發(fā)布時(shí)間：2021-06-06 01:22

　　在網(wǎng)絡(luò)技術(shù)飛速發(fā)展的同時(shí),各種新型攻擊層出不窮,導(dǎo)致網(wǎng)絡(luò)環(huán)境變得日益復(fù)雜。同時(shí)多樣的攻擊類型與有限的安全規(guī)則之間的矛盾導(dǎo)致了網(wǎng)絡(luò)攻擊檢測(cè)面臨著巨大的挑戰(zhàn)。機(jī)器學(xué)習(xí)技術(shù)的出現(xiàn)使實(shí)現(xiàn)更加復(fù)雜、更加準(zhǔn)確的網(wǎng)絡(luò)攻擊檢測(cè)成為了可能。本文提出一種基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)攻擊智能發(fā)現(xiàn)技術(shù),利用監(jiān)督學(xué)習(xí)、無監(jiān)督學(xué)習(xí)、信息熵等方法實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的高效檢測(cè)與智能發(fā)現(xiàn)。首先針對(duì)U2R、R2L等特定網(wǎng)絡(luò)攻擊難以檢測(cè)的問題,本文根據(jù)信息熵理論提出一種基于信息增益的網(wǎng)絡(luò)流量特征分析方法。在此方法中,本文將網(wǎng)絡(luò)流量中不同特征給系統(tǒng)帶來的信息增益作為特征貢獻(xiàn)度,一方面基于特征貢獻(xiàn)度進(jìn)行特征選擇以減少冗余特征降低特征維度,另一方面基于特征貢獻(xiàn)度進(jìn)行特征加權(quán)以提高對(duì)特定難以檢測(cè)攻擊的效果。實(shí)驗(yàn)顯示對(duì)于一些傳統(tǒng)機(jī)器學(xué)習(xí)難以檢測(cè)的攻擊,本方法也有著較大的效果提升。其次針對(duì)傳統(tǒng)機(jī)器學(xué)習(xí)方法適用性低,網(wǎng)絡(luò)攻擊檢測(cè)效果不佳的問題,為提高攻擊檢測(cè)精確率和查全率并降低誤報(bào)率,本文提出一種監(jiān)督學(xué)習(xí)和無監(jiān)督學(xué)習(xí)結(jié)合的網(wǎng)絡(luò)攻擊智能檢測(cè)算法TNN。TNN針對(duì)KNN算法在性能和適用性方面的缺陷,結(jié)合無監(jiān)督聚類與有監(jiān)督分類各自的優(yōu)勢(shì),提出一種基于三角距... 

【文章來源】：國(guó)防科技大學(xué)湖南省 211工程院校 985工程院校

【文章頁數(shù)】：70 頁

【學(xué)位級(jí)別】：碩士

【部分圖文】：

017網(wǎng)絡(luò)攻擊

國(guó)防科技大學(xué)研究生院碩士學(xué)位論文第4頁圖1.2我國(guó)境內(nèi)感染主機(jī)數(shù)據(jù)CNCERT監(jiān)測(cè)報(bào)告，目前我國(guó)聯(lián)網(wǎng)設(shè)備種活躍著大量各種類型的惡意程序，主要包括Ddosf、Dofloo、Gafgyt、MrBlack、Persirai、Sotdas、Tsunami、Triddy、Mirai、Moose、Teaper、Satori等。這些惡意程序嚴(yán)重威脅著用戶隱私、造成用戶信息泄露，或者控制用戶機(jī)器發(fā)起僵尸網(wǎng)絡(luò)攻擊。由于惡意程序結(jié)構(gòu)復(fù)雜、變種多樣、更新升級(jí)快，對(duì)網(wǎng)絡(luò)設(shè)備的安全防護(hù)帶來了巨大的難度。1.1.2網(wǎng)絡(luò)安全面臨挑戰(zhàn)網(wǎng)絡(luò)的安全威脅如今日趨凸顯，研究人員根據(jù)現(xiàn)實(shí)中網(wǎng)絡(luò)所面臨主要威脅進(jìn)行了大量研究[4,5]，其中主要的四個(gè)方面包括：網(wǎng)絡(luò)入侵檢測(cè)(包括DDoS攻擊)，惡意軟件檢測(cè)，垃圾郵件/釣魚郵件檢測(cè)，網(wǎng)頁篡改。而在其中，又以網(wǎng)絡(luò)入侵問題最為嚴(yán)重。目前網(wǎng)絡(luò)入侵檢測(cè)領(lǐng)域，根據(jù)檢測(cè)機(jī)制的部署位置與被檢測(cè)目標(biāo)兩個(gè)因素考慮主要分為兩類：一是基于轉(zhuǎn)發(fā)設(shè)備的網(wǎng)絡(luò)異常流量檢測(cè)。該類型檢測(cè)機(jī)制通常部署在網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)單元（如路由器等）中，主要利用預(yù)先定義的規(guī)則或基于機(jī)器學(xué)習(xí)方法訓(xùn)練所得到的固定模式對(duì)轉(zhuǎn)發(fā)流量進(jìn)行檢測(cè)，從而判斷是否有惡意流量；二是基于端系統(tǒng)的入侵檢測(cè)。該類型檢測(cè)機(jī)制部署在端系統(tǒng)中（通常為PC或其它接入設(shè)備），一般通過“攻擊模式匹配”或“異常行為發(fā)現(xiàn)”兩種方式進(jìn)行檢測(cè)。對(duì)于端系統(tǒng)的異常檢測(cè)的研究相對(duì)較為常見。而由于實(shí)驗(yàn)條件限制，僅有部分具備實(shí)驗(yàn)條件的研究人員可以在大規(guī)模網(wǎng)絡(luò)中對(duì)基于轉(zhuǎn)發(fā)設(shè)備的網(wǎng)絡(luò)異常檢測(cè)進(jìn)行了深入研究與實(shí)驗(yàn)驗(yàn)證。但是，無論哪種異常檢測(cè)機(jī)制的研究，傳統(tǒng)的檢測(cè)方法一般都需要安全專家對(duì)攻擊行為進(jìn)行建模，并根據(jù)攻擊行為與正常流量間的區(qū)別設(shè)計(jì)出靜態(tài)規(guī)則對(duì)異常行為進(jìn)行判別。

