(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210953486.5 (22)申请日 2022.08.10 (65)同一申请的已公布的文献号 申请公布号 CN 115037558 A (43)申请公布日 2022.09.09 (73)专利权人 军事科学院系统工程研究院网络 信息研究所 地址 100141 北京市丰台区大成路13号院 (72)发明人 杨林　王雯　马琳茹　 (74)专利代理 机构 中国和平利用军工技 术协会 专利中心 1 1215 专利代理师 周玄 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01)G06N 3/04(2006.01) G06N 3/08(2006.01) (56)对比文件 CN 114065933 A,2022.02.18 CN 112738016 A,2021.04.3 0 审查员 郑昊 (54)发明名称 一种对抗驱动的异常检测进化方法 (57)摘要 本发明提出一种对抗驱动的异常检测进化 方法， 属于网络攻击检测技术领域。 所述方法通 过自体特征和检测匹配器的动态演化 以及对抗 驱动演化， 实现异常检测能力的不断提高， 从而 能够有效应对网络环境中的未知威胁发现。 权利要求书1页 说明书8页 附图3页 CN 115037558 B 2022.10.21 CN 115037558 B 1.一种对抗驱动的异常检测进化方法， 其特 征在于， 所述方法包括： 步骤S1、 生成初始状态下自体的自体特 征和所述初始状态下的检测匹配 器； 其中： 所述自体为网络流 量和/或软件应用； 所述初始状态下自体的自体特 征从所述自体的合法行为数据中提取 得到； 从所述自体的广义特征空间中随机生成所述初始状态下的检测匹配器， 所述初始状态 下的检测匹配 器中包含所述自体的非法行为数据的特 征和合法行为数据的特 征； 步骤S2、 所述初始状态下自体的自体特 征基于网络环境的变化进行同步动态演化； 步骤S3、 利用经演化的自体特征对所述初始状态下的检测匹配器 中包含的特征进行筛 选， 以滤除与所述经演化的自体特 征相匹配的特 征； 步骤S4、 经筛选的检测匹配器基于不断演化的自体特征、 所述网络环境的变化以及遭 受的网络攻击进 行同步动态演化， 从而得到仅描述所述自体的非法行为数据的特征的检测 匹配器； 其中， 在步骤S1中： 收集初始时间段t内所述自体的合法行为数据， 通过对所述合法行为数据进行聚类得 到多个类别的所述初始状态下自体的自体特征， 每个类别包含多个特征项， 将所述初始状 态下自体的自体特 征放入自体特 征集合； 从所述自体的广义特征空间中随机生成所述初始状态下的若干检测匹配器， 所述初始 状态下的若干检测匹配器中包含的所述自体的非法行为数据的特征和 合法行为数据的特 征的类别与所述初始状态下自体的自体特征的类别保持一致， 将所述若干检测匹配器放入 检测匹配 器集合； 其中， 在步骤S2中， 每隔固定时间间隔， 从所述网络环境中收集所述自体的实时合法行 为数据， 并基于所述实时合法行为数据不断提取新的自体特征， 将所述新的自体特征放入 所述自体特征集合， 并淘汰所述自体特征集合中符合淘汰策略的部分自体特征， 最终得到 的所述自体特 征集合中的自体特 征作为所述经演化的自体特 征； 其中， 在步骤S3中， 将所述经演化的自体特征与所述检测匹配器集合中的各个检测匹 配器的特征进行匹配， 将经匹配的特征从所述各个检测匹配器中删除， 从而确保所述各个 检测匹配 器中仅包 含所述自体的非法行为数据的特 征。 2.根据权利要求1所述的一种对抗驱动的异常检测进化方法， 其特征在于， 在步骤S4 中， 所述各个检测匹配器的同步动态演化包括： 每隔所述固定时间间隔， 重新 获取在实时变 化的所述网络环境下的所述经演化的自体特征， 动态地对所述各个检测匹配器的特征进 行 筛选。 