针对网络隐蔽攻击的检测方法和系统与流程

本技术涉及网络安全，尤其涉及一种针对网络隐蔽攻击的检测方法和系统。

背景技术：

1、隐蔽攻击是指采用隐蔽和逃逸的技术，针对特定目标进行入侵和攻击，随着网络形势日益复杂，网络隐蔽攻击已经带来越来越严重的危害，针对网络隐蔽攻击的检测成为急需解决的问题。现有的检测方法过度依赖专家知识，无法有效对抗混淆代码，无法快速精确地识别出隐蔽的攻击手段。以及，如何提高模型的训练效率，也是急需改善的问题。

2、因此，急需一种针对性的针对网络隐蔽攻击的检测方法和系统。

技术实现思路

1、本发明的目的在于提供一种针对网络隐蔽攻击的检测方法和系统，使用过采样算法和欠采样算法，解决训练数据集的数据不平衡的问题，同时通过捕获特征的长距离依赖关系和计算各属性特征的重要程度，突出混淆的关键特征，优化深度异常检测模型，节点上传训练好的模型参数，由控制节点优化聚合，再下发给各个节点，使用深度异常检测模型快速识别出隐蔽攻击。

2、第一方面，本技术提供一种针对网络隐蔽攻击的检测方法，所述方法包括：

3、各个普通节点构建和训练深度异常检测模型；

4、所述深度异常检测模型通过结构化处理，能从流量数据中提取关键特征，该深度异常检测模型包括输入层、多个子层、均衡采样模块和神经网络结构，所述神经网络结构包括：混淆处理层、嵌入层、卷积层、池化层、双向记忆层、注意力机制、全连接层和输出层；所述混淆处理层包括：数据清洗、参数抽取、大小写恢复、关键词过滤、编码还原、等价函数匹配和分词处理；所述嵌入层用于将输入数据嵌入词向量模板中；卷积层提取代表性的局部特征，通过双向记忆层捕获长距离依赖关系，利用注意力机制计算各属性特征的重要程度，突出混淆的关键特征，赋予相关权重传递到全连接层，分类器计算混淆检测的最终结果并由输出层输出该最终结果；

5、其中，所述输入层接收不同采样时间窗口下的多个基础特征；多个具有不同编码维度的所述子层对所述多个基础特征进行编码，得到层次化的特征表示，生成嵌入空间；所述均衡采样模块融合过采样算法和欠采样算法，计算各类别特征的平均数，将数量大于等于该平均数的特征定义为多数类特征，将数量小于该平均数的特征定义为少数类特征，对所述多数类特征采用欠采样算法，对所述少数类特征采用过采样算法，汇总过采样算法和欠采样算法的结果，将该汇总的结果输入神经网络结构；所述神经网络结构学习所述汇总的结果、检测异常；

6、其中，所述深度异常检测模型采用最大边际损失函数和多重损失函数作为优化目标，使得具有相似特征的流量在所述嵌入空间聚集在一起，而不同特征的流量隔开一定的距离；

7、所述控制节点将模型训练任务下发到各个普通节点，由各个普通节点输入自己的训练数据集，在该普通节点本地进行训练；

8、所述普通节点得到训练好的深度异常检测模型的参数，使用同态加密算法对模型的参数进行加密，得到同态密文，并使用对称加密算法对该同态密文进行二次加密，所述同态加密算法的密钥只在参与模型训练的普通节点之间共享，对称加密密钥在普通节点和参与模型聚合的控制节点之间共享，同时普通节点和控制节点之间的通信使用不同的对称加密密钥；

9、所述普通节点将所述训练好的深度异常检测模型的参数上传给控制节点，由该控制节点进行优化聚合，进而该控制节点再把聚合的结果发给各个普通节点，统一各个普通节点的模型参数；

10、普通节点对用户上传的流量数据进行清洗、过滤和标准化处理，再由本地经过统一参数后的深度异常检测模型，识别该流量数据是否异常，如果异常则继续通过推断攻击分析流量数据的分布特征，进而推断出隐蔽攻击的位置，以及，通过流量数据中携带的伪身份信息，猜测攻击者的真实身份；

