CN111191230A - 一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用 - Google Patents
一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用 Download PDFInfo
- Publication number
- CN111191230A CN111191230A CN201911381821.3A CN201911381821A CN111191230A CN 111191230 A CN111191230 A CN 111191230A CN 201911381821 A CN201911381821 A CN 201911381821A CN 111191230 A CN111191230 A CN 111191230A
- Authority
- CN
- China
- Prior art keywords
- neural network
- mining
- convolutional neural
- mining method
- backtracking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2465—Query processing support for facilitating data mining operations in structured databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computational Linguistics (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Fuzzy Systems (AREA)
- Probability & Statistics with Applications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供了一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用,所述快速网络攻击回溯挖掘方法包括以下步骤:构建基于后向卷积神经网络的后向序列挖掘模型:通过高阶正向通道预先训练后向序列挖掘模型以获得每层的输出,构建损失函数并将其降至最低;构建确定性包标记模型:引入两个路由器负载阈值Min、Max;如果负载在Min和Max之间,则标记数据包,若不在则转发,判断目的地选项头DOH是否存在,若已经存在,路由器将只编码入口地址并转发该数据包,如果不存在,则应通过创建DOH对入口地址进行编码,并传输数据包;利用确定性包标记模型解决数据负载问题后,重建挖掘序列。本发明有利于主动发现潜伏在公司信息网络中的高级、持续性攻击行为。
Description
技术领域
本发明涉及电力信息安全技术领域,特别是涉及一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用。
背景技术
当前,网络攻击的复杂性在增加,企业、组织对网络***保护的意识也在进一步强化。企业开始使用网络安全技术解决或缓解网络安全威胁问题,由于网络及各类设备的普及应用,企业为了解决网络安全问题,在企业内部部署了许多安全产品,如入侵检测***(IDS)、入侵防御***(IPS)、防火墙、Web应用防护***(WAF)、VPN等,但这些产品的应用在满足了人们保护网络环境的目的的同时,还衍生了新的问题,总结起来表现为:在对全网范围的告警事件进行实时监测时,难度极大,既难从泛滥的实时攻击告警中分析出真正的威胁,也不能实时监测复杂攻击。针对上述问题,国网公司于2015年开始筹建网络与信息安全预警分析平台(即SG-S6000平台),其总体目标是加强公司人员、组织、设备、应用四方面资源基础管理。预警分析平台规划实现网络设备、***主机、内外网及移动终端、应用***、网络流量、物理监控和公开情报等7大类的数据采集,具备漏洞分析、风险处理等能力,并规划基于大数据分析的实现攻击异常检测功能。目前,预警分析平台已具备数据采集和展示功能,但在大数据环境下的网络攻击溯源分析方面仍存在一些不足,缺乏对安全事件深入关联调查、源头溯源和根因分析的能力。
分析产生上述针对网络攻击缺乏溯源分析的原因,主要是现阶段各个安全设备都会产生大量的日志记录,并且这些日志记录直接缺乏显性的关联性。对于零散的海量告警日志,安全处置人员需要花费大量时间进行手动关联,导致对安全事件的响应效率低且准确率不高。
发明内容
本发明的目的是针对现有技术中存在的网络攻击缺乏溯源分的问题,而提供一种基于卷积神经网络的快速网络攻击回溯挖掘方法。
本发明的另一个目的是提供所述快速网络攻击回溯挖掘方法在网络攻击预警中的应用。
为实现本发明的目的所采用的技术方案是:
一种基于卷积神经网络的快速网络攻击回溯挖掘方法,包括以下步骤:
步骤1,构建基于后向卷积神经网络(TR-CNN)的后向序列挖掘模型:
通过高阶正向通道预先训练后向序列挖掘模型以获得每层的输出,构建损失函数并将其降至最低;
步骤2,构建确定性包标记模型:
S1,判断步骤1输出的数据包是否为负载,若是,则进行以下步骤,若不是直接将其转发接收新的数据包;
S2,引入两个路由器负载阈值,Min、Max;
S3,若所述负载低于Min或高于Max时,则标记为没有数据包并转发;如果负载在Min和Max之间,则标记数据包;
S4,判断目的地选项头DOH是否存在,如果已经存在,路由器将只编码入口地址,然后转发该数据包,如果不存在,则应通过创建DOH对入口地址进行编码,并传输数据包;
