本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,具體為一種基于對抗卷積自編碼器的僵尸網(wǎng)絡(luò)流量檢測方法����。
背景技術(shù):
1、隨著互聯(lián)網(wǎng)的高速發(fā)展和物聯(lián)網(wǎng)設(shè)備的普及�,網(wǎng)絡(luò)環(huán)境變得日益復(fù)雜,用戶設(shè)備和服務(wù)器之間的流量大幅增長��。在這過程中���,網(wǎng)絡(luò)安全問題日益嚴(yán)峻�,各種惡意網(wǎng)絡(luò)活動呈現(xiàn)出更加復(fù)雜和隱蔽的特性�����,尤其是僵尸網(wǎng)絡(luò)的廣泛應(yīng)用。僵尸網(wǎng)絡(luò)的攻擊手段不僅對個人和企業(yè)用戶造成巨大危害����,還威脅到互聯(lián)網(wǎng)整體的安全和穩(wěn)定。因此�,如何高效準(zhǔn)確地檢測和防御僵尸網(wǎng)絡(luò)流量,成為了網(wǎng)絡(luò)安全研究中的重要課題��。
2�、僵尸網(wǎng)絡(luò)是指由大量被惡意控制的設(shè)備組成的網(wǎng)絡(luò),攻擊者通過遠(yuǎn)程控制這些設(shè)備發(fā)起各種網(wǎng)絡(luò)攻擊�����,如ddos攻擊��、垃圾郵件發(fā)送����、數(shù)據(jù)竊取等。隨著物聯(lián)網(wǎng)設(shè)備的普及����,僵尸網(wǎng)絡(luò)的規(guī)模和復(fù)雜性顯著增加,使得其攻擊范圍廣泛,破壞性強(qiáng)���,且難以追蹤����。由于僵尸網(wǎng)絡(luò)的通信和操作通?����;祀s在正常流量中�����,其隱蔽性極強(qiáng)��,傳統(tǒng)的網(wǎng)絡(luò)防護(hù)技術(shù)常常難以有效檢測這些惡意流量�,尤其是當(dāng)僵尸網(wǎng)絡(luò)采用復(fù)雜的規(guī)避技術(shù)時���。
3�����、針對僵尸網(wǎng)絡(luò)流量的檢測�,盡管已有多種方法被提出,如基于規(guī)則的檢測���、傳統(tǒng)機(jī)器學(xué)習(xí)方法以及深度學(xué)習(xí)技術(shù)�,但這些方法在面對不斷變化的僵尸網(wǎng)絡(luò)攻擊模式時仍面臨挑戰(zhàn)�。基于規(guī)則的檢測方法依賴于預(yù)先設(shè)定的攻擊特征���,難以適應(yīng)僵尸網(wǎng)絡(luò)攻擊模式的快速變化�����。傳統(tǒng)的機(jī)器學(xué)習(xí)方法�����,如決策樹��、支持向量機(jī)等�,雖然在一定程度上提高了檢測的靈活性�����,但仍受限于人工特征提取的準(zhǔn)確性和全面性�。深度學(xué)習(xí)技術(shù),尤其是卷積神經(jīng)網(wǎng)絡(luò)和循環(huán)神經(jīng)網(wǎng)絡(luò),雖然能夠自動提取特征并展現(xiàn)出較好的性能����,但在處理缺乏標(biāo)簽數(shù)據(jù)(尤其是僵尸網(wǎng)絡(luò)流量樣本)的實(shí)際情況時,其效果往往受限���。此外�����,這些方法在捕捉僵尸網(wǎng)絡(luò)流量的復(fù)雜時空特征方面仍存在不足��。
4�、為了克服現(xiàn)有方法在僵尸網(wǎng)絡(luò)流量檢測中的局限性�,尤其是在處理缺乏標(biāo)簽數(shù)據(jù)的問題時����,本發(fā)明提出了一種基于對抗卷積自編碼器的僵尸網(wǎng)絡(luò)流量檢測方法。該方法利用無監(jiān)督學(xué)習(xí)框架���,在訓(xùn)練階段僅需正常流量數(shù)據(jù)�,從而解決了現(xiàn)實(shí)情況中僵尸網(wǎng)絡(luò)流量樣本稀缺的難題�。對抗卷積自編碼器結(jié)合了卷積神經(jīng)網(wǎng)絡(luò)的自編碼結(jié)構(gòu)和生成對抗網(wǎng)絡(luò)的對抗訓(xùn)練機(jī)制,其中卷積編碼器用于將輸入數(shù)據(jù)映射到一個低維隱向量空間,反卷積解碼器則嘗試從隱向量重構(gòu)原始數(shù)據(jù)�����。同時����,引入一個判別器來區(qū)分隱向量的來源是編碼器生成的還是來自預(yù)設(shè)的先驗(yàn)分布。