计算机论文哪里有?本文的入侵检测算法系统也很适合应用于物联网设备,车联网,智能家居等物联网设备进行安全检测。这些物联网设备存在着很大的安全隐患,而且随着安全领域的深度学习发展,黑客也会利用此技术更轻松的生成各类攻击方式,而利用无监督的入侵检测系统能自动化发现这类攻击类型,安全攻防正在人工智能领域快速发展。
第一章 绪论
1.2 论文的主要研究内容
网络入侵检测系统是网络安全领域中重要的研究热点之一。随着通信网络技术的发展,网络的用户规模、网络拓扑和网络流量呈现爆发式增长,随之而来的是网络攻击事件频发,攻击形式也正呈现出复杂多变的特点,基于端口匹配[1]、有效载荷(或者叫 DPI,深度报文检测)[2]等传统方法难以有效应付,各种基于深度学习的入侵检测算法成为安全领域研究者主要关注的方向。入侵检测关键技术主要分为异常检测(Anomaly Detection)和误用检测(Misuse Detection)两种,其中异常检测技术具有检测新型、未知恶意攻击的优点,近年来,也有研究人员提出将无监督深度学习技术应用于异常检测,从思路上可有效解决上文提到的几个缺点。然而,无监督异常检测方法仅能检测出异常,无法识别出具体的细粒度攻击种类,DPI 技术通过检测报文净荷,可准确识别具体应用,因此,本文将 DPI 技术和 Deep Learning 技术相结合,提出一种基于异常检测(Anomaly Detection)的无监督深度学习 IDS 算法,一方面利用无监督深度学习在异常检测方面的鲁棒性优点,另一方面也应用传统的 DPI 技术能够准确甄别细粒度攻击类别的优点,从而提升网络入侵检测算法的鲁棒性和准确率。主要的研究内容包括:
(1)本文提出了一种基于异常检测(Anomaly Detection)的无监督深度学习 IDS 算法,解决基于规则的传统算法和有监督 ML/DL 算法无法检测未知恶意攻击的缺点。本文提出了 3种创新型的异常检测深度学习算法 CE-SAE、COD-VAE、Packet-GAN, 其中 Packet-GAN 深度异常检测算法相比于其他算法有着更高的查准率和更低的误报率,该模型算法主要用于区分正常网络流量与恶意网络流量,在 COD-VAE 的基础上加入生成对抗网络的策略让算法的生成器可以更好的拟合正常网络流量数据集的分布。并加入新的编码器学习生成网络数据流的隐层空间特征信息让异常得分算法表现出更好的鲁棒性。后续实验证明,该模型能更好学习正常网络流的空间分布情况,且系统的整体检测性能有了进一步的提高,在多分类的检测性能上整体也表现不错。
第三章 基于自动编码器的无监督 NIDS 异常检测算法
3.1 基于自动编码器的深度学习入侵检测算法框架
3.1.1 整体框架
本节提出一种基于自动编码器的 NIDS 异常检测深度学习算法框架,其基本的算法框架流程如图 3.1 所示:
基于自动编码器的深度学习入侵检测算法框架整体分为离线训练和在线识别。离线训练阶段主要为分类任务定义、数据准备阶段、数据预处理阶段、模型输入设计、自动编码器架构设计。二分类的自动编码器通过自学习网络流特征信息,检测网络流量是正常流量还是恶意流量。首先选择合理的入侵检测公开数据集,收集原始的网络数据包。通过工具按照五元组(源地址、目的地址、源端口、目的端口和传输协议)将网络数据包分流,统计流特征值保存在统计流特征的数据集内,从数据集抽取大量无标签的数据集(正常网络数据流)构成训练集,经过去奇异值,归一化处理生成无标签的流特征向量,详见 3.1.4 的数据预处理。自动编码器的深度学习入侵检测算法构建的核心部分为特征工程、异常得分、决策阈值。特征工程通过自学习正常流量的特征流量信息生成流向量,异常得分计算原流量与生成流量的偏差度,通过阈值判定网络流量是否是恶意流量。
第五章 基于 PacketGAN 和深度包检测的 IDS 系统框架
5.1 系统总体设计
网络入侵检测系统的设计目的是为解决中小型公司日益增长的网络安全需求,利用强大的自学习无监督深度学习算法和深度包检测算法,快速检测出潜在的各种网络攻击事件,如DDos、缓冲区溢出、SQL 注入、暴力猜测、扫描探测、蠕虫病毒、木马后门、间谍软件等各类黑客攻击。可配置的响应单元和防火墙联动帮助公司解决各类复杂的网络攻击场景,全方位提升中小型公司的安全等级。
网络入侵检测系统的主要设计原则有:
(1)系统的安全性:从安全攻击层面,利用前置入侵扫描模块,自适应网络环境下发安全策略,保证公司网络安全环境。从软件安全层面,合理管理用户,数据库,系统文件的权限,防止不合理的越权行为,保证整体的系统安全稳定性。
(2)系统的可用性:利用多节点,异地多活或灾备,保证系统的 SLA(服务等级协议)达到 99% ,提高用户的使用体验感。
(3)系统的扩展性:从流量角度,在流量波峰,波谷系统可横向,纵向缩扩,即可降低服务运营成本,也可解决宕机的风险。从业务层面,可采用订阅机制灵活配置安全响应单元,安全访问控制。
5.2 系统模块设计
入侵检测系统的主要业务流程包括:登录系统,安全策略选择,报警系统,入侵检测扫描。公司用户完成登录校验,查看威胁报告,选择合理的安全策略保护系统公司的网络环境。当入侵检测系统侦测到黑客的攻击事件,除了会下发 TCP Killer 指令,公司网络管理员也会收到相应的报警信息。
其中的入侵检测模块可以分为五个不同的阶段:流量捕获,异常扫描,日志上传,深度解析,策略下发。流量捕获阶段捕获从网络环境产生的原生数据包,数据包从交换机旁路获取送至前置模块内核层最终传送至应用层。经过异常扫描将采集到的网络流进行二分类,其中恶意流传输至后端模块处理。后端通过 DPI 引擎扫描出具体的恶意攻击类型,记录日志流存储至数据层,并对外提供查询方式。用户通过配置页面可下发策略配置至前置模块。
模拟一条恶意攻击事件的捕获过程如图 5.3 所示:
第七章 总结与展望
移动互联网时代网络结构越发复杂,恶意攻击呈现攻击频繁、种类多样等特点。使用深度学习技术来解决入侵检测问题是一种趋势,其中无监督的深度学习方式最适合解决真实网络的安全问题。主要因为无监督的入侵检测算法解决了有监督分类算法的两个核心问题。(1)现网环境很难捕获有标签的恶意流量数据集,而无监督算法不需要有标签的恶意流量数据集。 (2)无监督算法可解决有监督分类模型无法检测出未知恶意攻击,同时无监督算法还兼具有监督算法的性能表现。
本文的工作重点:第一,提出一种无监督的入侵检测系统,将无监督的异常入侵检测算法与成熟的 DPI 技术合理结合,解决传统入侵检测系统无法检测未知恶意攻击的问题,解决传统入侵检测系统无法对历史数据自动化建模的问题。第二,提出基于变分自动编码器的COD-VAE 模型,该模型在公开的入侵检测数据集上比无监督的堆叠式自动编码器模型有更好的性能表现。第三,提出基于生成对抗网络的 Packet-GAN 算法,该算法在 COD-VAE 的基础上增加生成对抗的思想帮助生成器训练出更加符合正常网络流量数据集分布的模型,在公开入侵检测数据集 CICIDS2017 上展现出超过 COD-VAE 算法的性能表现。
根据本文的研究结果和研究实验数据,希望在论文下一个阶段增加如下的研究内容方向:
(1)相比于图像、自然语言处理领域,无监督的入侵检测算法研究还很少且不成熟。本论文主要将无监督的生成模型算法用于异常入侵检测中,还有很多内容需要探索例如更适合学习网络流量的神经网络结构或结合自然语言领域流式的入侵检测算法,使这些模型可以更好的学习正常流量的多维空间分布,更好的检测异常网络流量。
(2)深度学习特征学习过程的不可解释性是一个问题。网络数据流不像图像和自然语言处理领域人可以直观的通过眼睛和耳朵直接进行判断,帮助我们了解模型的整个学习过程。而网络数据流是序列的字节流,只有专业的网络工程师才能从中获取一部分信息内容。在网络数据流特征工程过程给出可解释性的说明是一个不错的研究方向,能有效帮助 NIDS 异常检测技术更快的发展。
参考文献(略)
