[发明专利]一种基于GAN的APT攻击序列的生成与检测方法

权利要求书

1.一种基于GAN的APT攻击序列的生成与检测方法，其特征在于，包括以下步骤：

步骤1：构建训练集；利用KDD数据集模拟生成具有APT攻击特征的训练数据；

步骤2：GAN的生成器与判别器模型的搭建；

利用长短期记忆网络和Masking层来构建GAN的生成器与判别器；选用一个全连接层加在判别器的LSTM层的后面，进行数据降维，做一个二分类的工作；采用LSTM网络进行APT攻击序列的识别和生成；LSTM的遗忘门的公式为：

f_t＝σ(W_f·[h_t-1,x_t]+b_f)

其中，σ为激活函数，W_f为权值矩阵，h_t-1为上一神经元的输出，x_t为当前时刻的输入，b_f为神经元的偏置项，f_t为遗忘门的输出；LSTM的输入门进行输入和数据的更新的公式如下：

i_t＝σ(W_i·[h_t-1,x_t]+b_i)

其中，W_i和W_c分别为权值矩阵，分别根据当前时刻和前一时刻的输入x_t和h_t-1再加上偏置项得到需要更新的内容项i_t和这两个分支的主要作用就是记忆更新的信息；C_t-1是上一时刻的单元状态，由f_t*C_t-1遗忘后剩余的信息再加上需要更新的信息就得到了当前时刻的单元状态；

步骤3：判别器的预训练；利用模拟生成的APT攻击数据集对GAN的判别器进行预训练，使判别器在对抗训练前具备一定的判断能力；因为生成器的目的是根据噪声生成APT攻击序列所以最后不加全连接层，只需保存序列输出即可；

步骤4：GAN的对抗训练；通过反向优化、博弈对抗最后得到性能优异APT攻击序列的生成器和判别器；

判定器的输出是判定输入符合原始样本分布规律数据的概率；若输出为1，则表示该图片100％是符合原始数据集特征的数据；若输出为0则表示该图片为虚假数据，即数据是由生成器生成的；生成式对抗网络在不断地训练中最终会达到一个均衡状态，在该状态下判别器无法判断输入数据是生成器生成的数据还是原始样本数据，同时生成器无法生成能完全欺骗判别器的数据，此时就到达临界点，即双方都无法向着有利于自己的方向优化，达到了纳什均衡状态；GAN的目标函数如下式所示：

其中，G表示生成器模型；z表示生成的随机噪声；G(z)表示随机噪声经过生成器网络后得到的虚拟数据；D表示判别器模型；x表示真实的输入样本；D(x)表示原始样本经过判别器模型D后得到x是真实样本数据的概率；D(G(z))表示由随机噪声经过生成器模型生成的虚拟数据后输入判别器模型后得到的其为真实样本数据的概率；P_data(x)是真实的样本分布；P_data(z)是虚假的样本分布，也就是生成器生成的数据；若求得最优网络时可令输入变量统一，同时令式子求导得0，会得到下式：

其中，D^*(x)为判别器最优的情况；当P_data(x)等于0并且P_data(z)不等于0时，判别器就会得到0，此时的判别器的判别功能过弱；若P_data(x)＝P_data(z)时，说明此时判别器给出的真假性对半分，就会得到0.5，此时判别器无法判断输入数据是否符合真实数据的样本分布，也就得到了相对最优的模型状态。