通過編碼器和判別器之間的對抗訓(xùn)練����,不斷優(yōu)化編碼器生成的隱向量質(zhì)量,同時提升解碼器的重構(gòu)能力���,以最小化重構(gòu)誤差����。在測試階段�,根據(jù)訓(xùn)練數(shù)據(jù)重構(gòu)損失的均值和標(biāo)準(zhǔn)差確定初始閾值,引入滑動窗口動態(tài)閾值自適應(yīng)調(diào)整分類邊界�,通過比較輸入數(shù)據(jù)在經(jīng)過編碼器和解碼器后得到的重構(gòu)損失與當(dāng)前滑動窗口內(nèi)動態(tài)閾值的大小,來檢測輸入數(shù)據(jù)屬于正常流量還是僵尸網(wǎng)絡(luò)流量�。這種方法不僅能夠有效利用有限的正常流量數(shù)據(jù)進(jìn)行模型訓(xùn)練,還能在檢測階段準(zhǔn)確區(qū)分正常流量和僵尸網(wǎng)絡(luò)流量�����,為僵尸網(wǎng)絡(luò)流量的高效、精確檢測提供了一種新的解決方案��。
技術(shù)實(shí)現(xiàn)思路
1�����、為了應(yīng)對現(xiàn)有僵尸網(wǎng)絡(luò)流量檢測方法在應(yīng)對缺乏標(biāo)簽數(shù)據(jù)��、難以捕捉復(fù)雜特征以及隱蔽攻擊識別不準(zhǔn)確等方面的不足����,本發(fā)明提出了一種基于對抗卷積自編碼器的僵尸網(wǎng)絡(luò)流量檢測方法。該方法利用無監(jiān)督學(xué)習(xí)框架����,通過結(jié)合卷積自編碼器的特征提取能力和生成對抗網(wǎng)絡(luò)的對抗訓(xùn)練機(jī)制,有效解決了僵尸網(wǎng)絡(luò)流量樣本稀缺的問題����,并顯著提升了檢測的準(zhǔn)確性和魯棒性�。通過優(yōu)化隱向量的生成和數(shù)據(jù)的重構(gòu)過程,并在測試時引入滑動窗口動態(tài)閾值����,本發(fā)明能夠更準(zhǔn)確地識別出隱藏在正常流量中的僵尸網(wǎng)絡(luò)流量�。
2�、為實(shí)現(xiàn)上述目的,本發(fā)明提供如下技術(shù)方案:
3�、一種基于對抗卷積自編碼器的僵尸網(wǎng)絡(luò)流量檢測方法,包括如下步驟:
4���、步驟1:數(shù)據(jù)預(yù)處理�。將原始網(wǎng)絡(luò)流量數(shù)據(jù)切割為具有相同源ip�、目標(biāo)ip、源端口�����、目標(biāo)端口及協(xié)議的字節(jié)流��,以確保數(shù)據(jù)的一致性和可比性�����。
5�、步驟2:數(shù)據(jù)規(guī)范化。對切割后的字節(jié)流進(jìn)行處理�,處理成32字節(jié)乘32字節(jié)的形式���。
6、步驟3:模型結(jié)構(gòu)初始化��。定義三個主要模塊����,包括編碼器:將輸入數(shù)據(jù)映射到隱向量,其為卷積結(jié)構(gòu)��;解碼器:從隱向量重構(gòu)輸入數(shù)據(jù)�,其為反卷積結(jié)構(gòu);判別器:區(qū)分隱向量的來源是編碼器生成的還是來自預(yù)設(shè)的先驗(yàn)分布�����。最后確定先驗(yàn)分布為高斯分布����。
7、步驟4:模型訓(xùn)練����。首先對每個批次數(shù)據(jù)進(jìn)行前向傳播,包括編碼器處理�����,解碼器重構(gòu)��,判別器判斷�����;其次計(jì)算損失���,包括重構(gòu)損失��,判別器損失����,編碼器對抗損失��;最后更新參數(shù)���,最小化重構(gòu)損失���,平衡判別器損失和編碼器對抗損失。
8����、步驟5:模型測試�。輸入測試數(shù)據(jù)��,進(jìn)行前向傳播和重構(gòu)���,計(jì)算重構(gòu)誤差�,對比重構(gòu)誤差和當(dāng)前滑動窗口內(nèi)動態(tài)閾值大小以判斷輸入數(shù)據(jù)為正常流量還是僵尸網(wǎng)絡(luò)流量��。
9����、所述步驟1中,用網(wǎng)絡(luò)流切分工具對原始流量數(shù)據(jù)按照五元組形式切割���,即每條流量擁有相同的源ip地址�����,目的ip地址��,源端口��,目的端口����,協(xié)議����。那么,一個原始流量文件可以被分解成眾多擁有唯一五元組信息的流f1,f2,……fi�。
