本技術(shù)涉及網(wǎng)絡(luò)安全，尤其涉及一種針對網(wǎng)絡(luò)隱蔽攻擊的檢測方法和系統(tǒng)。

背景技術(shù)：

1、隱蔽攻擊是指采用隱蔽和逃逸的技術(shù)，針對特定目標(biāo)進(jìn)行入侵和攻擊，隨著網(wǎng)絡(luò)形勢日益復(fù)雜，網(wǎng)絡(luò)隱蔽攻擊已經(jīng)帶來越來越嚴(yán)重的危害，針對網(wǎng)絡(luò)隱蔽攻擊的檢測成為急需解決的問題?，F(xiàn)有的檢測方法過度依賴專家知識，無法有效對抗混淆代碼，無法快速精確地識別出隱蔽的攻擊手段。以及，如何提高模型的訓(xùn)練效率，也是急需改善的問題。

2、因此，急需一種針對性的針對網(wǎng)絡(luò)隱蔽攻擊的檢測方法和系統(tǒng)。

技術(shù)實現(xiàn)思路

1、本發(fā)明的目的在于提供一種針對網(wǎng)絡(luò)隱蔽攻擊的檢測方法和系統(tǒng)，使用過采樣算法和欠采樣算法，解決訓(xùn)練數(shù)據(jù)集的數(shù)據(jù)不平衡的問題，同時通過捕獲特征的長距離依賴關(guān)系和計算各屬性特征的重要程度，突出混淆的關(guān)鍵特征，優(yōu)化深度異常檢測模型，節(jié)點上傳訓(xùn)練好的模型參數(shù)，由控制節(jié)點優(yōu)化聚合，再下發(fā)給各個節(jié)點，使用深度異常檢測模型快速識別出隱蔽攻擊。

2、第一方面，本技術(shù)提供一種針對網(wǎng)絡(luò)隱蔽攻擊的檢測方法，所述方法包括：

3、各個普通節(jié)點構(gòu)建和訓(xùn)練深度異常檢測模型；

4、所述深度異常檢測模型通過結(jié)構(gòu)化處理，能從流量數(shù)據(jù)中提取關(guān)鍵特征，該深度異常檢測模型包括輸入層、多個子層、均衡采樣模塊和神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，所述神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)包括：混淆處理層、嵌入層、卷積層、池化層、雙向記憶層、注意力機制、全連接層和輸出層；所述混淆處理層包括：數(shù)據(jù)清洗、參數(shù)抽取、大小寫恢復(fù)、關(guān)鍵詞過濾、編碼還原、等價函數(shù)匹配和分詞處理；所述嵌入層用于將輸入數(shù)據(jù)嵌入詞向量模板中；卷積層提取代表性的局部特征，通過雙向記憶層捕獲長距離依賴關(guān)系，利用注意力機制計算各屬性特征的重要程度，突出混淆的關(guān)鍵特征，賦予相關(guān)權(quán)重傳遞到全連接層，分類器計算混淆檢測的最終結(jié)果并由輸出層輸出該最終結(jié)果；

5、其中，所述輸入層接收不同采樣時間窗口下的多個基礎(chǔ)特征；多個具有不同編碼維度的所述子層對所述多個基礎(chǔ)特征進(jìn)行編碼，得到層次化的特征表示，生成嵌入空間；所述均衡采樣模塊融合過采樣算法和欠采樣算法，計算各類別特征的平均數(shù)，將數(shù)量大于等于該平均數(shù)的特征定義為多數(shù)類特征，將數(shù)量小于該平均數(shù)的特征定義為少數(shù)類特征，對所述多數(shù)類特征采用欠采樣算法，對所述少數(shù)類特征采用過采樣算法，匯總過采樣算法和欠采樣算法的結(jié)果，將該匯總的結(jié)果輸入神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)；所述神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)學(xué)習(xí)所述匯總的結(jié)果、檢測異常；

6、其中，所述深度異常檢測模型采用最大邊際損失函數(shù)和多重?fù)p失函數(shù)作為優(yōu)化目標(biāo)，使得具有相似特征的流量在所述嵌入空間聚集在一起，而不同特征的流量隔開一定的距離；

