基于机器学习的网络攻击智能发现技术研究
发布时间:2021-06-06 01:22
在网络技术飞速发展的同时,各种新型攻击层出不穷,导致网络环境变得日益复杂。同时多样的攻击类型与有限的安全规则之间的矛盾导致了网络攻击检测面临着巨大的挑战。机器学习技术的出现使实现更加复杂、更加准确的网络攻击检测成为了可能。本文提出一种基于机器学习的网络攻击智能发现技术,利用监督学习、无监督学习、信息熵等方法实现对网络攻击的高效检测与智能发现。首先针对U2R、R2L等特定网络攻击难以检测的问题,本文根据信息熵理论提出一种基于信息增益的网络流量特征分析方法。在此方法中,本文将网络流量中不同特征给系统带来的信息增益作为特征贡献度,一方面基于特征贡献度进行特征选择以减少冗余特征降低特征维度,另一方面基于特征贡献度进行特征加权以提高对特定难以检测攻击的效果。实验显示对于一些传统机器学习难以检测的攻击,本方法也有着较大的效果提升。其次针对传统机器学习方法适用性低,网络攻击检测效果不佳的问题,为提高攻击检测精确率和查全率并降低误报率,本文提出一种监督学习和无监督学习结合的网络攻击智能检测算法TNN。TNN针对KNN算法在性能和适用性方面的缺陷,结合无监督聚类与有监督分类各自的优势,提出一种基于三角距...
【文章来源】:国防科技大学湖南省 211工程院校 985工程院校
【文章页数】:70 页
【学位级别】:硕士
【部分图文】:
017网络攻击
国防科技大学研究生院硕士学位论文第4页图1.2我国境内感染主机数据CNCERT监测报告,目前我国联网设备种活跃着大量各种类型的恶意程序,主要包括Ddosf、Dofloo、Gafgyt、MrBlack、Persirai、Sotdas、Tsunami、Triddy、Mirai、Moose、Teaper、Satori等。这些恶意程序严重威胁着用户隐私、造成用户信息泄露,或者控制用户机器发起僵尸网络攻击。由于恶意程序结构复杂、变种多样、更新升级快,对网络设备的安全防护带来了巨大的难度。1.1.2网络安全面临挑战网络的安全威胁如今日趋凸显,研究人员根据现实中网络所面临主要威胁进行了大量研究[4,5],其中主要的四个方面包括:网络入侵检测(包括DDoS攻击),恶意软件检测,垃圾邮件/钓鱼邮件检测,网页篡改。而在其中,又以网络入侵问题最为严重。目前网络入侵检测领域,根据检测机制的部署位置与被检测目标两个因素考虑主要分为两类:一是基于转发设备的网络异常流量检测。该类型检测机制通常部署在网络中的转发单元(如路由器等)中,主要利用预先定义的规则或基于机器学习方法训练所得到的固定模式对转发流量进行检测,从而判断是否有恶意流量;二是基于端系统的入侵检测。该类型检测机制部署在端系统中(通常为PC或其它接入设备),一般通过“攻击模式匹配”或“异常行为发现”两种方式进行检测。对于端系统的异常检测的研究相对较为常见。而由于实验条件限制,仅有部分具备实验条件的研究人员可以在大规模网络中对基于转发设备的网络异常检测进行了深入研究与实验验证。但是,无论哪种异常检测机制的研究,传统的检测方法一般都需要安全专家对攻击行为进行建模,并根据攻击行为与正常流量间的区别设计出静态规则对异常行为进行判别。
国防科技大学研究生院硕士学位论文第5页在机器学习技术应用到网络安全领域之前,网络异常检测通常使用基于安全专家根据经验或对攻击行为的分析所预定义的静态规则进行恶意流量检测。然而,随着网络业务日趋复杂,攻击行为的日益丰富和隐蔽,传统的网络异常检测机制面临两大问题:新型攻击行为增长速度远远高于安全专家发现与解决速度。传统的网络安全领域中,安全专家需要对攻击模式进行发现,分析原理及危害,并设计检测与防御规则。而根据1.1.1节的讨论,当前平均每天会产生多种不同网络攻击,单纯依靠网络专家的人力难以完成如此大的工作量,这导致了安全问题中“攻击”和“检测”间严重失衡,如图1.3。而该问题的本质就是单纯依靠人力的检测机制的效率低下。图1.3网络安全回环中的攻击与检测间失衡问题攻击行为复杂带来的规则更新日趋复杂,并可能与历史规则产生冲突。当安全威胁被发现后,安全专家需要设计规则对所发现的威胁进行有效检测与防御。但同时,专家们也要考虑新的规则不应当对其它历史规则产生影响,这个问题随着规规模的增大将变得困难,甚至在有些情况下成为无法解决的问题。这就更增加了检测与防御的难度,也就使得攻击与检测间失衡的问题更加严重。这种失衡严重影响网络安全性,并使得网络安全的问题日益突出。1.2国内外研究现状网络入侵检测和入侵防御作为网络安全中的重要一环,在防范网络攻击上具有重要的作用。IDS(入侵检测系统)主要优势是监听网络流量进行攻击威胁检测,而不影响网络的性能,它提供了对内部攻击、外部攻击和误操作的实时防护。在大型、复杂的计算机网络中布置入侵检测系统可以显著提高网络安全管理的质量。1.2.1入侵检测与防御方法
本文编号:3213303
【文章来源】:国防科技大学湖南省 211工程院校 985工程院校
【文章页数】:70 页
【学位级别】:硕士
【部分图文】:
017网络攻击
国防科技大学研究生院硕士学位论文第4页图1.2我国境内感染主机数据CNCERT监测报告,目前我国联网设备种活跃着大量各种类型的恶意程序,主要包括Ddosf、Dofloo、Gafgyt、MrBlack、Persirai、Sotdas、Tsunami、Triddy、Mirai、Moose、Teaper、Satori等。这些恶意程序严重威胁着用户隐私、造成用户信息泄露,或者控制用户机器发起僵尸网络攻击。由于恶意程序结构复杂、变种多样、更新升级快,对网络设备的安全防护带来了巨大的难度。1.1.2网络安全面临挑战网络的安全威胁如今日趋凸显,研究人员根据现实中网络所面临主要威胁进行了大量研究[4,5],其中主要的四个方面包括:网络入侵检测(包括DDoS攻击),恶意软件检测,垃圾邮件/钓鱼邮件检测,网页篡改。而在其中,又以网络入侵问题最为严重。目前网络入侵检测领域,根据检测机制的部署位置与被检测目标两个因素考虑主要分为两类:一是基于转发设备的网络异常流量检测。该类型检测机制通常部署在网络中的转发单元(如路由器等)中,主要利用预先定义的规则或基于机器学习方法训练所得到的固定模式对转发流量进行检测,从而判断是否有恶意流量;二是基于端系统的入侵检测。该类型检测机制部署在端系统中(通常为PC或其它接入设备),一般通过“攻击模式匹配”或“异常行为发现”两种方式进行检测。对于端系统的异常检测的研究相对较为常见。而由于实验条件限制,仅有部分具备实验条件的研究人员可以在大规模网络中对基于转发设备的网络异常检测进行了深入研究与实验验证。但是,无论哪种异常检测机制的研究,传统的检测方法一般都需要安全专家对攻击行为进行建模,并根据攻击行为与正常流量间的区别设计出静态规则对异常行为进行判别。
国防科技大学研究生院硕士学位论文第5页在机器学习技术应用到网络安全领域之前,网络异常检测通常使用基于安全专家根据经验或对攻击行为的分析所预定义的静态规则进行恶意流量检测。然而,随着网络业务日趋复杂,攻击行为的日益丰富和隐蔽,传统的网络异常检测机制面临两大问题:新型攻击行为增长速度远远高于安全专家发现与解决速度。传统的网络安全领域中,安全专家需要对攻击模式进行发现,分析原理及危害,并设计检测与防御规则。而根据1.1.1节的讨论,当前平均每天会产生多种不同网络攻击,单纯依靠网络专家的人力难以完成如此大的工作量,这导致了安全问题中“攻击”和“检测”间严重失衡,如图1.3。而该问题的本质就是单纯依靠人力的检测机制的效率低下。图1.3网络安全回环中的攻击与检测间失衡问题攻击行为复杂带来的规则更新日趋复杂,并可能与历史规则产生冲突。当安全威胁被发现后,安全专家需要设计规则对所发现的威胁进行有效检测与防御。但同时,专家们也要考虑新的规则不应当对其它历史规则产生影响,这个问题随着规规模的增大将变得困难,甚至在有些情况下成为无法解决的问题。这就更增加了检测与防御的难度,也就使得攻击与检测间失衡的问题更加严重。这种失衡严重影响网络安全性,并使得网络安全的问题日益突出。1.2国内外研究现状网络入侵检测和入侵防御作为网络安全中的重要一环,在防范网络攻击上具有重要的作用。IDS(入侵检测系统)主要优势是监听网络流量进行攻击威胁检测,而不影响网络的性能,它提供了对内部攻击、外部攻击和误操作的实时防护。在大型、复杂的计算机网络中布置入侵检测系统可以显著提高网络安全管理的质量。1.2.1入侵检测与防御方法
本文编号:3213303
本文链接:https://www.wllwen.com/kejilunwen/zidonghuakongzhilunwen/3213303.html
