一种基于入侵检测的隐匿信标样本生成方法

本发明涉及样本生成的，尤其涉及一种基于入侵检测的隐匿信标样本生成方法。

背景技术：

1、随着网络安全得到越来越广泛的关注和重视，对入侵检测的要求越来越高。但是由于隐匿信标样本较少导致现有的基于人工智能的入侵检测效果大大折扣，因此如何实现入侵检测场景下的信标样本生成得到越来越广泛的关注。针对该问题，本发明提出一种基于入侵检测的隐匿信标样本生成方法，通过生成信标样本以提升入侵检测在对抗场景下的稳定性，并实现主动防御潜在的对抗攻击。

技术实现思路

1、有鉴于此，本发明提供一种基于入侵检测的隐匿信标样本生成方法，目的在于：1)将所获取的隐匿信标样本分割为代码、运行数据流以及网络配置信息，并分别转换为不同颜色通道的二维图像，得到三通道表示的灰度特征图像矩阵，利用隐匿信标样本生成模型提取灰度特征图像矩阵的状态特征，作为信标样本的生成环境，所提取状态特征融合了原始入侵检测信标样本的代码、运行数据流以及网络配置信息，并在生成环境的基础上选取最适配生成环境的动作模式，利用所选取动作模式对原始隐匿信标样本进行处理，进而实现基于原始隐匿信标样本状态特征的信标样本生成；2)分别构建隐匿信标样本生成模型和信标样本判别模型，利用信标样本判别模型对所生成样本进行判别，实现生成模型与判别模型的对抗训练，并在对抗训练的基础上优化训练目标函数，以入侵检测信标样本生成模型生成尽可能多的有效信标样本为目标进行训练，提高信标样本的生成效率。

2、实现上述目的，本发明提供的一种基于入侵检测的隐匿信标样本生成方法，包括以下步骤：

3、s1：采集入侵检测恶意样本，将入侵检测恶意样本转换为二维图像，并进行二维特征提取操作得到灰度特征图像矩阵；

4、s2：构建隐匿信标样本生成模型，所构建模型以提取得到的的灰度特征图像矩阵为输入，以自定样本变换操作为动作空间，根据策略变换动作生成信标样本；

5、s3：对生成的信标样本进行二维特征提取，得到样本的灰度特征图像矩阵，并对所生成信标样本的灰度特征图像矩阵进行局部二值化处理得到样本纹理信息；

6、s4：构建隐匿信标样本判别模型，所述模型以生成的信标样本纹理信息为输入，以信标样本判别结果为输出；

7、s5：对构建隐匿信标样本生成模型和样本判别模型进行迭代训练，利用训练得到的隐匿信标样本生成模型进行样本生成。

8、作为本发明的进一步改进方法：

9、可选地，所述s1步骤中采集入侵检测恶意样本，将入侵检测恶意样本转换为二维图像，包括：

10、采集n组入侵检测恶意样本，其中入侵检测隐匿信标样本为入侵网络的恶意程序，包括代码、运行数据流以及网络配置信息，所采集隐匿信标样本的集合为：

11、{xn＝(coden,datan,intern)|n∈[1,n]}

12、其中：

13、xn表示所采集的第n组隐匿信标样本；

14、coden表示第n组隐匿信标样本的代码；

15、datan表示第n组隐匿信标样本的运行数据流；

16、intern表示第n组隐匿信标样本的网络配置信息；

17、将所采集的n组隐匿信标样本转换为二维图像，其中第n组隐匿信标样本的转换流程为：

18、将运行数据流datan转换为二进制运行数据流，并每隔8位进行截取，共截取得到p×q个截取结果，将截取结果转换为十六进制数，将转换后的十六进制数映射到[0，255]范围，则转换后的每一个十六进制数对应一个像素值；将截取得到的p×q个十六进制数按截取先后顺序，从左到右、从上到下进行排列，得到p行q列的矩阵，并将该矩阵作为r颜色通道的图像；

19、将代码coden转换为指令形式，其中指令形式包括操作符和操作数，操作符表示指令对应的操作类型，操作数则表示指令所执行操作的数据来源；将所转换得到操作符和操作数分别转换为8位二进制数，将转换得到的二进制数映射到[0，255]，按指令的先后顺序对映射结果进行排序，构建得到p行q列的矩阵作为g颜色通道的图像，其中矩阵中的缺失部分补0处理；

