發(fā)布時(shí)間：2022-01-16 15:56

　　對(duì)網(wǎng)站惡意攻擊展開(kāi)研究,通過(guò)在單機(jī)環(huán)境和具有1臺(tái)服務(wù)器、2臺(tái)客戶(hù)機(jī)的局域網(wǎng)環(huán)境下模擬暴力破解、撞庫(kù)、分布式拒絕服務(wù)攻擊網(wǎng)站,以人工標(biāo)注網(wǎng)站日志數(shù)據(jù),訓(xùn)練一個(gè)LSTM網(wǎng)絡(luò)分類(lèi)模型,利用監(jiān)控腳本在線監(jiān)控網(wǎng)站日志,將日志數(shù)據(jù)轉(zhuǎn)換成結(jié)構(gòu)化數(shù)據(jù)并輸入訓(xùn)練好的LSTM網(wǎng)絡(luò)進(jìn)行分類(lèi),以區(qū)分惡意攻擊產(chǎn)生的日志和正常日志,達(dá)到識(shí)別惡意攻擊類(lèi)型的目的。在測(cè)試集數(shù)據(jù)上,分類(lèi)準(zhǔn)確率達(dá)到99%以上。按類(lèi)似的思路,還構(gòu)建一個(gè)基于自編碼器和LSTM網(wǎng)絡(luò)的分類(lèi)模型,用KDD99數(shù)據(jù)集對(duì)該分類(lèi)器進(jìn)行訓(xùn)練和測(cè)試。實(shí)驗(yàn)結(jié)果表明,平均分類(lèi)準(zhǔn)確率約為99. 7%,明顯優(yōu)于其他比較方法。網(wǎng)絡(luò)攻擊數(shù)據(jù)通常隱式地具有序列特征,將分類(lèi)問(wèn)題轉(zhuǎn)換為序列標(biāo)注問(wèn)題,并用深度學(xué)習(xí)技術(shù)來(lái)求解,其整體解決思路是合理且有效的,可為后續(xù)的安全防護(hù)提供有效支持。 

【文章來(lái)源】：計(jì)算機(jī)應(yīng)用研究. 2020,37(S1)北大核心CSCD

【文章頁(yè)數(shù)】：5 頁(yè)

【部分圖文】：

模擬攻擊的基本框架4深度學(xué)習(xí)算法的分析與識(shí)別

據(jù)分析。筆者在單機(jī)環(huán)境和具有1臺(tái)服務(wù)器、2臺(tái)客戶(hù)機(jī)的局域網(wǎng)環(huán)境下使用BurpSuite［23］模擬暴力破解攻擊、撞庫(kù)攻擊網(wǎng)站，使用LOIC低軌道離子炮模擬DDoS攻擊網(wǎng)站。通過(guò)查看Nginx日志文件，發(fā)現(xiàn)暴力破解攻擊和撞庫(kù)攻擊在日志中的體現(xiàn)均是短時(shí)間內(nèi)有大量的訪問(wèn)，DDoS攻擊在日志中的體現(xiàn)是在短時(shí)間內(nèi)有大量IP訪問(wèn)占用服務(wù)器資源。圖2模擬攻擊的基本框架4深度學(xué)習(xí)算法的分析與識(shí)別4．1算法分析與識(shí)別的基本處理流程基于深度學(xué)習(xí)的算法分析與識(shí)別的基本處理流程如圖3所示。首先結(jié)構(gòu)化日志數(shù)據(jù)，將日志數(shù)據(jù)映射到歐氏空間，再將數(shù)據(jù)標(biāo)記，輸入循環(huán)神經(jīng)網(wǎng)絡(luò)［24，25］(recurrentneuralnetwork，RNN)訓(xùn)練模型，模型訓(xùn)練好后，輸入未標(biāo)記數(shù)據(jù)，可輸出分類(lèi)好的數(shù)據(jù)。圖3深度學(xué)習(xí)算法的基本處理流程4．2數(shù)據(jù)來(lái)源與處理4．2．1Nginx日志數(shù)據(jù)Nginx日志數(shù)據(jù)包含諸多信息，能夠反映不同事件的特征，但數(shù)據(jù)本身并非結(jié)構(gòu)化數(shù)據(jù)。Nginx日志數(shù)據(jù)格式如下:log_formataccess"$remote_addr－$remote_user［$time_local］″$request″""$status$body_bytes_sent″$http_referer″""″$http_user_agent″$http_x_forwarded_for"。其中:$http_x_forwarded_for與$remote_addr記錄客戶(hù)端的IP地址;$remote_user記錄客戶(hù)端用戶(hù)名稱(chēng);$time_local記錄訪問(wèn)時(shí)間與時(shí)區(qū);$request用來(lái)記錄請(qǐng)求的URL與HTTP協(xié)議;$status記錄請(qǐng)求狀態(tài)，如成功狀態(tài)用200表示;$body_bytes_sent記錄發(fā)送給客戶(hù)端文件主體內(nèi)容大小;$http_referer記錄從哪個(gè)頁(yè)面鏈接訪問(wèn)過(guò)來(lái);$http_user_agent

組形式。由于深度學(xué)習(xí)模型時(shí)間步為20，需要將數(shù)據(jù)拼接成序列并轉(zhuǎn)換數(shù)據(jù)維度。得到可輸入訓(xùn)練好的循環(huán)神經(jīng)網(wǎng)絡(luò)模型后，讀取模型文件，輸入數(shù)據(jù)，得到輸出結(jié)果(即攻擊類(lèi)型)，最后把受到攻擊所對(duì)應(yīng)的日志輸入數(shù)據(jù)庫(kù)。當(dāng)未產(chǎn)生數(shù)據(jù)時(shí)，同樣以某個(gè)值刷新數(shù)據(jù)，在此，每0.8s刷新一次，同樣可以調(diào)整0．8s這個(gè)參數(shù)。由于本文用模擬攻擊生成在線分析日志，經(jīng)過(guò)訓(xùn)練模型的分類(lèi)，其分類(lèi)準(zhǔn)確率可達(dá)99%以上，體現(xiàn)模型能更好地滿(mǎn)足在線系統(tǒng)對(duì)實(shí)時(shí)處理性能的要求，這對(duì)于在線入侵檢測(cè)系統(tǒng)是很有意義的。圖7測(cè)試集準(zhǔn)確率的變化曲線圖8損失函數(shù)值、測(cè)試集準(zhǔn)確率的變化曲線圖9在線分析與識(shí)別日志的結(jié)構(gòu)5與其他方法的對(duì)比實(shí)驗(yàn)本文基于深度學(xué)習(xí)技術(shù)的惡意攻擊的分析與識(shí)別本質(zhì)上是一個(gè)分類(lèi)模型，針對(duì)要解決的訪問(wèn)數(shù)據(jù)序列標(biāo)注問(wèn)題進(jìn)行構(gòu)建，其構(gòu)建思路分為三個(gè)流程:a)數(shù)據(jù)預(yù)處理;b)訓(xùn)練基于深度學(xué)習(xí)的分類(lèi)網(wǎng)絡(luò);c)將未標(biāo)記數(shù)據(jù)輸入分類(lèi)網(wǎng)絡(luò)進(jìn)行分類(lèi)，輸出分類(lèi)結(jié)果。為了進(jìn)一步體現(xiàn)該思路的合理性和有效性，下面選擇KDD99數(shù)據(jù)集作為測(cè)試集，并與一些流行的入侵檢測(cè)方法得到的實(shí)驗(yàn)結(jié)果進(jìn)行比較。KDD99是美國(guó)國(guó)防部高級(jí)規(guī)劃署與麻省理工大學(xué)林肯實(shí)驗(yàn)室聯(lián)合進(jìn)行的一項(xiàng)入侵檢測(cè)評(píng)估項(xiàng)目所產(chǎn)生的模擬數(shù)據(jù)集，數(shù)據(jù)總量近五百萬(wàn)條，其中包含標(biāo)志為normal的正常訪問(wèn)數(shù)據(jù)和22種攻擊數(shù)據(jù)，這些攻擊數(shù)據(jù)歸屬為Probe(或Probing)、DoS(denialofservice)、R2L(remotetolocal)、U2R(或U2L，usertoroot)四種攻擊大類(lèi)［3，4］，每條數(shù)據(jù)共41個(gè)特征。本文采用如圖10所示的框架來(lái)進(jìn)行實(shí)驗(yàn)。首先需要對(duì)KDD99數(shù)據(jù)集作預(yù)處理，

【參考文獻(xiàn)】：
期刊論文
[1]基于時(shí)序圖像深度學(xué)習(xí)的電熔鎂爐異常工況診斷[J]. 吳高昌,劉強(qiáng),柴天佑,秦泗釗.  自動(dòng)化學(xué)報(bào). 2019(08)
[2]基于感知哈希矩陣的最近鄰入侵檢測(cè)算法[J]. 江澤濤,周譚盛子,韓立堯.  電子學(xué)報(bào). 2019(07)
[3]基于KELM選擇性集成的復(fù)雜網(wǎng)絡(luò)環(huán)境入侵檢測(cè)[J]. 劉金平,何捷舟,馬天雨,張五霞,唐朝暉,徐鵬飛.  電子學(xué)報(bào). 2019(05)
[4]SDN中基于信息熵與DNN的DDoS攻擊檢測(cè)模型[J]. 張龍,王勁松.  計(jì)算機(jī)研究與發(fā)展. 2019(05)
[5]基于KNN離群點(diǎn)檢測(cè)和隨機(jī)森林的多層入侵檢測(cè)方法[J]. 任家東,劉新倩,王倩,何海濤,趙小林.  計(jì)算機(jī)研究與發(fā)展. 2019(03)
[6]一種針對(duì)基于SVM入侵檢測(cè)系統(tǒng)的毒性攻擊方法[J]. 錢(qián)亞冠,盧紅波,紀(jì)守領(lǐng),周武杰,吳淑慧,雷景生,陶祥興.  電子學(xué)報(bào). 2019(01)
[7]基于dCNN的入侵檢測(cè)方法[J]. 張思聰,謝曉堯,徐洋.  清華大學(xué)學(xué)報(bào)(自然科學(xué)版). 2019(01)
[8]深度學(xué)習(xí)中的對(duì)抗樣本問(wèn)題[J]. 張思思,左信,劉建偉.  計(jì)算機(jī)學(xué)報(bào). 2019(08)
[9]機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究中的應(yīng)用[J]. 張蕾,崔勇,劉靜,江勇,吳建平.  計(jì)算機(jī)學(xué)報(bào). 2018(09)
[10]無(wú)組織惡意攻擊檢測(cè)問(wèn)題的研究[J]. 龐明,周志華.  中國(guó)科學(xué):信息科學(xué). 2018(02)



本文編號(hào)：3592981