基于深度学习的网络入侵检测研究综述
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
本文综述了利用深度学习方法进行网络异常 检测的最新 研 究 进 展,旨 在 系 统 地 梳 理 这 一 方 向 最新的研究 工 作,并 讨 论 目 前 存 在 的 问 题 和 发 展 方向:①总结 了 目 前 基 于 深 度 学 习 的 入 侵 检 测 常 用的输入特 征 及 相 关 预 处 理 方 式;② 介 绍 了 几 种 典型的深度 学 习 模 型 及 选 择 方 式;③ 总 结 了 利 用 深度学习可 以 实 现 的 几 种 不 同 的 检 测 任 务;④ 讨
18
广州大学学报(自然科学版)
第 18卷
论了目前存在的若干问题和发展方向.
1 特征选择
利用深度学习进行入侵检测时首先需要从原 始网络数据 中 提 取 出 流 量 的 行 为 特 征.流 量 的 行 为特征通常 指 的 是 流 级 特 征,即 将 网 络 数 据 按 照 源 IP、目的 IP、源端口、目的端口、协议聚合后提取 的特征.这些特征通常可以分为统计特征、时序特 征、协议特征、有效载荷特征四种. 1.1 统计特征
第 18卷 第 3期
2019年 6月
广州大学学报(自然科学版)
JournalofGuangzhouUniversity(NaturalScienceEdition)
文章编号:16714229(2019)03001710
Vol.18 No.3 Jun. 2019
基于深度学习的网络入侵检测研究综述
张勇东,陈思洋,彭雨荷,杨 坚
收稿日期:2018-03-21; 修回日期:2018-05-16 基金项目:国家重点研发计划资助项目(2018YFF01012200) 作者简介:张勇东(1973—),男,教授,博士生导师.Email:zhyd73@ustc.edu.cn 通信作者.Email:jianyang@ustc.edu.cn
入侵检测(ID)是网络安全的核心要素[3].入 侵检测的主要目的是识别网络和计算机系统中入 侵者引起的异常行为.根据入侵检测的执行位置, 存在两种不 同 类 型 的 入 侵 检 测:基 于 主 机 的 入 侵 检测和基于 网 络 的 入 侵 检 测.根 据 如 何 进 行 入 侵 检测,IDS可 以 实 现 误 用 检 测 (基 于 签 名 )和 异 常 检测[4-5].误用 检 测 通 过 对 已 知 的 攻 击 行 为 进 行 分析,提取攻 击 特 征,建 立 相 应 的 攻 击 签 名 库,利 用文件或者网络流量数据与攻击签名的匹配情况 判断入侵行为;而异常检测首先构建主机、用户或 网络连接的 正 常 行 为 描 述,通 过 判 断 所 检 测 到 的 行为是否偏 离 了 正 常 行 为 模 式,从 而 判 断 是 否 发 生了入侵行为.
(中国科学技术大学 信息科学技术学院,安徽 合肥 230027)
摘 要:互联网的不断发展与广泛使用给网络用户带来了极大的方便,但同时也使得网络安全形势变得越来 越严峻.传统的基于签名的入侵检测方法难以应对日益增多的加密攻击检测和零日攻击检测问题.在过去的几 年里,人们对基于深度学习的入侵检测技术给予了极大的关注.文章通过广泛的文献调查,介绍了利用深度学 习技术进行网络异常检测的最新工作:①总结了网络入侵检测常用的输入特征和相关预处理操作;②概括了几 种常见的深度学习模型及其特点,并结合输入特征讨论了各个模型的选择方法;③总结了深度学习方法能够解 决的几种常见的入侵检测问题;④讨论了利用深度学习进行入侵检测时仍然存在的若干挑战与问题. 关键词:入侵检测;异常检测;深度学习;网络安全 中图分类号:TP393 文献标志码:A
根据 《互联网安全威胁报告》(简称 ISTR), 2015年,大约有 4.3亿新恶意软件变种、362个加 密勒索软件 和 其 他 互 联 网 威 胁 被 发 现[1].网 络 犯 罪和威胁活动已成为日常生活的重要组成部分, 网络安全的 重 要 性 日 益 成 为 人 们 关 注 的 焦 点.近 年,一款勒索软件“WannaCry”于 2017年 5月 12 日在 150多个国家的 1万多家组织中发起攻击, 显示出新兴网络攻击的影响日益严重[2].
