CN113938309A - 一种基于DCGAN网络的DoS攻击流量生成***及方法 - Google Patents
一种基于DCGAN网络的DoS攻击流量生成***及方法 Download PDFInfo
- Publication number
- CN113938309A CN113938309A CN202111266058.7A CN202111266058A CN113938309A CN 113938309 A CN113938309 A CN 113938309A CN 202111266058 A CN202111266058 A CN 202111266058A CN 113938309 A CN113938309 A CN 113938309A
- Authority
- CN
- China
- Prior art keywords
- data
- generator
- network
- flow
- discriminator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 238000009826 distribution Methods 0.000 claims abstract description 20
- 239000011159 matrix material Substances 0.000 claims abstract description 16
- 238000012549 training Methods 0.000 claims abstract description 11
- 230000006870 function Effects 0.000 claims description 11
- 238000005457 optimization Methods 0.000 claims description 6
- 238000013528 artificial neural network Methods 0.000 claims description 3
- 229910002056 binary alloy Inorganic materials 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000013527 convolutional neural network Methods 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 2
- 238000013507 mapping Methods 0.000 claims description 2
- 230000006399 behavior Effects 0.000 description 3
- 238000004088 simulation Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/088—Non-supervised learning, e.g. competitive learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于DCGAN网络的DoS攻击流量生成***及方法,该***包括真实流量采集模块、DCGAN网络和流量生成模块;真实流量采集模块用于提取真实流量序列的典型流量特征,并将得到的特征矩阵用于构建训练数据;DCGAN网络用于学习训练数据中各向量的分布概率规律,结合高斯噪声以生成具有相似规律的结果数据;流量生成模块将DCGAN网络中生成器生成的数据作为流量特征进行流量构建。本发明能够有效的生成具有高度伪装性DoS攻击流量。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种基于DCGAN网络的DoS攻击流量生成***及方法。
背景技术
网络攻击行为的模拟仿真对于网络安全***和设备的防护性能评估具有重要意义,而网络攻击流量的模拟生成是攻击行为仿真过程中的关键一环。
直接通过网络攻击代码生成攻击流量,虽然具有完全反映攻击行为特征的优势,但存在以下三个问题:首先,网络攻击代码样本可及性差,高危代码往往难以获得。其次,通过攻击代码生成攻击流量依赖于特定的软硬件环境,流量生成的成本高昂。最后,这种方式下的攻击过程难以控制,有可能“假戏真做”。
发明内容
为了克服上述现有技术存在的不足,本发明的目的在于提供一种基于DCGAN网络的DoS攻击流量生成***及方法,能够有效的生成具有高度伪装性DoS攻击流量。
为了实现上述目的,本发明采用的技术方案是:
一种基于DCGAN网络的DoS攻击流量生成***,包括:真实流量采集模块、DCGAN网络和流量生成模块;
所述真实流量采集模块用于提取真实流量序列的典型流量特征,并将得到的特征矩阵用于构建训练数据;
