对抗网络入侵检测方法、装置、系统、计算机设备及介质与流程

本发明涉及网络安全，具体涉及对抗网络入侵检测方法、装置、系统、计算机设备及介质。

背景技术：

1、随着互联网和物联网的快速发展，网络安全问题也越来越引人关注。目前，网络攻击手段多种多样，如拒绝服务攻击、恶意软件下载等。传统的入侵检测系统通常采用规则匹配和特征检测等算法进行检测，在应对新型攻击时面临诸多挑战，如准确性不高、漏检率高、误报率高等。

2、现有技术面临着许多问题和弊端。例如，算法准确性不足，漏检率高，误报率高，处理速度慢等。此外，由于攻击者不断改变攻击手段和方式，检测算法必须能够适应新型的攻击，并且很难在短时间内对已知的所有攻击类型进行更新和维护。

技术实现思路

1、有鉴于此，本发明提供了一种对抗网络入侵检测方法及装置，以解决入侵检测准确性差的问题。

2、第一方面，本发明提供了一种对抗网络入侵检测方法，所述方法包括：获取攻击数据；采用对抗网络对所述攻击数据进行模拟和鉴别，得到鉴别结果，所述鉴别结果中包括模拟结果是否为攻击的结果；基于模拟结果为攻击的结果以及入侵防御签名对待检测网络流量进行入侵检测。

3、本发明实施例提供的对抗网络入侵检测方法，通过采用对抗网络实现了新的攻击特征即模拟结果中为攻击的结果的学习，采用学习得到新的攻击特征和入侵防御签名共同进行入侵检测，有助于提高入侵检测的准确性，提高入侵检测的鲁棒性，能够有效避免被攻击者绕过、欺骗等问题。同时，通过对抗网络学习到的新的攻击特征，能够克服现有技术中攻击数据不足的问题，为实现更具有鲁棒性的入侵检测提供更丰富的数据来源，有助于应对当前的新型和未知攻击手段。另外，对抗网络的使用，能够更好的适应复杂多变的网络环境，增强泛化能力。

4、在一种可选地实施方式中，采用对抗网络对所述攻击数据进行模拟和鉴别，得到鉴别结果，所述鉴别结果中包括模拟结果是否为攻击的结果之前，所述方法还包括：采用梯度提升树对所述攻击数据进行特征筛选。

5、本实施例中，通过采用梯度提升树进行攻击特征的筛选，选择对于入侵检测最具有区分能力的攻击特征数据，使得模拟结果中攻击数据更接近真实攻击数据。

6、在一种可选地实施方式中，采用对抗网络对所述攻击数据进行模拟和鉴别，得到鉴别结果，所述鉴别结果中包括模拟结果是否为攻击的结果，包括：采用对抗网络中的生成器对所述攻击数据进行模拟，得到模拟结果；采用对抗网络中的鉴别器对所述模拟结果进行鉴别，得到模拟结果是否为攻击的鉴别结果。

7、在一种可选地实施方式中，基于模拟结果为攻击的结果以及入侵防御签名对待检测网络流量进行入侵检测之前，所述方法还包括：获取待检测网络流量；对待检测网络流量进行预处理；对预处理后的待检测网络流量进行特征提取。

8、本实施例中，通过对待检测网络流量的预处理和特征提取，能够使得后续对待检测网络流量的检测更加便捷准确。

9、在一种可选地实施方式中，采用对抗网络对所述攻击数据进行模拟和鉴别，得到鉴别结果，所述鉴别结果中包括模拟结果是否为攻击的结果之前，所述方法还包括：采用攻击数据对对抗网络的生成器和鉴别器进行训练。

10、本实施例中，通过对对抗网络的训练，能够提高生成的攻击数据的逼真度，同时提高鉴别器的鉴别能力。

11、第二方面，本发明提供了一种对抗网络入侵检测装置，所述装置包括：数据获取模块，用于获取攻击数据；鉴别模块，用于采用对抗网络对所述攻击数据进行模拟和鉴别，得到鉴别结果，所述鉴别结果中包括模拟结果是否为攻击的结果；检测模块，用于基于模拟结果为攻击的结果以及入侵防御签名对待检测网络流量进行入侵检测。

12、在一种可选地实施方式中，装置还包括：特征筛选模块，用于采用梯度提升树对所述攻击数据进行特征筛选。

13、在一种可选地实施方式中，鉴别模块具体用于：采用对抗网络中的生成器对所述攻击数据进行模拟，得到模拟结果；采用对抗网络中的鉴别器对所述模拟结果进行鉴别，得到模拟结果是否为攻击的鉴别结果。

14、在一种可选地实施方式中，装置还包括：流量获取模块，用于获取待检测网络流量；预处理模块，用于对待检测网络流量进行预处理；特征提取模块，用于对预处理后的待检测网络流量进行特征提取。

15、在一种可选地实施方式中，装置还包括：训练模块，用于采用攻击数据对对抗网络的生成器和鉴别器进行训练。

16、第三方面，本发明提供了一种对抗网络入侵检测系统，所述系统包括：数据生成模块，用于获取攻击数据；采用对抗网络对所述攻击数据进行模拟和鉴别，得到鉴别结果，所述鉴别结果中包括模拟结果是否为攻击的结果；入侵检测系统，包括知识库、数据收集器和检测器，所述数据收集器用于获取待检测网络流量，所述知识库中存储入侵防御签名和模拟结果为攻击的结果，所述检测器基于所述知识库对待检测网络流量进行入侵检测。

17、本发明实施例提供的对抗网络入侵检测系统，通过采用对抗网络生成新的攻击数据，该数据可以作为知识库的补充数据集，有助于提高检测器的入侵检测结果；同时，通过对抗网络学习到的新的攻击特征，能够克服现有技术中攻击数据不足的问题，为实现更具有鲁棒性的入侵检测提供更丰富的数据来源，有助于应对当前的新型和未知攻击手段。另外，对抗网络的使用，能够更好的适应复杂多变的网络环境，增强泛化能力。

18、在一种可选地实施方式中，所述入侵检测系统还包括控制器，所述控制器用于根据所述检测器的检测结果进行响应。

19、本实施例中，通过采用控制器基于入侵检测结果进行相应，由此，在检测到恶意活动时，能够及时响应，降低网络安全风险。

20、第四方面，本发明提供了一种计算机设备，包括：存储器和处理器，存储器和处理器之间互相通信连接，存储器中存储有计算机指令，处理器通过执行计算机指令，从而执行上述第一方面或其对应的任一实施方式的对抗网络入侵检测方法。

21、第五方面，本发明提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机指令，计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的对抗网络入侵检测方法。

技术特征：

1.一种对抗网络入侵检测方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，采用对抗网络对所述攻击数据进行模拟和鉴别，得到鉴别结果，所述鉴别结果中包括模拟结果是否为攻击的结果之前，所述方法还包括：

3.根据权利要求1所述的方法，其特征在于，采用对抗网络对所述攻击数据进行模拟和鉴别，得到鉴别结果，所述鉴别结果中包括模拟结果是否为攻击的结果，包括：

4.根据权利要求1所述的方法，其特征在于，基于模拟结果为攻击的结果以及入侵防御签名对待检测网络流量进行入侵检测之前，所述方法还包括：

5.根据权利要求1所述的方法，其特征在于，采用对抗网络对所述攻击数据进行模拟和鉴别，得到鉴别结果，所述鉴别结果中包括模拟结果是否为攻击的结果之前，所述方法还包括：

6.一种对抗网络入侵检测装置，其特征在于，所述装置包括：

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：特征筛选模块，用于采用梯度提升树对所述攻击数据进行特征筛选。

8.根据权利要求6所述的装置，其特征在于，鉴别模块具体用于：采用对抗网络中的生成器对所述攻击数据进行模拟，得到模拟结果；采用对抗网络中的鉴别器对所述模拟结果进行鉴别，得到模拟结果是否为攻击的鉴别结果。

9.根据权利要求6所述的装置，其特征在于，装置还包括：流量获取模块，用于获取待检测网络流量；预处理模块，用于对待检测网络流量进行预处理；特征提取模块，用于对预处理后的待检测网络流量进行特征提取。

10.根据权利要求6所述的装置，其特征在于，装置还包括：训练模块，用于采用攻击数据对对抗网络的生成器和鉴别器进行训练。

11.一种对抗网络入侵检测系统，其特征在于，所述系统包括：

12.根据权利要求11所述的系统，其特征在于，所述入侵检测系统还包括控制器，所述控制器用于根据所述检测器的检测结果进行响应。

13.一种计算机设备，其特征在于，包括：

14.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机指令，所述计算机指令用于使计算机执行权利要求1至5中任一项所述的对抗网络入侵检测方法。

技术总结
本发明涉及网络安全技术领域，具体涉及对抗网络入侵检测方法、装置、系统、计算机设备及介质。方法包括：获取攻击数据；采用对抗网络对所述攻击数据进行模拟和鉴别，得到鉴别结果；基于模拟结果为攻击的结果以及入侵防御签名对待检测网络流量进行入侵检测。通过实施本发明，通过采用对抗网络实现了新的攻击特征即模拟结果中为攻击的结果的学习，采用学习得到新的攻击特征和入侵防御签名共同进行入侵检测，有助于提高入侵检测的准确性，能够有效避免被攻击者绕过、欺骗等问题。同时，通过对抗网络学习到的新的攻击特征，能够克服现有技术中攻击数据不足的问题，为实现更具有鲁棒性的入侵检测提供更丰富的数据来源，有助于应对当前新型和未知攻击。

技术研发人员：张英杰,张道娟,胡博,周小明,许超,韩啸,武宏斌,吴天琦,唱一鸣,张文杰
受保护的技术使用者：国网智能电网研究院有限公司
技术研发日：
技术公布日：2024/3/27