高級(jí)持續(xù)性威脅（Advanced Persistent Threat,APT）帶來的危害日趨嚴(yán)重。傳統(tǒng)的APT檢測(cè)方法針對(duì)的攻擊模式比較單一,處理的APT攻擊的時(shí)間跨度相對(duì)較短,沒有完全體現(xiàn)出APT攻擊的時(shí)間序列性,因此當(dāng)攻擊數(shù)據(jù)樣本較少、攻擊持續(xù)時(shí)間較長時(shí)準(zhǔn)確率很低。為了解決這個(gè)問題,文中提出了基于生成式對(duì)抗網(wǎng)絡(luò)（Generative Adversarial Netwokrs,GAN）和長短期記憶網(wǎng)絡(luò)（Long Short-term Memory,LSTM）的APT攻擊檢測(cè)方法。一方面,基于GAN模擬生成攻擊數(shù)據(jù),為判別模型生成大量攻擊樣本,從而提升模型的準(zhǔn)確率;另一方面,基于LSTM模型的記憶單元和門結(jié)構(gòu)保證了APT攻擊序列中存在相關(guān)性且時(shí)間間距較大的序列片段之間的特征記憶。利用Keras開源框架進(jìn)行模型的構(gòu)建與訓(xùn)練,以準(zhǔn)確率、誤報(bào)率、ROC曲線等技術(shù)指標(biāo),對(duì)攻擊數(shù)據(jù)生成和APT攻擊序列檢測(cè)分別進(jìn)行對(duì)比實(shí)驗(yàn)分析。通過生成式模型生成模擬攻擊數(shù)據(jù)進(jìn)而優(yōu)化判別式模型,使得原有判別模型的準(zhǔn)確率提升了2.84%,與基于循環(huán)神經(jīng)網(wǎng)絡(luò)（Recurrent Neural Network,RNN）的... 

【文章來源】：計(jì)算機(jī)科學(xué). 2020,47(01)北大核心CSCD

【文章頁數(shù)】：6 頁

【部分圖文】：

LSTM的內(nèi)部結(jié)構(gòu)

APT攻擊檢測(cè)算法包括3個(gè)模塊,分別為APT攻擊數(shù)據(jù)生成模塊、APT攻擊數(shù)據(jù)判別模塊、APT時(shí)序處理模塊,其基本結(jié)構(gòu)如圖2所示。APT攻擊數(shù)據(jù)生成模塊利用GAN生成4種攻擊標(biāo)簽的模擬攻擊數(shù)據(jù),其輸入為原始攻擊樣本x和高斯隨機(jī)噪聲z,輸出為生成的攻擊數(shù)據(jù)。APT攻擊數(shù)據(jù)判別模塊負(fù)責(zé)對(duì)攻擊數(shù)據(jù)進(jìn)行多分類,其輸入為原始攻擊樣本x以及生成數(shù)據(jù)G(z),輸出為對(duì)應(yīng)的分類標(biāo)簽。APT時(shí)序處理模塊采用LSTM結(jié)構(gòu)對(duì)APT進(jìn)行時(shí)序處理,其輸入為向量化后的攻擊標(biāo)簽,輸出為布爾量y,y代表當(dāng)前序列在當(dāng)前位置之前的序列是否為APT攻擊序列。模型的訓(xùn)練過程如下:首先根據(jù)APT攻擊數(shù)據(jù)生成模塊,利用GAN原理構(gòu)建生成NUM個(gè)攻擊標(biāo)簽的攻擊數(shù)據(jù)生成器,具體步驟如下。

表3 生成模型的性能對(duì)比Table 3 Performance comparison of generating model (單位:%) 模型 準(zhǔn)確率 誤報(bào)率 漏報(bào)率 無生成器模型 82.12 4.78 5.22 加入ATTACK生成器 83.22 4.36 5.19 加入U(xiǎn)P生成器 83.73 4.07 5.13 加入PROBING生成器 84.24 3.85 5.07 加入FILEOP生成器 84.96 3.82 4.82APT攻擊序列檢測(cè)實(shí)驗(yàn)采用控制變量法,分別采用基本RNN網(wǎng)絡(luò)結(jié)構(gòu)/GRU網(wǎng)絡(luò)結(jié)構(gòu)、LSTM網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行對(duì)比實(shí)驗(yàn)。為了驗(yàn)證實(shí)驗(yàn)效果,將測(cè)試集中的序列按照長度范圍進(jìn)行分類,實(shí)驗(yàn)結(jié)果如表4所列�？梢钥闯�,序列長度較短時(shí),3種模型的準(zhǔn)確率基本持平,隨著長度的增加,相同序列長度范圍下LSTM模型的準(zhǔn)確率要略高于GRU,且明顯高于RNN模型。隨著序列長度范圍的增加,3種模型的準(zhǔn)確率都有所降低,但是RNN的準(zhǔn)確率的降低幅度要大于另外兩種模型。LSTM的最終準(zhǔn)確率最高,高出RNN 0.99個(gè)百分點(diǎn),誤報(bào)率最低。根據(jù)不同的閾值,分別繪制3種模型的ROC曲線,結(jié)果如圖4所示�？梢钥闯�,LSTM模型的效果略好于GRU模型,明顯優(yōu)于RNN模型;LSTM模型的ROC曲線更靠近(0,1)坐標(biāo)點(diǎn)。通過計(jì)算得出3條曲線的auc值分別為0.828,0.853,0.859,這說明LSTM模型的效果相對(duì)更好,相較于其他網(wǎng)絡(luò)結(jié)構(gòu),在序列長度范圍相同的情況下準(zhǔn)確率更高、誤報(bào)率更低,因此使用LSTM模型檢測(cè)APT攻擊序列具有較好的效果。


本文編號(hào)：3340556