所述DCGAN网络用于学习训练数据中各向量的分布概率规律,结合高斯噪声以生成具有相似规律的结果数据;
所述流量生成模块将DCGAN网络中生成器生成的数据作为流量特征进行流量构建。
进一步地,真实流量采集模块中选择八种典型数据包特征进行提取,包括:时间、序号、所用协议、原始IP、目的IP、原始端口、目的端口和数据包载荷。
进一步地,DCGAN网络由生成器和判别器构成,其中生成器通过接收高斯噪声数据以生成初始的生成数据;判别器评估所接收的输入是否为真实流量特征,并根据损失函数对生成器参数予以调整。
进一步地,由于DCGAN网络原是用于生成三维图片,而本发明中训练数据维度为八维。因此本发明中将DCGAN网络中构成生成器和判别器的顶层和底层CNN卷积块的维度由原来的3增加到8。
进一步地,流量生成模块中的流量生成工具选择netsniff-ng套件中的trafgen,其是一款linux下的开源、高速、多线程的网络数据包生成工具。
所述的基于DCGAN网络的DoS攻击流量生成***的工作方法,包括如下步骤:
步骤1:真实流量采集模块将真实流量数据包按到达时间进行排序,然后将每4096个连续数据包截取作为一个样本;
步骤2:解码样本中的数据包包头信息,由每个数据包得到一个八维的特征元祖,包括时间,序号,所用协议,原始IP,目的IP,原始端口,目的端口和数据包载荷;因此,对于每个样本,得到一个4096*7的特征矩阵;
步骤3:步骤2得到的特征矩阵中时间、所用协议、原始IP和目的IP对应元素用于神经网络计算前需要先格式转换成数值;其中所用协议特征对应UDP和TCP中的一个,采取One-Hot编码将特征矩阵进行数值化,时间、原始IP和目的IP特征通过进制转换成十进制数值;
步骤4:对步骤3得到的特征矩阵进行归一化,即将所有数值映射到(-1,1)区间上;
步骤5:DCGAN网络中生成器通过接收高斯噪声数据以生成初始的生成数据;判别器评估所接收的输入是否为真实流量特征,并根据如下损失函数对生成器参数予以调整;
假定用于生成的噪声分布是Pz(z),真实数据分布是Px(x),同时生成器和判别器分别为G和D,则DCGAN网络的目标即损失函数描述如下:
其中,D(x)表示判别器认定x来源于真实数据的分布概率,其值介于0与1之间,越接近1表明判别器越相信样本为真,反之为假;表示判别器对所有属于真实数据分布Px(x)的样本x判定为真的平均概率期望;G(z)表示噪声经过生成器后生成的样本,D(G(z))则是判别器认定生成样本属于真实样本的概率,表示判别器对所有属于通过噪声经过生成器后生成的样本G(z)判定为假的平均概率期望,minGmaxDV(D,G)表示判别器D的目标是最小化优化目标,而生成器G的目标是最大化优化目标;
当生成器生成的数据和真实流量采集得到的特征数据输入判别器后,判别器将根据损失函数计算当前的损失大小,并根据损失大小通过梯度下降对生成器的参数予以更新;通过重复这一过程,网络损失值将趋于稳定,直至判别器对于任意输入,认定其为“真”的概率均为0.5,也即无法将生成器生成的数据和真实数据进行区分,此时DCGAN网络达到收敛状态;
步骤6:当流量生成模块中的流量生成工具收到已收敛的DCGAN网络中生成器生成的特征数据后,将通过开源工具trafgen将特征数据还原为DoS攻击流量。
本发明的有益效果:
本发明中使用DCGAN网络模型学习真实流量的分布概率规律,该网络采用无监督学习训练方式,网络的样本输入仅有采集的真实流量特征数据,无需对立样本,也不需要样本标签,这大大降低了样本数据构建过程的难度和工作量。此外,相比其他基于马尔科夫过程的生成模型,如玻尔茨曼机等在生成数据时需要迭代多次,本发明只需要运行一次即可得到结果。
本发明所提供的一种基于DCGAN网络的DoS攻击流量生成***,能够以较低的软硬件配置模拟生成较大规模的具有真实流量特征的DoS攻击流量,实现低成本的各类安全产品的DoS防护等级测试。
附图说明
图1是本发明基于DCGAN网络的DoS攻击流量生成***组成原理图。
图2是本发明中真实流量采集模块工作流程图。
具体实施方式
下面结合附图对本发明作进一步详细说明。
如图1所示,基于DCGAN网络的DoS攻击流量生成***包括真实流量采集模块、DCGAN网络和流量生成模块;
其中,真实流量采集模块用于提取真实流量序列的典型流量特征,并将得到的特征矩阵用于构建训练数据。所述DCGAN网络用于学习训练数据中各向量的分布概率规律,结合高斯噪声以生成具有相似规律的结果数据。所述流量生成模块将DCGAN网络中生成器生成的数据作为流量特征进行流量构建。
真实流量采集模块工作过程如图2所示:
1.将真实流量数据包按到达时间进行排序,然后将每4096个连续数据包截取作为一个样本。
2.解码样本中的数据包包头信息,由每个数据包可以得到一个八维的特征元祖,包括时间,序号,所用协议,原始IP,目的IP,原始端口,目的端口和数据包载荷。因此,对于每个样本,可以得到一个4096*8的特征矩阵。
3.步骤2得到的特征矩阵中时间、所用协议、原始IP和目的IP对应元素用于神经网络计算前需要先格式转换成数值。“所用协议”特征对应UDP和TCP中的一个,可采取机器学习领域的常用操作——“One-Hot编码”
将特征矩阵进行数值化。其他三种特征通过进制转换成十进制数值。
4.为了加速网络的收敛,提升网络训练效果,需要对步骤3得到的特征矩阵进行归一化,即将所有数值映射到(-1,1)区间上。
如图1所示,DCGAN网络结构与GAN网络一致,仍由生成器和判别器构成,其中生成器通过接收高斯噪声数据以生成初始的生成数据;判别器评估所接收的输入是否为真实流量特征,并根据损失函数对生成器参数予以调整。
假定用于生成的噪声分布是Pz(z),真实数据分布是Px(x),同时生成器和判别器分别为G和D,则DCGAN网络的目标即损失函数可以描述如下:
其中,D(x)表示判别器认定x来源于真实数据的分布概率,其值介于0与1之间,越接近1表明判别器越相信样本为真,反之为假;表示判别器对所有属于真实数据分布Px(x)的样本x判定为真的平均概率期望;G(z)表示噪声经过生成器后生成的样本,D(G(z))则是判别器认定生成样本属于真实样本的概率,表示判别器对所有属于通过噪声经过生成器后生成的样本G(z)判定为假的平均概率期望,minGmaxDV(D,G)表示判别器D的目标是最小化优化目标,而生成器G的目标是最大化优化目标;
当生成器生成的数据和真实流量采集得到的特征数据输入判别器后,判别器将根据上面的损失函数计算当前的损失大小,并根据损失大小通过梯度下降对生成器的参数予以更新。通过重复这一过程,网络损失值将趋于稳定,直至判别器对于任意输入,认定其为“真”的概率均为0.5,也即无法将生成器生成的数据和真实数据进行区分,此时DCGAN网络达到收敛状态。
当流量生成模块中的流量生成工具收到已收敛的DCGAN网络中生成器生成的特征数据后,将通过开源工具trafgen将特征数据还原为DoS攻击流量。
Claims (6)
1.一种基于DCGAN网络的DoS攻击流量生成***,其特征在于:包括真实流量采集模块、DCGAN网络和流量生成模块;
所述真实流量采集模块用于提取真实流量序列的典型流量特征,并将得到的特征矩阵用于构建训练数据;
所述DCGAN网络用于学习训练数据中各向量的分布概率规律,结合高斯噪声以生成具有相似规律的结果数据;
所述流量生成模块将DCGAN网络中生成器生成的数据作为流量特征进行流量构建。
2.根据权利要求1所述的基于DCGAN网络的DoS攻击流量生成***,其特征在于:所述真实流量采集模块中选择八种典型数据包特征进行提取,包括:时间、序号、所用协议、原始IP、目的IP、原始端口、目的端口和数据包载荷。
3.根据权利要求1所述的基于DCGAN网络的DoS攻击流量生成***,其特征在于:所述DCGAN网络由生成器和判别器构成,其中生成器通过接收高斯噪声数据以生成初始的生成数据;判别器评估所接收的输入是否为真实流量特征,并根据损失函数对生成器参数予以调整。
4.根据权利要求1所述的基于DCGAN网络的DoS攻击流量生成***,其特征在于:所述DCGAN网络中构成生成器和判别器的顶层和底层CNN卷积块的维度为八维。
5.根据权利要求1所述的基于DCGAN网络的DoS攻击流量生成***,其特征在于:所述流量生成模块中的流量生成工具选择netsniff-ng套件中的trafgen,trafgen是一款linux下的开源、高速、多线程的网络数据包生成工具。
6.权利要求1至5任一项所述的基于DCGAN网络的DoS攻击流量生成***的工作方法,其特征在于:包括如下步骤:
步骤1:真实流量采集模块将真实流量数据包按到达时间进行排序,然后将每4096个连续数据包截取作为一个样本;
步骤2:解码样本中的数据包包头信息,由每个数据包得到一个八维的特征元祖,包括时间,序号,所用协议,原始IP,目的IP,原始端口,目的端口和数据包载荷;因此,对于每个样本,得到一个4096*7的特征矩阵;
步骤3:步骤2得到的特征矩阵中时间、所用协议、原始IP和目的IP对应元素用于神经网络计算前需要先格式转换成数值;其中所用协议特征对应UDP和TCP中的一个,采取One-Hot编码将特征矩阵进行数值化,时间、原始IP和目的IP特征通过进制转换成十进制数值;
步骤4:对步骤3得到的特征矩阵进行归一化,即将所有数值映射到(-1,1)区间上;
步骤5:DCGAN网络中生成器通过接收高斯噪声数据以生成初始的生成数据;判别器评估所接收的输入是否为真实流量特征,并根据如下损失函数对生成器参数予以调整;
假定用于生成的噪声分布是Pz(z),真实数据分布是Px(x),同时生成器和判别器分别为G和D,则DCGAN网络的目标即损失函数描述如下:
其中,D(x)表示判别器认定x来源于真实数据的分布概率,其值介于0与1之间,越接近1表明判别器越相信样本为真,反之为假;表示判别器对所有属于真实数据分布Px(x)的样本x判定为真的平均概率期望;G(z)表示噪声经过生成器后生成的样本,D(G(z))则是判别器认定生成样本属于真实样本的概率,表示判别器对所有属于通过噪声经过生成器后生成的样本G(z)判定为假的平均概率期望,minGmaxDV(D,G)表示判别器D的目标是最小化优化目标,而生成器G的目标是最大化优化目标;
当生成器生成的数据和真实流量采集得到的特征数据输入判别器后,判别器将根据损失函数计算当前的损失大小,并根据损失大小通过梯度下降对生成器的参数予以更新;通过重复这一过程,网络损失值将趋于稳定,直至判别器对于任意输入,认定其为“真”的概率均为0.5,也即无法将生成器生成的数据和真实数据进行区分,此时DCGAN网络达到收敛状态;
步骤6:当流量生成模块中的流量生成工具收到已收敛的DCGAN网络中生成器生成的特征数据后,将通过开源工具trafgen将特征数据还原为DoS攻击流量。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111266058.7A CN113938309A (zh) | 2021-10-28 | 2021-10-28 | 一种基于DCGAN网络的DoS攻击流量生成***及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111266058.7A CN113938309A (zh) | 2021-10-28 | 2021-10-28 | 一种基于DCGAN网络的DoS攻击流量生成***及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113938309A true CN113938309A (zh) | 2022-01-14 |
Family
ID=79284810
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111266058.7A Pending CN113938309A (zh) | 2021-10-28 | 2021-10-28 | 一种基于DCGAN网络的DoS攻击流量生成***及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113938309A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114444075A (zh) * | 2022-02-09 | 2022-05-06 | 深圳市前海新型互联网交换中心有限公司 | 一种生成躲避流量数据的方法 |
RU2823895C1 (ru) * | 2023-12-21 | 2024-07-30 | Федеральное государственное бюджетное учреждение науки Институт системного программирования им. В.П. Иванникова Российской академии наук | Способ генерации состязательных примеров для сетевой системы обнаружения вторжений |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111917765A (zh) * | 2020-07-29 | 2020-11-10 | 北京计算机技术及应用研究所 | 基于生成式对抗网络的网络攻击流量生成*** |
CN111988277A (zh) * | 2020-07-18 | 2020-11-24 | 郑州轻工业大学 | 一种基于双向生成对抗网络的攻击检测方法 |
CN113158390A (zh) * | 2021-04-29 | 2021-07-23 | 北京邮电大学 | 一种基于辅助分类式生成对抗网络的网络攻击流量生成方法 |
US20210319113A1 (en) * | 2019-01-07 | 2021-10-14 | Zhejiang University | Method for generating malicious samples against industrial control system based on adversarial learning |
-
2021
- 2021-10-28 CN CN202111266058.7A patent/CN113938309A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210319113A1 (en) * | 2019-01-07 | 2021-10-14 | Zhejiang University | Method for generating malicious samples against industrial control system based on adversarial learning |
