CN110958263B - 网络攻击检测方法、装置、设备及存储介质 - Google Patents
网络攻击检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN110958263B CN110958263B CN201911289345.2A CN201911289345A CN110958263B CN 110958263 B CN110958263 B CN 110958263B CN 201911289345 A CN201911289345 A CN 201911289345A CN 110958263 B CN110958263 B CN 110958263B
- Authority
- CN
- China
- Prior art keywords
- environment
- network
- parameter
- model
- environmental
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络攻击检测方法、装置、设备及存储介质,属于网络技术领域。本申请提供了一种利用生成式对抗网络来部署蜜罐环境的方法,该生成式对抗网络的生成模型能够自动地生成高仿真的环境参数,基于该环境参数进行配置后,能够配置出逼近于真实环境的蜜罐环境,从而提供沉浸式的蜜罐环境,由于蜜罐环境的迷惑性和隐蔽性更好,因此能够有效地诱导攻击方进行网络攻击,从而及时准确地检测到网络攻击行为。并且,免去了人工确定环境参数带来的时间成本,大大节省了人力,因此提高了效率。
Description
技术领域
本申请涉及网络技术领域,特别涉及一种网络攻击检测方法、装置、设备及存储介质。
背景技术
随着网络技术的不断发展,网络攻击行为频频发生,有鉴于此,可以利用蜜罐技术来检测出网络攻击行为,从而提高网络的安全性。
蜜罐技术是一种防御方对攻击方进行欺骗的技术,防御方通过将环境配置为蜜罐环境,来捕获网络攻击行为,利用网络攻击行为了解攻击方所使用的网络工具与方法,以此为依据来增强***的安全防护能力。其中,蜜罐环境是指用于诱导攻击方进行网络攻击的环境。具体地,蜜罐环境可以包括一些设备或服务,其上存储了攻击方可能感兴趣的业务资源,可以将该业务资源作为诱饵,诱使攻击方对***实施网络攻击。
目前,通常由用户根据人工经验,确定出蜜罐环境的环境参数,在计算机设备上输入蜜罐环境的环境参数,计算机设备会根据用户输入的环境参数进行配置,从而构建出蜜罐环境,在此后的运行过程中,捕获网络攻击行为。
采用上述方法时,人工确定环境参数需要耗费大量的时间成本,导致效率低下。而且,人工确定的方式存在一定的主观性,无法有统一的、客观的标准,因此得到的环境参数准确性差,基于环境参数进行配置后,很容易被攻击方识别出是蜜罐环境而非真实环境,也就难以捕获到网络攻击行为。
发明内容
本申请实施例提供了一种网络攻击检测方法、装置、设备及存储介质,至少解决相关技术中耗费的时间成本较大、效率低下的问题。所述技术方案如下:
一方面,提供了一种网络攻击检测方法,所述方法包括:
调用生成式对抗网络,所述生成式对抗网络包括生成模型和识别模型,所述生成模型用于生成蜜罐环境的环境参数,所述识别模型用于识别所述生成模型生成的环境参数是否为真实环境的环境参数;
通过所述生成式对抗网络的生成模型,生成第一环境参数;
将当前的环境参数配置为所述第一环境参数;
在基于所述第一环境参数运行的过程中,捕获网络攻击行为。
可选地,所述第一环境参数包括业务资源的名称、业务资源的存储位置、业务资源的数据量、桌面文件的名称、隐私文件的存储位置或者网络配置参数中的一项或多项。
另一方面,提供了一种网络攻击检测装置,所述装置包括:
调用模块,用于调用生成式对抗网络,所述生成式对抗网络包括生成模型和识别模型,所述生成模型用于生成蜜罐环境的环境参数,所述识别模型用于识别所述生成模型生成的环境参数是否为真实环境的环境参数;
生成模块,用于通过所述生成式对抗网络的生成模型,生成第一环境参数;
配置模块,用于将当前的环境参数配置为所述第一环境参数;
捕获模块,用于在基于所述第一环境参数运行的过程中,捕获网络攻击行为。
可选地,所述装置还包括:训练模块,用于通过所述生成模型,生成第二环境参数;将所述第二环境参数输入所述识别模型;通过所述识别模型,对所述第二环境参数进行识别;如果所述识别模型将所述第二环境参数识别为蜜罐环境的环境参数,对所述生成模型的参数进行调整,直至所述识别模型将所述生成模型生成的环境参数识别为真实环境的环境参数为止。
可选地,所述生成模型为自编码器网络中的解码网络,所述自编码器网络包括编码网络和所述解码网络,所述编码网络用于对真实环境的环境参数进行特征提取,所述解码网络用于根据提取的特征重构真实环境的环境参数。
可选地,所述训练模块,用于将第三环境参数输入所述自编码器网络,所述第三环境参数为样本真实环境的环境参数;通过所述编码网络对所述第三环境参数进行特征提取,输出样本真实环境的环境特征;通过所述解码网络对所述环境特征进行重构,输出第四环境参数;根据所述第三环境参数以及所述第四环境参数之间的差距,获取损失值;根据所述损失值,对所述自编码器网络的参数进行调整;当满足训练终止条件时,将本次迭代过程所采用的解码网络输出为已训练的生成模型。
可选地,生成模块,用于将随机参数输入所述生成模型;通过所述生成模型对所述随机参数进行调整,得到所述第一环境参数。
可选地,所述装置还包括:
输出模块,用于输出所述第一环境参数;
接收模块,用于接收用户为所述第一环境参数输入的识别结果,所述识别结果用于指示所述第一识别环境参数是否为真实环境的环境参数;
所述配置模块,用于如果所述识别结果表示所述第一环境参数为真实环境的环境参数,将当前的环境参数配置为所述第一环境参数。
可选地,所述第一环境参数包括业务资源的名称、业务资源的存储位置、业务资源的数据量、桌面文件的名称、隐私文件的存储位置或者网络配置参数中的一项或多项。
