一种采用多模态数据融合的攻击识别方法

本发明涉及计算机网络安全领域，尤其涉及一种采用多模态数据融合的攻击识别方法。

背景技术：

1、随着互联网的快速发展，网络攻击日益增多，其中泛洪攻击是一种常见且具有挑战性的攻击方式。泛洪攻击通过发送大量伪造的数据包来占用网络带宽和系统资源，导致网络服务不可用。现有的泛洪攻击检测和识别方法主要基于单一数据源，如网络流量的时间属性或空间属性，这导致了特征提取的不全面和信息的丢失，存在检测准确率低、误报率高等问题。

2、同时，一些常用的神经网络分析手段已经被应用在网络流量攻击场景中，例如卷积神经网络cnn通过卷积层和池化层来提取网络流量特征，然后通过全连接层进行分类等；也有类似采用rnn或lstm等框架来实现对时间序列场景下的网络攻击行为的识别。以上手段通常在特征提取方面存在局限性。例如，卷积神经网络主要关注局部特征，可能无法捕捉到全局的关联信息；而rnn或lstm等方法则可能无法处理长期依赖关系。同时由于网络攻击的多样性和变化性，训练数据的不足可能导致模型的泛化能力不足，无法准确识别新型的攻击。因此，需要一种采用多模态数据融合的攻击识别方法，能够克服以上缺陷，提高攻击识别的准确性和鲁棒性。

技术实现思路

1、本发明的目的在于提供一种采用多模态数据融合的攻击识别方法，用于对网络流量中的时间属性、空间属性以及网络流量本征属性进行融合的泛洪攻击检测和识别，从而实现更准确的攻击识别。

2、为了解决上述技术问题，本发明提供如下技术方案：

3、一种采用多模态数据融合的攻击识别方法，其特征在于，该方法包括以下步骤：

4、s1. 实时获取网络流量数据，分析所述网络流量数据的属性信息，包括时间属性、空间属性以及所述网络流量本征属性，构建多模态网络流量特征数据集；

5、s2. 对所述时间属性进行分析，提取时间序列特征；对所述空间属性进行分析，提取空间分布特征；对所述网络流量本征属性进行分析，提取本征特征；

6、s3. 将所述时间序列特征、所述空间分布特征、所述本征特征进行拼接融合；

7、s4. 使用自编码器进行泛洪攻击检测和识别。

8、可选地，在所述s1中，

9、所述时间属性包括数据包到达时间、发送时间、持续时间、间隔时间、到达顺序、发送频率、时间分布模式、时间相关性、时间窗口统计特征；

10、所述空间属性包括数据包的源ip地址、目的ip地址、源端口号、目的端口号；

11、所述网络流量本征属性包括数据包长度、传输协议、tcp标志位、ip协议版本。

12、可选地，在所述s2中，

13、对所述时间属性进行分析具体包括：

14、将所述网络流量数据按时间顺序进行排序；使用滑动窗口提取时间窗口内的数据；对所述时间窗口内的数据进行平均值、方差的数值统计分析；

15、对所述空间属性进行分析具体包括：

16、将所述网络流量数据按源ip地址、目的ip地址、源端口号、目的端口号进行分组；对每个ip地址组或端口号进行聚类分析，包括计算流量大小、连接数；

17、对所述网络流量本征属性进行分析具体包括：

18、对所述数据包长度的分析包括通过计算平均长度、最大长度、最小长度的统计指标来统计所述数据包的长度分布情况；根据所述数据包的传输协议包括tcp、udp、icmp，统计不同协议的流量比例，分析协议的使用情况实现对所述传输协议的分析；对于tcp协议的数据包，分析tcp标志位的使用情况，包括syn、ack、fin，检测tcp连接的建立、终止行为实现对所述tcp标志位的分析；所述ip协议版本分析为统计不同ip协议版本包括ipv4、ipv6的流量比例，分析ip协议版本的使用情况。

19、可选地，在所述s3中，使用特征融合算法将所述时间序列特征、所述空间分布特征、所述本征特征进行拼接融合，具体包括：

20、对所述时间序列特征进行标准化处理，使其具有相同的尺度和范围；对所述空间分布特征进行独热编码，将其转换为二进制特征；对所述本征特征进行归一化处理；

21、将处理后的时间序列特征、空间分布特征和本征特征进行拼接，形成一个多维特征向量；

22、使用主成分分析算法对所述多维特征向量进行降维。

23、可选地，在所述s4中，

24、使用tensorflow框架构建所述自编码器；

25、将所述多维特征向量作为输入数据，将泛洪攻击和正常流量的标签作为输出数据；使用多个全连接层将所述输入数据进行压缩和编码，提取高维特征表示；使用多个全连接层将编码后的特征进行解码，重构原始输入数据；将解码器的输出与原始输入进行比较，计算重构误差；所述重构误差被定义为：；

26、其中，是所述自编码器网络的参数，n表示输入样本的数量，表示原始的输入数据，表示解码器的输出数据；

27、如果重构误差超过动态阈值，则判断为泛洪攻击；所述动态阈值tv被定义为：

28、；

29、其中，为所述重构误差的均值，为超参数，为所述重构误差的标准差值。

30、可选地，所述方法还包括步骤s5：根据所述识别的结果进行相应的防御和响应措施，所述s5具体包括：

31、封锁或限制来自被识别为攻击源的ip地址或端口号的流量，以阻断攻击的进行；加强网络安全策略，包括增加防火墙规则、加强访问控制、限制标记的协议或端口的使用中的至少一种策略，以提高网络的安全性；实时生成告警信息，通知管理人员或系统进行处理和响应，并记录相关的日志信息，用于后续的分析和调查；加强身份验证和访问控制机制，包括使用多因素身份验证、加强密码策略、限制敏感数据的访问权限中的至少一种控制机制，以防止未经授权的访问和攻击；及时更新和修补系统和应用程序中的漏洞，以减少攻击者利用漏洞进行攻击的可能性。

32、可选地，所述方法还包括特征选择和特征加权；

33、使用相关系数、信息增益、卡方检验中至少一种特征选择方法来评估每个特征与攻击类型之间的相关性，根据评估结果，选择与攻击类型相关的特征进行保留，舍弃与攻击类型关联性低的特征；

34、使用信息熵、互信息、基于梯度中的至少一种特征加权方法来计算每个特征的重要性，为每个特征赋予一个权重，权重越高表示该特征对攻击类型的区分能力越强。

35、本发明还提供一种采用多模态数据融合的攻击识别系统，其特征在于，所述系统包括：

36、网络数据获取模块，用于实时获取网络流量数据并分析所述网络流量数据的属性信息，包括时间属性、空间属性以及所述网络流量本征属性，构建多模态网络流量特征数据集；

37、网络数据特征提取模块，用于对所述时间属性进行分析，提取时间序列特征；对所述空间属性进行分析，提取空间分布特征；对所述网络流量本征属性进行分析，提取本征特征；

38、多模态数据特征融合模块，用于将所述时间序列特征、所述空间分布特征、所述本征特征进行拼接融合；

39、攻击识别模块，用于对所述网络数据进行泛洪攻击检测和识别；

40、网络防御和报警模块，用于对识别的结果进行相应的防御和及时报警。

41、本发明还提供一种计算机设备，其特征在于，包括：至少一个处理器；和存储器，所述存储器存储有处理器可运行的程序代码，所述程序代码在被处理器运行时实施所述的方法。

42、本发明还提供一种计算机可读存储介质，其特征在于，包括可被处理器执行的程序代码，所述程序代码在被处理器执行时实施所述的方法。

43、本发明具有以下有益的技术效果：本发明提供一种采用多模态数据融合的攻击识别方法。其采用多模态数据融合的方法，综合利用网络流量数据的时间属性、空间属性和网络流量本征属性，提取多维特征，从而更全面地描述网络流量的特征；过对多模态特征的分析和融合，可以提取更具有区分性的特征，从而提高攻击识别的准确性；同时，使用自编码器进行泛洪攻击的检测和识别，能够有效地区分正常流量和泛洪攻击流量。本发明还引入动态阈值策略，根据网络流量的实时变化调整阈值，以提高识别的精度。本发明的方法可扩展性强，可以适应不同规模和复杂度的网络环境。