期刊:COMPUTERS & SECURITY
期刊信息:JCR分区Q1;中科院分区2区;引用因子4.85
摘要:
入侵检测系统可以通过分析网络流量的特征来区分正常流量和攻击流量。近年来,神经网络在自然语言处理,计算机视觉,入侵检测等领域得到了发展。在本文中,我们提出了一种将多尺度卷积神经网络与长短期记忆(MSCNN-LSTM)相结合的统一模型。该模型首先利用多尺度卷积神经网络(MSCNN)分析数据集的空间特征,然后利用长短期记忆(LSTM)网络处理时间特征。最后,该模型采用时空特征进行分类。在实验中,使用公共入侵检测数据集UNSW-NB15作为实验训练集和测试集。
关键词:Intrusion detection system;Long short-term memory;Multiscale convolutional neural network;Spatial-temporal features;UNSW-NB15
1 引言
在现代社会中,网络空间中的信息流以每年惊人的速度增长。近年来,在经济学,科学研究,军事,乃至人们日常生活的各个方面,网络信息安全问题都得到了越来越多的关注。目前,在该研究领域中,入侵检测系统(IDS)由于其可靠性,可扩展性和自主学习而成为最热门的研究主题之一。IDS可以为我们创建有效的防御系统,以防御各种网络攻击,在防御攻击期间执行动态分析,收集关键节点数据,并不断改进自身以保护我们的网络空间。基于机器学习的入侵检测模型是当前最主流的研究方向,例如支持向量机,贝叶斯网络,聚类(Miller等人,2014年)和深度学习神经网络。其中,支持向量机,贝叶斯网络和聚类属于常规的机器学习算法。许多研究人员已将这些算法应用于网络信息安全领域。Nagaraja等。(2010年)建立了一个模型,该模型使用随机游走聚类提取网络流量以检测P2P僵尸网络。Antonakakis等。(2012)使用图聚类来检测基于DGA的恶意软件家族;张等。(2013年)提出人们对机器人查询流量进行研究和分析,并使用分层聚类算法检测是否存在攻击行为。Chen等。(2011年)建立LS-SVM模型,并使用优化的SVM对僵尸网络的流量进行分类。这些有监督或无监督的常规机器学习算法在处理数据量较小,维数较小的数据集时可以获得更好的分类性能(Kuang等,2014),这些都是浅层学习算法。但是,在实际的网络环境中,存在大量的高维,无标签和非线性数据,这就要求我们建立新的入侵检测模型。
在深度学习领域,CNN(Danciu,2015)和LSTM(Sundermeyer等,2015)已应用于自然语言处理,计算机视觉,语音识别等。这两个深度学习框架具有自己独特的网络结构。在我们的工作中,构建了将多尺度卷积神经网络与长短期记忆相结合的统一模型(MSCNN-LSTM),这是一个基于多尺度时空特征的集成检测模型。
本文的其余部分安排如下:在第二部分中,我们描述了相关的工作;在第3节中,我们描述了详细设计;在第4节中,我们解释了入侵检测模型的具体工作流程;在第5节中,我们评估模型的实验结果;在第6节中,我们得出结论并指定未来的工作。
2 相关工作
2.1 入侵侦测系统
30多年前,人们开始逐渐重视网络信息安全。当前的许多IDS系统主要分为基于签名的检测系统和基于异常的检测系统。基于签名的检测系统通过分析已知的攻击方法来提取其流量签名,然后将这些签名与后续检测系统提取的签名进行比较,以发现后续的攻击流量并向用户发出警告。基于签名的检测系统的优点是准确率高,但是检测手段有限,无法分析未知的攻击方式,如0-day漏洞攻击和APT(Advanced Persistent Threat)攻击。
基于异常的检测系统,也称为基于网络行为的检测系统,主要依赖于常规的机器学习算法和深度学习算法。在这种方法中,部分交通特征将被提前提取。我们使用有监督或无监督的学习方法来建立基于这些功能的学习框架。基于网络行为的检测系统可以检测正常和恶意网络流量。这种方法的好处是它可以检测未知攻击。因此,这种入侵