20、将网络配置信息intern转换为二进制形式，并每隔8位进行截取，将截取结果转换为十六进制数，并将转换后的十六进制数映射到[0，255]范围，得到p行q列的矩阵作为b颜色通道的图像，其中矩阵中的缺失部分补0处理。

21、可选地，所述s1步骤中对二维图像进行二维特征提取操作得到灰度特征图像矩阵，包括：

22、对二维图像进行二维特征提取，其中二维图像in的二维特征提取流程为：

23、s11：初始化的二维特征矩阵其中i∈{r，g，b}，表示二维图像in在i颜色通道的图像，其中二维特征矩阵为256行256列的矩阵；

24、s12：计算得到二维特征矩阵ai中第p行第q列的元素值：

25、

26、

27、其中：

28、表示二维特征矩阵中第p行第q列的元素值；

29、表示灰度值p和灰度值q的排列形式<p,q,i>在图像中出现的次数，排列形式<p,q,i>具有水平排列形式(p，q)，斜向排列形式以及竖直排列形式

30、s13：计算得到不同颜色通道灰度特征图像矩阵的权重，则i颜色通道灰度特征图像矩阵的权重为：

31、

32、其中：

33、表示i颜色通道灰度特征图像矩阵的权重；

34、s14：基于不同颜色通道灰度特征图像矩阵的权重，对r,g,b颜色通道的图像进行融合处理，得到第n组隐匿信标样本的灰度特征图像矩阵cn：

35、

36、其中灰度特征图像矩阵为三通道形式，分别包含r,g,b颜色通道的特征图像矩阵；

37、所采集n组隐匿信标样本的灰度特征图像矩阵集合为{cn|n∈[1，n]}。

38、可选地，所述s2步骤中构建隐匿信标样本生成模型，包括：

39、构建隐匿信标样本生成模型，所构建模型以提取得到的的灰度特征图像矩阵为输入，以自定样本变换操作为动作空间，根据策略变换动作生成信标样本；

40、所述隐匿信标样本生成模型包括输入层、编码器、动作选择层、信标样本生成层，其中输入层用于接收所采集隐匿信标样本的灰度特征图像矩阵，编码器利用三通道且卷积核大小为3×3像素的4层卷积层，对入侵检测信标样本的灰度特征图像矩阵进行连续4次的下采样操作，对下采样结果进行归一化以及relu激活函数处理，并将三通道结果进行融合处理，得到灰度特征图像矩阵的状态特征，其中卷积层的步长为2，动作选择层用于基于状态特征确定动作模式，信标样本生成层利用动作模式对入侵检测样本进行动作变换处理，生成信标样本。

41、可选地，所述s2步骤中基于所采集隐匿信标样本的灰度特征图像矩阵，利用隐匿信标样本生成模型生成信标样本，包括：

42、基于所采集隐匿信标样本的灰度特征图像矩阵，利用隐匿信标样本生成模型生成信标样本，其中对于灰度特征图像矩阵cn，基于隐匿信标样本生成模型的信标样本生成流程为：

43、s21：生成隐匿信标样本生成模型的动作空间，其中动作空间中包含若干候选动作模式，动作空间action的形式为：

44、action＝{ak|k∈[1，k]}

45、其中：

46、ak表示第k种候选动作模式，每种候选动作模式为候选动作的编码表示结果，k表示动作空间中候选动作模式的种类数；

47、s22：输入层接收灰度特征图像矩阵cn，编码器对灰度特征图像矩阵cn进行编码处理，得到灰度特征图像矩阵cn的状态特征sn；

48、s23：动作选择层计算从动作空间中选取候选动作模式ak的概率

49、

50、其中：

51、exp(·)表示以自然常数为底的指数函数；

52、||·||表示l1范数，||·||2表示l2范数；

53、将概率最高的候选动作模式作为确定的动作模式a*，a*∈action；

54、s24：利用动作模式a*对第n组隐匿信标样本中的任意部分进行动作变换处理，其中每次动作变换处理的变换部分包括代码块、部分运行数据流以及部分网络配置信息，生成若干组信标样本。

