基于深度学习技术的恶意攻击的分析与识别
发布时间:2022-01-16 15:56
对网站恶意攻击展开研究,通过在单机环境和具有1台服务器、2台客户机的局域网环境下模拟暴力破解、撞库、分布式拒绝服务攻击网站,以人工标注网站日志数据,训练一个LSTM网络分类模型,利用监控脚本在线监控网站日志,将日志数据转换成结构化数据并输入训练好的LSTM网络进行分类,以区分恶意攻击产生的日志和正常日志,达到识别恶意攻击类型的目的。在测试集数据上,分类准确率达到99%以上。按类似的思路,还构建一个基于自编码器和LSTM网络的分类模型,用KDD99数据集对该分类器进行训练和测试。实验结果表明,平均分类准确率约为99. 7%,明显优于其他比较方法。网络攻击数据通常隐式地具有序列特征,将分类问题转换为序列标注问题,并用深度学习技术来求解,其整体解决思路是合理且有效的,可为后续的安全防护提供有效支持。
【文章来源】:计算机应用研究. 2020,37(S1)北大核心CSCD
【文章页数】:5 页
【部分图文】:
模拟攻击的基本框架4深度学习算法的分析与识别
据分析。笔者在单机环境和具有1台服务器、2台客户机的局域网环境下使用BurpSuite[23]模拟暴力破解攻击、撞库攻击网站,使用LOIC低轨道离子炮模拟DDoS攻击网站。通过查看Nginx日志文件,发现暴力破解攻击和撞库攻击在日志中的体现均是短时间内有大量的访问,DDoS攻击在日志中的体现是在短时间内有大量IP访问占用服务器资源。图2模拟攻击的基本框架4深度学习算法的分析与识别4.1算法分析与识别的基本处理流程基于深度学习的算法分析与识别的基本处理流程如图3所示。首先结构化日志数据,将日志数据映射到欧氏空间,再将数据标记,输入循环神经网络[24,25](recurrentneuralnetwork,RNN)训练模型,模型训练好后,输入未标记数据,可输出分类好的数据。图3深度学习算法的基本处理流程4.2数据来源与处理4.2.1Nginx日志数据Nginx日志数据包含诸多信息,能够反映不同事件的特征,但数据本身并非结构化数据。Nginx日志数据格式如下:log_formataccess"$remote_addr-$remote_user[$time_local]″$request″""$status$body_bytes_sent″$http_referer″""″$http_user_agent″$http_x_forwarded_for"。其中:$http_x_forwarded_for与$remote_addr记录客户端的IP地址;$remote_user记录客户端用户名称;$time_local记录访问时间与时区;$request用来记录请求的URL与HTTP协议;$status记录请求状态,如成功状态用200表示;$body_bytes_sent记录发送给客户端文件主体内容大小;$http_referer记录从哪个页面链接访问过来;$http_user_agent
组形式。由于深度学习模型时间步为20,需要将数据拼接成序列并转换数据维度。得到可输入训练好的循环神经网络模型后,读取模型文件,输入数据,得到输出结果(即攻击类型),最后把受到攻击所对应的日志输入数据库。当未产生数据时,同样以某个值刷新数据,在此,每0.8s刷新一次,同样可以调整0.8s这个参数。由于本文用模拟攻击生成在线分析日志,经过训练模型的分类,其分类准确率可达99%以上,体现模型能更好地满足在线系统对实时处理性能的要求,这对于在线入侵检测系统是很有意义的。图7测试集准确率的变化曲线图8损失函数值、测试集准确率的变化曲线图9在线分析与识别日志的结构5与其他方法的对比实验本文基于深度学习技术的恶意攻击的分析与识别本质上是一个分类模型,针对要解决的访问数据序列标注问题进行构建,其构建思路分为三个流程:a)数据预处理;b)训练基于深度学习的分类网络;c)将未标记数据输入分类网络进行分类,输出分类结果。为了进一步体现该思路的合理性和有效性,下面选择KDD99数据集作为测试集,并与一些流行的入侵检测方法得到的实验结果进行比较。KDD99是美国国防部高级规划署与麻省理工大学林肯实验室联合进行的一项入侵检测评估项目所产生的模拟数据集,数据总量近五百万条,其中包含标志为normal的正常访问数据和22种攻击数据,这些攻击数据归属为Probe(或Probing)、DoS(denialofservice)、R2L(remotetolocal)、U2R(或U2L,usertoroot)四种攻击大类[3,4],每条数据共41个特征。本文采用如图10所示的框架来进行实验。首先需要对KDD99数据集作预处理,
【参考文献】:
期刊论文
[1]基于时序图像深度学习的电熔镁炉异常工况诊断[J]. 吴高昌,刘强,柴天佑,秦泗钊. 自动化学报. 2019(08)
[2]基于感知哈希矩阵的最近邻入侵检测算法[J]. 江泽涛,周谭盛子,韩立尧. 电子学报. 2019(07)
[3]基于KELM选择性集成的复杂网络环境入侵检测[J]. 刘金平,何捷舟,马天雨,张五霞,唐朝晖,徐鹏飞. 电子学报. 2019(05)
[4]SDN中基于信息熵与DNN的DDoS攻击检测模型[J]. 张龙,王劲松. 计算机研究与发展. 2019(05)
[5]基于KNN离群点检测和随机森林的多层入侵检测方法[J]. 任家东,刘新倩,王倩,何海涛,赵小林. 计算机研究与发展. 2019(03)
[6]一种针对基于SVM入侵检测系统的毒性攻击方法[J]. 钱亚冠,卢红波,纪守领,周武杰,吴淑慧,雷景生,陶祥兴. 电子学报. 2019(01)
[7]基于dCNN的入侵检测方法[J]. 张思聪,谢晓尧,徐洋. 清华大学学报(自然科学版). 2019(01)
[8]深度学习中的对抗样本问题[J]. 张思思,左信,刘建伟. 计算机学报. 2019(08)
[9]机器学习在网络空间安全研究中的应用[J]. 张蕾,崔勇,刘静,江勇,吴建平. 计算机学报. 2018(09)
[10]无组织恶意攻击检测问题的研究[J]. 庞明,周志华. 中国科学:信息科学. 2018(02)
本文编号:3592981
【文章来源】:计算机应用研究. 2020,37(S1)北大核心CSCD
【文章页数】:5 页
【部分图文】:
模拟攻击的基本框架4深度学习算法的分析与识别
据分析。笔者在单机环境和具有1台服务器、2台客户机的局域网环境下使用BurpSuite[23]模拟暴力破解攻击、撞库攻击网站,使用LOIC低轨道离子炮模拟DDoS攻击网站。通过查看Nginx日志文件,发现暴力破解攻击和撞库攻击在日志中的体现均是短时间内有大量的访问,DDoS攻击在日志中的体现是在短时间内有大量IP访问占用服务器资源。图2模拟攻击的基本框架4深度学习算法的分析与识别4.1算法分析与识别的基本处理流程基于深度学习的算法分析与识别的基本处理流程如图3所示。首先结构化日志数据,将日志数据映射到欧氏空间,再将数据标记,输入循环神经网络[24,25](recurrentneuralnetwork,RNN)训练模型,模型训练好后,输入未标记数据,可输出分类好的数据。图3深度学习算法的基本处理流程4.2数据来源与处理4.2.1Nginx日志数据Nginx日志数据包含诸多信息,能够反映不同事件的特征,但数据本身并非结构化数据。Nginx日志数据格式如下:log_formataccess"$remote_addr-$remote_user[$time_local]″$request″""$status$body_bytes_sent″$http_referer″""″$http_user_agent″$http_x_forwarded_for"。其中:$http_x_forwarded_for与$remote_addr记录客户端的IP地址;$remote_user记录客户端用户名称;$time_local记录访问时间与时区;$request用来记录请求的URL与HTTP协议;$status记录请求状态,如成功状态用200表示;$body_bytes_sent记录发送给客户端文件主体内容大小;$http_referer记录从哪个页面链接访问过来;$http_user_agent
组形式。由于深度学习模型时间步为20,需要将数据拼接成序列并转换数据维度。得到可输入训练好的循环神经网络模型后,读取模型文件,输入数据,得到输出结果(即攻击类型),最后把受到攻击所对应的日志输入数据库。当未产生数据时,同样以某个值刷新数据,在此,每0.8s刷新一次,同样可以调整0.8s这个参数。由于本文用模拟攻击生成在线分析日志,经过训练模型的分类,其分类准确率可达99%以上,体现模型能更好地满足在线系统对实时处理性能的要求,这对于在线入侵检测系统是很有意义的。图7测试集准确率的变化曲线图8损失函数值、测试集准确率的变化曲线图9在线分析与识别日志的结构5与其他方法的对比实验本文基于深度学习技术的恶意攻击的分析与识别本质上是一个分类模型,针对要解决的访问数据序列标注问题进行构建,其构建思路分为三个流程:a)数据预处理;b)训练基于深度学习的分类网络;c)将未标记数据输入分类网络进行分类,输出分类结果。为了进一步体现该思路的合理性和有效性,下面选择KDD99数据集作为测试集,并与一些流行的入侵检测方法得到的实验结果进行比较。KDD99是美国国防部高级规划署与麻省理工大学林肯实验室联合进行的一项入侵检测评估项目所产生的模拟数据集,数据总量近五百万条,其中包含标志为normal的正常访问数据和22种攻击数据,这些攻击数据归属为Probe(或Probing)、DoS(denialofservice)、R2L(remotetolocal)、U2R(或U2L,usertoroot)四种攻击大类[3,4],每条数据共41个特征。本文采用如图10所示的框架来进行实验。首先需要对KDD99数据集作预处理,
【参考文献】:
期刊论文
[1]基于时序图像深度学习的电熔镁炉异常工况诊断[J]. 吴高昌,刘强,柴天佑,秦泗钊. 自动化学报. 2019(08)
[2]基于感知哈希矩阵的最近邻入侵检测算法[J]. 江泽涛,周谭盛子,韩立尧. 电子学报. 2019(07)
[3]基于KELM选择性集成的复杂网络环境入侵检测[J]. 刘金平,何捷舟,马天雨,张五霞,唐朝晖,徐鹏飞. 电子学报. 2019(05)
[4]SDN中基于信息熵与DNN的DDoS攻击检测模型[J]. 张龙,王劲松. 计算机研究与发展. 2019(05)
[5]基于KNN离群点检测和随机森林的多层入侵检测方法[J]. 任家东,刘新倩,王倩,何海涛,赵小林. 计算机研究与发展. 2019(03)
[6]一种针对基于SVM入侵检测系统的毒性攻击方法[J]. 钱亚冠,卢红波,纪守领,周武杰,吴淑慧,雷景生,陶祥兴. 电子学报. 2019(01)
[7]基于dCNN的入侵检测方法[J]. 张思聪,谢晓尧,徐洋. 清华大学学报(自然科学版). 2019(01)
[8]深度学习中的对抗样本问题[J]. 张思思,左信,刘建伟. 计算机学报. 2019(08)
[9]机器学习在网络空间安全研究中的应用[J]. 张蕾,崔勇,刘静,江勇,吴建平. 计算机学报. 2018(09)
[10]无组织恶意攻击检测问题的研究[J]. 庞明,周志华. 中国科学:信息科学. 2018(02)
本文编号:3592981
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3592981.html
最近更新
教材专著