3.根据权利要求2所述的一种对抗驱动的异常检测进化方法， 其特征在于， 在步骤S4 中， 所述各个检测匹配器的同步动态演化包括： 对 所述各个检测匹配器中的特征， 以特征编 辑的方式通过不断演化来进行其内部的特征更新， 所述特征编辑的方式包括特征突变、 特 征交叉、 梯度算子和特 征重组中的一种或多种。 4.根据权利要求3所述的一种对抗驱动的异常检测进化方法， 其特征在于， 在步骤S4 中， 各个检测匹配器的同步动态演化包括： 生 成攻击样本， 将所述攻击样本注入到所述网络 环境中， 形成动态变化的威胁环境， 利用所述各个检测  匹配器检测所述威胁环境中的攻击 样本， 提取 出无法被检测出的攻击样本的特 征， 补入到所述各个 检测 匹配器中。权　利　要　求　书 1/1 页 2 CN 115037558 B 2一种对抗驱动的异常检测进化方 法 技术领域 [0001]本发明属于网络安全技 术领域， 尤其涉及一种对抗驱动的异常检测进化方法。 背景技术 [0002]传统网络威胁发现技术主要采用基于已知的静态检测， 在面临未知攻击时遭遇到 很大的技术瓶颈。 当前网络攻击手段普遍采用探测—调整 —攻击的对抗攻击模式快速进化 出新的攻击手段， 然而传统的网络安全防御技术缺 乏自学习和动态演化能力， 难以抵御对 抗环境下的新型 未知攻击 。 发明内容 [0003]为解决上述技术问题， 本发明提出了一种伴生式网络构建与共同演化方案， 以实 现异常检测能力的自主演化 提高。 [0004]本发明第一方面公开了一种对抗驱动的异常检测进化方法， 所述方法包括： 步骤 S1、 生成初始状态下自体的自体特征和所述初始状态下的检测匹配器； 其中： 所述自体为网 络流量和/或软件应用； 所述初始状态下自体的自体特征从所述自体的合法行为数据中提 取得到； 从所述自体的广义特征空间中随机生成所述初始状态下 的检测匹配器， 所述初始 状态下的检测匹配器中包含所述自体的非法行为数据的特征和合法行为数据的特征； 步骤 S2、 所述初始状态下自体的自体特征基于网络环境的变化进 行同步动态演化； 步骤S 3、 利用 经演化的自体特征对所述初始状态下的检测匹配器中包含的特征进行筛选， 以滤除与所述 经演化的自体特征相匹配的特征； 步骤S4、 经筛选的检测匹配器基于不断演化的自体特征、 所述网络环境的变化以及遭受的网络攻击进 行同步动态演化， 从而得到仅描述所述自体的 非法行为数据的特 征的检测匹配 器。 [0005]根据本发明第一方面的方法， 在步骤S1中： 收集初始时间段t内所述自体的合法行 为数据， 通过对所述合法行为数据进 行聚类得到多个类别的所述初始状态下自体的自体特 征， 每个类别包含多个特征项， 将所述初始状态下自体的自体特征放入自体特征集合； 从所 述自体的广义特征 空间中随机生成所述初始状态下的若干检测匹配器， 所述初始状态下的 若干检测匹配器中包含的所述自体的非法行为数据的特征和 合法行为数据的特征的类别 与所述初始状态下自体的自体特征的类别保持一致， 将所述若干检测匹配器放入检测匹配 器集合。 [0006]根据本发明第一方面的方法， 在步骤S2中， 每隔固定时间间隔， 从所述网络环境中 收集所述自体的实时合法行为数据， 并基于所述实时合法行为数据不断提取新的自体特 征， 将所述新的自体特征放入所述自体特征集合， 并淘汰所述自体特征集合中符合淘汰策 略的部分自体特征， 最终得到的所述自体特征集合中的自体特征作为所述经演化的自体特 征。 [0007]根据本发明第一方面的方法， 在步骤S3中， 将所述经演化的自体特征与所述检测 匹配器集合中的各个检测匹配器的特征进 行匹配， 将经匹配的特征从所述各个检测匹配器说　明　书 1/8 页 3 CN 115037558 B 3