7、所述控制節(jié)點將模型訓(xùn)練任務(wù)下發(fā)到各個普通節(jié)點，由各個普通節(jié)點輸入自己的訓(xùn)練數(shù)據(jù)集，在該普通節(jié)點本地進(jìn)行訓(xùn)練；

8、所述普通節(jié)點得到訓(xùn)練好的深度異常檢測模型的參數(shù)，使用同態(tài)加密算法對模型的參數(shù)進(jìn)行加密，得到同態(tài)密文，并使用對稱加密算法對該同態(tài)密文進(jìn)行二次加密，所述同態(tài)加密算法的密鑰只在參與模型訓(xùn)練的普通節(jié)點之間共享，對稱加密密鑰在普通節(jié)點和參與模型聚合的控制節(jié)點之間共享，同時普通節(jié)點和控制節(jié)點之間的通信使用不同的對稱加密密鑰；

9、所述普通節(jié)點將所述訓(xùn)練好的深度異常檢測模型的參數(shù)上傳給控制節(jié)點，由該控制節(jié)點進(jìn)行優(yōu)化聚合，進(jìn)而該控制節(jié)點再把聚合的結(jié)果發(fā)給各個普通節(jié)點，統(tǒng)一各個普通節(jié)點的模型參數(shù)；

10、普通節(jié)點對用戶上傳的流量數(shù)據(jù)進(jìn)行清洗、過濾和標(biāo)準(zhǔn)化處理，再由本地經(jīng)過統(tǒng)一參數(shù)后的深度異常檢測模型，識別該流量數(shù)據(jù)是否異常，如果異常則繼續(xù)通過推斷攻擊分析流量數(shù)據(jù)的分布特征，進(jìn)而推斷出隱蔽攻擊的位置，以及，通過流量數(shù)據(jù)中攜帶的偽身份信息，猜測攻擊者的真實身份；

11、輸出所述識別的結(jié)果，其中包括：隱蔽攻擊的位置、猜測的攻擊者真實身份，提供給用戶使用。

12、第二方面，本技術(shù)提供一種針對網(wǎng)絡(luò)隱蔽攻擊的檢測系統(tǒng)，所述系統(tǒng)包括：普通節(jié)點、控制節(jié)點、深度異常檢測模型和輸出單元；

13、各個普通節(jié)點，用于構(gòu)建和訓(xùn)練深度異常檢測模型；

14、所述深度異常檢測模型通過結(jié)構(gòu)化處理，能從流量數(shù)據(jù)中提取關(guān)鍵特征，該深度異常檢測模型包括輸入層、多個子層、均衡采樣模塊和神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，所述神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)包括：混淆處理層、嵌入層、卷積層、池化層、雙向記憶層、注意力機制、全連接層和輸出層；所述混淆處理層包括：數(shù)據(jù)清洗、參數(shù)抽取、大小寫恢復(fù)、關(guān)鍵詞過濾、編碼還原、等價函數(shù)匹配和分詞處理；所述嵌入層用于將輸入數(shù)據(jù)嵌入詞向量模板中；卷積層提取代表性的局部特征，通過雙向記憶層捕獲長距離依賴關(guān)系，利用注意力機制計算各屬性特征的重要程度，突出混淆的關(guān)鍵特征，賦予相關(guān)權(quán)重傳遞到全連接層，分類器計算混淆檢測的最終結(jié)果并由輸出層輸出該最終結(jié)果；

15、其中，所述輸入層接收不同采樣時間窗口下的多個基礎(chǔ)特征；多個具有不同編碼維度的所述子層對所述多個基礎(chǔ)特征進(jìn)行編碼，得到層次化的特征表示，生成嵌入空間；所述均衡采樣模塊融合過采樣算法和欠采樣算法，計算各類別特征的平均數(shù)，將數(shù)量大于等于該平均數(shù)的特征定義為多數(shù)類特征，將數(shù)量小于該平均數(shù)的特征定義為少數(shù)類特征，對所述多數(shù)類特征采用欠采樣算法，對所述少數(shù)類特征采用過采樣算法，匯總過采樣算法和欠采樣算法的結(jié)果，將該匯總的結(jié)果輸入神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)；所述神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)學(xué)習(xí)所述匯總的結(jié)果、檢測異常；