55、可选地，所述s3步骤中对所生成信标样本的灰度特征图像矩阵进行局部二值化处理得到信标样本纹理信息，包括：

56、对生成的信标样本进行二维特征提取，得到信标样本的灰度特征图像矩阵，并对得到的灰度特征图像矩阵进行局部二值化处理得到信标样本纹理信息，其中灰度特征图像矩阵的局部二值化处理流程为：

57、s31：对灰度特征图像矩阵进行多通道融合处理：

58、c＝wrir+wgig+wbib

59、其中：

60、ir,ig,ib表示信标样本在r，g，b颜色通道的灰度特征图像矩阵，wr,wg,wb表示不同颜色通道灰度特征图像矩阵的权重，c表示多通道融合后图像矩阵；

61、s32：对图像矩阵c中的任意元素，将该元素与邻域元素进行比较，若邻域元素大于所选取的元素，则将邻域元素的位置标记为1，否则标记为0，按顺时针顺序提取邻域元素的位置，得到所选取元素的8位二进制数，并将8位二进制数转换为十进制数，该十进制数即为所选取元素的局部二值化信息；

62、s33：重复步骤s32，得到图像矩阵c的局部二值化矩阵，并将局部二值化矩阵作为所生成信标样本纹理信息。

63、可选地，所述s4步骤中构建信标样本判别模型，包括：

64、构建信标样本判别模型，所构建信标样本判别模型以生成的信标样本纹理信息为输入，以信标样本判别结果为输出；

65、所述信标样本判别模型包括输入层、特征计算层以及输出层，输入层用于接收信标样本纹理信息；特征计算层包括4个卷积层以及4个池化层，每个卷积层后跟池化层，每个池化层接收前一个卷积层的输出，并将池化结果作为下一个卷积层的输入，其中第一个卷积层的输入为信标样本纹理信息，卷积核的尺寸为5×5像素，池化大小为3×3像素；输出层包括两个连续的全连接层，其中第一个全连接层选取relu激活函数，最后一个全连接层选取softmax激活函数，输入信标样本判别结果{0，1}，其中″0″表示信标样本纹理信息所对应的样本为良性样本，″1″表示信标样本纹理信息所对应的样本为恶意样本。

66、可选地，所述s5步骤中对构建的隐匿信标样本生成模型和信标样本判别模型进行迭代训练，并利用训练得到的隐匿信标样本生成模型进行信标样本生成，包括：

67、采集m组用于训练的隐匿信标样本，并对于其中任意第m组隐匿信标样本，依次利用二维图像转换方法、灰度特征图像矩阵提取方法以及隐匿信标样本生成模型进行处理，生成u组信标样本并进行信标样本人工判别，并提取所生成信标样本的纹理信息，构成隐匿信标样本生成模型和信标样本判别模型的迭代训练集data：

68、

69、其中：

70、表示基于第m组隐匿信标样本生成的第u组信标样本的灰度特征图像矩阵；

71、表示基于第m组隐匿信标样本生成的第u组信标样本的人工判别结果；

72、表示基于第m组隐匿信标样本生成的第u组信标样本的纹理信息；

73、构建隐匿信标样本生成模型以及信标样本判别模型的训练目标函数：

74、

75、

76、其中：

77、0表示隐匿信标样本生成模型以及信标样本判别模型的待训练参数，θ＝[θ1,θ2]；

78、θ1表示隐匿信标样本生成模型的待训练参数；

79、θ2表示信标样本判别模型的待训练参数；

80、表示利用基于θ1的隐匿信标样本生成模型对hm进行信标样本生成，所生成的第u组信标样本，hm表示第m组隐匿信标样本的灰度特征图像矩阵，表示基于θ1的隐匿信标样本生成模型；

81、l(·)表示对灰度特征图像矩阵进行局部二值化处理；

82、表示基于θ2的信标样本判别模型；

83、基于训练目标函数的模型训练流程为：

84、s51：设置模型训练的当前迭代次数为g，g的初始值为0，θg表示第g次迭代得到的待训练参数，θ0表示随机生成的初始待训练参数；

85、s52：计算得到若||gradg||≤ε，则输出对应θg作为训练得到的最终模型参数，并利用θg构建隐匿信标样本生成模型和信标样本判别模型，否则转向步骤s53，其中ε为预设置的梯度阈值；