10、所述步驟2中���,針對每一條f����,進(jìn)行數(shù)據(jù)形式轉(zhuǎn)換���,截取前1024個字節(jié)��,將順序排列的1024個字節(jié)轉(zhuǎn)化為每行有32個字節(jié)��,共32列的二維矩陣形式����,若f不足1024個字節(jié),則用0x00補(bǔ)齊���。為消除量綱和數(shù)據(jù)大小的差異�����,對每個字節(jié)b執(zhí)行其中����,十六進(jìn)制數(shù)的bmin=0�����,bmax=255�。
11、所述步驟3中����,具體包括以下步驟:
12、步驟3.1:構(gòu)建編碼器����,其網(wǎng)絡(luò)結(jié)構(gòu)具體如下:
13、第一層卷積:輸入通道為1���,輸出通道為16�����,卷積核大小為3*3��,步長為2�����,填充為1����,輸出特征圖尺寸為16*16*16���。
14�����、relu激活函數(shù):為卷積輸出引入非線性��。
15�����、第二層卷積:輸入通道為16�����,輸出通道為32�,卷積核大小為3*3,步長為2�����,填充為1���,輸出特征圖尺寸為32*8*8����。
16�����、relu激活函數(shù):再次引入非線性����。
17、扁平化層:將32*8*8的三維特征圖展開為一維向量��,擁有2048個特征。
18��、全連接層:輸入特征為2048�����,輸出為低維的隱向量�����,其維度在本發(fā)明中設(shè)為64���。步驟3.2:構(gòu)建解碼器,其網(wǎng)絡(luò)結(jié)構(gòu)如下:
19�、全連接層:輸入特征為隱向量維度64,輸入特征為32*8*8����,即2048,目的是將隱向量還原成卷積所需的形狀����。
20、relu激活函數(shù):引入非線性��。
21、反扁平化層:將一維向量2048重新變回三維張量:32*8*8���。
22���、第一層反卷積:輸入通道為32,輸出通道為16��,卷積核大小為3*3���,步長為2����,填充為1����,輸出特征圖尺寸為16*16*16。
23��、relu激活函數(shù):引入非線性�。
24、第二層反卷積:輸入通道為16���,輸出通道為1����,卷積核大小為3*3,步長為2�,填充為1,輸出特征圖尺寸為1*32*32�����。
25��、sigmoid激活函數(shù):將輸出數(shù)據(jù)壓縮到[0,1]范圍�����,適用于輸入數(shù)據(jù)為歸一化圖像的情況�����。
26�、步驟3.3:構(gòu)建判別器����,其網(wǎng)絡(luò)結(jié)構(gòu)如下:
27、第一層全連接:輸入特征為隱向量維度64�,將輸入隱向量映射一個隱藏層���,其維度為128。
28�、relu激活函數(shù):引入非線性。
29����、第二層全連接:輸入特征為128維,輸出特征為1��,將隱藏層輸出映射到單一標(biāo)量��,表示判別概率���。
30�����、sigmoid激活函數(shù):將輸出壓縮到[0,1]范圍����,表示判別為真實(shí)隱向量的概率��。步驟3.4:確定先驗(yàn)分布為高斯分布,其公式為
31����、
32、所述步驟4中��,具體包括以下步驟:
33����、步驟4.1:前向傳播:
34、對于每個批次的數(shù)據(jù)編碼器e處理輸入數(shù)據(jù)x���,生成隱向量z��,即
35��、z=e(x)
36���、解碼器g重構(gòu)隱向量z,重構(gòu)輸出數(shù)據(jù)即
37��、
38�����、判別器d隨機(jī)從先驗(yàn)分布p(z)中采樣一個隱向量zreal�����,并處理兩個輸入����,真實(shí)隱向量zreal(來自先驗(yàn)分布),生成隱向量z(來自編碼器e)���。同時輸出判別結(jié)果��,判別為真實(shí)的概率d(zreal)���,判別為生成的概率d(z)。
39����、步驟4.2:損失計(jì)算:
40、計(jì)算重構(gòu)損失�,即計(jì)算輸入數(shù)據(jù)x和重構(gòu)數(shù)據(jù)的誤差:
41、
42����、判別器嘗試區(qū)分真實(shí)隱向量zreal和生成隱向量z,其損失為:
43、
44�����、編碼器嘗試“欺騙”判別器�����,使z被判別為真實(shí)隱向量����,其對抗損失為:
45、le=-ez[log?d(z)]
46����、步驟4.3:參數(shù)更新:
47、更新判別器d����,最小化判別器損失ld。
48�、更新編碼器e和解碼器g,最小化重構(gòu)損失lrec和編碼器對抗損失le:
49�����、l=lrec+λle
50、其中λ是權(quán)重系數(shù)���,用于平衡兩項(xiàng)損失。
51���、最后進(jìn)行迭代訓(xùn)練���,重復(fù)以上步驟,直到網(wǎng)絡(luò)收斂���。
52�����、所述步驟5中��,具體包括以下步驟:
53�、步驟5.1:設(shè)置滑動窗口動態(tài)閾值�����,其具體為:
54�����、根據(jù)訓(xùn)練階段正常流量重構(gòu)損失的均值和標(biāo)準(zhǔn)差確定初始閾值,即
55�����、τinit=μtrain+k·σtrain
56�����、其中����,μtrain和σtrain分別為訓(xùn)練數(shù)據(jù)的均值和標(biāo)準(zhǔn)差,k為調(diào)節(jié)系數(shù)���。
57���、滑動窗口局部統(tǒng)計(jì)計(jì)算,維護(hù)一個長度為w的滑動窗口�����,存儲最近w個測試樣本的重構(gòu)損失值。實(shí)時計(jì)算窗口內(nèi)的局部均值和標(biāo)準(zhǔn)差��,即
58、
59�����、結(jié)合初始閾值和局部統(tǒng)計(jì)量�,動態(tài)調(diào)整當(dāng)前閾值����,即
60、τt=β·τinit+(1-β)·(μwindow+k·σwindow)
61���、其中��,β為權(quán)重系數(shù)�,用于平衡全局統(tǒng)計(jì)與局部統(tǒng)計(jì)的影響��。
62�、步驟5.2:輸入測試數(shù)據(jù)xtest,包括正常流量和僵尸網(wǎng)絡(luò)流量���,并調(diào)用模型進(jìn)行異常檢測�,其具體為:
63��、測試數(shù)據(jù)xtest經(jīng)過編碼器e,生成隱向量ztest����,即
64、ztest=e(xtest)
65��、隱向量ztest經(jīng)過解碼器g�����,重構(gòu)出數(shù)據(jù)即
66���、
67����、計(jì)算測試數(shù)據(jù)xtest與重構(gòu)數(shù)據(jù)之間的重構(gòu)誤差:
68�����、
69���、對于正常流量���,由于編碼器生成高質(zhì)量的z����,重構(gòu)誤差較小�����。對于僵尸網(wǎng)絡(luò)流量����,由于模型未曾見過�,生成的z不符合先驗(yàn)分布,導(dǎo)致重構(gòu)誤差顯著偏大����。
70、若lrec,test>τt���,則判定為僵尸網(wǎng)絡(luò)流量����,若lrec,test<τt�,則判定為正常流量。
71�����、一種電子設(shè)備,包括存儲器���、處理器及存儲在所述存儲器上并可在處理器上運(yùn)行的計(jì)算機(jī)程序�����,所述處理器執(zhí)行所述程序時實(shí)現(xiàn)所述的基于對抗卷積自編碼器的僵尸網(wǎng)絡(luò)流量檢測方法�。
72��、一種計(jì)算機(jī)可讀存儲介質(zhì)��,其上存儲有計(jì)算機(jī)指令�,該計(jì)算機(jī)指令被處理器執(zhí)行時實(shí)現(xiàn)所述的基于對抗卷積自編碼器的僵尸網(wǎng)絡(luò)流量檢測方法。
73�、與現(xiàn)有技術(shù)相比,本發(fā)明提出的基于對抗卷積自編碼器的僵尸網(wǎng)絡(luò)流量檢測方法���,具有如下有益效果:
74�、1.本發(fā)明的無監(jiān)督框架通過結(jié)合卷積自編碼器和生成對抗網(wǎng)絡(luò)的對抗訓(xùn)練機(jī)制�,模型僅需正常流量訓(xùn)練,通過重構(gòu)誤差識別僵尸網(wǎng)絡(luò)流量,無需依賴大量標(biāo)注數(shù)據(jù)即可學(xué)習(xí)正常流量的特征分布��,避免了標(biāo)注數(shù)據(jù)不足的限制��。
75����、2.通過判別器對抗損失優(yōu)化編碼器,使隱向量服從高斯分布���,增強(qiáng)模型對異常流量的敏感性�����。普通自編碼器隱向量可能過擬合訓(xùn)練數(shù)據(jù),對抗訓(xùn)練則通過分布約束提升泛化能力����。
76、3.在測試時引入滑動窗口動態(tài)閾值��,解決固定閾值在流量波動時的誤判問題�。傳統(tǒng)方法固定閾值易導(dǎo)致高誤報率,動態(tài)閾值顯著提升環(huán)境適應(yīng)性�。