另一方面,提供了一种计算机设备,所述计算机设备包括一个或多个处理器和一个或多个存储器,所述一个或多个存储器中存储有至少一条程序代码,所述至少一条程序代码由所述一个或多个处理器加载并执行以实现上述网络攻击检测方法所执行的操作。
另一方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一条程序代码,所述至少一条程序代码由处理器加载并执行以实现上述网络攻击检测方法所执行的操作。
本申请实施例提供的技术方案带来的有益效果至少包括:
本实施例提供了一种利用生成式对抗网络来部署蜜罐环境的方法,该生成式对抗网络的生成模型能够自动地生成高仿真的环境参数,基于该环境参数进行配置后,能够配置出逼近于真实环境的蜜罐环境,从而提供沉浸式的蜜罐环境,由于蜜罐环境的迷惑性和隐蔽性更好,因此能够有效地诱导攻击方进行网络攻击,从而及时准确地检测到网络攻击行为。并且,免去了人工确定环境参数带来的时间成本,大大的节省了人力,因此提高了效率。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种网络攻击检测***的结构框图;
图2是本申请实施例提供的一种用于生成蜜罐环境的环境参数的生成模型的训练方法的流程图;
图3是本申请实施例提供的一种训练生成模型的示意图;
图4是本申请实施例提供的一种用于生成蜜罐环境的环境参数的生成式对抗网络的训练方法的流程图;
图5是本申请实施例提供的一种训练生成式对抗网络的示意图;
图6是本申请实施例提供的一种网络攻击检测方法的流程图;
图7是本申请实施例提供的一种配置第一环境参数之前的网络部署示意图;
图8是本申请实施例提供的一种配置第一环境参数之后的网络部署示意图;
图9是本申请实施例提供的一种部署蜜罐环境的示意图;
图10是本申请实施例提供的一种网络攻击检测装置的结构示意图;
图11是本申请实施例提供的一种服务器的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本申请中的字符“/”,一般表示前后关联对象是一种“或”的关系。
本申请中术语“多个”的含义是指两个或两个以上,例如,多个数据包是指两个或两个以上的数据包。
本申请中术语“第一”“第二”等字样用于对作用和功能基本相同的相同项或相似项进行区分,应理解,“第一”、“第二”、“第n”之间不具有逻辑或时序上的依赖关系,也不对数量和执行顺序进行限定。
以下,对本申请涉及的术语进行解释。
蜜罐:蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、服务或者资源,诱使攻击方对它们实施网络攻击,从而可以捕获到网络攻击行为,通过分析网络攻击行为,可以了解攻击方所使用的工具与方法,推测出攻击的意图和动机,以使防御方了解面对的安全威胁,从而增强***的安全防护能力。蜜罐环境可以视为防御方精心布置的“黑匣子”,包括用来引诱黑客攻击的服务器,通过引诱黑客入侵服务器,来收集证据,同时隐藏服务器的真实地址。
蜜饵:是指防御方布置的攻击方可能感兴趣的资源,比如某某作战计划、某某商业合同等等。正常状态下,这些资源不会被打开,而一旦发现这些文件被打开,则基本可以判定发生了入侵行为。
生成式对抗网络(Generative Adversarial Networks,GAN)是一种无监督的深度学习模型。GAN主要包括两大部分:生成模型(Generative Model)和判别模型(Discriminative Model),生成模型和判别模型采用对抗式学习的方式训练得到,对抗式学习可以理解为生成模型和判别模型互相博弈来学习到输出结果。
人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用***。换句话说,人工智能是计算机科学的一个综合技术,它企图了解智能的实质,并生产出一种新的能以人类智能相似的方式做出反应的智能机器。人工智能也就是研究各种智能机器的设计原理与实现方法,使机器具有感知、推理与决策的功能。人工智能技术是一门综合学科,涉及领域广泛,既有硬件层面的技术也有软件层面的技术。人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互***、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
机器学习(Machine Learning,ML)是一门多领域交叉学科,涉及概率论、统计学、逼近论、凸分析、算法复杂度理论等多门学科。专门研究计算机怎样模拟或实现人类的学习行为,以获取新的知识或技能,重新组织已有的知识结构使之不断改善自身的性能。机器学习是人工智能的核心,是使计算机具有智能的根本途径,其应用遍及人工智能的各个领域。机器学习和深度学习通常包括人工神经网络、置信网络、强化学习、迁移学习、归纳学习、示教学习等技术。随着人工智能技术研究和进步,人工智能技术在多个领域展开研究和应用,例如常见的智能家居、智能穿戴设备、虚拟助理、智能音箱、智能营销、无人驾驶、自动驾驶、无人机、机器人、智能医疗、智能客服等。
以下,示例性介绍本申请的***架构。
图1是本申请实施例提供的一种网络攻击检测***的结构框图。该网络攻击检测***包括:计算机设备101和检测平台102。计算机设备101通过无线网络或有线网络与检测平台102相连。
计算机设备101可以是服务器、主机或个人电脑中的至少一种。检测平台102包括一台服务器、多台服务器、云计算平台和虚拟化中心中的至少一种。
可选地,检测平台102承担主要检测工作,计算机设备101承担次要检测工作;或者,检测平台102承担次要检测工作,计算机设备101承担主要检测工作;或者,检测平台102或计算机设备101分别可以单独承担检测工作。
