摘要針對這一問題，本項(xiàng)目基于機(jī)器學(xué)習(xí)和深度學(xué)習(xí)等理論，提出一種針對復(fù)雜網(wǎng)絡(luò)環(huán)境下的復(fù)雜網(wǎng)絡(luò)異常行為識別方法。但是，這種方法也帶來了一些問題，即在學(xué)習(xí)樣本不足的情況下，對目標(biāo)的識別性能造成了很大影響。針對以上問題，本項(xiàng)目擬通過構(gòu)建更加符合實(shí)際情況的信息攻擊模擬平臺，研究利用生成式對抗網(wǎng)絡(luò)的業(yè)務(wù)流生成算法，輔助智能探測模型的訓(xùn)練樣本。信息攻擊模擬系統(tǒng)，利用攻擊地圖指引滲入的攻擊路徑，通過利用多臺計(jì)算機(jī)的分布來產(chǎn)生真正的攻擊數(shù)據(jù)，從而對目標(biāo)網(wǎng)絡(luò)實(shí)施滲入式的攻擊，給IDS平臺提供一個異常的攻擊行為的信息。關(guān)鍵詞：滲透測試；生成對抗網(wǎng)絡(luò)；流量分類；Kafka目錄TOC\o"1-3"\h\u1560前言 在對一個未知主機(jī)進(jìn)行有效的攻擊之前，必須獲得充分的目標(biāo)數(shù)據(jù)，所以必須提供一種多樣化的數(shù)據(jù)采集方法，包括主機(jī)發(fā)現(xiàn)，端口掃描，服務(wù)掃描，系統(tǒng)檢測等，這樣就可以準(zhǔn)確地識別出目標(biāo)主機(jī)的特征，并可以根據(jù)自身的弱點(diǎn)進(jìn)行入侵檢測。3)強(qiáng)大的滲透攻擊功能針對當(dāng)前網(wǎng)絡(luò)安全問題，本項(xiàng)目提出了一套針對網(wǎng)絡(luò)安全漏洞的新方法，提出了一套完整的網(wǎng)絡(luò)安全防護(hù)策略，通過對網(wǎng)絡(luò)安全機(jī)制的分析，對網(wǎng)絡(luò)安全進(jìn)行全面的安全防護(hù)，從而對網(wǎng)絡(luò)安全進(jìn)行全面的安全防護(hù)。4)多節(jié)點(diǎn)分布式調(diào)度方案為了仿真實(shí)際的網(wǎng)絡(luò)攻擊，必須進(jìn)行多主機(jī)多點(diǎn)協(xié)同攻擊，利用中央調(diào)度系統(tǒng)來進(jìn)行攻擊任務(wù)的調(diào)度，并根據(jù)每個節(jié)點(diǎn)目前的負(fù)荷狀況，對一個或者多個計(jì)算機(jī)進(jìn)行適當(dāng)?shù)嘏渲?，從而達(dá)到對多臺計(jì)算機(jī)進(jìn)行集成的目標(biāo)，能夠有效地克服單個計(jì)算機(jī)的性能缺陷，并且具有一定的可擴(kuò)充性，如果有必要的話，可以通過添加更多的攻擊服務(wù)器來執(zhí)行更多的入侵任務(wù)。5)快速生成仿真流量技術(shù)針對傳統(tǒng)攻擊流生成方法存在的不足，以及生成的攻擊流不夠平穩(wěn)等問題，本項(xiàng)目擬將生成式對抗網(wǎng)絡(luò)方法應(yīng)用到異常業(yè)務(wù)模擬中，利用生成式對抗網(wǎng)絡(luò)（GeneralativeInternetworks）和判別器（Sector）的對抗訓(xùn)練方法，實(shí)現(xiàn)業(yè)務(wù)類別中模擬業(yè)務(wù)的快速生成，并以此為基礎(chǔ)建立業(yè)務(wù)類別識別系統(tǒng)，實(shí)現(xiàn)業(yè)務(wù)類別的自動識別。6)攻擊圖模擬功能在此基礎(chǔ)上，結(jié)合現(xiàn)有的脆弱性檢測技術(shù)，建立一條面向特定節(jié)點(diǎn)的入侵通路，為使用者進(jìn)行入侵檢測奠定基礎(chǔ)。7)合理的數(shù)據(jù)存儲系統(tǒng)為了保證該裝置的平穩(wěn)運(yùn)轉(zhuǎn)，保證操作的可追溯性，保證操作過程中的可重復(fù)性，必須采用一套完整的數(shù)據(jù)儲存系統(tǒng)。所要記載的資料，應(yīng)該是關(guān)于進(jìn)攻的參數(shù)和種類，當(dāng)你想要再來一次的時候，就可以參照上一次的進(jìn)攻的詳細(xì)參數(shù)。而在這個時候，你也要將這一次的進(jìn)攻所得到的反饋資料，也要通過一個數(shù)據(jù)儲存系統(tǒng)來進(jìn)行保存，這樣在使用者演示的時候，就能夠?qū)⒎答伒男畔⒔o顯示出來。對使用者的動作進(jìn)行適當(dāng)?shù)谋４妫构芾碚吣軌驅(qū)γ恳晃皇褂谜哌M(jìn)行對應(yīng)的動作進(jìn)行核對，并查看是否有任何異常情況發(fā)生。1.2系統(tǒng)總體設(shè)計(jì)1.2.1總體結(jié)構(gòu)在以上的需求分析基礎(chǔ)上，對該部分按照各個功能模塊進(jìn)行了較為詳盡的闡述，并給出了具體的實(shí)現(xiàn)方法。圖2-1總體結(jié)構(gòu)圖計(jì)算機(jī)攻擊模擬體系可劃分為用戶端，服務(wù)端，攻擊端。通過在客戶端應(yīng)用中，可以對不同的用戶進(jìn)行劃分，并對其進(jìn)行授權(quán)管理；其中，Serving作為整體的中央節(jié)點(diǎn)，可以利用FACGAN對其進(jìn)行模擬，利用目前采集到的信息來構(gòu)造攻擊圖形，利用負(fù)荷調(diào)度方法對目標(biāo)進(jìn)行分配，對攻擊者中的多個攻擊者進(jìn)行協(xié)同，利用Mysql來實(shí)現(xiàn)對數(shù)據(jù)的存儲。攻擊者作為整體的終端執(zhí)行節(jié)點(diǎn)，從服務(wù)器端接受進(jìn)攻指令，整合各種入侵手段實(shí)現(xiàn)對目標(biāo)的入侵與搜索，并將所生成的攻擊信息保存起來。