管理员，供管理员实时调整所述噪声模拟网络攻击模型的参数。

结合第二方面，在第二方面第三种可能的实现方式中，固定周期向各个网络节点发送指令，所述指令用于命令各个网络节点上传本地的数据片段副本。

本发明提供一种网络攻击面检测方法及系统，可以基于历史网络数据，先进行静态分析，寻找异常数据片段，再根据向量化的异常数据片段构建一个噪声模拟网络攻击模型，使用真实网络攻击流量训练所述噪声模拟网络攻击模型，模型自身还有不断复合、变异网络攻击的能力，当噪声模拟网络攻击模型训练完毕后，在接入机器学习模块，作为机器学习模块的模拟攻击源，对真实网络流量进行网络攻击面检测，帮助提升机器学习模块检测的能力。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明网络攻击面检测方法的流程图；

图2为本发明网络攻击面检测系统的架构图。

具体实施方式

下面结合附图对本发明的优选实施例进行详细阐述，以使本发明的优点和特征能更易于被本领域技术人员理解，从而对本发明的保护范围做出更为清楚明确的界定。

图1为本申请提供的网络攻击面检测方法的流程图，所述方法包括：

收集各个网络节点的数据片段副本，从中提取出可被利用的攻击向量；

将接收到的数据片段与本地的历史数据片段合并；所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并；

使用静态分析模型对所述合并的数据片段进行分析，寻找其中可能存在的异常数据片段，将若干个异常数据片段所属的网络节点或终端标注为异常点，以及分析若干个异常数据片段之间是否存在逻辑关联；

将所述异常数据片段向量化，构建噪声模拟网络攻击模型，应用该模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合；

所述多种网络攻击复合包括同时具备若干种网络攻击的特征，或者连续进行若干种网络攻击，或变异网络攻击特征；

将所述噪声模拟网络攻击模型作为对抗性网络的生成器，所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器；

所述判别器根据两端输入的生成器输出流量和真实网络攻击流量，得出判别结果；如果判别结果为真时，表明生成器输出流量与真实网络攻击流量在特征向量上非常接近，判别器将相似度信息反馈给生成器；如果判别结果为假时，表明生成器输出流量与真实网络攻击流量在特征向量上差别很大，判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器；

所述生成器根据判别器的反馈结果调整噪声模拟网络攻击模型的参数，再次生成新的输出流量；

当判别器得到的判别结果为真的比率大于预先设置的阈值时，表明所述噪声模拟网络攻击模型训练完毕；

将所述噪声模拟网络攻击模型接入机器学习模块，由所述噪声模拟网络攻击模型不间断随机生成网络攻击流量，供机器学习模块自我学习；

所述机器学习模块，对真实网络流量进行网络攻击面检测，判断是否存在安全漏洞；如果存在安全漏洞，评估该安全漏洞可能带来的威胁，调用对应策略对所述可被利用的攻击向量所属的网络节点下发持续监控指令，根据该网络节点的负载状态、资源利用状态、所处环境、用户访问记录中的一个或多个参数，评估该网络节点的安全状态是否可信；如果不存在安全漏洞，下发安全通知给对应的网络节点。

在一些优选实施例中，所述变异网络攻击特征包括对已知的网络攻击特征向量做扩展，以及修改若干攻击的字段。

在一些优选实施例中，所述判别器还会将判别的结果反馈给管理员，供管理员实时调整所述噪声模拟网络攻击模型的参数。

在一些优选实施例中，固定周期向各个网络节点发送指令，所述指令用于命令各个网络节点上传本地的数据片段副本。

图2为本申请提供的网络攻击面检测系统的架构图，所述系统包括：

获取单元，用于收集各个网络节点的数据片段副本，从中提取出可被利用的攻击向量；将接收到的数据片段与本地的历史数据片段合并；所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并；

静态分析单元，用于使用静态分析模型对所述合并的数据片段进行分析，寻找其中可能存在的异常数据片段，将若干个异常数据片段所属的网络节点或终端标注为异常点，以及分析若干个异常数据片段之间是否存在逻辑关联；

构建单元，用于将所述异常数据片段向量化，构建噪声模拟网络攻击模型，应用该模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合；所述多种网络攻击复合包括同时具备若干种网络攻击的特征，或者连续进行若干种网络攻击，或变异网络攻击特征；

生成器，用于将所述噪声模拟网络攻击模型作为对抗性网络的生成器，所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器；

判别器，用于根据两端输入的生成器输出流量和真实网络攻击流量，得出判别结果；如果判别结果为真时，表明生成器输出流量与真实网络攻击流量在特征向量上非常接近，判别器将相似度信息反馈给生成器；如果判别结果为假时，表明生成器输出流量与真实网络攻击流量在特征向量上差别很大，判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器；

所述生成器根据判别器的反馈结果调整噪声模拟网络攻击模型的参数，再次生成新的输出流量；

当判别器得到的判别结果为真的比率大于预先设置的阈值时，表明所述噪声模拟网络攻击模型训练完毕；

机器学习模块，用于接入所述噪声模拟网络攻击模型，由所述噪声模拟网络攻击模型不间断随机生成网络攻击流量，供机器学习模块自我学习；对真实网络流量进行网络攻击面检测，判断是否存在安全漏洞；如果存在安全漏洞，评估该安全漏洞可能带来的威胁，调用对应策略对所述可被利用的攻击向量所属的网络节点下发持续监控指令，根据该网络节点的负载状态、资源利用状态、所处环境、用户访问记录中的一个或多个参数，评估该网络节点的安全状态是否可信；如果不存在安全漏洞，下发安全通知给对应的网络节点。

在一些优选实施例中，所述变异网络攻击特征包括对已知的网络攻击特征向量做扩展，以及修改若干攻击的字段。

在一些优选实施例中，所述判别器还会将判别的结果反馈给管理员，供管理员实时调整所述噪声模拟网络攻击模型的参数。

在一些优选实施例中，固定周期向各个网络节点发送指令，所述指令用于命令各个网络节点上传本地的数据片段副本。

具体实现中，本发明还提供一种计算机存储介质，其中，该计算机存储介质可以存储有程序，该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称：rom)或随机存储记忆体(简称：ram)等。

本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书各个实施例之间相同相似的部分互相参见即可。尤其，对于实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。

以上所述的本发明实施方式并不构成对本发明保护范围的限定。