可选地,检测平台102包括:接入服务器1021、数据库1022和AI服务器。接入服务器1021用于为计算机设备101提供接入服务。AI服务器1023用于提供模型训练有关的服务。AI服务器1023可以是一台或多台。当AI服务器1023是多台时,存在至少两台AI服务器1023用于提供不同的服务,和/或,存在至少两台AI服务器1023用于提供相同的服务,比如以负载均衡方式,组成AI集群来协调进行训练。
结合本实施例提供的方法,数据库1022可以存储有大量样本真实环境的环境参数,AI服务器1023可以构建出自编码器网络,读取数据库1022存储的环境参数,使用该环境参数对自编码器网络进行训练,将已训练的自编码器网络的解码器作为生成模型,将该生成模型以及构建的识别模型构建为生成式对抗网络,使用数据库1022存储的环境参数对生成式对抗网络进行训练,最终得出已训练的生成式对抗网络,将该已训练的生成式对抗网络发送至计算机设备,计算机设备可以利用AI服务器1023发来的生成式对抗网络,得出环境参数,从而配置出蜜罐环境。
计算机设备101可以泛指多个计算机设备中的一个,本实施例仅以计算机设备101来举例说明。
本领域技术人员可以知晓,上述计算机设备的数量可以更多或更少。比如上述计算机设备可以仅为一个,或者上述计算机设备为几十个或几百个,或者更多数量,此时上述网络攻击检测***还包括其他计算机设备。本申请实施例对计算机设备的数量和设备类型不加以限定。
图2是本申请实施例提供的一种用于生成蜜罐环境的环境参数的生成模型的训练方法的流程图,该实施例的执行主体为计算机设备,参见图2,该方法包括:
201、计算机设备将第三环境参数输入自编码器网络。
第三环境参数为样本真实环境的环境参数。可以使用自编码器网络,通过大量样本真实环境的参数进行学习,从而自动生成出能够模拟真实环境的环境参数。第三环境参数的类型可以包括多种。例如,第三环境参数可以包括业务资源的名称、业务资源的存储位置、业务资源的数据量、桌面文件的名称、隐私文件的存储位置或者网络配置参数中的一项或多项。
业务资源的具体形态可以根据实验、经验或业务需求设置,业务资源可以是文件、视频、图像、音频中的任一种及其组合。在蜜罐技术领域中,业务资源可以称为诱饵、蜜饵、蜜标或者面包屑,可以将攻击方有可能感兴趣的文件配置为第三环境参数中的业务资源,诱使攻击方对业务资源所处的设备进行网络攻击。例如,业务资源可以是商业合同、作战计划等。
自编码器网络是一种无监督的神经网络,自编码器网络(autoencoder)包括编码网络(encoder,也称编码器)和解码网络(decoder,也称解码器)。编码网络和解码网络可以级联。
编码网络用于对真实环境的环境参数进行特征提取,编码网络的输入参数可以包括环境参数,编码网络的输出参数可以包括环境特征。解码网络用于根据提取的特征重构真实环境的环境参数。解码网络的输入参数可以包括环境特征,编码网络的输出参数可以包括环境参数。其中,环境特征可以是一个向量,该向量的每个维度的取值为一个数值。
202、计算机设备通过自编码器网络中的编码网络对第三环境参数进行特征提取,输出样本真实环境的环境特征。
编码网络可以包括输入层、隐藏层和输出层,每个层可以包括若干个神经元,每个神经元可以对输入的环境参数进行线性映射以及非线性映射后,得到环境特征。
203、计算机设备通过解码网络对环境特征进行重构,输出第四环境参数。
第四环境参数是指解码网络根据输入的环境特征重构出的环境参数。第四环境参数的类型可以和第三环境参数的类型相同,例如包括业务资源的名称、业务资源的存储位置、桌面文件的名称、隐私文件的存储位置或者网络配置参数中的一项或多项。解码网络可以包括输入层、隐藏层和输出层,每个层可以包括若干个神经元,每个神经元可以对输入的环境特征进行线性映射以及非线性映射后,输出第四环境参数。
204、计算机设备根据第三环境参数以及第四环境参数之间的差距,获取损失值。
第三环境参数以及第四环境参数之间的差距能够体现自编码器网络的准确性,差距越小,表明编码网络生成的环境特征越准确,解码网络还原出的环境参数越准确。
损失值用于指示第三环境参数与第四环境参数之间的差距的大小,第三环境参数与第四环境参数之间的差距越小,则损失值越小。可以采用损失函数,对第三环境参数与第四环境参数进行运算,得到损失值。其中,损失值包括而不限于最小化绝对误差(L1 loss)、最小化平方误差(L2 loss)、KL距离(Kullback Leibler Divergence,也称相对熵)等。
205、计算机设备根据损失值,对自编码器网络的参数进行调整。
计算机设备可以采用反向传播(Back Propagation)算法,根据损失值,调整编码网络和解码网络每个卷积核的权重,通过调整权重,自编码器网络预测的准确性得以提升,使得下一次预测时还原出的环境参数与输入的环境参数之间的差距得以减小。
206、当满足训练终止条件时,计算机设备将本次迭代过程所采用的解码网络输出为已训练的生成模型。
计算机设备可以在执行上述步骤的过程中,判断是否满足训练终止条件,当满足训练终止条件则停止训练,当未满足训练终止条件则继续执行上述步骤。具体地,步骤201至步骤205可以作为一次迭代的过程,在训练自编码器网络的过程中,可以多次执行上述步骤201至步骤205。具体地,调整模型参数后,可以再次执行上述步骤201至步骤205,得到新的损失值,根据新的损失值再次调整模型参数,直至满足训练终止条件时,停止调整。
其中,训练终止条件可以根据需要设置,例如可以是损失值收敛,又如可以是损失函数满足预设条件,再如可以是基于验证数据集验证时,其能力在一段时间内没有提升。其中,该目标次数可以是预先设置的迭代次数,用以确定训练结束的时机,避免对训练资源的浪费,而该预设条件可以是训练过程中损失函数值在一段时间内不变或者不下降等条件。当满足训练终止条件时,表明自编码器网络能够有效的还原出输入的环境参数,则可以将自编码器网络中的解码网络作为生成模型。