86、s53：计算得到迭代步长λg：

87、

88、基于迭代步长更新待训练参数：

89、θg+1＝θg+λg

90、令g＝g+1，返回步骤s52；

91、按照步骤s2，利用训练得到的隐匿信标样本生成模型进行信标样本生成。

92、为了解决上述问题，本发明提供一种电子设备，所述电子设备包括：

93、存储器，存储至少一个指令；

94、通信接口，实现电子设备通信；

95、处理器，执行所述存储器中存储的指令以实现上述所述的隐匿信标样本生成方法。

96、为了解决上述问题，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一个指令，所述至少一个指令被电子设备中的处理器执行以实现上述所述的隐匿信标样本生成方法。

97、相对于现有技术，本发明提出一种基于入侵检测的隐匿信标样本生成方法，该技术具有以下优势：

98、首先，本方案提出一种信标样本生成策略，基于所采集入侵检测恶意样本的灰度特征图像矩阵，利用隐匿信标样本生成模型生成信标样本，其中对于灰度特征图像矩阵cn，基于隐匿信标样本生成模型的信标样本生成流程为：生成隐匿信标样本生成模型的动作空间，其中动作空间中包含若干候选动作模式，动作空间action的形式为：

99、action＝{ak|k∈[1，k]}

100、其中：ak表示第k种候选动作模式，每种候选动作模式为候选动作的编码表示结果，k表示动作空间中候选动作模式的种类数；输入层接收灰度特征图像矩阵cn，编码器对灰度特征图像矩阵cn进行编码处理，得到灰度特征图像矩阵cn的状态特征sn；动作选择层计算从动作空间中选取候选动作模式ak的概率

101、

102、其中：exp(·)表示以自然常数为底的指数函数；||·||表示l1范数，||·||2表示l2范数；将概率最高的候选动作模式作为确定的动作模式a*，a*∈action；利用动作模式a*对第n组隐匿信标样本中的任意部分进行动作变换处理，其中每次动作变换处理的变换部分包括代码块、部分运行数据流以及部分网络配置信息，生成若干组信标样本。本发明通过将所获取的隐匿信标样本分割为代码、运行数据流以及网络配置信息，并分别转换为不同颜色通道的二维图像，得到三通道表示的灰度特征图像矩阵，利用隐匿信标样本生成模型提取灰度特征图像矩阵的状态特征，作为恶意样本的生成环境，所提取状态特征融合了原始隐匿信标样本的代码、运行数据流以及网络配置信息，并在生成环境的基础上选取最适配生成环境的动作模式，利用所选取动作模式对原始隐匿信标样本进行处理，进而实现基于原始隐匿信标样本状态特征的信标样本生成。

103、同时，本方案提出一种隐匿信标样本生成模型和信标样本判别模型的对抗训练策略，构建隐匿信标样本生成模型以及信标样本判别模型的训练目标函数：

104、

105、

106、其中：θ表示隐匿信标样本生成模型以及信标样本判别模型的待训练参数，θ＝[θ1,θ2]；θ1表示隐匿信标样本生成模型的待训练参数；θ2表示信标样本判别模型的待训练参数；表示利用基于θ1的隐匿信标样本生成模型对hm进行信标样本生成，所生成的第u组信标样本，hm表示第m组隐匿信标样本的灰度特征图像矩阵；l(·)表示对灰度特征图像矩阵进行局部二值化处理；表示基于θ2的信标样本判别模型；基于训练目标函数的模型训练流程为：设置模型训练的当前迭代次数为g，g的初始值为0，θg表示第g次迭代得到的待训练参数，θ0表示随机生成的初始待训练参数；

107、计算得到若||gradg||≤ε，则输出对应θg作为训练得到的最终模型参数，并利用θg构建隐匿信标样本生成模型和信标样本判别模型；计算得到迭代步长λg：

108、

109、基于迭代步长更新待训练参数：

110、θg+1＝θg+λg

111、令g＝g+1，返回上述步骤。本发明通过分别构建隐匿信标样本生成模型和信标样本判别模型，利用信标样本判别模型对所生成样本进行判别，实现生成模型与判别模型的对抗训练，并在对抗训练的基础上优化训练目标函数，以隐匿信标样本生成模型生成尽可能多的有效信标样本为目标进行训练，提高信标样本的生成效率。