1.2.2用戶端在用戶方面，它的目的就是要達(dá)到一個明確、簡單的用戶交互接口的要求，讓一般的使用者可以通過一個簡單而明確的網(wǎng)絡(luò)攻擊模擬系統(tǒng)來進(jìn)行滲透測試，只要讓使用者將目標(biāo)主機(jī)的相關(guān)參數(shù)輸入到自己的電腦中，然后挑選出一種攻擊方法，由后臺進(jìn)行高效率的操作來執(zhí)行用戶的指令，并且可以迅速地將結(jié)果反饋給你。系統(tǒng)采用了系統(tǒng)的管理機(jī)制，實(shí)現(xiàn)了對系統(tǒng)的實(shí)時監(jiān)控，并采用了系統(tǒng)的管理模式，實(shí)現(xiàn)了對系統(tǒng)的實(shí)時監(jiān)控。該系統(tǒng)以登錄接口為起點(diǎn)，利用登錄函數(shù)來篩選用戶的身份，并對不同的使用者進(jìn)行區(qū)別對待，以防止不法人員入侵。一般的使用者只需在電腦上進(jìn)行登錄，就可以直接登錄到電腦的首頁，然后就可以使用電腦的多個功能模組來進(jìn)行電腦入侵。在此過程中，管理者可以通過管理界面對用戶進(jìn)行檢查和管理，并且可以對其進(jìn)行監(jiān)控，從而為管理人員進(jìn)行系統(tǒng)管理奠定了堅(jiān)實(shí)的工作基礎(chǔ)。圖2-2用戶端結(jié)構(gòu)設(shè)計(jì)圖1.2.3服務(wù)端而作為整個系統(tǒng)的“腦”，它主要是對系統(tǒng)進(jìn)行協(xié)同調(diào)度，保證了該系統(tǒng)的核心處理過程能夠得到滿足，而在這一方面，它可以實(shí)現(xiàn)如下要求：多個節(jié)點(diǎn)的分布式調(diào)度策略，它可以接受使用者的指令，并利用負(fù)荷調(diào)度機(jī)制對攻擊者進(jìn)行指派，從而指導(dǎo)攻擊行動。采用模擬交通流的方法，利用自動生成的方法，迅速地生成海量的模擬交通流，并對交通流的劃分進(jìn)行了優(yōu)化，提高了交通流的識別精度；進(jìn)攻地圖仿真函數(shù)，通過與目標(biāo)宿主的相關(guān)信息建立進(jìn)攻地圖，從而產(chǎn)生最佳的進(jìn)攻路線；建立了一個科學(xué)的數(shù)據(jù)庫管理體系，并在Mysql數(shù)據(jù)庫中充分利用了數(shù)據(jù)庫中的數(shù)據(jù)庫，實(shí)現(xiàn)了對數(shù)據(jù)庫的整體管理。圖2-3服務(wù)端結(jié)構(gòu)設(shè)計(jì)圖1.2.4攻擊端在進(jìn)攻端，在進(jìn)攻端使用了Kafka的信息消耗策略，多個結(jié)點(diǎn)分散地工作，每個結(jié)點(diǎn)都是彼此獨(dú)立的，他們接受和分析了從服務(wù)器端傳來的任務(wù)，然后通過協(xié)同工作實(shí)現(xiàn)對攻擊的有效執(zhí)行，并向服務(wù)器提供對攻擊的效果。在進(jìn)攻側(cè)的設(shè)計(jì)上，主要是為了實(shí)現(xiàn)信息采集的一體化，以及對滲透式的攻擊能力的要求。在圖2-4中顯示了進(jìn)攻端的架構(gòu)。圖2-4攻擊端結(jié)構(gòu)設(shè)計(jì)圖在進(jìn)攻端，有許多的攻擊結(jié)點(diǎn)，這些結(jié)點(diǎn)都是獨(dú)立的，彼此之間沒有任何的聯(lián)系。2網(wǎng)絡(luò)攻擊仿真系統(tǒng)詳細(xì)設(shè)計(jì)2.1用戶端用戶端為用戶提供了一個能夠與用戶進(jìn)行互動的可視化界面，按照特定的界面函數(shù)，用戶界面被劃分成三個主要的模塊：登錄界面、正常用戶界面和管理員界面。登錄接口為每個使用者都設(shè)置了登錄的函數(shù)，方便了管理員對使用者的管理。一般用戶接口向一般用戶提供了一種滲透檢測的服務(wù)，它可以根據(jù)用戶所提供的數(shù)據(jù)，向用戶提供掃描，攻擊，攻擊模擬，攻擊圖表，以及顯示用戶的行為記錄。管理員接口實(shí)現(xiàn)了對用戶資料的管理和查詢，方便了管理員對整個系統(tǒng)的操作進(jìn)行監(jiān)控。圖3-1用戶端詳細(xì)設(shè)計(jì)圖2.1.1登錄界面登錄接口為每個人都設(shè)置了一個標(biāo)識，可以讓每個人都有一個自己的標(biāo)識，可以根據(jù)自己的情況來進(jìn)行標(biāo)識，攔截不法的使用者，阻止他們的入侵，在登錄的時候，使用者必須鍵入一個使用者的名字和口令，然后這個系統(tǒng)就會和資料庫里已經(jīng)儲存的使用者名稱和口令對進(jìn)行比較，讓一個正常的使用者可以登錄這個系統(tǒng)。一般的使用者，首先要進(jìn)行登記，由管理者監(jiān)督檢查，避免有任何的惡意登錄，如果通過了，就會將目前的使用者資料保存在資料庫中，并且設(shè)定使用者的權(quán)利為一般使用者，這樣使用者就可以正常地登錄，這樣就可以完成登記工作了。通過注冊，可以登錄到正常的用戶界面。與一般的使用者登記登錄過程不一樣，管理者的使用者名稱和密碼會提前儲存在資料庫的使用者資料表格中，并且設(shè)定使用者的權(quán)利為「管理者」，當(dāng)使用者在登入時偵測到登錄者是管理員，就會跳轉(zhuǎn)至管理者的界面。利用兩種不同的登錄方式，可以有效地過濾掉非法使用者，同時也為管理員的使用者管理功能奠定了良好的基礎(chǔ)。2.1.2普通用戶界面當(dāng)一個正常的使用者登錄之后，就會出現(xiàn)在網(wǎng)絡(luò)攻擊模擬系統(tǒng)的主界面上，根據(jù)各功能模組的不同，將其分為四個子界面，即：攻擊/攻擊、攻擊圖形、攻擊模擬、操作日志四個子界面。