示意性的,参见图3,可以通过构建自编码器网络,使用样本真实环境的参数进行训练,来得到能够还原出真实环境的环境参数的解码器,将其作为GAN中的生成模型。
本实施例提供的方法,使用编码网络来对样本真实环境的环境参数进行特征提取,使用解码网络,将编码网络提取出的环境特征重构为环境参数,通过对编码网络和解码网络进行训练,使得解码网络学习出自动生成环境参数的能力。后续通过在解码网络的基础上,继续使用GAN网络的训练方法来训练得到最终的生成模型,可以保证生成模型能够自动模拟出真实环境的环境参数。相对于人工设计环境参数的方法而言,一方面,解码网络由于通过样本真实环境的环境参数进行学习,能够自动生成高仿真的环境参数,使得环境参数迷惑性强,有效地引诱攻击方进行攻击。另一方面,免去了人工设计环境参数带来的人力成本和时间开销,从而极大地提高了生成环境参数的效率。
图4是本申请实施例提供的一种用于生成蜜罐环境的环境参数的生成式对抗网络的训练方法的流程图,该实施例的执行主体为计算机设备,参见图4,该方法包括:
401、计算机设备通过生成模型,生成第二环境参数。
通过上述图2实施例,生成模型具备了基本的生成真实环境的环境参数的能力,可以通过执行本实施例提供的方法,在图2实施例得到的生成模型的基础上,采用GAN的训练方法,继续对生成模型进行训练,从而提高生成模型的参数的准确性,使得生成模型生成的环境参数的仿真性更强。
第二环境参数是指GAN训练阶段生成模型生成的环境参数。第二环境参数的类型可以和第三环境参数的类型相同,例如包括业务资源的名称、业务资源的存储位置、业务资源的数据量、桌面文件的名称、隐私文件的存储位置或者网络配置参数中的一项或多项。
在一些实施例中,生成第二环境参数的过程可以包括以下步骤一至步骤二:
步骤一、计算机设备将随机参数输入生成模型。
可以对环境特征进行初始化,得到随机参数。该随机参数可以是一个向量,该向量的每个维度的取值为一个随机数。
步骤二、计算机设备通过生成模型对随机参数进行调整,得到第二环境参数。
402、计算机设备将第二环境参数输入识别模型。
403、计算机设备通过识别模型,对第二环境参数进行识别。
识别模型用于识别生成模型生成的环境参数是否为真实环境的环境参数。识别模型可以是二分类器,识别模型的输出结果可以表示环境参数为真实环境的环境参数或蜜罐环境的环境参数。示例性地,识别模型可以判别第二环境参数是真实环境的环境参数还是蜜罐环境的环境参数,输出判别第二环境参数是真实环境的环境参数的概率。例如,如果判别第二环境参数是真实环境的环境参数,则识别模型输出1,如果判别第二环境参数是蜜罐环境的环境参数,则识别模型输出0。识别模型可以是神经网络模型,当然也可以是其他具有分类功能的机器学习模型。
404、如果识别模型将第二环境参数识别为蜜罐环境的环境参数,计算机设备对生成模型的参数进行调整,直至识别模型将生成模型生成的环境参数识别为真实环境的环境参数为止,将本次迭代过程所采用的生成式对抗网络输出为已训练的生成式对抗网络。
生成式对抗网络的训练过程可以理解为生成模型和识别模型在互相博弈,通过两个模型互相对抗,来提高生成结果的真实性。具体地,可以通过生成模型,生成用于拟合真实环境的蜜罐环境的环境参数,可以将生成模型生成的环境参数和样本真实环境的环境参数输入识别模型,通过识别模型对输入的环境参数进行识别,得到识别结果,识别结果用于指示输入的环境参数是真实环境的环境参数或蜜罐环境的环境参数。根据识别结果,可以获取损失值,根据损失值可以对生成式对抗网络的参数进行调整。其中,如果将生成模型输出的环境参数输入识别模型后,识别模型输出的识别结果为蜜罐环境的环境参数,表明识别模型分辨出了非真实样本,则对生成模型的环境参数进行调整,以提高生成模型的仿真能力;如果将生成模型输出的环境参数输入识别模型后,识别模型的识别结果为真实环境的环境参数,表明识别模型混淆了非真实样本和真实样本,则对识别模型的环境参数进行调整,以提高识别模型的判别能力。通过进行多次训练,生成模型生成的环境参数的仿真能力会不断提高,最终输出的环境参数可达到以假乱真的效果,此外判别模型的判别能力也会不断提高。
示意性的,参见图5,构建生成式对抗网络的流程可以包括以下步骤(1)至步骤(3)。
步骤(1)通过生成模型,生成环境参数,将环境参数发送给识别模型。
步骤(2)识别模型识别输入的环境参数是否为真实环境的环境参数。
步骤(3)如果识别模型识别出该环境参数是蜜罐环境的环境参数,则对生成模型重新训练调整,直到将生成模型生成的环境参数发送给识别模型后,识别模型无法识别出该环境参数为蜜罐环境的环境参数。
本实施例提供的方法,提供了一种通过生成式对抗网络来构建生成模型的方法,通过训练出一个生成模型,来生成蜜罐环境的环境参数,通过训练一个识别模型,来识别蜜罐环境的环境参数,通过生成模型与识别模型对抗训练,使得生成模型生成的环境参数具有非常好的迷惑性,利用该环境参数能够构建出沉浸式的蜜罐环境,大大增高蜜罐环境的欺骗能力,使得入侵***的攻击方难以发觉入侵的是蜜罐环境而不是真实环境,从而提供沉浸式的真实感,有助于捕获高级的入侵行为。
下面基于图6来介绍生成式对抗网络的应用阶段,也即是网络攻击检测过程,参见图6,该方法可以应用于服务器或者计算机设备上,例如,服务器可以应用训练好的生成式对抗网络来检测网络攻击,还可以将训练好的生成式对抗网络发送至任意计算机设备来检测网络攻击,本实施例仅以计算机设备为执行主体为例进行说明,该网络攻击检测过程包括:
601、计算机设备调用生成式对抗网络。
生成式对抗网络包括生成模型和识别模型,生成模型用于生成蜜罐环境的环境参数,识别模型用于识别生成模型生成的环境参数是否为真实环境的环境参数。
602、计算机设备通过生成式对抗网络中的生成模型,生成第一环境参数。
第一环境参数是指模型应用阶段生成模型生成的环境参数。第一环境参数的类型可以和第三环境参数的类型相同,例如包括业务资源的名称、业务资源的存储位置、业务资源的数据量、桌面文件的名称、隐私文件的存储位置或者网络配置参数中的一项或多项。
