一种抵御攻击的网络攻击识别方法、装置及设备

本发明网络攻击，具体涉及一种抵御攻击的网络攻击识别方法、装置及设备。

背景技术：

1、网络流量在当今信息社会中扮演重要角色，随着互联网普及和数字化的推广，网络流量成为衡量网络使用量的重要指标之一，是指在一定时间内通过网络传输的数据量，通常以数据包或比特为单位传输，网络流量中包含上传文件、发电子邮件等，是信息在网络中传递的媒介。

2、随着网络攻击日益复杂和频繁发生，准确地分析和识别网络中的恶意活动变得至关重要，网络中的攻击行为通常具有一定的模式和规律，可以通过机器学习算法进行检测和识别。目前常用的攻击检测算法包括基于规则的方法、基于统计的方法和基于机器学习的方法等，其中基于机器学习的方法可以通过学习大量的已知攻击样本构建攻击模型，并对新样本进行分类和判断，进行攻击检测。对于恶意攻击可能通过网络流量的特征和模式绕过机器学习算法的识别，对于这样的网络攻击检测手段过多的依赖于人工分析，其工作量大，检测效率低下。如何抵御这种对抗性攻击，如何选择合理有效的算法将面临挑战。

技术实现思路

1、为了解决上述所存在的技术问题，提高对网络流量中存在的网络攻击进行准确、高效识别，本发明提供了一种抵御攻击的网络攻击识别方法、装置及设备，

2、所采用的技术方案如下：

3、一方面，本发明提供一种抵御攻击的网络攻击识别方法，包括：

4、接收包含有若干网络流量样本的网络流量数据集；

5、将网络流量样本中的字符特征映射为数值特征，并将映射后的数值特征与原始数值特征整合为数值样本

6、标准化数值样本得到标准化后的数值型样本xz；

7、构建抵御攻击的网络流量攻击识别模型，输入标准化后的数值型样本xz，得到网络流量样本属于网络攻击的概率p，若概率p大于所设定的阈值时，则网络流量样本被识别为网络攻击样本。

8、优选地，所述网络流量攻击识别模型的具体识别方法是：

9、构建包含有数值型样本xz的非正常网络流量样本x'；

10、利用注意力机制重校准非正常网络流量样本x'，得到加权后的流量样本xw；

11、采用软阈值方法对流量样本xw进行自适应过滤处理，得到流量样本xws；利用残差网络对流量样本xws进行特征提取，得到流量样本

12、将流量样本输入双向长短期记忆网络中进行网络训练，输出网络训练后的样本

13、通过全连接层将网络训练后的样本转化为实数值xh；

14、使用sigmoid激活函数将实数值xh映射到0-1的概率，得到网络攻击概率p；

15、根据所得网络攻击概率p，识别网络流量样本是否为网络攻击样本。

16、优选地，将网络流量样本中的字符特征映射为数值特征，具体方法是：

17、将网络流量样本表示为x＝[xc,xd],xc代表网络流量样本x中的字符特征,xd代表网络流量样本x中的数值特征；

18、将网络流量样本x中的字符特征xc映射为数值特征,假设xc中包含m种字符特征,表示为xc＝{c1,c2,...,cm}；

19、对于每种字符特征，统计其包含唯一字符类型的数量，分别记为nc1,nc2,...,ncm；

20、对于c1序列中的每个唯一字符，定义一个映射函数fc1:pc1→{1,2,...,nc1}，将其映射到一个连续整数集，其中pc1表示c1中的字符集，nc1为该字符集的基数；

21、对于nc2,...,ncm序列中的字符特征采用相同映射策略，将整体字符特征xc的映射过程表示为其中为映射后的数值特征。

22、优选地，所构建的包含有数值型样本xz的非正常网络流量样本x'，其攻击过程表达为：

23、

24、其中：是小常数,用于控制扰动的幅度；j(θ,xz,xzy)是识别模型损失函数,θ表示参数,xzy是xz的真实标签,sign是符号函数。

25、优选地，利用注意力机制重校准非正常网络流量样本x'，得到加权后的流量样本xw，其具体方法是：

26、通过全局平均池化操作全局汇总特征信息，得到池化后样本xs；

27、通过激励操作学习池化后样本xs特征通道之间的复杂依赖关系，得到每个特征通道的注意力权重；

28、采用加权操作，使用注意力权重w对非正常流量样本x'进行特征加权，得到加权后的流量样本xw。

29、另一方面，本发明还提供了一种抵御攻击的网络攻击识别装置，所述装置包括：网络流量数据集模块，用于接收若干网络流量样本；

30、字符特征映射模块，用于将网络流量样本中的字符特征映射为数值特征，并将映射后的数值特征与原始数值特征整合为数值样本

31、标准化模块，用于标准化数值样本得到标准化后的数值型样本xz；

32、网络流量攻击识别模型，输入标准化后的数值型样本xz，输出网络攻击概率p；

33、评估模块，其设有阈值，若网络攻击概率p大于所设定的阈值时，则网络流量样本被识别为网络攻击样本。

34、优选地，所述网络流量攻击识别模型中包括：

35、构造攻击描述模块，用于构建包含有数值型样本xz的非正常网络流量样本x'；

36、注意力校准模块，利用注意力机制重校准非正常网络流量样本x'，得到加权后的流量样本xw；

37、软阈值滤波模块，采用软阈值方法对流量样本xw进行自适应过滤处理，得到流量样本xws；

38、残差网络特征提取模块，利用残差网络对流量样本xws进行特征提取，得到流量样本

39、双向长短期记忆网络训练模块，将流量样本输入双向长短期记忆网络中进行网络训练，输出网络训练后的样本

40、全连接层，用于将网络训练后的样本转化为实数值xh；

41、识别模块，其使用sigmoid激活函数将实数值xh映射到0～1的概率，得到网络攻击概率p。

42、另一方面，本发明还提供了一种网络攻击识别设备，包括至少一个处理器；以及与所述至少一个处理器通信连接的存储器；所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行网络攻击识别方法。

43、本发明技术方案具有如下优点：

44、a.本发明将网络流量样本中的字符特征进行映射为数值特征，并整合映射前后的数值特征得到数值样本通过进一步对数值样本进行标准化处理，得到用于输入所构建的网络流量攻击识别模型中，得到用于识别网络攻击的概率，根据所得概率快速准确得到网络流量样本是否为网络攻击样本；本发明充分考虑了识别模型受攻击对标准化后的数值样本xz的影响，大大提高了检测效率。

45、b.经过试验验证，在正常情况下，本发明所构建的网络流量攻击识别模型在unsw和nsl-kdd网络流量数据集中，其准确率分别为0.8516和0.9904，召回率分别为0.9818和0.9898；在模型受攻击的情况下，准确率分别为0.7669和0.9564，召回率分别为0.9053和0.9661，能准确识别网络流量攻击数据。