0摘要
将深度学习模型用于网络入侵检测任务一直是网络安全领域的一个活跃研究领域。虽然有几份优秀的调查报告涵盖了关于这个主题的越来越多的研究,但文献中缺乏对不同深度学习模型在受控环境下的客观比较,特别是在最近的入侵检测数据集上。在本文中,我们首先介绍了入侵检测中深度学习模型的分类,并总结了关于这个主题的研究论文。然后,我们在两个传统数据集(KDD 99、NSL-KDD)和两个现代数据集(CIC-IDS2017、CIC-IDS2018)上为入侵分类任务训练和评估了四个关键的深度学习模型--前馈神经网络、自动编码器、深度信念网络和长短期记忆网络。我们的结果表明,在所有四个数据集上,深度前馈神经网络在准确率、F1分数以及训练和推理时间方面产生了理想的评价指标。结果还表明,两种流行的半监督学习模型,自动编码器和深度信念网络的表现并不比监督前馈神经网络好。该实施方案和整套结果已经发布,供研究界今后使用。最后,我们讨论了调查中发现的研究文献中的问题,并提出了机器学习方法在入侵检测方面的几个潜在的未来研究方向。
1引言
在过去的十年里,计算机网络在规模、使用和复杂性方面有了很大的扩展。新类型的设备和网络架构已经出现,如云计算和物联网。随着这些网络和系统的扩展,其安全性已成为一个关键问题。根据CyberEdge集团发布的《2019年网络威胁防御报告》(CyberEdge, 2019),在过去五年中,对大型企业的全球网络的攻击一直在增加(图1)。这些攻击主要包括拒绝服务攻击、恶意软件和勒索软件攻击以及高级持续性威胁(APT)。APTs可能是特别危险和昂贵的,因为这些是由足智多谋的恶意行为者对政府和私人组织发起的有针对性的长期攻击,目的是为了渗出数据和破坏基础设施。网络安全报告M-Trends 2019(FireEye,2019)显示,在2018年,这些攻击的平均停留时间为184天(攻击在被发现前的有效时间)。
针对计算机系统的网络攻击的第一道防线是由一个精心设计的安全框架形成的,该框架执行标准的安全实践,其中包括保密性管理、访问控制、认证和其他安全政策。然而,由于操作失误、系统漏洞(尤其是那些零日漏洞的目标)和其他原因,攻击仍然可能构成威胁。入侵检测系统(IDS)执行的关键任务是检测计算机和网络上的此类攻击,并提醒系统操作员。在一个案例中,水务公司SCADA系统中的IDS通过提醒安全团队注意异常的HTTP流量,帮助检测到系统服务器上的加密挖掘恶意软件(Radiflow, 2018)。
IDS可以放置在网络中的单个主机上,也可以放置在一个专门的 中央位置,或分布在整个网络中。设计用于检测对计算机网络而不是单一主机的攻击的IDS称为网络入侵检测系统(NIDS)。这些系统以网络遥测的形式监测网络功能。其中可能包括网络流量、网络流的元数据(例如,NetFlow等协议)和网络流量。协议,如NetFlow)和主机的活动日志,并试图检测攻击的发生。
用于入侵检测的技术可大致分为两类:基于签名的方法和异常检测方法(Shimeall和Spring,2014)。基于签名的方法通过将输入的遥测数据与一组已知的攻击模式或签名相匹配来操作。这些方法对以前已知的攻击给出了准确的检测,但它们在检测未见过的新攻击方面却失败了。另一方面,异常检测方法在数据中建立了一个正常行为的概念,并将偏离这一行为(异常)的情况标记为攻击。这种检测方法能够检测到未曾见过的攻击。然而,由于它们将任何异常标记为攻击,这些方法已知会产生大量的错误警报。
研究人员对入侵检测的机器学习方法已经研究了20多年(Mukkamala等人,2002)。大量的网络遥测和其他类型的安全数据使入侵检测问题适合于机器学习方法。许多现代商业入侵检测系统使用基于机器学习的算法作为其检测策略的一部分(例如:安全平台Cisco Stealthwatch(Cisco,2018)和Microsoft Azure Sentinel(Microsoft,2019)。这些方法
最低0.47元/天 解锁文章
6224
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