在一些实施例中,生成第一环境参数的过程可以包括以下步骤一至步骤二:
步骤一、计算机设备将随机参数输入生成模型。
步骤二、计算机设备通过生成模型对随机参数进行调整,得到第一环境参数。
模型应用阶段中环境参数的生成流程可以和模型训练阶段中环境参数的生成流程同理,在此不做赘述。
603、计算机设备输出第一环境参数。
604、计算机设备接收用户输入的识别结果。
在一些实施例中,可以将生成模型生成的环境参数提供给专家进行识别,如果专家也不能判别环境参数的真伪,则表明环境参数的仿真性较好,可以使用环境参数来部署蜜罐环境。具体地,计算机设备输出第一环境参数后,用户可以结合经验,对第一环境参数进行人工识别,在计算机设备上执行输入操作,来输入识别结果。该识别结果用于表示蜜罐环境的环境参数或真实环境的环境参数。
605、如果识别结果表示第一环境参数为真实环境的环境参数,计算机设备将当前的环境参数配置为第一环境参数。
例如,如果第一环境参数包括业务资源的名称和业务资源的存储位置,计算机设备可以在该存储位置,存储该名称对应的业务资源。如果第一环境参数包括隐私文件的存储位置,计算机设备可以在该存储位置,存储隐私文件。如果第一环境参数包括桌面文件的名称,计算机设备可以将桌面文件的名称配置为该名称。其中,计算机设备存储的业务资源可以是模拟的业务资源,计算机设备存储的隐私文件可以是模拟的隐私文件。
在一些实施例中,可以在真实的生产环境中配置第一环境参数,从而将真实的生成环境中的部分或全部构建为蜜罐环境;也可以在真实的生产环境的外部环境配置第一环境参数,从而将外部环境的部分或全部构建为蜜罐环境;可以在本地配置第一环境参数,也可以在远端设备上配置第一环境参数。例如,如果第一环境参数包括远端设备的环境参数,计算机设备可以将第一环境参数和配置指令发送至远端设备。远端设备会根据配置指令,将当前的环境参数配置为第一环境参数。在一个示例性场景中,可以将企业网络中的服务器配置为本实施例的执行主体,由该服务器通过生成模型来获取第一环境参数,将第一环境参数发送至企业网路中的其他服务器、个人电脑及主机,以在多台设备上部署蜜罐环境。
参见图7,图7是配置第一环境参数之前的网络部署示意图,参见图8,图8是配置第一环境参数之后的网络部署示意图,第一环境参数可以包括“XX合同”、“XX计划”、“XX机密”等文件的名称以及存储位置,基于该第一环境参数,可以在内部的服务器或者某台主机上分别存储“XX合同”、“XX计划”、“XX机密”,以这些业务资源作为诱饵,引诱黑客进行攻击。
此外,如果识别结果表示第一环境参数为蜜罐环境的环境参数,计算机设备可以执行图4实施例,重新对生成模型进行训练,直至人工无法判别生成模型生成的环境参数是蜜罐环境的环境参数还是真实环境的环境参数为止。
606、计算机设备在基于第一环境参数运行的过程中,捕获网络攻击行为。
其中,计算机设备可以对网络攻击行为进行记录,例如记录网络攻击行为的源网际互连协议(Internet Protocol,IP)地址、网络攻击行为的时间点、网络攻击行为的类型等。此外,计算机设备捕获到网络攻击行为时,可以对网络攻击行为进行响应,将回复报文返回给网络攻击行为的攻击方,从而通过和攻击方进行交互,避免被攻击方识别出入侵了蜜罐环境。此外,计算机设备可以隐藏自身的IP地址,以免泄露真实的IP地址。
参见图9,部署蜜罐环境的流程可以包括以下步骤(1)至步骤(5)。
步骤(1)通过人工运营和分析,总结出蜜罐环境的环境参数的维度,比如桌面文件、隐私文件的位置、诱饵文件的名称、诱饵文件的大小,网络配置参数等。
步骤(2)提取样本真实环境的环境参数,作为数据集。
步骤(3)将数据集输入生成式对抗网络进行训练,得到已训练的生成式对抗网络。
步骤(4)通过生成式对抗网络的生成模型,来生成蜜罐环境的环境参数。
步骤(5)通过人工专家来测试蜜罐环境的环境参数,如果无法识别蜜罐环境的环境参数,则蜜罐环境的环境参数测试通过,根据环境参数部署蜜罐环境。
相关技术中,蜜罐环境的环境参数需要人工耗费大量的时间和精力来构造,导致耗费的时间成本和人力资源成本巨大,效率低下,且环境参数会受到人为主观影响,真实性差。通过人工构造的环境参数配置的蜜罐环境,往往只能捕捉广谱攻击,由于特征较为明显,比较容易被黑客识别出是蜜罐环境而非真实环境,造成很难捕捉到高级攻击。此外,通常导致蜜罐环境只能针对特定的场景,迁移性很差,扩展性和灵活性较差。
本实施例提供了一种利用生成式对抗网络来部署蜜罐环境的方法,该生成式对抗网络的生成模型能够自动地生成高仿真的环境参数,基于该环境参数进行配置后,能够配置出逼近于真实环境的蜜罐环境,从而提供沉浸式的蜜罐环境,由于蜜罐环境的迷惑性和隐蔽性更好,因此能够有效地诱导攻击方进行网络攻击,从而及时准确地检测到网络攻击行为。并且,免去了人工确定环境参数带来的时间成本,大大的节省了人力,因此提高了效率。
图10是本申请实施例提供的一种网络攻击检测装置的结构示意图。参见图10,该装置包括:
调用模块1001,用于调用生成式对抗网络,生成式对抗网络包括生成模型和识别模型,生成模型用于生成蜜罐环境的环境参数,识别模型用于识别生成模型生成的环境参数是否为真实环境的环境参数;
生成模块1002,用于通过生成式对抗网络的生成模型,生成第一环境参数;
配置模块1003,用于将当前的环境参数配置为第一环境参数;
捕获模块1004,用于在基于第一环境参数运行的过程中,捕获网络攻击行为。
本申请实施例提供的装置,提供了一种利用生成式对抗网络来部署蜜罐环境的装置,该生成式对抗网络的生成模型能够自动地生成高仿真的环境参数,基于该环境参数进行配置后,能够配置出逼近于真实环境的蜜罐环境,从而提供沉浸式的蜜罐环境,由于蜜罐环境的迷惑性和隐蔽性更好,因此能够有效地诱导攻击方进行网络攻击,从而及时准确地检测到网络攻击行为。并且,免去了人工确定环境参数带来的时间成本,大大的节省了人力,因此提高了效率。
