【摘要】：互聯(lián)網為高效的信息交流提供便利的同時也被惡意攻擊者們所利用。目前攻擊行為日趨復雜與隱蔽,對網絡安全構成的威脅日趨嚴重。盡管入侵檢測技術在抵御網絡攻擊等方面取得了一定的效果,但其本質上是一種被動防御機制,不具備對攻擊行為預測的能力。當今網絡環(huán)境中,更為積極主動的攻擊行為預測技術對大規(guī)模高強度攻擊防御尤為重要。傳統(tǒng)基于隱馬爾可夫的預測、基于貝葉斯的預測以及基于攻擊圖的攻擊預測研究都無法取得精確的預測效果。本文為解決攻擊預測研究中現(xiàn)存的問題,通過關注進程運行中產生的系統(tǒng)調用序列,構建了一種基于循環(huán)神經網絡的端到端攻擊行為預測模型。通過學習己知系統(tǒng)調用序列和預測序列的時序依賴關系映射,實現(xiàn)對網絡攻擊行為軌跡充分而精確的預測。本文為降低異常入侵檢測模型的誤報率,提出一種基于預測序列補充的異常入侵檢測模型訓練方法,并針對該方法構建了一種門控卷積神經網絡模型,有效提升了模型準確率和召回率。此外本文利用對抗樣本對模型的健壯性進行分析,并采取了相應的防御措施。本文主要成果如下:(1)構建一種基于循環(huán)神經網絡的端到端網絡攻擊預測模型。本文利用系統(tǒng)調用的語義性特征,將系統(tǒng)調用看作進程和操作系統(tǒng)交互的語言,使用循環(huán)神經網絡語言模型對己知序列建模,然后基于端到端架構構建預測模型,利用注意力機制捕捉預測序列和己知序列間的對齊關系,通過系統(tǒng)調用序列預測達到獲取攻擊意圖的目的。(2)提出一種基于預測序列補充的異常入侵檢測模型訓練方法。本文提出利用預測出的系統(tǒng)調用序列作為入侵檢測模型的訓練數(shù)據(jù)補充,并針對該方法構建了一種門控卷積神經網絡模型。相較于標準的訓練方法,預測序列能為模型提供更多有效信息,提高模型的檢測效果。在不同入侵檢測分類模型上的實驗結果展示,基于本文方法訓練的模型在表現(xiàn)上均高于標準方法訓練的模型。(3)通過研究對抗樣本,提高模型健壯性。本文通過對神經網絡對抗樣本進行攻防實驗分析,采取以下兩種措施保證本文模型的健壯性:1)通過研究深度學習梯度下降優(yōu)化算法的健壯性,為本文模型確定了更健壯的優(yōu)化算法。2)針對本文系統(tǒng)調用序列提出對抗樣本序列生成算法,用對抗訓練的方式提升模型健壯性。上述工作為網絡攻擊行為預測提供了新的研究思路,同時本文訓練的入侵檢測模型有明顯的效果提升。此外本文也為對序列模型的安全性研究提供了新的方法。本文工作具備較強的可遷移性,在實際網絡安全防御中有很好的實用性。
【學位授予單位】：北京交通大學
【學位級別】：碩士
【學位授予年份】：2019
【分類號】：TP393.08;TP183
【圖文】：

圖２－１端到端神經網絡架構中的注意力機制逡逑Ｆｉｇ．邋２－１邋Ｔｈｅ邋ａｔｔｅｎｔｉｏｎ邋ｍｅｃｈａｎｉｓｍ邋ｉｎ邋ｅｎｃｏｄｅｒ邋ｄｅｃｏｄｅｒ邋ｆｒａｍｅｗｏｒｋｓ逡逑

一l循環(huán)神經網絡結構圖

端到端系統(tǒng)調用序列預測模型

【參考文獻】

相關期刊論文 前5條

1 陳鋒;張怡;蘇金樹;韓文報;;攻擊圖的兩種形式化分析[J];軟件學報;2010年04期

2 張松紅;王亞弟;韓繼紅;;基于隱馬爾可夫模型的復合攻擊預測方法[J];計算機工程;2008年06期

3 邢永康;馬少平;;統(tǒng)計語言模型綜述[J];計算機科學;2003年09期

4 吳應良,韋崗,李海洲;一種基于N-gram模型和機器學習的漢語分詞算法[J];電子與信息學報;2001年11期

5 徐志明,王曉龍,關毅;N-gram語言模型的數(shù)據(jù)平滑技術[J];計算機應用研究;1999年07期

本文編號：2754895