基于深度学习的网络异常检测技术研究
发布时间:2020-05-08 00:17
【摘要】:网络异常检测技术通过建立正常行为基准来识别网络异常行为,可以检测出新型网络攻击行为,通用性较强,在入侵检测、僵尸网络检测等领域有着广泛应用,是业界研究热点和重点。然而,随着大数据时代来临,攻击方法日新月异,新型攻击层出不穷,网络攻击呈现出泛在化、智能化、复杂化趋势,当前网络异常检测技术难以满足日益增长的高检测率、低误报率的要求,主要存在以下3方面问题:(1)采用传统机器学习算法构造的检测模型在执行多分类任务时检测准确率不高,检测效果往往不佳。(2)大量标签样本的获取较为困难,有限的标签样本只能反馈有限的信息,在少量的标签样本环境下训练出来的有监督分类模型往往影响了其检测准确率。(3)现有网络异常检测模型较少考虑学习异常行为在网络连接方面呈现出的同步性和关联性等时序特征,影响了其检测效果。本文针对近年来入侵检测、僵尸网络检测等领域现有网络异常检测技术存在的以上3方面问题,以提高网络异常检测准确率为主要研究目标,以基于深度学习的网络异常检测技术为主要研究内容,通过研究深度学习在入侵检测和僵尸网络检测领域的建模应用,进一步提升分类模型检测能力,解决了部分现有网络异常检测技术存在的问题,拓展了深度学习在入侵检测及僵尸网络检测领域的融合应用,具有较高的应用价值和现实意义。本文主要研究成果及创新点归纳如下:(1)针对网络异常检测技术在执行多分类任务时检测准确率不高的问题,提出了一种新的基于全连接循环神经网络的入侵检测模型,分别研究了该模型在二分类和多分类任务下的训练方法,并与J48、人工神经网络、随机森林、支持向量机等7种传统机器学习方法在检测准确率方面进行了比较。实验结果表明,基于全连接循环神经网络的分类模型在测试集上的检测准确率优于相同条件下基于传统机器学习的分类方法,尤其在执行多分类任务时仍保持了较高的检测准确率,降低了误报率,进一步提升了对网络攻击行为的检测能力,为入侵检测领域提供了一种新的研究方法。(2)针对训练标签样本较少从而影响有监督分类模型检测效果的问题,借助生成式对抗网络对抗交互训练的思想,研究了生成式对抗网络在入侵检测领域的应用建模方法,首次提出一种基于生成式对抗网络的入侵检测框架,研究了在不同参数条件下采用该框架训练后的分类模型的检测能力,并提出了相应训练方法。框架在训练阶段引入了生成模型,由生成模型不断生成样本,扩充了原有标签样本集,可辅助入侵检测模型分类,提高了模型检测准确率,提升了执行多分类任务时对入侵行为的识别能力,为增强入侵检测模型泛化能力提供了一种有效的方法。(3)针对僵尸网络通讯行为呈现出的同步性和关联性等时序特征,提出了一种新的基于LSTM网络的僵尸网络检测模型,研究了多种类型僵尸网络基于网络流量的通讯行为特点,提取网络流的长度、重连接次数、持续时间、交换数据包数等特征,研究了在不同网络结构及不同学习率条件下,该模型的准确率、精确率、误报率等检测性能指标。实验结果表明,与基于人工神经网络的检测模型和基于决策树的检测分类方法相比,该模型能够较好地建模僵尸网络通讯连接间的时序特性,进一步提高了对僵尸网络通讯连接的检测准确率,降低了误报率,同时具备对未知僵尸网络及采用了私有加密协议僵尸网络的检测能力,为基于时序的网络异常检测技术提供了一种可行的建模方法。(4)在基于生成式对抗网络的入侵检测技术研究成果基础上,将生成式对抗网络应用到僵尸网络检测领域,研究了生成式对抗网络在僵尸网络检测领域的建模方法,首次提出了一种基于生成式对抗网络的僵尸网络检测框架。实验表明,与原检测模型相比,通过框架训练后的僵尸网络检测模型,进一步提高了对僵尸网络通讯连接的检测发现能力,降低了误报率。
【图文】:
图 1. 2 GitHub 平台各种深度学习框架的排名情况学习研究的深入,各种开源深度学习框架也层出不穷。谷歌深let 发布了 GitHub 平台上各种深度学习框架的使用排名情况。截 Theano 分列第 2 名和第 5 名,如图 1.2 所示。了 Theano 和 Keras 2 种深度学习框架实现基于深度学习的网络传统的模型检测性能进行比较,还利用数据挖掘和机器学习著随机森林,SVM 等多个传统机器学习模型的创建、训练和测试度学习框架 Theano架[83]由蒙特利尔大学 2008 年研发,是一个基于高性能符号计稳定的深度学习开源框架之一。Theano 框架完全基于 Python键技术在于具备一个专门为满足神经网络训练所需大规模计算用户各种自定义数学运算,支持自动求导参数,支持循环控制。因此,Theano 框架可以有力支持神经网络和循环神经网络的向传播算法,算法实现简单高效且易于理解,是业界研究人员框架之一。
2.2 是展开后的循环神经网络结构,在时序 t 之前的所有状态将会表示为时,,并作用影响到时序 t,因此,循环神经网络是一种具有动态深层结构的学隐藏单元视为整个网络的存储空间,当按照时序将循环神经网络展开后,经网络记忆了到当前为止所有信息,是一种典型的端到端的学习方法。理网络可以学习任意长的序列信息,能够记住端到端的信息,体现了深度学图 2. 1 循环神经网络结构
【学位授予单位】:战略支援部队信息工程大学
【学位级别】:博士
【学位授予年份】:2018
【分类号】:TP393.08;TP181
本文编号:2653785
【图文】:
图 1. 2 GitHub 平台各种深度学习框架的排名情况学习研究的深入,各种开源深度学习框架也层出不穷。谷歌深let 发布了 GitHub 平台上各种深度学习框架的使用排名情况。截 Theano 分列第 2 名和第 5 名,如图 1.2 所示。了 Theano 和 Keras 2 种深度学习框架实现基于深度学习的网络传统的模型检测性能进行比较,还利用数据挖掘和机器学习著随机森林,SVM 等多个传统机器学习模型的创建、训练和测试度学习框架 Theano架[83]由蒙特利尔大学 2008 年研发,是一个基于高性能符号计稳定的深度学习开源框架之一。Theano 框架完全基于 Python键技术在于具备一个专门为满足神经网络训练所需大规模计算用户各种自定义数学运算,支持自动求导参数,支持循环控制。因此,Theano 框架可以有力支持神经网络和循环神经网络的向传播算法,算法实现简单高效且易于理解,是业界研究人员框架之一。
2.2 是展开后的循环神经网络结构,在时序 t 之前的所有状态将会表示为时,,并作用影响到时序 t,因此,循环神经网络是一种具有动态深层结构的学隐藏单元视为整个网络的存储空间,当按照时序将循环神经网络展开后,经网络记忆了到当前为止所有信息,是一种典型的端到端的学习方法。理网络可以学习任意长的序列信息,能够记住端到端的信息,体现了深度学图 2. 1 循环神经网络结构
【学位授予单位】:战略支援部队信息工程大学
【学位级别】:博士
【学位授予年份】:2018
【分类号】:TP393.08;TP181
【参考文献】
相关期刊论文 前5条
1 赵欣;叶茂;朱莺嘤;郑凯元;;一种基于序列挖掘的网络入侵检测新方法[J];计算机工程与应用;2010年05期
2 孟宪苹;宋菲;李俊;;基于序列模式挖掘的入侵检测系统的研究[J];计算机技术与发展;2008年03期
3 李川川;刘衍珩;田大新;;基于序列模式的网络入侵检测系统[J];吉林大学学报(工学版);2007年01期
4 赵峰;李庆华;赵彦斌;;网络入侵检测中序列模式挖掘技术研究[J];计算机科学;2004年03期
5 陈晓苏,尹宏斌,肖道举;入侵检测中的事件关联分析[J];华中科技大学学报(自然科学版);2003年04期
相关博士学位论文 前2条
1 王颖;僵尸网络对抗关键技术研究[D];北京邮电大学;2014年
2 蒋鸿玲;基于流量的僵尸网络检测方法研究[D];南开大学;2013年
本文编号:2653785
本文链接:https://www.wllwen.com/kejilunwen/zidonghuakongzhilunwen/2653785.html