可选地,装置还包括:训练模块,用于通过生成模型,生成第二环境参数;将第二环境参数输入识别模型;通过识别模型,对第二环境参数进行识别;如果识别模型将第二环境参数识别为蜜罐环境的环境参数,对生成模型的参数进行调整,直至识别模型将生成模型生成的环境参数识别为真实环境的环境参数为止。
可选地,生成模型为自编码器网络中的解码网络,自编码器网络包括编码网络和解码网络,编码网络用于对真实环境的环境参数进行特征提取,解码网络用于根据提取的特征重构真实环境的环境参数。
可选地,训练模块,用于将第三环境参数输入自编码器网络,第三环境参数为样本真实环境的环境参数;通过编码网络对第三环境参数进行特征提取,输出样本真实环境的环境特征;通过解码网络对环境特征进行重构,输出第四环境参数;根据第三环境参数以及第四环境参数之间的差距,获取损失值;根据损失值,对自编码器网络的参数进行调整;当满足训练终止条件时,将本次迭代过程所采用的解码网络输出为已训练的生成模型。
可选地,生成模块1002,用于将随机参数输入生成模型;通过生成模型对随机参数进行调整,得到第一环境参数。
可选地,装置还包括:
输出模块,用于输出第一环境参数;
接收模块,用于接收用户输入的识别结果;
配置模块1003,用于如果识别结果表示第一环境参数为真实环境的环境参数,将当前的环境参数配置为第一环境参数。
可选地,第一环境参数包括业务资源的名称、业务资源的存储位置、业务资源的数据量、桌面文件的名称、隐私文件的存储位置或者网络配置参数中的一项或多项。
上述所有可选技术方案,可以采用任意结合形成本公开的可选实施例,在此不再一一赘述。
需要说明的是:上述实施例提供的网络攻击检测装置在检测网络攻击时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将网络攻击检测装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的网络攻击检测装置与网络攻击检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
上述方法实施例中的计算机设备可以实现为终端或服务器,例如,图11是本申请实施例提供的一种服务器的结构示意图,该服务器1100可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(Central Processing Units,CPU)1101和一个或一个以上的存储器1102,其中,存储器1102中存储有至少一条程序代码,至少一条程序代码由处理器1101加载并执行以实现上述各个方法实施例提供的网络攻击检测方法。当然,该服务器还可以具有有线或无线网络接口以及输入输出接口等部件,以便进行输入输出,该服务器还可以包括其他用于实现设备功能的部件,在此不做赘述。
在示例性实施例中,还提供了一种计算机可读存储介质,例如包括程序代码的存储器,上述程序代码可由处理器执行以完成上述实施例中的网络攻击检测方法。例如,计算机可读存储介质可以是只读存储器(Read-Only Memory,简称:ROM)、随机存取存储器(Random Access Memory,简称:RAM)、只读光盘(Compact Disc Read-Only Memory,简称:CD-ROM)、磁带、软盘和光数据存储设备等。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (8)
1.一种网络攻击检测方法,其特征在于,由企业网络中的服务器执行,所述方法包括:
调用生成式对抗网络,所述生成式对抗网络包括生成模型和识别模型,所述生成模型用于生成蜜罐环境的环境参数,所述识别模型用于识别所述生成模型生成的环境参数是否为真实环境的环境参数;
通过所述生成式对抗网络的生成模型,生成第一环境参数,所述第一环境参数包括业务资源的名称、业务资源的存储位置、业务资源的数据量、桌面文件的名称或隐私文件的存储位置中的一项或多项;
输出所述第一环境参数;
接收用户输入的识别结果;
如果所述识别结果表示所述第一环境参数为真实环境的环境参数,将所述企业网络中除所述服务器外的多个设备当前的环境参数配置为所述第一环境参数;
在所述多个设备基于所述第一环境参数运行的过程中,捕获网络攻击行为;
其中,所述生成模型为自编码器网络中的解码网络,所述自编码器网络包括编码网络和所述解码网络,所述编码网络用于对真实环境的环境参数进行特征提取,所述解码网络用于根据提取的特征重构真实环境的环境参数;
所述生成模型的训练过程包括:
将第三环境参数输入所述自编码器网络,所述第三环境参数为样本真实环境的环境参数;
通过所述编码网络对所述第三环境参数进行特征提取,输出样本真实环境的环境特征;
通过所述解码网络对所述环境特征进行重构,输出第四环境参数;
根据所述第三环境参数以及所述第四环境参数之间的差距,获取损失值;
根据所述损失值,对所述自编码器网络的参数进行调整;
当满足训练终止条件时,将本次迭代过程所采用的解码网络输出为已训练的生成模型。
2.根据权利要求1所述的方法,其特征在于,所述生成式对抗网络的训练过程包括:
通过所述生成模型,生成第二环境参数;
将所述第二环境参数输入所述识别模型;
通过所述识别模型,对所述第二环境参数进行识别;
如果所述识别模型将所述第二环境参数识别为蜜罐环境的环境参数,对所述生成模型的参数进行调整,直至所述识别模型将所述生成模型生成的环境参数识别为真实环境的环境参数为止。
3.根据权利要求1所述的方法,其特征在于,所述通过所述生成式对抗网络的生成模型,生成第一环境参数,包括:
将随机参数输入所述生成模型;
通过所述生成模型对所述随机参数进行调整,得到所述第一环境参数。
4.一种网络攻击检测装置,其特征在于,配置在企业网络的服务器中,所述装置包括:
调用模块,用于调用生成式对抗网络,所述生成式对抗网络包括生成模型和识别模型,所述生成模型用于生成蜜罐环境的环境参数,所述识别模型用于识别所述生成模型生成的环境参数是否为真实环境的环境参数;