S5,在程序的重建过程中,应根据受到攻击的主机决定是否搜索DOH,如果存在,受攻击的主机将提取地址,然后将地址放入地址表中;
步骤3,利用步骤2的确定性包标记模型解决数据负载问题后,重建挖掘序列。
在上述技术方案中,所述步骤1中,利用截断的支持向量机压缩后向序列挖掘模型的输出层,以加速后向序列挖掘模型的计算速度。
在上述技术方案中,所述步骤1中,在挖掘模型更新过程中计算后向序列挖掘模型中每层参数的偏导数,以确定所述参数的修正方向最终提高所述参数的准确度。
在上述技术方案中,利用高阶反向传播计算偏导数。
在上述技术方案中,所述步骤2中,Max的值与路由器的属性正相关,Min的值与正常情况下路由器的平均负载性正相关。
本发明的另一方面,还包括所述基于卷积神经网络的快速网络攻击回溯挖掘方法在网络攻击预警中的应用。以主动发现潜伏的高级、持续性攻击行为。
与现有技术相比,本发明的有益效果是:
1.本发明基于卷积神经网络的快速网络攻击回溯挖掘方法,充分利用深度学习技术在对大数据分析上快速、高效等优势,实现对公司全网长时间周期内的攻击事件追溯、攻击溯源,有利于主动发现潜伏在公司信息网络中的高级、持续性攻击行为。
2.本发明利用卷积神经网络的特性,深度关联攻击行为特征,在一定的时间窗口内发现攻击造成的历史痕迹。同时,通过向后回溯技术,节省重构序列时间,提升大数据中攻击回溯挖掘速度,有利于公司开展针对性的网络安全事件回溯,具有广泛的工程实用价值。
3.引入卷积神经网络方法,采用将后向挖掘和TR-CNN算法结合,加快数据序列的重构,从算法上实现对历史数据中攻击回溯加速。利用确定性包标记模型,降低了网络设备在回溯过程中的负载压力。基于S6000现有的技术架构和数据基础,设计形成历史事件回溯挖掘模块,从技术实现方面进一步减少历史数据挖掘的时间开销。
附图说明
图1所示为基于后向卷积神经网络(TR-CNN)的后向快速回溯算法流程图。
图2所示为确定性包标记模型工作流程图。
具体实施方式
以下结合具体实施例对本发明作进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
构建后向序列挖掘模型
向后挖掘是数据挖掘方法的一种。在数据挖掘的过程中,数据往往会与静态数据库相连,而一旦数据库序列中的数据发生改变,那么就意味着之前挖掘结果的正确率下降,而为了保证挖掘的正确率就需要重新启动整个挖掘过程来更新序列数据库,但这样又会影响整体的挖掘效率。因此,为了解决数据库中序列数据改变的问题,本发明利用数据库中稳定序列的数量在更新的数据库过程中保持不变的特性,对数据库中的序列模式采用向后增量挖掘的方式,即在数据库各个序列计数的过程中可以识别低稳定性序列的基础上,利用反向扩展来生成候选序列,这样就可以利用递归来投影数据库中的序列,进而不断缩小需要挖掘空间,最终达到减少重构序列的时间,提高挖掘效率的目的。
实施例1
基于后向卷积神经网络(TR-CNN)的后向快速回溯算法,包括以下步骤:
步骤(1):数据集构建。在卷积神经网络算法中引入截断支持向量机来加快高维大数据分析的训练速度。
步骤(3):利用确定性包标记模型解决数据负载问题,重建挖掘序列。
步骤(2)中,损失函数是用来衡量当前模型参数的值与期望值之间的差距,降低损失函数的过程即是更新模型参数的过程,当损失函数足够小时,说明此时模型的参数达到了期望值,即完成模型的训练。
实施例2
为了提高实施例1中步骤1中TR-CNN训练的精准度,优选的在TR-CNN训练过程中,关键步骤的相应计算分为三个部分:
第一部分是使用高阶正向传递计算以下序列:
然后,第二个是使用截断的支持向量机压缩输出层以加速训练速度。
最后一个是在更新过程中计算偏导数。通过有效地设计高阶反向传播来计算高阶偏导数。最后,可以将原始数据作为有用信息进行训练,这有助于防止入侵者进入网络。
实施例3
为了提高实施例1中数据负载的问题,作为优选方式,所述确定性包标记模型的处理过程包括以下步骤:
步骤(1):引入两个路由器负载阈值,Min、Max。
步骤(2):如果负载低于Min或高于Max时,模型将标记为没有数据包;如果负载在Min和Max之间,则每个数据包将被标记。
步骤(3):判断目的地选项头(DOH)是否存在,如果它已经存在,路由器将只编码入口地址,然后转发该数据包。如果不存在,则应通过创建DOH对入口地址进行编码,并传输数据包。
步骤(4):在程序的重建过程中,应根据受到攻击的主机决定是否搜索DOH。如果存在,受攻击的主机将提取地址,然后将地址放入地址表中。
以上所述仅是本发明的优选实施方式,应当指出的是,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种基于卷积神经网络的快速网络攻击回溯挖掘方法,其特征在于,包括以下步骤:
步骤1,构建基于后向卷积神经网络的后向序列挖掘模型:
通过高阶正向通道预先训练后向序列挖掘模型以获得每层的输出,构建损失函数并将其降至最低;
步骤2,构建确定性包标记模型:
S1,判断步骤1输出的数据包是否为负载,若是,则进行以下步骤,若不是直接将其转发接收新的数据包;
S2,引入两个路由器负载阈值,Min、Max;
S3,若所述负载低于Min或高于Max时,则标记为没有数据包并转发;如果负载在Min和Max之间,则标记数据包;
S4,判断目的地选项头DOH是否存在,如果已经存在,路由器将只编码入口地址,然后转发该数据包,如果不存在,则应通过创建DOH对入口地址进行编码,并传输数据包;
S5,在程序的重建过程中,应根据受到攻击的主机决定是否搜索DOH,如果存在,受攻击的主机将提取地址,然后将地址放入地址表中;
