1.一种基于潜在空间对抗式聚类的用户伪装攻击检测方法,其特征在于,包括如下步骤:
(1)用户行为序列获取,在真实环境下,记录用户的行为序列,选择其中一部分用户为合法用户,其余用户为伪装用户,伪装用户的行为序列中随机插入命令块;
(2)用户行为序列预处理,使用独热编码技术对合法用户的行为序列进行特征离散化处理后映射到二进制向量,得到合法样本,使用独热编码技术对伪装用户的行为序列进行特征离散化处理后映射到二进制向量,得到伪装样本;
(3)网络模型训练,选用clustergan网络模型,其包括生成器、判别器以及编码器,更新生成器参数、判别器参数以及编码器参数,对网络模型进行训练,以合法样本和伪装样本作为真实样本,以真实样本的联合噪声作为生成器的输入,生成器输出生成样本,以各个真实样本作为判别器的输入,判别器对真实样本和生成进行比较,以生成样本作为编码器的输入,编码器输出生成样本的联合噪声;
(4)待测的行为序列预处理,对待检测的行为序列进行特征离散化处理,使用独热编码技术将待检测的行为序列进行特征离散化处理后映射到二进制向量,得到待测样本;
(5)编码输出,将待测样本作为训练后编码器的输入,编码器输出待测样本的联合噪声;
(6)判断,对待测样本的联合噪声与生成样本的联合噪声进行拟合,如待测样本的联合噪声与合法样本的联合噪声拟合度高,则待测检测的行为序列的用户为合法用户,如待测样本的联合噪声与伪装样本的联合噪声拟合度高,则待测检测的行为序列的用户为伪装用户。
2.如权利要求1所述的基于潜在空间对抗式聚类的用户伪装攻击检测方法,其特征在于,步骤(1)中,在真实工作环境中,收集每位用户10000条正常命令,随机选择50名用户为合法用户,其余用户为伪装用户。
3.如权利要求1所述的基于潜在空间对抗式聚类的用户伪装攻击检测方法,其特征在于,步骤(3)中,所述clustergan网络模型的总目标函数如下:
其中,θg表示生成器参数;θd表示判别器参数;θe表示编码器参数;x表示用户行为序列数据,作为真实样本数据;g表示生成器模型,输出生成样本数据;d表示判别器模型,用来区分真实样本和生成样本;
4.如权利要求1所述的基于潜在空间对抗式聚类的用户伪装攻击检测方法,其特征在于,编码器的网络结构由全连接层构成,输入层有16个节点,第一层全连接层有256个节点,第二层全连接层有256个节点,输出层有两个节点,输入层输入独热编码后的向量xi,输出层最终输出伪装攻击检测的二分类结果。
5.如权利要求1所述的基于潜在空间对抗式聚类的用户伪装攻击检测方法,其特征在于,使用机器学习库sklearn对待测样本的联合噪声与生成样本的联合噪声进行拟合。
6.一种用于如权利要求1-5任一所述的用户伪装攻击检测方法的用户伪装攻击检测系统,其特征在于,包括:
数据获取模块,用于获取用户的行为序列并将部分用户设为伪装用户,在其行为序列中随机插入命令块;
数据预处理模块,用于采用独热编码技术对用户的行为序列和待测的行为序列进行离散化处理,得到以二进制向量表示的真实样本和待测样本;
网络模型,采用clustergan网络模型,用于以真实样本和真实样本的联合噪声作为输入进行训练后输出生成样本的联合噪声,再以待测样本作为输入后输出待测样本的联合噪声;
判断模块,用于对待测样本的联合噪声和生成样本的联合噪声进行拟合后判断待测的行为序列的用户为合法用户还是伪装用户。