2.1.3管理員界面當(dāng)管理員成功登錄之后，將不會出現(xiàn)在系統(tǒng)的主屏幕上，它將會出現(xiàn)在一個信息管理的管理員界面上，這個界面沒有任何的滲透測試的作用，只是能夠進(jìn)行使用者的信息管理和系統(tǒng)的信息瀏覽，從而讓使用者的操作變得更加標(biāo)準(zhǔn)化，并且能夠保持該系統(tǒng)的正常運(yùn)行。2.2服務(wù)端其中，Serving端是網(wǎng)絡(luò)攻擊的中心，它主要完成攻擊節(jié)點(diǎn)與網(wǎng)絡(luò)之間的信息傳遞，同時還擔(dān)負(fù)著仿真流量生成、模型訓(xùn)練優(yōu)化、攻擊圖和攻擊路線生成等任務(wù)，同時還通過配置數(shù)據(jù)庫實(shí)現(xiàn)了數(shù)據(jù)的存儲，具體方案見圖3-2。該系統(tǒng)的功能包括兩個方面，一個是通過指令分析功能來分析客戶端的指令，并從中抽取指令的種類和參數(shù)。將攻擊端的指令種類劃分為攻擊端的信息采集、攻擊端的滲透攻擊和服務(wù)端的攻擊。在此基礎(chǔ)上，提出了一種基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)安全策略。另外一種方法是通過對數(shù)據(jù)庫的配置來實(shí)現(xiàn)對各個終端的數(shù)據(jù)存貯要求，對各個終端進(jìn)行相應(yīng)的數(shù)據(jù)處理，從而實(shí)現(xiàn)對各個終端的數(shù)據(jù)進(jìn)行添加、刪除、修改等操作。圖3-2服務(wù)端詳細(xì)設(shè)計(jì)圖命令類型的具體設(shè)計(jì)如表3-1所示。表3-1命令類型表命令類型描述p1-p33種服務(wù)端任務(wù)s1-s44種攻擊端信息收集任務(wù)a1-a77種攻擊端滲透攻擊任務(wù)2.2.1服務(wù)端任務(wù)該系統(tǒng)主要包括攻擊模擬、模型訓(xùn)練和攻擊圖形生成三個模塊。攻擊仿真模塊為了彌補(bǔ)FACGAN的不足，需要對FACGAN進(jìn)行1000個循環(huán)的預(yù)訓(xùn)練，使得該方法可以獲得更好的模擬結(jié)果。由指令分析模塊獲得指令參數(shù)，它可以獲得由使用者所選取的模擬類型，產(chǎn)生的各種數(shù)據(jù)的數(shù)量，以及新數(shù)據(jù)集的名稱。仿真類型可以分成兩種，一種是常規(guī)仿真，根據(jù)所規(guī)定的各種數(shù)據(jù)產(chǎn)生數(shù)據(jù)；均衡模擬，為了使所選的訓(xùn)練集合更加均衡，可以根據(jù)目前的資料集合中的各種參數(shù)，來自動得到所要產(chǎn)生的各種資料。將模擬結(jié)果與原有的模擬樣本相結(jié)合，形成一個新的樣本集合，并以新的樣本集合為名字，實(shí)現(xiàn)了模擬攻擊的模擬函數(shù)。本研究以UNSW-NB15（UNSW-NB15）作為研究對象，共有49條特征，其中有效特征47條，涵蓋了數(shù)據(jù)流動傳播的所有要素，但并非所有的要素都能對采樣結(jié)果產(chǎn)生顯著影響，其中更重要的局部特性被列在了表3-2中，它們影響著傳輸層的協(xié)議種類、協(xié)議的種類、時長、傳輸容量等，在入侵的辨識中發(fā)揮著重要的作用。表3-2數(shù)據(jù)集特征表特征描述proto傳輸層協(xié)議dur持續(xù)時間service應(yīng)用層服務(wù)sbytes源到目標(biāo)的字節(jié)數(shù)dbytes目標(biāo)碼資源的字節(jié)數(shù)sttl源到目的存活時間dttl目的溯源存活時間swin源TCP窗口dwin目標(biāo)TCP窗口stime開始時間ltime結(jié)束時間syncksyn到syn_ack的時間間隔ackdatsyn_ack到ack的時間間隔其中，基于多類別標(biāo)記和多類別標(biāo)記，分別用于識別目前存在的不同類別和不同類別標(biāo)記，用于引導(dǎo)類別學(xué)習(xí)；而攻擊模擬則側(cè)重于多類別標(biāo)記的產(chǎn)生，僅面向多類別標(biāo)記。多分類標(biāo)記包括常規(guī)攻擊和9種攻擊方式，其中包括后門攻擊，爆炸攻擊，拒絕服務(wù)攻擊，滲透攻擊，嗅探攻擊等攻擊方式，將原有的樣本集合分成了兩個部分，其中包括了175341個樣本，其中的一個樣本集合為82332個樣本。因?yàn)橐恍┨匦允且粋€字符，所以要對它進(jìn)行一個類別的變換，比如proto特性的數(shù)據(jù)的內(nèi)容是udp、tcp,定義某特征(C11∈Str1Str2Str圖3-3攻擊仿真模型訓(xùn)練圖樣板培訓(xùn)模組在訓(xùn)練過程中，利用卷積神經(jīng)網(wǎng)絡(luò)對訓(xùn)練樣本進(jìn)行訓(xùn)練，借由指令分析模組中的指令參數(shù)，得到資料集合名稱、訓(xùn)練批次及訓(xùn)練類別等資訊。將訓(xùn)練樣本分成兩類：常規(guī)學(xué)習(xí)階段，將待測樣本集合作為樣本，利用卷積網(wǎng)絡(luò)對樣本進(jìn)行學(xué)習(xí)；在對抗式學(xué)習(xí)中，使用FACGAN產(chǎn)生的對抗樣本作為訓(xùn)練集合，用FACGAN產(chǎn)生的對抗樣本添加到訓(xùn)練集中。最后得到在不同階段的識別率曲線圖，得到在試驗(yàn)集中的正確率、精確率、召回率和F1分?jǐn)?shù)。進(jìn)攻圖形生成模組研究內(nèi)容包括：1）利用入侵檢測技術(shù)，建立入侵地圖；2）利用入侵地圖，獲取入侵地圖；3）基于入侵地圖，利用優(yōu)化尋路方法獲取入侵地圖，獲得最優(yōu)入侵路線，并將入侵地圖和最優(yōu)路線同步返回。2.2.2攻擊端任務(wù)進(jìn)攻側(cè)任務(wù)包括了進(jìn)攻方的信息采集任務(wù)和進(jìn)攻方的侵入式進(jìn)攻任務(wù)，當(dāng)這種類型的任務(wù)被接到之后，它要被分配到攻擊者的位置上去。