[发明专利]一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用

说明书

本发明提供了一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用，所述快速网络攻击回溯挖掘方法包括以下步骤：构建基于后向卷积神经网络的后向序列挖掘模型：通过高阶正向通道预先训练后向序列挖掘模型以获得每层的输出，构建损失函数并将其降至最低；构建确定性包标记模型:引入两个路由器负载阈值Min、Max；如果负载在Min和Max之间，则标记数据包，若不在则转发，判断目的地选项头DOH是否存在，若已经存在，路由器将只编码入口地址并转发该数据包，如果不存在，则应通过创建DOH对入口地址进行编码，并传输数据包；利用确定性包标记模型解决数据负载问题后，重建挖掘序列。本发明有利于主动发现潜伏在公司信息网络中的高级、持续性攻击行为。

技术领域

本发明涉及电力信息安全技术领域，特别是涉及一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用。

背景技术

当前，网络攻击的复杂性在增加，企业、组织对网络系统保护的意识也在进一步强化。企业开始使用网络安全技术解决或缓解网络安全威胁问题，由于网络及各类设备的普及应用，企业为了解决网络安全问题，在企业内部部署了许多安全产品，如入侵检测系统(IDS)、入侵防御系统(IPS)、防火墙、Web应用防护系统(WAF)、VPN等，但这些产品的应用在满足了人们保护网络环境的目的的同时，还衍生了新的问题，总结起来表现为：在对全网范围的告警事件进行实时监测时，难度极大，既难从泛滥的实时攻击告警中分析出真正的威胁，也不能实时监测复杂攻击。针对上述问题，国网公司于2015年开始筹建网络与信息安全预警分析平台(即SG-S6000平台)，其总体目标是加强公司人员、组织、设备、应用四方面资源基础管理。预警分析平台规划实现网络设备、系统主机、内外网及移动终端、应用系统、网络流量、物理监控和公开情报等7大类的数据采集，具备漏洞分析、风险处理等能力，并规划基于大数据分析的实现攻击异常检测功能。目前，预警分析平台已具备数据采集和展示功能，但在大数据环境下的网络攻击溯源分析方面仍存在一些不足，缺乏对安全事件深入关联调查、源头溯源和根因分析的能力。

分析产生上述针对网络攻击缺乏溯源分析的原因，主要是现阶段各个安全设备都会产生大量的日志记录，并且这些日志记录直接缺乏显性的关联性。对于零散的海量告警日志，安全处置人员需要花费大量时间进行手动关联，导致对安全事件的响应效率低且准确率不高。

发明内容

本发明的目的是针对现有技术中存在的网络攻击缺乏溯源分的问题，而提供一种基于卷积神经网络的快速网络攻击回溯挖掘方法。

本发明的另一个目的是提供所述快速网络攻击回溯挖掘方法在网络攻击预警中的应用。

为实现本发明的目的所采用的技术方案是：

一种基于卷积神经网络的快速网络攻击回溯挖掘方法，包括以下步骤：

步骤1，构建基于后向卷积神经网络(TR-CNN)的后向序列挖掘模型：

通过高阶正向通道预先训练后向序列挖掘模型以获得每层的输出，构建损失函数并将其降至最低；

步骤2，构建确定性包标记模型:

S1，判断步骤1输出的数据包是否为负载，若是，则进行以下步骤，若不是直接将其转发接收新的数据包；

S2，引入两个路由器负载阈值，Min、Max；

S3，若所述负载低于Min或高于Max时，则标记为没有数据包并转发；如果负载在Min和Max之间，则标记数据包；

S4，判断目的地选项头DOH是否存在，如果已经存在，路由器将只编码入口地址，然后转发该数据包，如果不存在，则应通过创建DOH对入口地址进行编码，并传输数据包；

S5，在程序的重建过程中，应根据受到攻击的主机决定是否搜索DOH，如果存在，受攻击的主机将提取地址，然后将地址放入地址表中；