步骤3,利用步骤2的确定性包标记模型解决数据负载问题后,重建挖掘序列。
2.如权利要求1所述的基于卷积神经网络的快速网络攻击回溯挖掘方法,其特征在于,所述步骤1中,利用截断的支持向量机压缩后向序列挖掘模型的输出层,以加速后向序列挖掘模型的计算速度。
3.如权利要求1所述的基于卷积神经网络的快速网络攻击回溯挖掘方法,其特征在于,所述步骤1中,在后向序列挖掘模型更新过程中计算后向序列挖掘模型中每层参数的偏导数,以确定所述参数的修正方向最终提高所述参数的准确度。
4.如权利要求3所述的基于卷积神经网络的快速网络攻击回溯挖掘方法,其特征在于,利用高阶反向传播计算偏导数。
8.如权利要求1所述的基于卷积神经网络的快速网络攻击回溯挖掘方法,其特征在于,所述步骤2中,Max的值与路由器的属性正相关。
9.如权利要求1所述的基于卷积神经网络的快速网络攻击回溯挖掘方法,其特征在于,所述步骤2中,Min的值与正常情况下路由器的平均负载性正相关。
10.如权利要求1-9中任一项所述的所述基于卷积神经网络的快速网络攻击回溯挖掘方法在网络攻击预警中的应用。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911381821.3A CN111191230B (zh) | 2019-12-27 | 2019-12-27 | 一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911381821.3A CN111191230B (zh) | 2019-12-27 | 2019-12-27 | 一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111191230A true CN111191230A (zh) | 2020-05-22 |
CN111191230B CN111191230B (zh) | 2023-08-01 |
Family
ID=70707840
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911381821.3A Active CN111191230B (zh) | 2019-12-27 | 2019-12-27 | 一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111191230B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111953527A (zh) * | 2020-07-28 | 2020-11-17 | 深圳供电局有限公司 | 一种网络攻击还原*** |
CN112052151A (zh) * | 2020-10-09 | 2020-12-08 | 腾讯科技(深圳)有限公司 | 故障根因分析方法、装置、设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101257416A (zh) * | 2008-03-11 | 2008-09-03 | 南京邮电大学 | 基于网络与基于主机相结合的联网式异常流量防御方法 |
CN106375339A (zh) * | 2016-10-08 | 2017-02-01 | 电子科技大学 | 基于事件滑动窗口的攻击模式检测方法 |
US20190182274A1 (en) * | 2017-12-11 | 2019-06-13 | Radware, Ltd. | Techniques for predicting subsequent attacks in attack campaigns |
CN110543761A (zh) * | 2019-07-23 | 2019-12-06 | 安徽蓝麦通信股份有限公司 | 一种应用于信息安全领域的大数据分析方法 |
CN110581850A (zh) * | 2019-09-09 | 2019-12-17 | 河南戎磐网络科技有限公司 | 一种基于网络流量基因检测方法 |
-
2019
- 2019-12-27 CN CN201911381821.3A patent/CN111191230B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101257416A (zh) * | 2008-03-11 | 2008-09-03 | 南京邮电大学 | 基于网络与基于主机相结合的联网式异常流量防御方法 |
CN106375339A (zh) * | 2016-10-08 | 2017-02-01 | 电子科技大学 | 基于事件滑动窗口的攻击模式检测方法 |
US20190182274A1 (en) * | 2017-12-11 | 2019-06-13 | Radware, Ltd. | Techniques for predicting subsequent attacks in attack campaigns |
CN110543761A (zh) * | 2019-07-23 | 2019-12-06 | 安徽蓝麦通信股份有限公司 | 一种应用于信息安全领域的大数据分析方法 |
CN110581850A (zh) * | 2019-09-09 | 2019-12-17 | 河南戎磐网络科技有限公司 | 一种基于网络流量基因检测方法 |
Non-Patent Citations (1)
Title |
---|
