【技術實現步驟摘要】
本專利技術屬于計算機網絡,進一步涉及移動目標防御技術,具體為一種基于入侵檢測的深度強化學習移動目標防御系統及方法,可用于各企業、機構的內部網絡安全系統構建。
技術介紹
1、移動目標防御是一種新型的網絡安全策略,旨在通過不斷變化系統或網絡配置來增加攻擊者的攻擊成本,從而有效地防止攻擊者利用已知的系統信息來實施攻擊。這種方法與傳統的靜態防御策略形成對比,后者往往依賴于固定的安全措施。動態更換網絡配置可以阻止攻擊者利用長時間觀察得出的規律進行攻擊。現階段的移動目標防御方法,很大程度上依賴于正確的配置和持續的管理,由于需要頻繁變更配置,可能導致網絡延遲增加和處理速度減慢,從而影響用戶體驗。而入侵檢測技術能夠通過分析網絡流量和用戶行為,識別出異常模式,從而及時發現潛在的安全威脅,特別是利用深度學習技術,如卷積神經網絡cnn和長短期記憶網絡lstm,可以有效地處理和分析大量數據,識別出復雜的攻擊模式,這些技術的引入,不僅提高了傳統ids的檢測精度,也使得入侵檢測過程更加自動化和智能化。通過將深度學習技術集成到移動目標防御策略中,可以實現更為動態和適應性強的防御機制。例如,基于實時入侵檢測結果自動調整移動目標防御配置,不僅可以迷惑攻擊者,還能夠實時阻斷攻擊路徑。此外,深度學習模型還可以根據歷史數據和當前網絡狀態預測潛在的攻擊趨勢,指導移動目標防御策略的調整,使網絡防御更加前瞻性和主動性。
2、例如在申請公布號為cn113114666a,名稱為“一種sdn網絡中針對掃描攻擊的移動目標防御方法”的專利文獻中,通過在軟件定義網絡掃描階段
技術實現思路
1、本專利技術目的在于針對上述已有技術的不足,提出了一種基于入侵檢測的深度強化學習移動目標防御系統及方法,用于解決現有技術中復雜網絡環境下頻繁ip跳變消耗資源過多且對于網絡攻擊流量無法進行針對性防御的問題。首先,通過構建實驗網絡,監控并獲取提取網絡中的實時流量;再利用cnn和lstm來分析和處理網絡流量數據,從而有效識別潛在的威脅和異常行為;在此基礎上,集成深度強化學習方法,通過從環境中獲得的反饋來不斷學習和調整ip跳變策略,最終實現系統自適應能力和整體安全性的提升。
2、本專利技術為實現上述目的,本專利技術提出一種基于入侵檢測的深度強化學習移動目標防御系統,包括入侵檢測單元、ip跳變單元和深度強化學習單元;其中入侵檢測單元和ip跳變單元的輸出連接深度強化學習單元的輸入;
3、所述入侵檢測單元,由數據預處理模塊、cnn+lstm模塊和注意力機制模塊構成;其中數據預處理模塊用于清洗網絡流量數據,提取網絡流量特征并進行標準化,之后將數據送入cnn+lstm模塊,該模塊中的cnn部分從數據中提取空間特征并輸出給lstm部分,由該部分捕捉數據中的時間依賴性;注意力機制對lstm部分處理后的數據通過加權來評估每個時間步或特征的重要性;
4、所述ip跳變單元,包括ip映射模塊和滑動窗口模塊;其中ip映射模塊利用sdn控制器為網絡中的所有服務器分配一個真實ip和一個與之對應的虛擬ip,將真實ip記作rip,虛擬ip記作vip;所述rip固定不變,vip根據網絡檢測情況進行跳變;滑動窗口模塊用于維持vip跳變時產生的通信,每個服務器均存在一個滑動窗口表,用于存儲n'次跳變內的vip,維持通信質量;
5、所述深度強化學習單元,包括狀態定義模塊、動作選擇模塊以及獎勵計算模塊;其中狀態定義模塊根據當前網絡環境和歷史攻擊數據定義強化學習的狀態空間;動作選擇模塊利用ppo算法,通過策略更新實現最優ip跳變策略;獎勵計算模塊根據動作執行后的網絡安全狀況和業務影響計算獎勵,用于指導模型學習,優化未來的動作選擇。
6、進一步,上述網絡流量特征,至少包括數據包大小、頻率和ip地址。
7、進一步,上述cnn部分從數據中提取空間特征,具體是通過cnn網絡中的多個卷積層和池化層捕捉空間細節,獲取空間特征。
8、進一步,上述強化學習的狀態空間,包括由入侵檢測單元輸出的入侵檢測結果、網絡流量特征以及ip跳變單元的ip資源;所述動作包括選擇一個新的ip地址、保持當前ip地址不變。
9、同時,本專利技術還提出一種基于入侵檢測的深度強化學習移動目標防御方法,包括如下步驟:
10、(1)由一臺sdn控制器、多臺服務器以及不多于服務器數量的交換機構建sdn網絡拓撲,其中控制器使用openflow協議與交換機進行通信;
11、(2)使用sdn控制器實時監控并捕獲網絡流量,從數據包中提取關鍵特征,并移除重復或不完整的數據包;
12、(3)構建基于cnn+lstm的入侵檢測模型:
13、(3a)利用三個卷積層和一個最大池化層構建cnn模型,設定卷積核大小為3×3,步長為1;最大池化層大小為3×3,步長為2;
14、(3b)搭建lstm模型,連接于cnn模型的輸出端;設置lstm的層數為2,并對每個lstm層配置128個隱藏節點數量;
15、(3c)在lstm模型之后引入一個注意力機制,得到基于cnn+lstm的入侵檢測模型;所述注意力機制包括計算得分函數,用于衡量每個lstm輸出的隱藏狀態的重要性,并通過softmax函數轉換得分為權重,利用該權重對所有隱藏狀態進行加權求和,得到一個綜合的上下文向量;
16、(3d)調整并優化學習率、批大小和迭代次數,訓練得到優化后的入侵檢測模型;
17、(4)ip資源初始化:
18、(4a)初始化可用虛擬ip池{ip1,ip2,…,ip3},記作ips;
19、(4b)sdn控制器維護記錄網絡中每臺服務器rip和相應vip的映射表,當網絡中的服務器之間相互通信時,sdn控制器根據映射表對出站和入站數據包的ip地址進行rip與vip之間的轉換;
20、(4c)對每臺服務器建立一個滑動窗口,記錄該服務器最近m次的ip地址使用歷史,如果窗口達到m次記錄,則移除最舊的記錄,并添加新的ip地址;
21、(4d)設定用于記錄當前所有服務器正在使用的ip地址的動態集合為u,當需要為服務器選擇新地址時,從ips中選出一個既不在u也不在任何服務器滑動窗口中的ip地址作為新的ip地址;
22、(5)構建基于深度強化學習的ip跳變模型:
23、(5a)使用sdn控制器監測網絡流量,統計網絡總流量、攻擊事件數、異常流量占比、每臺服務器的流量、每臺服務器受到攻擊的次數、服務器當前使用的vip地址,結合cnn+lstm本文檔來自技高網...
【技術保護點】
1.一種基于入侵檢測的深度強化學習移動目標防御系統,其特征在于,包括:入侵檢測單元、IP跳變單元和深度強化學習單元;其中入侵檢測單元和IP跳變單元的輸出連接深度強化學習單元的輸入;
2.一種根據權利要求1所述的系統,其特征在于:所述網絡流量特征,至少包括數據包大小、頻率和IP地址。
3.一種根據權利要求1所述的系統,其特征在于:所述CNN部分從數據中提取空間特征,具體是通過CNN網絡中的多個卷積層和池化層捕捉空間細節,獲取空間特征。
4.一種根據權利要求1所述的系統,其特征在于:所述強化學習的狀態空間,包括由入侵檢測單元輸出的入侵檢測結果、網絡流量特征以及IP跳變單元的IP資源;所述動作包括選擇一個新的IP地址、保持當前IP地址不變。
5.一種基于入侵檢測的深度強化學習移動目標防御方法,其特征在于,包括以下步驟:
6.根據權利要求5所述的方法,其特征在于:步驟(2)中所述關鍵特征,包括源服務器地址IPsrc、目標服務器地址IPdst、端口號Pport、協議類型Tproto、數據包長度Llen和時間戳Tstamp。
...【技術特征摘要】
1.一種基于入侵檢測的深度強化學習移動目標防御系統,其特征在于,包括:入侵檢測單元、ip跳變單元和深度強化學習單元;其中入侵檢測單元和ip跳變單元的輸出連接深度強化學習單元的輸入;
2.一種根據權利要求1所述的系統,其特征在于:所述網絡流量特征,至少包括數據包大小、頻率和ip地址。
3.一種根據權利要求1所述的系統,其特征在于:所述cnn部分從數據中提取空間特征,具體是通過cnn網絡中的多個卷積層和池化層捕捉空間細節,獲取空間特征。
4.一種根據權利要求1所述的系統,其特征在于:所述強化學習的狀態空間,包括由入侵檢測單元輸出的入侵檢測結果、網絡流量特征以及ip跳變單元的ip資源;所述動作包括選擇一個新的ip地址、保持當前ip地址不變。
5.一種基于入侵檢測的深度強化學習移動目標防御方法,其特征在于,包括以下步驟:
...
【專利技術屬性】
技術研發人員:李騰,苗涵,謝亞軒,王晨希,黨澤旭,童小敏,李德彪,馬卓,
申請(專利權)人:西安電子科技大學,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。