[发明专利]基于生成对抗网络的抗混淆性网络入侵检测方法

说明书

本发明公开了一种基于生成对抗网络的抗混淆性网络入侵检测方法，收集若干正常实例和攻击实例，采用攻击实例对生成对抗网络进行训练，根据实际情况确定需要提升抗混淆性的目标入侵检测系统，并针对该目标入侵检测系统配置一个入侵检测模型并进行训练，然后采用攻击实例对生成对抗网络中生成器和入侵检测模型进行联合训练以实现对目标入侵检测系统的欺骗，再采用正常实例和攻击实例对生成对抗网络中生成器和入侵检测模型进行再次联合训练以实现对目标入侵检测系统的超越。本发明基于生成对抗网络生成的攻击实例，采用一个入侵检测模型对目标入侵检测系统进行模拟、欺骗和超越，从而提高网络入侵的抗混淆性能。

技术领域

本发明属于网络入侵检测技术领域，更为具体地讲，涉及一种基于生成对抗网络的抗混淆性网络入侵检测方法。

背景技术

对于网络安全而言，入侵检测系统是至关重要的一个环节，它是一个配置在路由器检测网络流量的工具。入侵检测系统分为网络入侵检测系统和主机入侵检测系统。网络入侵检测系统能够从大量的网络流量中，去识别恶意的攻击。而主机入侵检测系统，则能够通过自己相关的系统调用日志，去判断是否有恶意行为和操作，进而检测到对系统的威胁。近年来随着计算机技术的不断发展，计算机计算性能不断提高，同时存储容量也在不断提高，许许多多基于机器学习和深度学习模型的入侵检测系统开始被广泛应用。这些基于梯度下降模型的入侵检测系统，能够通过已有的数据集来训练，还可以去判断未来没有见过的网络流量或系统日志操作。这些种类的检测模型往往有很高的正确率和实用性。

然而，近年来，恶意软件可以通过使用生成对抗网络或者一些其他的方法去生成对抗实例以达到对目标入侵检测系统的攻击。这种对抗实例是通过对原始攻击实例进行适当的修改，然后这种修改就是以误导目标入侵检测系统为目标来实现的。这些对抗实例已经威胁到了很多企业的服务器与客户端。为了能够抵抗这些攻击实例，需要用一些更为强大的入侵检测系统来部署。

生成对抗网络(GAN)，作为深度学习一个用于生成实例的博弈模型，是Google研究人员Ian Goodfellow及其团队在2015年提出的一个新框架。图1是生成对抗网络的结构图。如图1所示，生成对抗网络两个网络模型，分别是生成器和鉴别器，生成器的目是生成实例以绕过鉴别器，判别器的目的是将这些生成实例与真实数据集区分开。这两个网络在训练的阶段不断地互相竞争。在训练完成后就能够训练出没有见过却相对真实的样本。

当前入侵检测系统常常无法识别专门寻找模型漏洞的对抗攻击。黑客们使用各种手段诸如近邻查找、组合优化等，去生成对抗实例。GAN的出现使得快速而大量生成对抗实例成为可能，这进一步加剧了传统入侵检测系统的危机。然而在另一方面，快速生成大量对抗实例的同时也可以利用生成的这些实例不断去强化入侵检测系统。在当前GAN应用在入侵检测领域的文献中，相关工作主要分为以下四个目标：

·攻击一个系统，产生对抗实例去绕过这个系统所配置的入侵检测系统

·协助构建一个入侵检测系统

·数据集生成

·解决不平衡数据集中的问题

对于第一个部分，也就是利用GAN强化入侵检测系统的研究中，仍然有许多不足。一来生成的实例可能缺乏有效性，二来框架训练可能比较困难，判别器的训练目标设置可能不合理。此外，对于GAN生成的对抗实例还没有一个有效的评估手段去验证其合法性与分布合理性。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于生成对抗网络的抗混淆性网络入侵检测方法，基于生成对抗网络生成的攻击实例，采用一个入侵检测模型对目标入侵检测系统进行模拟、欺骗和超越，从而提高网络入侵的抗混淆性能。

为实现上述发明目的，本发明基于生成对抗网络的抗混淆性网络入侵检测方法包括以下步骤：