但统计特 征 数 量 较 少,输 入 维 度 较 低,因 此, 大多数研究仅在经典机器学习中应用统计特征以 构建更简单 的 分 类 器.此 外,为 了 获 得 统 计 特 征, 分类器通常 需 要 观 察 流 的 全 部 或 大 部 分.虽 然 已 经有研究证明,根据数据集和统计特征的选择,从 前 10到 180个数据包获得的统计特征可能足以 进行分类,但是因为它需要捕获大量流,以从中获 得可靠的统 计 特 征,所 以 可 能 不 适 合 用 于 在 线 分 类和快速分 类.而 且,在 某 些 情 况 下,统 计 特 征 的 选择可能会 受 到 特 定 用 户 的 行 为、特 定 操 作 系 统 的模式或特定网络条件的影响.
误用检测是发展最成熟、应用最广泛的技术.
大部分商用的入侵检测系统主要采用基于误用的 检测方法,并 依 靠 不 断 提 升 规 则 库 的 完 备 性 来 提 升检测的可 靠 性.误 用 检 测 可 以 有 效 地 检 测 已 知 的攻击行为,并 且 具 有 较 高 的 准 确 率.然 而,由 于 误用检测的基础是已知的攻击签名和可获取的数 据包载荷,因此,误用检测通常难以应对加密攻击 检测和零日 攻 击 检 测 问 题.异 常 检 测 通 过 分 析 流 量的行为模式来检测那些偏离正常行为的异常流 量.异常检测 在 已 知 攻 击 时 的 准 确 率 不 如 误 用 检 测,而且经常 面 临 着 高 误 报 率 的 问 题.然 而,由 于 基于异常的入侵检测方法不需要分析数据包的有 效载荷,并且 可 以 只 利 用 正 常 流 量 就 可 以 检 测 出 异常流量,因此,异常检测在检测加密攻击和零日 攻击时具有 无 与 伦 比 的 优 势,针 对 异 常 检 测 的 研 究受到了广泛的关注.
在数据传 输 时,可 以 从 整 个 数 据 流 中 获 得 许 多统计特征,例 如 数 据 包 的 平 均 长 度 和 最 小 到 达 间隔时间.许 多 研 究 已 经 验 证 了 统 计 特 征 用 于 分 类可以得到较高精度的结果,如 Roughan等[的 数 据 包 和 均 方 根 数 据 包 大 小等统计特征,在服务类型分类中最低仅有 5.1% 的误报率,取得了较好的结果.
18
广州大学学报(自然科学版)
第 18卷
论了目前存在的若干问题和发展方向.
1 特征选择
利用深度学习进行入侵检测时首先需要从原 始网络数据 中 提 取 出 流 量 的 行 为 特 征.流 量 的 行 为特征通常 指 的 是 流 级 特 征,即 将 网 络 数 据 按 照 源 IP、目的 IP、源端口、目的端口、协议聚合后提取 的特征.这些特征通常可以分为统计特征、时序特 征、协议特征、有效载荷特征四种. 1.1 统计特征
第 18卷 第 3期
2019年 6月
广州大学学报(自然科学版)
JournalofGuangzhouUniversity(NaturalScienceEdition)
文章编号:16714229(2019)03001710
Vol.18 No.3 Jun. 2019
基于深度学习的网络入侵检测研究综述
张勇东,陈思洋,彭雨荷,杨 坚
收稿日期:2018-03-21; 修回日期:2018-05-16 基金项目:国家重点研发计划资助项目(2018YFF01012200) 作者简介:张勇东(1973—),男,教授,博士生导师.Email:zhyd73@ustc.edu.cn 通信作者.Email:jianyang@ustc.edu.cn
入侵检测(ID)是网络安全的核心要素[3].入 侵检测的主要目的是识别网络和计算机系统中入 侵者引起的异常行为.根据入侵检测的执行位置, 存在两种不 同 类 型 的 入 侵 检 测:基 于 主 机 的 入 侵 检测和基于 网 络 的 入 侵 检 测.根 据 如 何 进 行 入 侵 检测,IDS可 以 实 现 误 用 检 测 (基 于 签 名 )和 异 常 检测[4-5].误用 检 测 通 过 对 已 知 的 攻 击 行 为 进 行 分析,提取攻 击 特 征,建 立 相 应 的 攻 击 签 名 库,利 用文件或者网络流量数据与攻击签名的匹配情况 判断入侵行为;而异常检测首先构建主机、用户或 网络连接的 正 常 行 为 描 述,通 过 判 断 所 检 测 到 的 行为是否偏 离 了 正 常 行 为 模 式,从 而 判 断 是 否 发 生了入侵行为.
(中国科学技术大学 信息科学技术学院,安徽 合肥 230027)
摘 要:互联网的不断发展与广泛使用给网络用户带来了极大的方便,但同时也使得网络安全形势变得越来 越严峻.传统的基于签名的入侵检测方法难以应对日益增多的加密攻击检测和零日攻击检测问题.在过去的几 年里,人们对基于深度学习的入侵检测技术给予了极大的关注.文章通过广泛的文献调查,介绍了利用深度学 习技术进行网络异常检测的最新工作:①总结了网络入侵检测常用的输入特征和相关预处理操作;②概括了几 种常见的深度学习模型及其特点,并结合输入特征讨论了各个模型的选择方法;③总结了深度学习方法能够解 决的几种常见的入侵检测问题;④讨论了利用深度学习进行入侵检测时仍然存在的若干挑战与问题. 关键词:入侵检测;异常检测;深度学习;网络安全 中图分类号:TP393 文献标志码:A
根据 《互联网安全威胁报告》(简称 ISTR), 2015年,大约有 4.3亿新恶意软件变种、362个加 密勒索软件 和 其 他 互 联 网 威 胁 被 发 现[1].网 络 犯 罪和威胁活动已成为日常生活的重要组成部分, 网络安全的 重 要 性 日 益 成 为 人 们 关 注 的 焦 点.近 年,一款勒索软件“WannaCry”于 2017年 5月 12 日在 150多个国家的 1万多家组织中发起攻击, 显示出新兴网络攻击的影响日益严重[2].
但统计特 征 数 量 较 少,输 入 维 度 较 低,因 此, 大多数研究仅在经典机器学习中应用统计特征以 构建更简单 的 分 类 器.此 外,为 了 获 得 统 计 特 征, 分类器通常 需 要 观 察 流 的 全 部 或 大 部 分.虽 然 已 经有研究证明,根据数据集和统计特征的选择,从 前 10到 180个数据包获得的统计特征可能足以 进行分类,但是因为它需要捕获大量流,以从中获 得可靠的统 计 特 征,所 以 可 能 不 适 合 用 于 在 线 分 类和快速分 类.而 且,在 某 些 情 况 下,统 计 特 征 的 选择可能会 受 到 特 定 用 户 的 行 为、特 定 操 作 系 统 的模式或特定网络条件的影响.
误用检测是发展最成熟、应用最广泛的技术.
大部分商用的入侵检测系统主要采用基于误用的 检测方法,并 依 靠 不 断 提 升 规 则 库 的 完 备 性 来 提 升检测的可 靠 性.误 用 检 测 可 以 有 效 地 检 测 已 知 的攻击行为,并 且 具 有 较 高 的 准 确 率.然 而,由 于 误用检测的基础是已知的攻击签名和可获取的数 据包载荷,因此,误用检测通常难以应对加密攻击 检测和零日 攻 击 检 测 问 题.异 常 检 测 通 过 分 析 流 量的行为模式来检测那些偏离正常行为的异常流 量.异常检测 在 已 知 攻 击 时 的 准 确 率 不 如 误 用 检 测,而且经常 面 临 着 高 误 报 率 的 问 题.然 而,由 于 基于异常的入侵检测方法不需要分析数据包的有 效载荷,并且 可 以 只 利 用 正 常 流 量 就 可 以 检 测 出 异常流量,因此,异常检测在检测加密攻击和零日 攻击时具有 无 与 伦 比 的 优 势,针 对 异 常 检 测 的 研 究受到了广泛的关注.
在数据传 输 时,可 以 从 整 个 数 据 流 中 获 得 许 多统计特征,例 如 数 据 包 的 平 均 长 度 和 最 小 到 达 间隔时间.许 多 研 究 已 经 验 证 了 统 计 特 征 用 于 分 类可以得到较高精度的结果,如 Roughan等[的 数 据 包 和 均 方 根 数 据 包 大 小等统计特征,在服务类型分类中最低仅有 5.1% 的误报率,取得了较好的结果.