CN111988277A (zh) * | 2020-07-18 | 2020-11-24 | 郑州轻工业大学 | 一种基于双向生成对抗网络的攻击检测方法 |
CN111917765A (zh) * | 2020-07-29 | 2020-11-10 | 北京计算机技术及应用研究所 | 基于生成式对抗网络的网络攻击流量生成*** |
CN113158390A (zh) * | 2021-04-29 | 2021-07-23 | 北京邮电大学 | 一种基于辅助分类式生成对抗网络的网络攻击流量生成方法 |
Non-Patent Citations (1)
Title |
---|
彭中联;万巍;荆涛;魏金侠;: "基于改进CGANs的入侵检测方法研究", 信息网络安全, no. 05, 10 May 2020 (2020-05-10) * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114444075A (zh) * | 2022-02-09 | 2022-05-06 | 深圳市前海新型互联网交换中心有限公司 | 一种生成躲避流量数据的方法 |
RU2823895C1 (ru) * | 2023-12-21 | 2024-07-30 | Федеральное государственное бюджетное учреждение науки Институт системного программирования им. В.П. Иванникова Российской академии наук | Способ генерации состязательных примеров для сетевой системы обнаружения вторжений |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110784481B (zh) | SDN网络中基于神经网络的DDoS检测方法及*** | |
CN110896381B (zh) | 一种基于深度神经网络的流量分类方法、***及电子设备 | |
US11334764B2 (en) | Real-time detection method and apparatus for DGA domain name | |
CN109284606B (zh) | 基于经验特征与卷积神经网络的数据流异常检测*** | |
CN111191767B (zh) | 一种基于向量化的恶意流量攻击类型的判断方法 | |
CN109218223B (zh) | 一种基于主动学习的鲁棒性网络流量分类方法及*** | |
CN110311829A (zh) | 一种基于机器学习加速的网络流量分类方法 | |
CN112671757A (zh) | 一种基于自动机器学习的加密流量协议识别方法及装置 | |
CN114039901A (zh) | 基于残差网络和循环神经网络混合模型的协议识别方法 | |
CN111552966A (zh) | 一种基于信息融合的恶意软件同源性检测方法 | |
CN110868404A (zh) | 一种基于tcp/ip指纹的工控设备自动识别方法 | |
CN115037805A (zh) | 一种基于深度聚类的未知网络协议识别方法、***、装置及存储介质 | |
CN115238822A (zh) | 一种基于混合变异策略的网络协议漏洞挖掘方法 | |
CN116684877A (zh) | 一种基于gyac-lstm的5g网络流量异常检测方法及*** | |
CN113938309A (zh) | 一种基于DCGAN网络的DoS攻击流量生成***及方法 | |
CN114189350B (zh) | 一种基于LightGBM的列车通信网络入侵检测方法 | |
CN116828087B (zh) | 基于区块链连接的信息安全*** | |
CN114979017B (zh) | 基于工控***原始流量的深度学习协议识别方法及*** | |
CN115473734A (zh) | 基于单分类和联邦学习的远程代码执行攻击检测方法 | |
CN114925740A (zh) | 一种基于对抗性域适应的工控入侵检测***构建方法 | |
CN114330363A (zh) | 一种基于漏洞语义智能解析的工控协议漏洞挖掘方法 | |
CN113328986A (zh) | 基于卷积神经网络与lstm结合的网络流量异常检测方法 | |
CN111901282A (zh) | 一种生成恶意代码流量行为检测结构的方法 | |
CN116233011B (zh) | 一种基于包长度序列和消息长度序列深度融合的物联网流量分类方法及*** | |
CN114615052B (zh) | 一种基于知识编译的入侵检测方法及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |