[发明专利]基于用户流量行为基线的攻击检测方法

说明书

本发明属于攻击检测方法技术领域，具体涉及一种基于用户流量行为基线的攻击检测方法。该方法通过提取用户的网络流量行为的流级别的特征集；将特征集输入改进的模型中进行训练，得到用户行为基线，将基线作为判断标准对新接入流量进行攻击检测。该方法在训练时仅使用用户的正常行为流量，经过改进后的双向生成对抗网络算法能够对高纬度的流量特征进行较稳定的训练，适用于未知攻击的检测，检测速度快、准确度高。

技术领域

本发明属于攻击检测方法技术领域，具体涉及一种基于用户流量行为基线的攻击检测方法。

背景技术

随着机器学习技术在实际应用中的发展，其在流量的异常检测领域也得到了广泛的应用。有研究人员选用少量的流量特征，仅针对特定的攻击场景，使用机器学习模型中经典的决策树算法、聚类算法、遗传算法等区分正常流量和入侵流量，达到了较好的检测效果。但是这些方法对于本身复杂且高维的流量数据性能较差，并且时间开销极大。深度学习模型的出现解决了高维复杂数据的训练问题，然而攻击样本难以获取，当攻击流量样本空间不足时，现有的方法难以使检测模型得到充分训练，并且难以对未知攻击产生良好的检测效果。

发明内容

针对现有技术存在的缺陷和问题，本发明提供一种基于用户流量行为基线的攻击检测方法，该方法通过网络流量元数据来定义用户的行为特征，刻画特定用户的行为模式，在训练过程中仅使用正常用户的流量数据，从而对非用户产生的异常行为流量进行检测，不但能够检测已知攻击行为，还能预警未知行为。

本发明解决其技术问题所采用的方案是：一种基于用户流量行为基线的攻击检测方法，包括如下步骤：

(1)抓取特定用户至少一周的网卡关口出入流量数据，对出入流量数据进行IP地址过滤，生成与该用户全部相关的流量数据，再对流量数据进行过滤，丢弃超时、乱序和重传的流量；获取用户行为流量中完整的双向TCP会话流和UDP会话流，流的方向由第一个数据包的方向标定，其中，TCP会话流以SYN为起始，任意端发送FIN且数量小于2为终止，UDP会话流以120秒为超时时间阈值，并以五元组源IP、目的IP、源端口、目的端口、协议类型标注为其会话ID；依据确定的特征集维数，提取会话流中的元数据特征，进行统计特征计算，对所提取特征中的类别特征进行变换使输入模型的特征属于同一量纲，对与时间相关的统计特征进行标准差计算，并按照会话流的ID整合将统计特征整合为具有特定维度的特征集；

(2)选用用户的部分流量特征集作为训练集，对训练集中的数值型数据进行归一化处理，对训练集中的类别型数据进行哑编码使其能够用于模型训练；

(3)将双向生成对抗网络模型参数初始化，确定模型参数，先对模型中的判别器进行训练，然后对生成器和编码器进行训练，之后进行交替训练直至判别器的损失函数呈现震荡趋势；训练完毕后分别得到判别器部分的训练损失值以及生成器和编码器部分的训练损失值，通过L1范数分别计算出判别器部分以及生成器和编码器部分的损失得分，再通过异常分数公式计算出用户数据的基线；

(4)对测试样本流量行为进行行为特征整合，对测试样本特征参数中连续型的参数进行归一化处理，类别型的特征进行哑编码；将测试样本中的每一条会话流输入双向对抗网络模型进行计算，得到测试样本中每一条会话流的特征分布得分；将测试样本中的每一条会话流的特征分布得分与基线进行比较，当特征分布得分大于基线，则该样本被判定为攻击样本，当特征分布得分不大于基线，则该样本为正常样本。

上述的用于用户流量行为基线的攻击检测方法，第一步中用户产生的网络通信会话流与攻击行为产生的网络通信会话流：当满足下述条件时，认为数据包属于同一条会话流：

TCP会话流：

流方向∩SrcIP₁＝SrcIP₂∩DstIP₁＝DstIP₂∩Prot₁