一种蜜点感知增强的恶意流量检测方法
申请人信息
- 申请人:广州大学; 国网江西省电力有限公司信息通信分公司; 软极网络技术(北京)有限公司
- 申请人地址:510000 广东省广州市大学城外环西路230号
- 发明人: 广州大学; 国网江西省电力有限公司信息通信分公司; 软极网络技术(北京)有限公司
专利详细信息
| 项目 | 内容 |
|---|---|
| 专利名称 | 一种蜜点感知增强的恶意流量检测方法 |
| 专利类型 | 发明申请 |
| 申请号 | CN202410085984.1 |
| 申请日 | 2024/1/22 |
| 公告号 | CN117614742A |
| 公开日 | 2024/2/27 |
| IPC主分类号 | H04L9/40 |
| 权利人 | 广州大学; 国网江西省电力有限公司信息通信分公司; 软极网络技术(北京)有限公司 |
| 发明人 | 田志宏; 刘园; 易新凯; 黎清源; 周圆; 孙彦斌; 苏申; 鲁辉; 李默涵; 徐光侠; 仇晶; 姜誉; 谭庆丰; 徐天福; 郑志彬; 崔宇; 何群; 邱日轩 |
| 地址 | 广东省广州市番禺广州大学城外环西路230号; 江西省南昌市南昌高新技术产业开发区昌东大道7077号; 北京市朝阳区裕民路12号1号楼8层B807 |
摘要文本
本发明提供一种蜜点感知增强的恶意流量检测方法。该方法主要是检测攻击者的恶意攻击行为。首先,主要分析攻击者的恶意攻击行为,生成并部署模拟正常Web服务器接收攻击的蜜点;采集并处理全流量数据和攻击者触发蜜点后产生的数据;预训练阶段,自监督对比学习的编码器使用无标签的全流量数据训练;微调阶段,使用完成预训练的编码器处理白名单流量数据和蜜点数据,处理后的数据输入给MLP分类器进行训练和评估,以调整CNN编码器和MLP分类器的参数;将训练好的模型部署到全流量入口,以识别全流量数据中的恶意流量。实施本发明,可以使模型更全面地学习蜜点数据中的多种攻击行为,增强系统识别高隐蔽威胁行为的能力。
专利主权项内容
1.一种蜜点感知增强的恶意流量检测方法,其特征在于,包括以下步骤:S1:分析网络安全平台的攻击场景特征,获取网络攻击者的恶意攻击行为特征;S2:根据攻击特征信息生成模拟正常Web服务器接收攻击的蜜点,设置蜜点初始配置并部署,同时采集全流量数据和攻击者触发蜜点后产生的数据;S3:对采集到的数据进行预处理,将无标签的全流量数据集作为预训练数据集训练编码器;将白名单流量数据和含有恶意攻击行为的蜜点数据结合并划分作为下游分类器微调的训练集和测试集;S4:选取预训练编码器类型为卷积神经网络CNN,并将上述处理生成的无标签预训练数据集输入到编码器中进行训练,得到无监督预训练后的CNN编码器;S5:选取下游分类器模型为多层感知机MLP,微调阶段先将微调训练集输入到已经完成预训练的编码器中进行处理,再将经过编码器处理过的数据集输入给多层感知机进行微调训练,以调整CNN编码器和MLP分类器的神经网络权重,得到训练后的模型;S6:将所述测试集输入到训练好的模型中,评估模型区别正常流量和恶意流量的能力;S7:将训练好的模型部署到全流量入口,识别全流量数据集中的恶意流量,增强系统识别高隐蔽威胁行为的能力。