16、其中，所述深度異常檢測模型采用最大邊際損失函數(shù)和多重?fù)p失函數(shù)作為優(yōu)化目標(biāo)，使得具有相似特征的流量在所述嵌入空間聚集在一起，而不同特征的流量隔開一定的距離；

17、所述控制節(jié)點，用于將模型訓(xùn)練任務(wù)下發(fā)到各個普通節(jié)點，由各個普通節(jié)點輸入自己的訓(xùn)練數(shù)據(jù)集，在該普通節(jié)點本地進(jìn)行訓(xùn)練；

18、所述普通節(jié)點，還用于得到訓(xùn)練好的深度異常檢測模型的參數(shù)，使用同態(tài)加密算法對模型的參數(shù)進(jìn)行加密，得到同態(tài)密文，并使用對稱加密算法對該同態(tài)密文進(jìn)行二次加密，所述同態(tài)加密算法的密鑰只在參與模型訓(xùn)練的普通節(jié)點之間共享，對稱加密密鑰在普通節(jié)點和參與模型聚合的控制節(jié)點之間共享，同時普通節(jié)點和控制節(jié)點之間的通信使用不同的對稱加密密鑰；

19、所述普通節(jié)點將所述訓(xùn)練好的深度異常檢測模型的參數(shù)上傳給控制節(jié)點，由該控制節(jié)點進(jìn)行優(yōu)化聚合，進(jìn)而該控制節(jié)點再把聚合的結(jié)果發(fā)給各個普通節(jié)點，統(tǒng)一各個普通節(jié)點的模型參數(shù)；

20、普通節(jié)點對用戶上傳的流量數(shù)據(jù)進(jìn)行清洗、過濾和標(biāo)準(zhǔn)化處理，再由本地經(jīng)過統(tǒng)一參數(shù)后的深度異常檢測模型，識別該流量數(shù)據(jù)是否異常，如果異常則繼續(xù)通過推斷攻擊分析流量數(shù)據(jù)的分布特征，進(jìn)而推斷出隱蔽攻擊的位置，以及，通過流量數(shù)據(jù)中攜帶的偽身份信息，猜測攻擊者的真實身份；

21、輸出單元，用于輸出所述識別的結(jié)果，其中包括：隱蔽攻擊的位置、猜測的攻擊者真實身份，提供給用戶使用。

22、第三方面，本技術(shù)提供一種針對網(wǎng)絡(luò)隱蔽攻擊的檢測系統(tǒng)，所述系統(tǒng)包括：處理器以及存儲器：

23、所述存儲器用于存儲程序代碼，并將所述程序代碼傳輸給所述處理器；

24、所述處理器用于根據(jù)所述程序代碼中的指令執(zhí)行第一方面各種可能中任一項所述的方法。

25、第四方面，本技術(shù)提供一種計算機可讀存儲介質(zhì)，所述計算機可讀存儲介質(zhì)用于存儲程序代碼，所述程序代碼用于被處理器執(zhí)行實現(xiàn)第一方面各種可能中任一項所述的方法。

26、有益效果

27、本發(fā)明提供一種針對網(wǎng)絡(luò)隱蔽攻擊的檢測方法和系統(tǒng)，通過使用過采樣算法和欠采樣算法，解決訓(xùn)練數(shù)據(jù)集的數(shù)據(jù)不平衡的問題，同時通過捕獲特征的長距離依賴關(guān)系和計算各屬性特征的重要程度，突出混淆的關(guān)鍵特征，優(yōu)化深度異常檢測模型，節(jié)點上傳訓(xùn)練好的模型參數(shù)，由控制節(jié)點優(yōu)化聚合，再下發(fā)給各個節(jié)點，使用深度異常檢測模型快速識別出隱蔽攻擊，克服現(xiàn)有技術(shù)無法有效對抗混淆代碼，無法快速精確地識別出隱蔽的攻擊手段的問題。

28、本發(fā)明具有以下優(yōu)點和效果：

29、使用過采樣算法和欠采樣算法，解決訓(xùn)練數(shù)據(jù)集的數(shù)據(jù)不平衡的問題；

30、控制節(jié)點進(jìn)行優(yōu)化聚合，再把聚合后的參數(shù)下發(fā)給各個節(jié)點，使得節(jié)點們可以使用相同檢測效果的模型；

31、能夠快速識別出隱蔽攻擊。