高級持續(xù)性威脅（Advanced Persistent Threat,APT）帶來的危害日趨嚴重。傳統(tǒng)的APT檢測方法針對的攻擊模式比較單一,處理的APT攻擊的時間跨度相對較短,沒有完全體現(xiàn)出APT攻擊的時間序列性,因此當攻擊數(shù)據樣本較少、攻擊持續(xù)時間較長時準確率很低。為了解決這個問題,文中提出了基于生成式對抗網絡（Generative Adversarial Netwokrs,GAN）和長短期記憶網絡（Long Short-term Memory,LSTM）的APT攻擊檢測方法。一方面,基于GAN模擬生成攻擊數(shù)據,為判別模型生成大量攻擊樣本,從而提升模型的準確率;另一方面,基于LSTM模型的記憶單元和門結構保證了APT攻擊序列中存在相關性且時間間距較大的序列片段之間的特征記憶。利用Keras開源框架進行模型的構建與訓練,以準確率、誤報率、ROC曲線等技術指標,對攻擊數(shù)據生成和APT攻擊序列檢測分別進行對比實驗分析。通過生成式模型生成模擬攻擊數(shù)據進而優(yōu)化判別式模型,使得原有判別模型的準確率提升了2.84%,與基于循環(huán)神經網絡（Recurrent Neural Network,RNN）的... 

【文章來源】：計算機科學. 2020,47(01)北大核心CSCD

【文章頁數(shù)】：6 頁

【部分圖文】：

LSTM的內部結構

APT攻擊檢測算法包括3個模塊,分別為APT攻擊數(shù)據生成模塊、APT攻擊數(shù)據判別模塊、APT時序處理模塊,其基本結構如圖2所示。APT攻擊數(shù)據生成模塊利用GAN生成4種攻擊標簽的模擬攻擊數(shù)據,其輸入為原始攻擊樣本x和高斯隨機噪聲z,輸出為生成的攻擊數(shù)據。APT攻擊數(shù)據判別模塊負責對攻擊數(shù)據進行多分類,其輸入為原始攻擊樣本x以及生成數(shù)據G(z),輸出為對應的分類標簽。APT時序處理模塊采用LSTM結構對APT進行時序處理,其輸入為向量化后的攻擊標簽,輸出為布爾量y,y代表當前序列在當前位置之前的序列是否為APT攻擊序列。模型的訓練過程如下:首先根據APT攻擊數(shù)據生成模塊,利用GAN原理構建生成NUM個攻擊標簽的攻擊數(shù)據生成器,具體步驟如下。

表3 生成模型的性能對比Table 3 Performance comparison of generating model (單位:%) 模型 準確率 誤報率 漏報率 無生成器模型 82.12 4.78 5.22 加入ATTACK生成器 83.22 4.36 5.19 加入UP生成器 83.73 4.07 5.13 加入PROBING生成器 84.24 3.85 5.07 加入FILEOP生成器 84.96 3.82 4.82APT攻擊序列檢測實驗采用控制變量法,分別采用基本RNN網絡結構/GRU網絡結構、LSTM網絡結構進行對比實驗。為了驗證實驗效果,將測試集中的序列按照長度范圍進行分類,實驗結果如表4所列�？梢钥闯�,序列長度較短時,3種模型的準確率基本持平,隨著長度的增加,相同序列長度范圍下LSTM模型的準確率要略高于GRU,且明顯高于RNN模型。隨著序列長度范圍的增加,3種模型的準確率都有所降低,但是RNN的準確率的降低幅度要大于另外兩種模型。LSTM的最終準確率最高,高出RNN 0.99個百分點,誤報率最低。根據不同的閾值,分別繪制3種模型的ROC曲線,結果如圖4所示�？梢钥闯�,LSTM模型的效果略好于GRU模型,明顯優(yōu)于RNN模型;LSTM模型的ROC曲線更靠近(0,1)坐標點。通過計算得出3條曲線的auc值分別為0.828,0.853,0.859,這說明LSTM模型的效果相對更好,相較于其他網絡結構,在序列長度范圍相同的情況下準確率更高、誤報率更低,因此使用LSTM模型檢測APT攻擊序列具有較好的效果。


本文編號：3340556