生成模块,用于通过所述生成式对抗网络的生成模型,生成第一环境参数,所述第一环境参数包括业务资源的名称、业务资源的存储位置、业务资源的数据量、桌面文件的名称或隐私文件的存储位置中的一项或多项;
输出模块,用于输出所述第一环境参数;
接收模块,用于接收用户输入的识别结果;
配置模块,用于如果所述识别结果表示所述第一环境参数为真实环境的环境参数,将所述企业网络中除所述服务器外的多个设备当前的环境参数配置为所述第一环境参数;
捕获模块,用于在所述多个设备基于所述第一环境参数运行的过程中,捕获网络攻击行为;
其中,所述生成模型为自编码器网络中的解码网络,所述自编码器网络包括编码网络和所述解码网络,所述编码网络用于对真实环境的环境参数进行特征提取,所述解码网络用于根据提取的特征重构真实环境的环境参数;
所述装置还包括:
训练模块,用于将第三环境参数输入所述自编码器网络,所述第三环境参数为样本真实环境的环境参数;通过所述编码网络对所述第三环境参数进行特征提取,输出样本真实环境的环境特征;通过所述解码网络对所述环境特征进行重构,输出第四环境参数;根据所述第三环境参数以及所述第四环境参数之间的差距,获取损失值;根据所述损失值,对所述自编码器网络的参数进行调整;当满足训练终止条件时,将本次迭代过程所采用的解码网络输出为已训练的生成模型。
5.根据权利要求4所述的装置,其特征在于,所述训练模块,还用于通过所述生成模型,生成第二环境参数;将所述第二环境参数输入所述识别模型;通过所述识别模型,对所述第二环境参数进行识别;如果所述识别模型将所述第二环境参数识别为蜜罐环境的环境参数,对所述生成模型的参数进行调整,直至所述识别模型将所述生成模型生成的环境参数识别为真实环境的环境参数为止。
6.根据权利要求4所述的装置,其特征在于,所述生成模块,用于将随机参数输入所述生成模型;通过所述生成模型对所述随机参数进行调整,得到所述第一环境参数。
7.一种计算机设备,其特征在于,所述计算机设备包括一个或多个处理器和一个或多个存储器,所述一个或多个存储器中存储有至少一条程序代码,所述至少一条程序代码由所述一个或多个处理器加载并执行以实现如权利要求1至权利要求3任一项所述的网络攻击检测方法所执行的操作。
8.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条程序代码,所述至少一条程序代码由处理器加载并执行以实现如权利要求1至权利要求3任一项所述的网络攻击检测方法所执行的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911289345.2A CN110958263B (zh) | 2019-12-13 | 2019-12-13 | 网络攻击检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911289345.2A CN110958263B (zh) | 2019-12-13 | 2019-12-13 | 网络攻击检测方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110958263A CN110958263A (zh) | 2020-04-03 |
| CN110958263B true CN110958263B (zh) | 2022-07-12 |
Family
ID=69981700
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911289345.2A Active CN110958263B (zh) | 2019-12-13 | 2019-12-13 | 网络攻击检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110958263B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111931874B (zh) * | 2020-10-09 | 2020-12-25 | 北京元支点信息安全技术有限公司 | 基于深度学习和数据聚类的伴随式诱饵生成方法及装置 |
| CN112232434B (zh) * | 2020-10-29 | 2024-02-20 | 浙江工业大学 | 基于相关性分析的对抗攻击协同防御方法及装置 |
| CN113794674B (zh) * | 2021-03-09 | 2024-04-09 | 北京沃东天骏信息技术有限公司 | 用于检测邮件的方法、装置和*** |
| CN113489694B (zh) * | 2021-06-24 | 2023-04-28 | 浙江德迅网络安全技术有限公司 | 一种蜜场***中抗大流量攻击的动态防御*** |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102254111A (zh) * | 2010-05-17 | 2011-11-23 | 北京知道创宇信息技术有限公司 | 恶意网站检测方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506507B (zh) * | 2014-12-15 | 2017-10-10 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络的蜜网安全防护***及方法 |
| SG11201808929PA (en) * | 2016-06-13 | 2018-11-29 | Fhoosh Inc | Systems and methods for secure storage of user information in a user profile |