國(guó)防科技大學(xué)研究生院碩士學(xué)位論文第5頁在機(jī)器學(xué)習(xí)技術(shù)應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域之前，網(wǎng)絡(luò)異常檢測(cè)通常使用基于安全專家根據(jù)經(jīng)驗(yàn)或?qū)粜袨榈姆治鏊A(yù)定義的靜態(tài)規(guī)則進(jìn)行惡意流量檢測(cè)。然而，隨著網(wǎng)絡(luò)業(yè)務(wù)日趨復(fù)雜，攻擊行為的日益豐富和隱蔽，傳統(tǒng)的網(wǎng)絡(luò)異常檢測(cè)機(jī)制面臨兩大問題：新型攻擊行為增長(zhǎng)速度遠(yuǎn)遠(yuǎn)高于安全專家發(fā)現(xiàn)與解決速度。傳統(tǒng)的網(wǎng)絡(luò)安全領(lǐng)域中，安全專家需要對(duì)攻擊模式進(jìn)行發(fā)現(xiàn)，分析原理及危害，并設(shè)計(jì)檢測(cè)與防御規(guī)則。而根據(jù)1.1.1節(jié)的討論，當(dāng)前平均每天會(huì)產(chǎn)生多種不同網(wǎng)絡(luò)攻擊，單純依靠網(wǎng)絡(luò)專家的人力難以完成如此大的工作量，這導(dǎo)致了安全問題中“攻擊”和“檢測(cè)”間嚴(yán)重失衡，如圖1.3。而該問題的本質(zhì)就是單純依靠人力的檢測(cè)機(jī)制的效率低下。圖1.3網(wǎng)絡(luò)安全回環(huán)中的攻擊與檢測(cè)間失衡問題攻擊行為復(fù)雜帶來的規(guī)則更新日趨復(fù)雜，并可能與歷史規(guī)則產(chǎn)生沖突。當(dāng)安全威脅被發(fā)現(xiàn)后，安全專家需要設(shè)計(jì)規(guī)則對(duì)所發(fā)現(xiàn)的威脅進(jìn)行有效檢測(cè)與防御。但同時(shí)，專家們也要考慮新的規(guī)則不應(yīng)當(dāng)對(duì)其它歷史規(guī)則產(chǎn)生影響，這個(gè)問題隨著規(guī)規(guī)模的增大將變得困難，甚至在有些情況下成為無法解決的問題。這就更增加了檢測(cè)與防御的難度，也就使得攻擊與檢測(cè)間失衡的問題更加嚴(yán)重。這種失衡嚴(yán)重影響網(wǎng)絡(luò)安全性，并使得網(wǎng)絡(luò)安全的問題日益突出。1.2國(guó)內(nèi)外研究現(xiàn)狀網(wǎng)絡(luò)入侵檢測(cè)和入侵防御作為網(wǎng)絡(luò)安全中的重要一環(huán)，在防范網(wǎng)絡(luò)攻擊上具有重要的作用。IDS(入侵檢測(cè)系統(tǒng))主要優(yōu)勢(shì)是監(jiān)聽網(wǎng)絡(luò)流量進(jìn)行攻擊威脅檢測(cè)，而不影響網(wǎng)絡(luò)的性能，它提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)防護(hù)。在大型、復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)中布置入侵檢測(cè)系統(tǒng)可以顯著提高網(wǎng)絡(luò)安全管理的質(zhì)量。1.2.1入侵檢測(cè)與防御方法


本文編號(hào)：3213303