[发明专利]基于深度学习的分层网络攻击识别与未知攻击检测方法

说明书

本发明公开了一种基于深度学习的分层网络攻击识别与未知攻击检测方法，包括：采用自编码器对正常流量与异常流量的行为模式进行学习，从而利用学习后的自编码器判别待测流量为正常流量或者异常流量；利用深度神经网络作为判别模型，来判别待测流量的攻击类型为某一已知的攻击类别或为未知类别；融合自编码器与判别模型的结果，完成网络攻击分类与未知攻击检测。该方法既能识别正常流量并且对已知的异常流量进行分类，又能检测新型未知的网络攻击，结合生成模型和判别模型各自的优势提高检测准确率。

技术领域

本发明涉及计算机网络技术领域，尤其涉及一种基于深度学习的分层网络攻击识别与未知攻击检测方法。

背景技术

随着网络技术的高速发展，互联网已经覆盖了社会生活的各个方面，对社会生活产生了深远的影响。网络的广泛应用虽然推动了社会经济的快速发展，但同时也成为黑客和不法分子传播恶意软件、实施网络攻击的重要媒介。近年来，针对网络协议和应用程序漏洞的新型网络攻击方法更是层出不穷，网络安全检测成为网络监管、运维中的重要任务之一，尤其是未知的零日网络攻击检测问题受到广泛关注。

传统的网络安全检测方法主要分为误用检测和异常检测两类。

误用检测：误用检测技术又称基于知识的检测技术。它假定所有入侵行为和手段都能够表达为一种模式或特征，并对已知的入侵行为和手段进行分析，提取入侵特征，构建攻击模式或攻击签名，通过系统当前状态与攻击模式或攻击签名的匹配判断入侵行为。误用检测是最成熟、应用最广泛的技术。然而，随着加密协议和广泛使用以及新型网络协议、应用的出现，加密网络攻击和利用零日漏洞的新型网路攻击也越来越多。由于零日攻击的攻击特征和攻击签名通常是未知的，因此误用攻击方法无法有效的应对这些网络安全攻击的新挑战。而且误用检测通常需要消耗大量的人力对攻击流量进行分析，人工提取其中的特征，面临着人工成本高，分析难度大，分析周期长等问题。

异常检测，首先要对网络流量的不同特征进行汇总、筛选和分析，利用各个维度的流量特征对正常的流量及其数据进行建模，通过模型对网络的行为数据进行预测或检测。这种方法需要模型先对网络流量行为进行学习训练，不断地调整参数以得到较为适合的模型，再用此模型对网络流量数据进行检测或者是预测。如果是预测，则还需将预测的值与正常范围内的特征值进行对比，即可判断网络是否出现异常。异常检测只需要正常流量作为输入数据，对数据的要求较小，而且从一定程度上可以检测未知的入侵行为，但是这类方法却面临着检测精度低、误报率高，且无法对网络攻击进行分类等问题。

发明内容

本发明的目的是提供一种基于深度学习的分层网络攻击识别与未知攻击检测方法，在实现对已知攻击进行分类的基础上，利用深度学习模型的泛化能力检测不同于正常流量的未知攻击流量。

本发明的目的是通过以下技术方案实现的：

一种基于深度学习的分层网络攻击识别与未知攻击检测方法，包括：

采用自编码器对正常流量与异常流量的行为模式进行学习，从而利用学习后的自编码器判别待测流量为正常流量或者异常流量；

利用深度神经网络作为判别模型，来判别待测流量的攻击类型为某一已知的攻击类别或为未知类别；

融合自编码器与判别模型的结果，完成网络攻击分类与未知攻击检测。

由上述本发明提供的技术方案可以看出，解决了传统基于规则的方法无法识别新型未知网络攻击的问题。利用生成模型实现对流量的二分类，检测未知的异常流量；利用判别模型实现已知攻击的细分类，提高已知攻击检测准确率；通过结果融合使得本发明既能识别正常流量并且对已知的异常流量进行分类，又能检测新型未知的网络攻击，结合生成模型和判别模型各自的优势提高检测准确率。

附图说明