【摘要】：網(wǎng)絡(luò)異常檢測(cè)技術(shù)通過(guò)建立正常行為基準(zhǔn)來(lái)識(shí)別網(wǎng)絡(luò)異常行為,可以檢測(cè)出新型網(wǎng)絡(luò)攻擊行為,通用性較強(qiáng),在入侵檢測(cè)、僵尸網(wǎng)絡(luò)檢測(cè)等領(lǐng)域有著廣泛應(yīng)用,是業(yè)界研究熱點(diǎn)和重點(diǎn)。然而,隨著大數(shù)據(jù)時(shí)代來(lái)臨,攻擊方法日新月異,新型攻擊層出不窮,網(wǎng)絡(luò)攻擊呈現(xiàn)出泛在化、智能化、復(fù)雜化趨勢(shì),當(dāng)前網(wǎng)絡(luò)異常檢測(cè)技術(shù)難以滿足日益增長(zhǎng)的高檢測(cè)率、低誤報(bào)率的要求,主要存在以下3方面問(wèn)題:(1)采用傳統(tǒng)機(jī)器學(xué)習(xí)算法構(gòu)造的檢測(cè)模型在執(zhí)行多分類任務(wù)時(shí)檢測(cè)準(zhǔn)確率不高,檢測(cè)效果往往不佳。(2)大量標(biāo)簽樣本的獲取較為困難,有限的標(biāo)簽樣本只能反饋有限的信息,在少量的標(biāo)簽樣本環(huán)境下訓(xùn)練出來(lái)的有監(jiān)督分類模型往往影響了其檢測(cè)準(zhǔn)確率。(3)現(xiàn)有網(wǎng)絡(luò)異常檢測(cè)模型較少考慮學(xué)習(xí)異常行為在網(wǎng)絡(luò)連接方面呈現(xiàn)出的同步性和關(guān)聯(lián)性等時(shí)序特征,影響了其檢測(cè)效果。本文針對(duì)近年來(lái)入侵檢測(cè)、僵尸網(wǎng)絡(luò)檢測(cè)等領(lǐng)域現(xiàn)有網(wǎng)絡(luò)異常檢測(cè)技術(shù)存在的以上3方面問(wèn)題,以提高網(wǎng)絡(luò)異常檢測(cè)準(zhǔn)確率為主要研究目標(biāo),以基于深度學(xué)習(xí)的網(wǎng)絡(luò)異常檢測(cè)技術(shù)為主要研究?jī)?nèi)容,通過(guò)研究深度學(xué)習(xí)在入侵檢測(cè)和僵尸網(wǎng)絡(luò)檢測(cè)領(lǐng)域的建模應(yīng)用,進(jìn)一步提升分類模型檢測(cè)能力,解決了部分現(xiàn)有網(wǎng)絡(luò)異常檢測(cè)技術(shù)存在的問(wèn)題,拓展了深度學(xué)習(xí)在入侵檢測(cè)及僵尸網(wǎng)絡(luò)檢測(cè)領(lǐng)域的融合應(yīng)用,具有較高的應(yīng)用價(jià)值和現(xiàn)實(shí)意義。本文主要研究成果及創(chuàng)新點(diǎn)歸納如下:(1)針對(duì)網(wǎng)絡(luò)異常檢測(cè)技術(shù)在執(zhí)行多分類任務(wù)時(shí)檢測(cè)準(zhǔn)確率不高的問(wèn)題,提出了一種新的基于全連接循環(huán)神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)模型,分別研究了該模型在二分類和多分類任務(wù)下的訓(xùn)練方法,并與J48、人工神經(jīng)網(wǎng)絡(luò)、隨機(jī)森林、支持向量機(jī)等7種傳統(tǒng)機(jī)器學(xué)習(xí)方法在檢測(cè)準(zhǔn)確率方面進(jìn)行了比較。實(shí)驗(yàn)結(jié)果表明,基于全連接循環(huán)神經(jīng)網(wǎng)絡(luò)的分類模型在測(cè)試集上的檢測(cè)準(zhǔn)確率優(yōu)于相同條件下基于傳統(tǒng)機(jī)器學(xué)習(xí)的分類方法,尤其在執(zhí)行多分類任務(wù)時(shí)仍保持了較高的檢測(cè)準(zhǔn)確率,降低了誤報(bào)率,進(jìn)一步提升了對(duì)網(wǎng)絡(luò)攻擊行為的檢測(cè)能力,為入侵檢測(cè)領(lǐng)域提供了一種新的研究方法。(2)針對(duì)訓(xùn)練標(biāo)簽樣本較少?gòu)亩绊懹斜O(jiān)督分類模型檢測(cè)效果的問(wèn)題,借助生成式對(duì)抗網(wǎng)絡(luò)對(duì)抗交互訓(xùn)練的思想,研究了生成式對(duì)抗網(wǎng)絡(luò)在入侵檢測(cè)領(lǐng)域的應(yīng)用建模方法,首次提出一種基于生成式對(duì)抗網(wǎng)絡(luò)的入侵檢測(cè)框架,研究了在不同參數(shù)條件下采用該框架訓(xùn)練后的分類模型的檢測(cè)能力,并提出了相應(yīng)訓(xùn)練方法�？蚣茉谟�(xùn)練階段引入了生成模型,由生成模型不斷生成樣本,擴(kuò)充了原有標(biāo)簽樣本集,可輔助入侵檢測(cè)模型分類,提高了模型檢測(cè)準(zhǔn)確率,提升了執(zhí)行多分類任務(wù)時(shí)對(duì)入侵行為的識(shí)別能力,為增強(qiáng)入侵檢測(cè)模型泛化能力提供了一種有效的方法。(3)針對(duì)僵尸網(wǎng)絡(luò)通訊行為呈現(xiàn)出的同步性和關(guān)聯(lián)性等時(shí)序特征,提出了一種新的基于LSTM網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測(cè)模型,研究了多種類型僵尸網(wǎng)絡(luò)基于網(wǎng)絡(luò)流量的通訊行為特點(diǎn),提取網(wǎng)絡(luò)流的長(zhǎng)度、重連接次數(shù)、持續(xù)時(shí)間、交換數(shù)據(jù)包數(shù)等特征,研究了在不同網(wǎng)絡(luò)結(jié)構(gòu)及不同學(xué)習(xí)率條件下,該模型的準(zhǔn)確率、精確率、誤報(bào)率等檢測(cè)性能指標(biāo)。實(shí)驗(yàn)結(jié)果表明,與基于人工神經(jīng)網(wǎng)絡(luò)的檢測(cè)模型和基于決策樹的檢測(cè)分類方法相比,該模型能夠較好地建模僵尸網(wǎng)絡(luò)通訊連接間的時(shí)序特性,進(jìn)一步提高了對(duì)僵尸網(wǎng)絡(luò)通訊連接的檢測(cè)準(zhǔn)確率,降低了誤報(bào)率,同時(shí)具備對(duì)未知僵尸網(wǎng)絡(luò)及采用了私有加密協(xié)議僵尸網(wǎng)絡(luò)的檢測(cè)能力,為基于時(shí)序的網(wǎng)絡(luò)異常檢測(cè)技術(shù)提供了一種可行的建模方法。(4)在基于生成式對(duì)抗網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)研究成果基礎(chǔ)上,將生成式對(duì)抗網(wǎng)絡(luò)應(yīng)用到僵尸網(wǎng)絡(luò)檢測(cè)領(lǐng)域,研究了生成式對(duì)抗網(wǎng)絡(luò)在僵尸網(wǎng)絡(luò)檢測(cè)領(lǐng)域的建模方法,首次提出了一種基于生成式對(duì)抗網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)檢測(cè)框架。實(shí)驗(yàn)表明,與原檢測(cè)模型相比,通過(guò)框架訓(xùn)練后的僵尸網(wǎng)絡(luò)檢測(cè)模型,進(jìn)一步提高了對(duì)僵尸網(wǎng)絡(luò)通訊連接的檢測(cè)發(fā)現(xiàn)能力,降低了誤報(bào)率。
【圖文】：

圖 1. 2 GitHub 平臺(tái)各種深度學(xué)習(xí)框架的排名情況學(xué)習(xí)研究的深入，各種開源深度學(xué)習(xí)框架也層出不窮。谷歌深let 發(fā)布了 GitHub 平臺(tái)上各種深度學(xué)習(xí)框架的使用排名情況。截 Theano 分列第 2 名和第 5 名，如圖 1.2 所示。了 Theano 和 Keras 2 種深度學(xué)習(xí)框架實(shí)現(xiàn)基于深度學(xué)習(xí)的網(wǎng)絡(luò)傳統(tǒng)的模型檢測(cè)性能進(jìn)行比較，還利用數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)著隨機(jī)森林，SVM 等多個(gè)傳統(tǒng)機(jī)器學(xué)習(xí)模型的創(chuàng)建、訓(xùn)練和測(cè)試度學(xué)習(xí)框架 Theano架[83]由蒙特利爾大學(xué) 2008 年研發(fā)，是一個(gè)基于高性能符號(hào)計(jì)穩(wěn)定的深度學(xué)習(xí)開源框架之一。Theano 框架完全基于 Python鍵技術(shù)在于具備一個(gè)專門為滿足神經(jīng)網(wǎng)絡(luò)訓(xùn)練所需大規(guī)模計(jì)算用戶各種自定義數(shù)學(xué)運(yùn)算，支持自動(dòng)求導(dǎo)參數(shù)，支持循環(huán)控制。因此，Theano 框架可以有力支持神經(jīng)網(wǎng)絡(luò)和循環(huán)神經(jīng)網(wǎng)絡(luò)的向傳播算法，算法實(shí)現(xiàn)簡(jiǎn)單高效且易于理解，是業(yè)界研究人員框架之一。

2.2 是展開后的循環(huán)神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，在時(shí)序 t 之前的所有狀態(tài)將會(huì)表示為時(shí)，，并作用影響到時(shí)序 t，因此，循環(huán)神經(jīng)網(wǎng)絡(luò)是一種具有動(dòng)態(tài)深層結(jié)構(gòu)的學(xué)隱藏單元視為整個(gè)網(wǎng)絡(luò)的存儲(chǔ)空間，當(dāng)按照時(shí)序?qū)⒀h(huán)神經(jīng)網(wǎng)絡(luò)展開后，經(jīng)網(wǎng)絡(luò)記憶了到當(dāng)前為止所有信息，是一種典型的端到端的學(xué)習(xí)方法。理網(wǎng)絡(luò)可以學(xué)習(xí)任意長(zhǎng)的序列信息，能夠記住端到端的信息，體現(xiàn)了深度學(xué)圖 2. 1 循環(huán)神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)
【學(xué)位授予單位】：戰(zhàn)略支援部隊(duì)信息工程大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位授予年份】：2018
【分類號(hào)】：TP393.08;TP181

【參考文獻(xiàn)】

相關(guān)期刊論文 前5條

1 趙欣;葉茂;朱鶯嚶;鄭凱元;;一種基于序列挖掘的網(wǎng)絡(luò)入侵檢測(cè)新方法[J];計(jì)算機(jī)工程與應(yīng)用;2010年05期

2 孟憲蘋;宋菲;李俊;;基于序列模式挖掘的入侵檢測(cè)系統(tǒng)的研究[J];計(jì)算機(jī)技術(shù)與發(fā)展;2008年03期

3 李川川;劉衍珩;田大新;;基于序列模式的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[J];吉林大學(xué)學(xué)報(bào)(工學(xué)版);2007年01期

4 趙峰;李慶華;趙彥斌;;網(wǎng)絡(luò)入侵檢測(cè)中序列模式挖掘技術(shù)研究[J];計(jì)算機(jī)科學(xué);2004年03期

5 陳曉蘇,尹宏斌,肖道舉;入侵檢測(cè)中的事件關(guān)聯(lián)分析[J];華中科技大學(xué)學(xué)報(bào)(自然科學(xué)版);2003年04期

相關(guān)博士學(xué)位論文 前2條

1 王穎;僵尸網(wǎng)絡(luò)對(duì)抗關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2014年

2 蔣鴻玲;基于流量的僵尸網(wǎng)絡(luò)檢測(cè)方法研究[D];南開大學(xué);2013年

本文編號(hào)：2653785