[发明专利]一种基于双域VAE的零日多步威胁识别方法

说明书

一种基于双域VAE的零日多步威胁识别方法，基于VAE的网络攻击防御模型，利用监督学习技术，实现基本的已知多步威胁检测；再利用VAE的双域，实现零日多步威胁的识别；整体分为以下主要步骤：进行多步攻击实验收集网络攻击流量数据；对多步攻击数据集分别进行特征提取和数据预处理；通过双域损失对公开的多步攻击数据集进行训练；设计一种双域防御策略及搭建一个深度神经网络分类器，实现零日威胁的识别及已知多步威胁检测。本发明的方法能够适应资源受限的物联网环境且不依赖于昂贵的入侵检测系统软件，另外能对未知的多步攻击威胁进行有效发现。

技术领域

本发明涉及物联网多步攻击检测领域，尤其涉及一种基于双域变分自编码器(Variational Auto-Encoder,VAE)的零日多步威胁识别方法。

背景技术

随着人工智能、大数据以及5G等新技术的发展，物联网(Internet of Things,IoT)信息时代已经到来。作为物联网的重要组成部分，智能家居存在着大量的物联网设备，这些设备常常被部署在物联网的边缘端，与人们的日常生活息息相关。一旦这些设备被攻击或入侵，会带来严重的隐私泄露以及人身安全问题。当前，物联网设备存在的主要安全风险包括Mirai僵尸网络、分布式拒绝服务(Distributed Denial of Service，DDoS)、拒绝服务(Denial of Service，DoS)、干扰、欺骗、中间人(Man-in-the-Middle，MITM)攻击、隐私泄漏等。其中，造成这些设备容易受到攻击的主要原因是其有限的计算资源和长久不更新的设备固件。

为了保护物联网设备，入侵检测系统(Intrusion Detection System，IDS)常常被部署去检测网络威胁。传统的IDS主要采用防火墙，密码学等技术，但是这些技术的部署需要占据大量的计算资源，在传统网络中是适用的，针对资源受限的物联网环境来说存在一定的挑战。另外，这些传统的IDS通过预定义的规则和专家经验来建立网络的入站规则，对于经常超出规则和协议行为的物联网来说难以适用，因为物联网环境的复杂和动态性。

近年来，人工智能技术的快速发展为其提供了一个很好的解决方案，它能够有效的识别物联网的异常事件，并且在单步攻击检测方面取得了极大的成功。然而，现实世界的网络攻击通常是精心策划的多步攻击，这些攻击往往是未知的，即所谓的零日多步威胁。现有的基于人工智能的物联网IDS利用大量已知威胁样本进行训练学习，从而建立一个具有攻击识别能力的智能IDS。但是该IDS仅限于识别已知威胁或相类似的威胁，难以对未知的零日多步威胁进行有效的判断，这带来了全新的挑战。因此，设计一种能够同时识别已知多步威胁和未知多步威胁的物联网设备保护系统具有重要的意义。

发明内容

为了克服零日多步威胁检测问题，本发明提出一种基于双域VAE的零日多步威胁识别方法，基于VAE的网络攻击防御模型，利用监督学习技术，实现基本的已知多步威胁检测，再利用VAE的双域，即重构域和潜域，实现零日多步威胁的识别。

为了实现上述目标，本发明提供如下的技术方案：

一种基于双域VAE的零日多步威胁识别方法，所述方法包括以下步骤：

(1)搭建智能家居平台，并进行多步攻击实验来收集网络攻击流量数据；

(2)对收集的实验数据和公开可用的多步攻击数据集分别进行特征提取和数据预处理工作；

(3)搭建基于VAE的网络模型，通过双域损失对公开的多步攻击数据集进行训练；

(4)设计一种双域防御策略并且将收集的实验数据作为零日多步威胁进行验证测试，实现零日威胁的识别；

(5)搭建一个深度神经网络(DNN)分类器，利用多分类交叉熵损失对已知的多步威胁进行监督训练，实现已知多步威胁检测。

所述步骤(1)中，多步攻击实验数据收集的步骤如下：