而在服務(wù)方面，它的首要任務(wù)就是調(diào)度攻擊方的節(jié)點(diǎn)，而不是直接去執(zhí)行任務(wù)，而是通過負(fù)載調(diào)度和任務(wù)分配兩個環(huán)節(jié)來實(shí)現(xiàn)對任務(wù)的調(diào)度和分配。首先，利用指令分析模型得到攻擊目標(biāo)的特定參量，并根據(jù)目標(biāo)的緊迫程度、執(zhí)行時間和攻擊強(qiáng)度等因素對目標(biāo)的影響來確定目標(biāo)的目標(biāo)。在此基礎(chǔ)上，本項(xiàng)目提出了一種新的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通過對網(wǎng)絡(luò)中各種不同的攻擊節(jié)點(diǎn)進(jìn)行動態(tài)調(diào)整，從而實(shí)現(xiàn)對網(wǎng)絡(luò)中各種攻擊節(jié)點(diǎn)的有效控制。在此基礎(chǔ)上，將負(fù)荷調(diào)度算法作為業(yè)務(wù)處理的中心，實(shí)現(xiàn)對網(wǎng)絡(luò)中的攻擊檢測任務(wù)的分派。綜合各節(jié)點(diǎn)的性能，任務(wù)的執(zhí)行能力，當(dāng)前的任務(wù)執(zhí)行狀態(tài)，以及不同的任務(wù)的時間成本，都是不同的。在此基礎(chǔ)上，我們要設(shè)計(jì)出一套合適的調(diào)度方法，來針對每一個節(jié)點(diǎn)的真實(shí)表現(xiàn)，對其進(jìn)行適當(dāng)?shù)姆峙?，從而使多個節(jié)點(diǎn)的運(yùn)算能力得到最大程度的發(fā)揮，從而提高每一個任務(wù)的運(yùn)行效率，縮短了使用者接收信息的時間，從而達(dá)到了最好的效果。在此基礎(chǔ)上，提出了一種基于多個節(jié)點(diǎn)的負(fù)荷分配方法，以實(shí)現(xiàn)多個節(jié)點(diǎn)的負(fù)荷平衡，并充分發(fā)揮其在網(wǎng)絡(luò)中的作用。其基本思想是，在獲得各節(jié)點(diǎn)當(dāng)前負(fù)載狀況、當(dāng)前任務(wù)執(zhí)行狀態(tài)以及已執(zhí)行任務(wù)的時間的基礎(chǔ)上，對各節(jié)點(diǎn)進(jìn)行全面的負(fù)載綜合得分，把當(dāng)前任務(wù)分派到負(fù)載綜合得分最高的節(jié)點(diǎn)上。2.2.3數(shù)據(jù)庫為了適應(yīng)各種角色對數(shù)據(jù)的要求，將Mysql數(shù)據(jù)庫配置在了服務(wù)器，并針對不同的角色，分別設(shè)計(jì)了對應(yīng)的數(shù)據(jù)表格，以實(shí)現(xiàn)數(shù)據(jù)的存儲。當(dāng)使用者發(fā)出一個任務(wù)要求之后，就必須對其進(jìn)行跟蹤和對其進(jìn)行實(shí)時的跟蹤，所以，我們必須建立一個能夠?qū)⑹褂谜甙l(fā)動進(jìn)攻任務(wù)的整個過程都記錄下來的任務(wù)信息表格，以便讓管理者能夠?qū)崟r地看到每一個任務(wù)的詳細(xì)信息和進(jìn)攻節(jié)點(diǎn)的工作狀態(tài)，保證整個系統(tǒng)的正常運(yùn)轉(zhuǎn)。其結(jié)構(gòu)見圖3-3。表3-3任務(wù)信息表字段名類型描述TaskIDstring任務(wù)IDUserstring發(fā)起任務(wù)的用戶名稱Nodenumint使用的節(jié)點(diǎn)數(shù)NodeIDstring分配的多個節(jié)點(diǎn)IDPriorityint任務(wù)優(yōu)先級(0-5)遞減Tasktypestring任務(wù)類型(scan/attack/graph/simulation/train)Tasksubtypestring任務(wù)子類型(只有scan/attack有子類型)Targetstring任務(wù)目標(biāo)IPDuringtimedatatime任務(wù)執(zhí)行時間Resultstring任務(wù)執(zhí)行結(jié)果Taskstatestring任務(wù)當(dāng)前狀態(tài)(start/run/finish/abort)為了確保用戶的登錄能力和管理員對用戶的權(quán)限管理，用戶信息表被設(shè)計(jì)成了一個用來將用戶的個人資料進(jìn)行登記的重要資料，其中包括用戶名、密碼、用戶權(quán)限等，管理員可以檢查和登記用戶的資料，并將不合法的用戶剔除掉，用戶的數(shù)據(jù)表形式見表3-4。表3-4用戶信息表字段名類型描述Namestring用戶名稱Pwdstring用戶登錄密碼Rolestring用戶權(quán)限(admin/common)Authbool用戶是否認(rèn)證通過(1/0)為了將使用者的各種動作都記錄下來，還可以將每個使用者的動作資料都儲存起來，當(dāng)使用者要求檢視過去的動作記錄時，可以按照使用者的不同名字來篩選資料，最后將其展現(xiàn)出來，其架構(gòu)見圖3-5。表3-5用戶任務(wù)記錄表字段名類型描述NodeIDstring攻擊節(jié)點(diǎn)IDTimedatatime操作時間Contentstring操作內(nèi)容，包括攻擊掃描等全部系統(tǒng)提供的內(nèi)容Targetstring操作目標(biāo)節(jié)點(diǎn)IPUserstring操作用戶名稱Resultstring操作結(jié)果當(dāng)使用者發(fā)起攻擊模擬函數(shù)時，模擬數(shù)據(jù)集合會自動產(chǎn)生，但是每一個模擬集合產(chǎn)生的各種類型的數(shù)據(jù)數(shù)目都是不一樣的，所以我們要建立一個可以記錄每一個產(chǎn)生的數(shù)據(jù)集合的數(shù)據(jù)特性的數(shù)據(jù)表，并且把它的名字和各種類型的數(shù)據(jù)的數(shù)目相對應(yīng)。表格3-6顯示了特定的構(gòu)造。表3-6數(shù)據(jù)集表字段名類型描述Datanamestring數(shù)據(jù)集名稱Normalint正常數(shù)據(jù)數(shù)量FuzzersintAnalysisintBackdoorintDosintExploitsint各類攻擊數(shù)據(jù)的數(shù)量GenericintReconnaissanceintShellcodeintWormsint在使用者啟動模型訓(xùn)練函數(shù)時，通過向背景傳送訓(xùn)練參數(shù)，可以獲得一組檢測數(shù)據(jù)，并可以在前面的接口中顯示出訓(xùn)練的成果，從而可以讓使用者對目前的訓(xùn)練成果有一個直接的認(rèn)識。在表3-7中列出了特定的構(gòu)造。表3-7模型訓(xùn)練結(jié)果表字段名類型描述Datanamestring數(shù)據(jù)集名稱Epochint訓(xùn)練批次Accuracydouble測試集準(zhǔn)確率Precisiondouble測試集精確率Recalldouble測試集召回率Flscoredouble測試集F1得分針對不同的攻擊節(jié)點(diǎn)，為了滿足服務(wù)側(cè)的負(fù)荷調(diào)度算法，需要每個攻擊節(jié)點(diǎn)都要將目前的負(fù)荷狀態(tài)進(jìn)行上傳，為此，我們需要建立一個攻擊節(jié)點(diǎn)的數(shù)據(jù)表格，來保存每一個節(jié)點(diǎn)的CPU占用率、內(nèi)存占用率等負(fù)荷信息，并向服務(wù)側(cè)提供該數(shù)據(jù)，以此來指導(dǎo)負(fù)荷調(diào)度算法的一個參數(shù)，方便服務(wù)側(cè)進(jìn)行負(fù)荷綜合得分的運(yùn)算，并從中選出適合的節(jié)點(diǎn)來執(zhí)行該任務(wù)。在表3-8中列出了特定的構(gòu)造。表3-8攻擊節(jié)點(diǎn)信息表字段名類型描述NodeIDstring節(jié)點(diǎn)IDCPUdoubleCPU占用率Memorydouble內(nèi)存占用率TaskIDstring正在執(zhí)行任務(wù)IDTaskstartdatatime任務(wù)開始時間針對這一問題，本項(xiàng)目提出了一種新型的基于網(wǎng)絡(luò)的新型網(wǎng)絡(luò)滲透入侵方法，該方法能夠有效地解決網(wǎng)絡(luò)安全問題。在表3-9中列出了特定的構(gòu)造。表3-9滲透攻擊結(jié)果表字段名類型描述Targetstring目標(biāo)IPVulnerabilitystring目標(biāo)漏洞信息Resultstring漏洞滲透攻擊結(jié)果Afterpenetrationstring后滲透攻擊結(jié)果2.3攻擊端而在入侵端，則是入侵模擬系統(tǒng)的最后一步，其主要工作是進(jìn)行滲透檢測，用戶端發(fā)布的任務(wù)由用戶端來進(jìn)行，而各節(jié)點(diǎn)則通過對服務(wù)器的協(xié)調(diào)和協(xié)調(diào)來實(shí)現(xiàn)。每個結(jié)點(diǎn)都可以獨(dú)立地進(jìn)行搜索，當(dāng)多個結(jié)點(diǎn)聚集在一起時，就可以進(jìn)行DDos攻擊，生成大規(guī)模的攻擊報(bào)文。為了進(jìn)一步提升穿透檢測的有效性，本項(xiàng)目提出了一種基于多個結(jié)點(diǎn)的穿透檢測方法。圖3-4攻擊節(jié)點(diǎn)詳細(xì)設(shè)計(jì)圖2.3.1任務(wù)監(jiān)聽模塊在完成攻擊任務(wù)后，將自動生成攻擊指令，并通過Kafka的數(shù)據(jù)傳送方式傳送，而攻擊者則使用Kafka的用戶（Kafka）策略，在當(dāng)前主機(jī)負(fù)荷較好的時候，它會自動消耗掉服務(wù)器所分發(fā)的所有任務(wù)，并充分發(fā)揮其所剩的資源來完成任務(wù)。2.3.2信息收集模塊通過Nmap所提供的掃描界面，可以獲得目標(biāo)主機(jī)的信息，并且可以獲得目標(biāo)主機(jī)的IP狀況、各個端口開放情況、運(yùn)行服務(wù)的服務(wù)版本信息、正在使用的操作系統(tǒng)種類和各個主機(jī)的拓?fù)潢P(guān)系等信息。利用所采集的目的主機(jī)信息，可以更好地開展?jié)B入工作。信息模塊可以按照其所具有的各種掃描作用，分為若干子模塊。主服務(wù)器探索子系統(tǒng)主機(jī)找到子模塊通過主動地向用戶發(fā)出一條探索消息，并通過接收到的信息判斷該主機(jī)是否處于打開的狀態(tài)，若可以得到答復(fù)，就表示該終端處于打開的狀態(tài)，而當(dāng)沒有得到答復(fù)消息時，該終端將被視為已經(jīng)關(guān)機(jī)。為了實(shí)現(xiàn)主機(jī)的查找，可以使用不同的探針報(bào)文，比如ICMP報(bào)文，SYN報(bào)文，UDP報(bào)文等。如果有一堵防火墻，則有可能出現(xiàn)這樣的情形，即：雖然目標(biāo)計(jì)算機(jī)已經(jīng)打開，但是所有的檢測信息都被防火墻所截獲，而攻擊者卻沒有辦法檢測到。主機(jī)搜索功能是用來查找目標(biāo)網(wǎng)段中的開放式主機(jī)，搜索目標(biāo)主機(jī)的，因?yàn)樗阉鞣椒ú粔蛟敿?xì)，所以不能得到所需的資料，所以必須使用其他的搜索方法來輔助。埠搜尋子模組該功能主要包括：打開狀態(tài)，關(guān)閉狀態(tài)，屏蔽未知狀態(tài)，打開未知狀態(tài)，打開或屏蔽狀態(tài)，關(guān)閉或屏蔽狀態(tài)，關(guān)閉或屏蔽狀態(tài)。業(yè)務(wù)掃描子系統(tǒng)該服務(wù)掃描子模塊主要是對在該目的服務(wù)器的公開端口上執(zhí)行的特定的應(yīng)用和版本信息進(jìn)行探測，能夠?qū)υ撃康姆?wù)承載的細(xì)節(jié)（如SSL協(xié)議）進(jìn)行探測。首先檢查目的端的是不是打開的，當(dāng)目的端采用TCP接口時，它就會自動向TCP發(fā)出一個TCP連接要求，然后再發(fā)出一系列的自定義的業(yè)務(wù)要求包，然后將這些包中的響應(yīng)消息與數(shù)據(jù)庫中已經(jīng)存在的特征象比較，從而找到對應(yīng)的業(yè)務(wù)的名字和版本信息，然后集成多重比較的結(jié)果，從而獲得目的地端口所操作的業(yè)務(wù)種類和特定的業(yè)務(wù)版本信息。系統(tǒng)檢測子系統(tǒng)該系統(tǒng)檢測子模塊主要是對該系統(tǒng)中的某一操作系統(tǒng)進(jìn)行檢測，并對該系統(tǒng)進(jìn)行了分析。其方法是基于不同操作系統(tǒng)在TCP/IP協(xié)議棧上的不同而生成的對應(yīng)的標(biāo)識指紋，基于這種標(biāo)識的不同，確定OS的種類，從系統(tǒng)指紋數(shù)據(jù)庫中選取已知的指紋，通過生成的TCP/UDP數(shù)據(jù)包，通過與指紋數(shù)據(jù)庫的比對，確定目標(biāo)計(jì)算機(jī)是否為系統(tǒng)。OS的數(shù)據(jù)包有被防火墻截取的風(fēng)險，通常要經(jīng)過幾個步驟的反復(fù)檢查，最后得出最后的結(jié)論。2.3.3滲透攻擊模塊該侵入式攻擊可以通過對目標(biāo)計(jì)算機(jī)的業(yè)務(wù)進(jìn)行攻擊，擾亂目標(biāo)計(jì)算機(jī)的正常工作，從而影響普通業(yè)務(wù)的訪問。它可以基于目標(biāo)計(jì)算機(jī)上出現(xiàn)的缺陷信息，對目標(biāo)計(jì)算機(jī)進(jìn)行盜取，從而獲取對該計(jì)算機(jī)的控制權(quán)，并且將該計(jì)算機(jī)的權(quán)限提高到該計(jì)算機(jī)的管理員權(quán)限。該系統(tǒng)包括四個子模塊：分布式攻擊、ARP欺騙攻擊、漏洞滲透和事后滲透。分布式的拒絕服務(wù)攻擊分布式拒絕服務(wù)（DoS）是一種利用少數(shù)受控計(jì)算機(jī)對多個“活”主機(jī)進(jìn)行遠(yuǎn)程操控的方法，在較短的時間里對目標(biāo)服務(wù)器發(fā)送海量的業(yè)務(wù)要求，導(dǎo)致目標(biāo)服務(wù)器負(fù)荷過重，難以對普通業(yè)務(wù)要求做出反應(yīng)。ARP欺騙子組件ARP是一種基于ARP的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，它是一種有效的計(jì)算方法。在LAN中進(jìn)行的數(shù)據(jù)包不能依賴于IP地址，只有通過MAC地址才能獲取到。所以，必須通過對ARP緩存表的檢測，基于目的IP地址來獲取對手的MAC地址，當(dāng)沒有發(fā)現(xiàn)對應(yīng)的表?xiàng)l目時，就必須使用ARP協(xié)議，向本地網(wǎng)絡(luò)中的每一臺計(jì)算機(jī)進(jìn)行廣播，獲取目標(biāo)計(jì)算機(jī)的ARP應(yīng)答，并且獲取對應(yīng)的MAC地址，并將其對應(yīng)的MAC地址保存在ARP緩存表中，以便將來進(jìn)行快速的查找。易受攻擊的亞組件漏洞侵入子模件的作用是從目標(biāo)宿主中發(fā)掘漏洞，并利用已發(fā)現(xiàn)的漏洞實(shí)施侵入，漏洞侵入分為漏洞掃描和漏洞利用兩個環(huán)節(jié)。漏洞檢測，利用已有的安全漏洞檢測技術(shù)，檢測出潛在的安全缺陷，其中既有通過服務(wù)版本獲取的安全缺陷，也有利用目標(biāo)軟件發(fā)布的安全缺陷檢測方法。針對一些具有特殊特征的攻擊程序，通過構(gòu)建專用的攻擊程序來實(shí)現(xiàn)攻擊程序的自動生成，并將其與攻擊程序相結(jié)合，從而實(shí)現(xiàn)針對攻擊程序的攻擊?？傮w而言，缺陷檢測主要是通過獲取數(shù)據(jù)進(jìn)行缺陷特性比對，不能檢測出潛在的缺陷，而對于未知的服務(wù)缺陷則需通過反向工程、程序解析等方法進(jìn)行挖掘和利用。后導(dǎo)入子組件當(dāng)弱點(diǎn)被侵入之后，攻擊者通常僅能得到普通使用者的執(zhí)行特權(quán)和少量的只讀授權(quán)，不能更改該文件，也不能得到諸如注冊表、日志信息等的系統(tǒng)重要信息，不能被執(zhí)行。所以要升級執(zhí)行權(quán)限，讀權(quán)限，取得管理者權(quán)限，徹底控制住目標(biāo)主機(jī)。在更新了權(quán)限之后，還可以通過系統(tǒng)日志來查詢系統(tǒng)日志，因?yàn)橄到y(tǒng)日志會記錄下攻擊行為和對目標(biāo)系統(tǒng)的遠(yuǎn)程訪問的行為，因此必須清除登錄信息日志、上一次登錄時間日志、系統(tǒng)授權(quán)日志、用戶登錄日志、用戶使用日志等文檔，將與攻擊行為有關(guān)的記錄全部清除，從而實(shí)現(xiàn)對目標(biāo)服務(wù)器的入侵。2.3.4數(shù)據(jù)包存儲模塊因?yàn)楣粽呤菫榱私oIDS生成攻擊流，提高IDS的探測性能，所以在進(jìn)行攻擊者的攻擊時，必須對目前的攻擊過程中所生成的報(bào)文進(jìn)行實(shí)時的日志記錄，然后利用Scapy提供的嗅探函數(shù)，通過Libpcap庫來保存目前攻擊者發(fā)送來的報(bào)文，并且在攻擊完畢之后，以Pcap格式保存這一次攻擊生成的報(bào)文。3系統(tǒng)功能測試3.1用戶管理這一部分對服務(wù)器的用戶管理模塊進(jìn)行了測試，對用戶注冊審核，用戶登錄，管理員信息查看，管理員用戶管理，用戶日志查看等進(jìn)行了測試。表4-1用戶管理模塊測試表功能點(diǎn)測試過程測試結(jié)果用戶注冊用戶注冊審核用戶登錄管理員查看用戶、任務(wù)信息管理員管理用戶信息用戶查看操作日志輸入用戶信息后注冊。管理員審核用戶信息，反饋審核結(jié)果。輸入用戶信息登錄系統(tǒng)。進(jìn)入管理員主界面。刪除測試用戶。用戶查看操作日志。管理員收到用戶注冊請求用戶注冊成功登錄成功得到用戶信息、任務(wù)信息成功刪除得到用戶任務(wù)記錄表在使用者登錄的畫面中，有使用者的登記及登錄的功能，使用者首次登錄時，必須先輸入使用者名稱及密碼，然后按一下登記鍵，就可以將登記的工作做好，然后由管理人員對登記資料進(jìn)行審查，當(dāng)經(jīng)過了管理員的審查之后，再重新鍵入使用者名稱和密碼，然后登錄到該系統(tǒng)中，使用者登錄畫面見圖4-1。圖4-1用戶登錄圖片圖4-2是一個管理員登錄的畫面，這個畫面和使用者一樣，只要在系統(tǒng)中輸入一個擁有管理員權(quán)限的名字和密碼，就可以登錄到系統(tǒng)的主系統(tǒng)里，而不能通過登錄來獲取系統(tǒng)的管理者的信息，所以系統(tǒng)會事先記錄在系統(tǒng)里。圖4-2管理員管理圖片當(dāng)用戶注冊完畢后，作為一個管理員用戶，將會出現(xiàn)在一個管理員的頁面中，能夠看到已經(jīng)注冊的用戶信息，審核用戶的注冊信息，查看任務(wù)信息，從而實(shí)現(xiàn)對該系統(tǒng)和用戶的管理。3.2信息收集這一部分主要針對數(shù)據(jù)采集模塊進(jìn)行了測試，其中包含了主機(jī)發(fā)現(xiàn)功能，端口掃描功能，服務(wù)掃描功能，系統(tǒng)檢測功能，詳細(xì)的檢測結(jié)果見表4-2。表4-2信息收集模塊測試表功能點(diǎn)主機(jī)發(fā)現(xiàn)端口掃描服務(wù)掃描系統(tǒng)偵測測試過程用戶調(diào)用主機(jī)發(fā)現(xiàn)功能用戶輸入目標(biāo)主機(jī)IP以及目標(biāo)準(zhǔn)端口，發(fā)起端口掃描用戶輸入目標(biāo)主機(jī)IP與對應(yīng)服務(wù)端口號，發(fā)起服務(wù)掃描用戶輸入需要偵測的目標(biāo)主機(jī)IP，發(fā)起系統(tǒng)偵測測試結(jié)果用戶端展示目標(biāo)網(wǎng)段活躍主機(jī)信息用戶端展示目標(biāo)端口的開放情況用戶端展示目標(biāo)服務(wù)開放情況及具體服務(wù)務(wù)版本信息用戶端展示目標(biāo)主機(jī)的操作系統(tǒng)信息圖4-3是對主機(jī)搜索函數(shù)的檢測，第一步是將目標(biāo)主機(jī)IP設(shè)置為/24，表示正在對目標(biāo)網(wǎng)絡(luò)部分的全部主機(jī)進(jìn)行搜索，從而獲得了該目標(biāo)網(wǎng)絡(luò)部分的開放式主機(jī)狀況，在該試驗(yàn)示例中，共有4個開放式主機(jī)，是一個網(wǎng)關(guān)主機(jī)，29是目前的主機(jī)，因此能夠得知，該目標(biāo)主機(jī)IP是30。圖4-3主機(jī)掃描結(jié)果圖圖4-4是一個端口掃描函數(shù)的試驗(yàn)，它將整個目標(biāo)網(wǎng)絡(luò)的所有打開的端口都進(jìn)行了一遍，你會發(fā)現(xiàn)，在TCP的基礎(chǔ)上，有22,80,139,445,3306,UDP的公開端口是68,137,138，根據(jù)所知道的缺省的端口捆綁，可以看出，目的主機(jī)的SSH業(yè)務(wù)是22個，HTTP業(yè)務(wù)是80個，Mysql業(yè)務(wù)是3306個，可以對目標(biāo)主機(jī)的業(yè)務(wù)信息有一個基本的了解。圖4-4端口掃描結(jié)果圖通過對其進(jìn)行開源業(yè)務(wù)的搜索，并對其業(yè)務(wù)進(jìn)行查詢，得到的業(yè)務(wù)掃描結(jié)果見圖4-5。Apache提供的Http服務(wù)，是2.4.7版；一個在兩個開放的港口上同步運(yùn)行的SambaNetbios-ssn服務(wù)；為Mysql數(shù)據(jù)庫的實(shí)現(xiàn)，實(shí)現(xiàn)了對數(shù)據(jù)的存儲；為InspIRCd提供遠(yuǎn)程醫(yī)療服務(wù)。圖4-5服務(wù)掃描結(jié)果圖3.3滲透攻擊通過對SYNFlood攻擊、UDPFlood攻擊、ICMPFlood攻擊、ARP欺騙攻擊、漏洞掃描、PHP網(wǎng)站滲透攻擊、SMB協(xié)議滲透攻擊、SSH漏洞滲透攻擊等方面的檢測，如表4-3所示。表4-3滲透攻擊模塊測試表功能點(diǎn)測試過程測試結(jié)果SYNFlood攻擊對目標(biāo)主機(jī)發(fā)起SYNFlood攻擊目標(biāo)主機(jī)接收到大量SYN包UDPFlood攻擊對目標(biāo)主機(jī)發(fā)起UDPFlood攻擊目標(biāo)主機(jī)接收到大量UDP包ICMPFlood攻擊對目標(biāo)主機(jī)發(fā)起ICMPFlood攻擊目標(biāo)主機(jī)接收到大量Ping包ARP欺騙攻擊輸入想要替代的主機(jī)IP目標(biāo)主機(jī)收到大量ARP欺騙漏洞掃描報(bào)文，修改ARP緩存表基于Nessus對目標(biāo)主機(jī)進(jìn)行漏洞掃得到掃描結(jié)果，展示目標(biāo)存描在的漏洞PHP網(wǎng)站滲透攻擊用戶輸入目標(biāo)主機(jī)，主動發(fā)起PHP基于目標(biāo)主機(jī)搭載的PHP網(wǎng)滲透攻擊，對目標(biāo)進(jìn)行滲透攻擊SMB漏洞滲透攻擊用戶輸入目標(biāo)主機(jī)，選擇對目標(biāo)的得到目標(biāo)SMB協(xié)議存在的漏SMB協(xié)議進(jìn)行漏洞滲透攻擊。洞信息，對其發(fā)起攻擊。SSH漏洞滲透攻擊用戶輸入目標(biāo)主機(jī)，選擇使用SSH對目標(biāo)系統(tǒng)提供的SSH服務(wù)漏洞滲透攻擊。進(jìn)行攻擊。圖4-6顯示了使用者啟動SYN洪水攻擊時的動作畫面，借由設(shè)定的目的IP與待攻擊的埠，使得該系統(tǒng)可以向?qū)Ψ絺魉统鲈S多SYN封包，造成對方電腦通訊通道泛濫，進(jìn)而干擾到對方電腦的正常運(yùn)作。圖4-6SYN洪泛攻擊圖圖4-7顯示了Wireshark在洪水泛濫過程中捕捉到的海量的報(bào)文，在很小的一段時間里生成了海量的SYN報(bào)文，使得目標(biāo)計(jì)算機(jī)的通訊通道被阻塞，無法滿足其正常業(yè)務(wù)的需求；UDP的洪泛和ICMP的洪泛攻擊，與SYN的洪泛攻擊一樣，都是在短暫的瞬間生成海量的通訊信息，干擾了目標(biāo)計(jì)算機(jī)的接收能力，因此沒有給出更多的詳細(xì)接口。圖4-7SYN洪泛數(shù)據(jù)包分析圖在此基礎(chǔ)上，針對ARP欺騙進(jìn)行了實(shí)驗(yàn)，該方法是通過向目標(biāo)服務(wù)器發(fā)送大規(guī)模的ARP數(shù)據(jù)包來改變目標(biāo)服務(wù)器的arp緩存，從圖4-8可以看出，在發(fā)動ARP欺騙攻擊之后，目的服務(wù)器（30）會對ARP緩存列表進(jìn)行更改，把29的相應(yīng)MAC地址更改成的MAC地址。圖4-8ARP欺騙攻擊圖3.4攻擊仿真針對這一問題，本項(xiàng)目擬針對該問題開展研究：首先，利用已有的反演算法，在此基礎(chǔ)上，利用已有的反演算法，構(gòu)建反演算法；然后，利用已有的反演算法，構(gòu)建出完整的反演算法。首先，對樣本進(jìn)行預(yù)處理，獲取具有一致維數(shù)的樣本；其次，研究FACGAN的建模方法：生成具有隨機(jī)噪音和隨機(jī)標(biāo)記的FACGAN，并將其引入發(fā)生器模型，利用發(fā)生器模型實(shí)現(xiàn)模擬數(shù)據(jù)的自動生成；利用判別器可區(qū)分模擬與實(shí)際的數(shù)據(jù)，根據(jù)判別結(jié)果來確定生成器的損耗和判別器的損耗；利用網(wǎng)絡(luò)學(xué)習(xí)的代價向后傳遞方法，對生成器和鑒別器的性能進(jìn)行改進(jìn)，使得生成的生成器可以自動生成區(qū)分者無法區(qū)分的樣本，從而獲得最后的生成器模型。根據(jù)發(fā)生器模型產(chǎn)生模擬數(shù)據(jù)，均衡該數(shù)據(jù)組，該試驗(yàn)用（例如）表格4-4顯示。表4-4攻擊仿真模塊測試表功能點(diǎn)測試過程測試結(jié)果仿真數(shù)據(jù)生成用戶選擇仿真數(shù)據(jù)數(shù)量并進(jìn)行仿真服務(wù)端利用生成器仿真數(shù)據(jù)因?yàn)樵谟?xùn)練集上各種數(shù)據(jù)差異很大，所以，如果把全部的數(shù)據(jù)都用統(tǒng)一的標(biāo)準(zhǔn)來均衡，就會造成各種模擬數(shù)據(jù)之間的差異太大，從而使整個數(shù)據(jù)的品質(zhì)下降。所以，針對少量類別的樣品，把它的數(shù)據(jù)量擴(kuò)大到20000，產(chǎn)生了134668條數(shù)據(jù)，而大類別的樣品就不產(chǎn)生數(shù)據(jù)，保持原來的數(shù)據(jù)量，這樣就可以獲得一個比較均衡的數(shù)據(jù)集合，在均衡的訓(xùn)練集上，各種類型的數(shù)目見表4-5。表4-5平衡后數(shù)據(jù)集數(shù)據(jù)類型平衡后訓(xùn)練集Normal56000Fuzzers20000Analysis20000Backdoor20000DoS20000Exploits33393Generic40000Reconnaissance20000Shellcode20000Worms20000利用攻擊模擬模型，可依據(jù)特定類別，迅速生成海量的模擬數(shù)據(jù)，這些模擬數(shù)據(jù)是業(yè)務(wù)特性，利用模擬結(jié)果的方法，彌補(bǔ)缺失的訓(xùn)練樣本，構(gòu)建均衡的數(shù)據(jù)集合；同時，為IDS提供充分的數(shù)據(jù)支持，提高IDS對異常業(yè)務(wù)的探測和保護(hù)，具有重要的現(xiàn)實(shí)意義。3.5模型優(yōu)化在此基礎(chǔ)上，以典型的業(yè)務(wù)類別劃分為參照，以典型的網(wǎng)絡(luò)攻擊模擬結(jié)果為參照，以新的網(wǎng)絡(luò)均衡數(shù)據(jù)為參照，比較典型的網(wǎng)絡(luò)攻擊模擬結(jié)果。3.5.1模型設(shè)計(jì)標(biāo)準(zhǔn)網(wǎng)絡(luò)的架構(gòu)為CNN模式，共有4個Conv級、2個池級、2個授權(quán)級，可以對