| US20190044942A1 (en) * | 2017-08-01 | 2019-02-07 | Twosense, Inc. | Deep Learning for Behavior-Based, Invisible Multi-Factor Authentication |
| CN109685200B (zh) * | 2018-11-19 | 2023-04-25 | 华东师范大学 | 基于生成对抗网络的雾计算工业协议构建方法及构建*** |
-
2019
- 2019-12-13 CN CN201911289345.2A patent/CN110958263B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102254111A (zh) * | 2010-05-17 | 2011-11-23 | 北京知道创宇信息技术有限公司 | 恶意网站检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110958263A (zh) | 2020-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110958263B (zh) | 网络攻击检测方法、装置、设备及存储介质 | |
| de Araujo-Filho et al. | Intrusion detection for cyber–physical systems using generative adversarial networks in fog environment | |
| Li et al. | DDoS attack detection based on neural network | |
| CN109902018B (zh) | 一种智能驾驶***测试案例的获取方法 | |
| CN111343174B (zh) | 一种智能学习式自应答工业互联网蜜罐诱导方法及*** | |
| Kumar et al. | Synthetic attack data generation model applying generative adversarial network for intrusion detection | |
| Li et al. | Deep learning backdoors | |
| Chen et al. | Backdoor attacks and defenses for deep neural networks in outsourced cloud environments | |
| AU2021210217B2 (en) | Neural flow attestation | |
| CN117610026B (zh) | 一种基于大语言模型的蜜点漏洞生成方法 | |
| CN116569180A (zh) | 使用生成对抗模型基于预训练的模型生成数据 | |
| CN114422271B (zh) | 数据处理方法、装置、设备及可读存储介质 | |
| Shenkman et al. | Do you see what I see? Capabilities and limits of automated multimedia content analysis | |
| Mohammadpourfard et al. | Generation of false data injection attacks using conditional generative adversarial networks | |
| Nazari et al. | Using cgan to deal with class imbalance and small sample size in cybersecurity problems | |
| CN110581857B (zh) | 一种虚拟执行的恶意软件检测方法及*** | |
| Lu et al. | Ranking attack graphs with graph neural networks | |
| Clausen et al. | Evading stepping-stone detection with enough chaff | |
| CN115758337A (zh) | 基于时序图卷积网络的后门实时监测方法、电子设备、介质 | |
| CN110414233A (zh) | 恶意代码检测方法及装置 | |
| KR102092684B1 (ko) | 랜덤 포레스트 기법을 이용한 사이버 보안 훈련 장치 및 방법 | |
| Stahl et al. | Intelligence Techniques in Computer Security and Forensics: at the boundaries of ethics and law | |
| Kukiełka et al. | Analysis of neural networks usage for detection of a new attack in IDS | |
| Burney et al. | Feature deduction and ensemble design of parallel neural networks for intrusion detection system | |
| Carlsson et al. | User and Entity Behavior Anomaly Detection using Network Traffic |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40021512 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |