[发明专利]一种基于双域VAE的零日多步威胁识别方法

权利要求书

1.一种基于双域VAE的零日多步威胁识别方法，其特征在于，所述方法包括以下步骤：

(1)搭建智能家居平台，并进行多步攻击实验来收集网络攻击流量数据；

(2)对收集的实验数据和公开可用的多步攻击数据集分别进行特征提取和数据预处理工作；

(3)搭建基于VAE的网络模型，通过双域损失对公开的多步攻击数据集进行训练；

(4)设计一种双域防御策略并且将收集的实验数据作为零日多步威胁进行验证测试，实现零日威胁的识别；令log p(x|z)为重构域，KL(q(z|x)||p(z|x))为潜域；利用一种相似度(Sim.)方法来区分未知样本，其方法定义如下：

其中λ表示权重，表示重构域异常概率，表示潜域异常概率，J₁,J₂表示相应的特征维度和潜码维度；

通过计算分数的平均相似度，并将其和阈值γ比较，可判断当前攻击是否为零日攻击；通过相似度比对，加入该攻击为零日异常，则调查人员展开调查；

(5)搭建一个深度神经网络DNN分类器，利用多分类交叉熵损失对已知的多步威胁进行监督训练，实现已知多步威胁检测；

所述步骤(3)中，利用VAE的重构域和潜域损失对经过步骤(2)之后的多步攻击数据集训练，VAE训练过程如下：

步骤301，定义生成模型VAE为：

p(x,z)＝p(x|z)p(z),

其中z为潜在向量，p(·)是概率密度；

步骤302，基于VAE模型定义的基础上，VAE的损失函数被定义为

其中，p_data表示真实的数据分布，θ表示网络参数；

步骤303，令q(z|x)表示辅助分布来近似真实潜码分布p(z|x)，损失函数的变分推导过程为：

其中p(z)表示表示潜在向量z的先验分布，KL(·)代表KL散度，q(z|x)通过Q编码器计算，p(x|z)可以通过P解码器计算，根据KL(q(z|x)||p(z|x))的非负性，得到log(p(x))的下界损失为

所述步骤(5)中，根据步骤(4)，假如一个多步攻击被识别为已知威胁，则通过DNN分类器实现已知威胁检测包括以下过程：

步骤501，将VAE的潜域向量Z与原始向量X进行合并，输入到分类模型DNN中；

步骤502，使用多分类交叉熵损失进行优化，其原理如下：

其中y_i表示真实标签，p_i表示类别预测概率；

步骤503，对已知威胁进行识别，推断出具体的威胁类型，并发出系统警报。

2.如权利要求1所述的一种基于双域VAE的零日多步威胁识别方法，其特征在于，所述步骤(1)中，多步攻击实验数据收集的步骤如下：

步骤101，将树莓派作为智能家居网关，配置Wi-Fi热点并开启，并将天猫精灵，智能插座，智能灯泡等智能设备进行网络接入；

步骤102，利用一台装有Kali系统的笔记本作为攻击设备，并通过多步攻击脚本进行攻击，攻击脚本主要包括DoS和MITM多步攻击；

步骤103，在网关处利用TCPdump工具记录网络流量和日志，并将流量保存为PCAP格式文件。

3.如权利要求1或2所述的一种基于双域VAE的零日多步威胁识别方法，其特征在于，所述步骤(2)中，对公开可用的DARPA-2000(DDoS)多步攻击数据和在步骤(1)中实验收集的DoS，MITM多步攻击数据集进行特征提取和预处理工作，过程如下：

步骤201，利用t-shark工具将网络协议包头特征进行提取，并保存为csv文件；

步骤202，对特征数据进行预处理，包括缺失值补“0”，字符编码，归一化处理。