[发明专利]一种基于欺骗性防御的未知威胁自适应检测方法在审
| 申请号: | 202310238699.4 | 申请日: | 2023-03-13 |
| 公开(公告)号: | CN116192530A | 公开(公告)日: | 2023-05-30 |
| 发明(设计)人: | 丁旭阳;刘子为;谢盈;韩幸;张小松 | 申请(专利权)人: | 电子科技大学 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;G06F18/23 |
| 代理公司: | 电子科技大学专利中心 51203 | 代理人: | 周刘英 |
| 地址: | 611731 四川省成*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 欺骗性 防御 未知 威胁 自适应 检测 方法 | ||
1.一种基于欺骗性防御的未知威胁自适应检测方法,其特征在于,该方法采用基于欺骗性防御技术的未知威胁自适应流量检测系统实现,该系统在现有局域网中部署方式为:工控设备、路由器、交换机为已经存在的设备,网关服务器和蜜罐设备搭载所述自适应流量检测系统;所述自适应流量检测系统中的恶意流量检测模块和自适应检测升级模块部署在网关服务器中,各个蜜罐设备搭载所述自适应流量检测系统的蜜罐模块,能够将捕获的攻击流量反馈给网关服务器,同时各个蜜罐设备具备已存在的欺骗性防御技术,能够对未知威胁进行引导和捕获;工业控制网络中部署一个及以上的蜜罐设备,所述自适应流量检测系统中的恶意流量检测模块通过现有的神经网络模型进行威胁检测,自适应检测升级模块通过重新训练神经网络模型的方式,实现对恶意流量检测模块的升级和更新;
该方法包括以下步骤:
S1、使用恶意流量检测模块对蜜罐模块捕获的威胁流量进行分析,获取未知威胁流量,将未知威胁流量制作为预处理数据集Dpre,同时将恶意流量检测模块最初携带的数据集记为原始数据集Dorg;
S2、将预处理数据集Dpre和原始数据集Dorg进行合并,得到合并数据集Dcbn*,对合并数据集Dcbn*进行样本空间的聚类,得到聚类后的数据集Dcbn,并确定数据集Dcbn中的少数类和多数类的划分;
下面是对合并数据集Dcbn*进行聚类的公式和聚类后的数据集Dcbn过程:
在进行聚类操作前,Dcbn*由两个部分组成Dorg和Dpre;Dcbn中原属于Dorg的样本点,具有完备的类簇标识集合Cold,其中,表示第k类中心点位置,k=1,2,…,S,原始数据集中含有的类别总数为S,Dcbn中原属于Dpre的样本点,均作为独立类簇;通过如下公式完成Dcbn*的聚类,并得到Dcbn中新的类簇标识集合Cnew,采用如下公式计算Dcbn*所有类簇之间的距离,如果小于预先设定的阈值η,则将两个类簇合并;
类簇距离计算公式如下:
其中,Ca和Cb表示两个任意类簇,x,y分别为Ca和Cb中的样本点,|Ca|和|Cb|表示类簇中样本总数,如果d(Ca,Cb)小于η则将两个类簇进行合并,重复到无法合并为止,新得到的若干类簇按照样本数量,从大到小排序新的类簇有N个,自此得聚类后的数据集Dcbn;
通过计算流程可知,新的样本点被聚合到两个地方,第一个是已有的S个类别中,第二个是形成新的类别,由于未知威胁样本数量少的特点,前S个已知类别为多数类,后N-S个类别为少数类,其中未知威胁集中在少数类中;
S3、对聚类后的数据集Dcbn,通过样本空间中近邻少数类的平均距离dsa和近邻多数类的个数Nma,度量其中少数类样本的学习复杂度ld;
针对某个少数类Ci,邻近少数类平均距离计算过程如下,其中,Ci为集合集中的某个类,i的取值范围为S+1到N的整数:
Ci与m个邻近少数类的平均距离为Ci的邻近少数类平均距离,表示该类样本在少数类空间的稀疏程度,其中,m为预先设置的常数,m个邻近少数类表示Ci与所有少数类的距离从小到大进行排序的前m个少数类;
针对某个少数类Ci,局部近邻多数类个数计算过程如下:
Ci与第m个近邻少数类的距离为半径,所形成的圆中多数类样本的个数为表示Ci的局部近邻多数类个数;
近邻少数类平均距离的值越大表示少数类样本空间分布很稀疏,这类样本很难进行学习,则应该赋予更高的学习权重;反之越密集,则越容易进行学习,学习的复杂度越低;
局部近邻多数类个数的值越大表示该类样本处于多数样本类的边界或者中心区域,那么该类的学习成本会很高,因为该类样本会受到多数样本类的影响,反之则学习复杂越低,越容易进行学习;
近邻少数类平均距离归一化计算公式如下:
其中,j的取值为S+1到N的正整数,表示第j个少数类的近邻少数类平均距离,表示第i个少数类的近邻少数类平均距离归一化后的值;
局部近邻多数类个数归一化公式如下:
表示第j个局部近邻多数类个数,表示第i个局部近邻多数类个数归一化后的值;
则对于少数类Ci的学习复杂度ldi计算公式如下:
其中α表示加权系数,为平衡近邻少数类平均距离和局部近邻多数类个数的关系;学习复杂度ldi越大,表示该样本类Ci越难进行学习,需要生成更多的邻近样本;
S4、对聚类后的数据集Dcbn,根据学习复杂度ld,计算少数类样本合成数目,通过合成公式生成新的少数类样本,将生成的少数类样本合并入Dcbn,形成新的样本数据集Dnrb,数据集Dnrb中样本空间趋于平衡;
针对某个少数类Ci,生成样本数目的计算公式如下:
其中为生成的样本数目,Mi表示第i类样本数目,即样本类Ci的数目,Mmax为最大样本数目,是数据集Dcbn中样本最多类别的样本数目,即类别中样本数量;
针对某个少数类Ci,生成样本点的公式如下:
xnew=xp+rand(0,1)×(xq-xp)
其中,xnew是合成的新的样本数据,xp为少数类簇Ci的中心点的坐标向量,每个少数类的的中心点只有一个,xq为少数类簇Ci中随机的一个样本点的坐标向量,p为自然数,q为1到|Ci|中的随机整数,|Ci|表示类簇Ci中样本总数,使用该公式生成个样本点,并将新生成的样本点加入到少数类Ci中,此时Ci完成样本平衡;
将以上过程作用到数据集Dcbn的每个少数样本类,完成数据集Dcbn整体的样本平衡,得到新的数据集Dnrb;
S5、使用数据集Dnrb对神经网络模型重新进行训练,通过自适应流量检测系统中的自适应检测升级模块,将重新训练的神经网络模型更新到恶意流量检测模块中,自此,自适应流量检测系统自动化更新完成,能够对局域网中的未知威胁流量进行检测。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于电子科技大学,未经电子科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202310238699.4/1.html,转载请声明来源钻瓜专利网。