侯燕等: "关联规则挖掘结合简化粒子群优化的哈希回溯追踪协议", 《重庆邮电大学学报(自然科学版)》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111953527A (zh) * | 2020-07-28 | 2020-11-17 | 深圳供电局有限公司 | 一种网络攻击还原*** |
CN111953527B (zh) * | 2020-07-28 | 2023-02-03 | 深圳供电局有限公司 | 一种网络攻击还原*** |
CN112052151A (zh) * | 2020-10-09 | 2020-12-08 | 腾讯科技(深圳)有限公司 | 故障根因分析方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111191230B (zh) | 2023-08-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Meng | Intrusion detection in the era of IoT: Building trust via traffic filtering and sampling | |
EP3786827A1 (en) | Cyber attack adversary simulator | |
CN103368976B (zh) | 一种基于攻击图邻接矩阵的网络安全评估装置 | |
CN110213226B (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及*** | |
CN111049827A (zh) | 一种网络***安全防护方法、装置及其相关设备 | |
CN111191230B (zh) | 一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用 | |
Zhang et al. | Intrusion detection and prevention in cloud, fog, and internet of things | |
CN117478433B (zh) | 一种网络与信息安全动态预警*** | |
Eid et al. | IIoT network intrusion detection using machine learning | |
Ahmed et al. | Enhancing intrusion detection using statistical functions | |
CN114006744B (zh) | 一种基于lstm的电力监控***网络安全态势预测方法及*** | |
Liu et al. | SEAG: A novel dynamic security risk assessment method for industrial control systems with consideration of social engineering | |
Zou et al. | Research on risk assessment technology of industrial control system based on attack graph | |
CN111832958A (zh) | 一种综合能源信息安全风险分析*** | |
Fu et al. | A Study of Evaluation Methods of WEB Security Threats Based on Multi-stage Attack | |
CN118101337B (zh) | 一种基于情报协同的铁路网络空间智能防御方法及*** | |
CN117879970B (zh) | 一种网络安全防护方法及*** | |
CN115051833B (zh) | 一种基于终端进程的互通网络异常检测方法 | |
Zhao et al. | An Area‐Context‐Based Credibility Detection for Big Data in IoT | |
Meng et al. | Research on Active Defense Technology Based on Power System Network Security | |
Pashaei et al. | Machine Learning-Based Early Intrusion Detection System in Industrial LAN Networks Using Honeypots | |
Liu et al. | Status Quo Intelligent Evaluation of the Network Security Legal Awareness: Modelling and Simulations | |
Wei et al. | Research on Dynamic Network Security Defense Mechanism Based on Simulated Intrusion | |
Ge et al. | Network Attack Tracking Method for Digital Substation Power Industry Control System Based on Apriori Algorithm | |
Wang | APT Detection and Attack Scenario Reconstruction Based on Big Data Analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |