在本研究中,使用了C5.0决策树、贝叶斯网络和深度学习的机器学习方法来及时检测和分类NSL-KDD数据集上的apt攻击。
APT攻击具有三个特征:
- 1)威胁;攻击者访问机密信息的能力。
- 2)先进;使用高级技术完成攻击者的攻击周期。
- 3)持久;攻击者达到定义目标的缓慢过程。
检测APT攻击的方法:(缺点:攻击发生时不能实时监测;具有较高的假阴性率和阳性率;攻击数据集上缺乏适当的处理过程)
- 基于机器学习算法的检测模型,如线性支持向量机。
- 基于数学模型的检测模型,如隐马尔可夫模型。
- 利用攻击图自动提取特征的方法。
- 减少错误检测的技术,如Duqu工具。
- 使用诸如SpuNge 等工具检测所有攻击步骤。
本文采取的方法:
在NSL-KDD数据集上检查和研究机器学习方法,如C5.0决策树、贝叶斯网络和深度学习。因为深度学习模型提供了高检测精度(ACC)以及自动提取攻击的主要特征。
研究使用RapidMiner1模拟器进行APT攻击的检测和分类。
步骤:
- 数据收集
- 预处理 :发现遗漏和无值的数据并且指定APT攻击的特征,最后将数据集转换为异常和正常两类。
- 分割:数据分割
- 分类器
- 决策树模型:创建规则,以帮助安全专家基于所构建的模型检测输入数据的类型。
- 贝叶斯网络模型
- 深度学习模型:采用6层深度学习模型,10倍交叉验证方法,将数据输入深度网络后,同时进行特征提取和攻击分类,最后,应用非线性函数进行攻击分类。
- 模型评价标准: 利用混淆矩阵对所提出的模型进行了评价。该矩阵包括4个元素,包括真阳性(TP)、假阳性(FP)、真阴性(TN)和假阴性(FN)。
- 最佳模型的选择
- 特征的提取。
本文实验结果:
6层深度学习模型的表现优于C5.0决策树和贝叶斯网络模型。6层深度学习模型对于输出中检测的所有标准来检测APT攻击具有最好的性能。
结论:
在APT攻击检测方法中,人工智能方法是最好的方法。深度学习方法与其他方法相比具有最好的性能。因此,本文采用C5.0决策树、贝叶斯网络和深度学习分类模型等人工智能方法对NSL-KDD数据集进行两种APT异常攻击。
未来展望:
可以使用的NSL-KDD数据集和网络流量上结合机器学习和深度学习方法。此外,还可以利用有监督和无监督的深度学习方法,如递归神经网络和自动编码器神经网络。
前人使用的一些方法:
- 使用深度信念网络(DBN)方法结合支持向量机(SVM)来检测对NSL-KDD数据集的入侵。
- 使用了分类算法,包括朴素贝叶斯(NB)、多层感知器神经网络和决策树,以检测拒绝服务(DoS)、用户到根(U2R)、远程到本地(R2L)和对NSL-KDD数据集的探测攻击。
- 利用人工神经网络(ANN)方法来检测对NSL-KDD数据集的入侵。
- 使用机器学习算法,如SVM、朴素贝叶斯和J48决策树以及分类来检测对KDD-99数据集的入侵。
- 通过接收网络流量并对数据进行分析,在数据上实现了决策树、各种SVM模型、最近邻域和集成等算法。
3354
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