11、输出所述识别的结果，其中包括：隐蔽攻击的位置、猜测的攻击者真实身份，提供给用户使用。

12、第二方面，本技术提供一种针对网络隐蔽攻击的检测系统，所述系统包括：普通节点、控制节点、深度异常检测模型和输出单元；

13、各个普通节点，用于构建和训练深度异常检测模型；

14、所述深度异常检测模型通过结构化处理，能从流量数据中提取关键特征，该深度异常检测模型包括输入层、多个子层、均衡采样模块和神经网络结构，所述神经网络结构包括：混淆处理层、嵌入层、卷积层、池化层、双向记忆层、注意力机制、全连接层和输出层；所述混淆处理层包括：数据清洗、参数抽取、大小写恢复、关键词过滤、编码还原、等价函数匹配和分词处理；所述嵌入层用于将输入数据嵌入词向量模板中；卷积层提取代表性的局部特征，通过双向记忆层捕获长距离依赖关系，利用注意力机制计算各属性特征的重要程度，突出混淆的关键特征，赋予相关权重传递到全连接层，分类器计算混淆检测的最终结果并由输出层输出该最终结果；

15、其中，所述输入层接收不同采样时间窗口下的多个基础特征；多个具有不同编码维度的所述子层对所述多个基础特征进行编码，得到层次化的特征表示，生成嵌入空间；所述均衡采样模块融合过采样算法和欠采样算法，计算各类别特征的平均数，将数量大于等于该平均数的特征定义为多数类特征，将数量小于该平均数的特征定义为少数类特征，对所述多数类特征采用欠采样算法，对所述少数类特征采用过采样算法，汇总过采样算法和欠采样算法的结果，将该汇总的结果输入神经网络结构；所述神经网络结构学习所述汇总的结果、检测异常；

16、其中，所述深度异常检测模型采用最大边际损失函数和多重损失函数作为优化目标，使得具有相似特征的流量在所述嵌入空间聚集在一起，而不同特征的流量隔开一定的距离；

17、所述控制节点，用于将模型训练任务下发到各个普通节点，由各个普通节点输入自己的训练数据集，在该普通节点本地进行训练；

18、所述普通节点，还用于得到训练好的深度异常检测模型的参数，使用同态加密算法对模型的参数进行加密，得到同态密文，并使用对称加密算法对该同态密文进行二次加密，所述同态加密算法的密钥只在参与模型训练的普通节点之间共享，对称加密密钥在普通节点和参与模型聚合的控制节点之间共享，同时普通节点和控制节点之间的通信使用不同的对称加密密钥；

19、所述普通节点将所述训练好的深度异常检测模型的参数上传给控制节点，由该控制节点进行优化聚合，进而该控制节点再把聚合的结果发给各个普通节点，统一各个普通节点的模型参数；

20、普通节点对用户上传的流量数据进行清洗、过滤和标准化处理，再由本地经过统一参数后的深度异常检测模型，识别该流量数据是否异常，如果异常则继续通过推断攻击分析流量数据的分布特征，进而推断出隐蔽攻击的位置，以及，通过流量数据中携带的伪身份信息，猜测攻击者的真实身份；

21、输出单元，用于输出所述识别的结果，其中包括：隐蔽攻击的位置、猜测的攻击者真实身份，提供给用户使用。

22、第三方面，本技术提供一种针对网络隐蔽攻击的检测系统，所述系统包括：处理器以及存储器：

23、所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；

24、所述处理器用于根据所述程序代码中的指令执行第一方面各种可能中任一项所述的方法。

25、第四方面，本技术提供一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码用于被处理器执行实现第一方面各种可能中任一项所述的方法。

26、有益效果

27、本发明提供一种针对网络隐蔽攻击的检测方法和系统，通过使用过采样算法和欠采样算法，解决训练数据集的数据不平衡的问题，同时通过捕获特征的长距离依赖关系和计算各属性特征的重要程度，突出混淆的关键特征，优化深度异常检测模型，节点上传训练好的模型参数，由控制节点优化聚合，再下发给各个节点，使用深度异常检测模型快速识别出隐蔽攻击，克服现有技术无法有效对抗混淆代码，无法快速精确地识别出隐蔽的攻击手段的问题。

28、本发明具有以下优点和效果：

29、使用过采样算法和欠采样算法，解决训练数据集的数据不平衡的问题；

30、控制节点进行优化聚合，再把聚合后的参数下发给各个节点，使得节点们可以使用相同检测效果的模型；

31、能够快速识别出隐蔽攻击。