對網(wǎng)站惡意攻擊展開研究,通過在單機環(huán)境和具有1臺服務(wù)器、2臺客戶機的局域網(wǎng)環(huán)境下模擬暴力破解、撞庫、分布式拒絕服務(wù)攻擊網(wǎng)站,以人工標(biāo)注網(wǎng)站日志數(shù)據(jù),訓(xùn)練一個LSTM網(wǎng)絡(luò)分類模型,利用監(jiān)控腳本在線監(jiān)控網(wǎng)站日志,將日志數(shù)據(jù)轉(zhuǎn)換成結(jié)構(gòu)化數(shù)據(jù)并輸入訓(xùn)練好的LSTM網(wǎng)絡(luò)進(jìn)行分類,以區(qū)分惡意攻擊產(chǎn)生的日志和正常日志,達(dá)到識別惡意攻擊類型的目的。在測試集數(shù)據(jù)上,分類準(zhǔn)確率達(dá)到99%以上。按類似的思路,還構(gòu)建一個基于自編碼器和LSTM網(wǎng)絡(luò)的分類模型,用KDD99數(shù)據(jù)集對該分類器進(jìn)行訓(xùn)練和測試。實驗結(jié)果表明,平均分類準(zhǔn)確率約為99. 7%,明顯優(yōu)于其他比較方法。網(wǎng)絡(luò)攻擊數(shù)據(jù)通常隱式地具有序列特征,將分類問題轉(zhuǎn)換為序列標(biāo)注問題,并用深度學(xué)習(xí)技術(shù)來求解,其整體解決思路是合理且有效的,可為后續(xù)的安全防護(hù)提供有效支持。 

【文章來源】：計算機應(yīng)用研究. 2020,37(S1)北大核心CSCD

【文章頁數(shù)】：5 頁

【部分圖文】：

模擬攻擊的基本框架4深度學(xué)習(xí)算法的分析與識別

據(jù)分析。筆者在單機環(huán)境和具有1臺服務(wù)器、2臺客戶機的局域網(wǎng)環(huán)境下使用BurpSuite［23］模擬暴力破解攻擊、撞庫攻擊網(wǎng)站，使用LOIC低軌道離子炮模擬DDoS攻擊網(wǎng)站。通過查看Nginx日志文件，發(fā)現(xiàn)暴力破解攻擊和撞庫攻擊在日志中的體現(xiàn)均是短時間內(nèi)有大量的訪問，DDoS攻擊在日志中的體現(xiàn)是在短時間內(nèi)有大量IP訪問占用服務(wù)器資源。圖2模擬攻擊的基本框架4深度學(xué)習(xí)算法的分析與識別4．1算法分析與識別的基本處理流程基于深度學(xué)習(xí)的算法分析與識別的基本處理流程如圖3所示。首先結(jié)構(gòu)化日志數(shù)據(jù)，將日志數(shù)據(jù)映射到歐氏空間，再將數(shù)據(jù)標(biāo)記，輸入循環(huán)神經(jīng)網(wǎng)絡(luò)［24，25］(recurrentneuralnetwork，RNN)訓(xùn)練模型，模型訓(xùn)練好后，輸入未標(biāo)記數(shù)據(jù)，可輸出分類好的數(shù)據(jù)。圖3深度學(xué)習(xí)算法的基本處理流程4．2數(shù)據(jù)來源與處理4．2．1Nginx日志數(shù)據(jù)Nginx日志數(shù)據(jù)包含諸多信息，能夠反映不同事件的特征，但數(shù)據(jù)本身并非結(jié)構(gòu)化數(shù)據(jù)。Nginx日志數(shù)據(jù)格式如下:log_formataccess"$remote_addr－$remote_user［$time_local］″$request″""$status$body_bytes_sent″$http_referer″""″$http_user_agent″$http_x_forwarded_for"。其中:$http_x_forwarded_for與$remote_addr記錄客戶端的IP地址;$remote_user記錄客戶端用戶名稱;$time_local記錄訪問時間與時區(qū);$request用來記錄請求的URL與HTTP協(xié)議;$status記錄請求狀態(tài)，如成功狀態(tài)用200表示;$body_bytes_sent記錄發(fā)送給客戶端文件主體內(nèi)容大小;$http_referer記錄從哪個頁面鏈接訪問過來;$http_user_agent

組形式。由于深度學(xué)習(xí)模型時間步為20，需要將數(shù)據(jù)拼接成序列并轉(zhuǎn)換數(shù)據(jù)維度。得到可輸入訓(xùn)練好的循環(huán)神經(jīng)網(wǎng)絡(luò)模型后，讀取模型文件，輸入數(shù)據(jù)，得到輸出結(jié)果(即攻擊類型)，最后把受到攻擊所對應(yīng)的日志輸入數(shù)據(jù)庫。當(dāng)未產(chǎn)生數(shù)據(jù)時，同樣以某個值刷新數(shù)據(jù)，在此，每0.8s刷新一次，同樣可以調(diào)整0．8s這個參數(shù)。由于本文用模擬攻擊生成在線分析日志，經(jīng)過訓(xùn)練模型的分類，其分類準(zhǔn)確率可達(dá)99%以上，體現(xiàn)模型能更好地滿足在線系統(tǒng)對實時處理性能的要求，這對于在線入侵檢測系統(tǒng)是很有意義的。圖7測試集準(zhǔn)確率的變化曲線圖8損失函數(shù)值、測試集準(zhǔn)確率的變化曲線圖9在線分析與識別日志的結(jié)構(gòu)5與其他方法的對比實驗本文基于深度學(xué)習(xí)技術(shù)的惡意攻擊的分析與識別本質(zhì)上是一個分類模型，針對要解決的訪問數(shù)據(jù)序列標(biāo)注問題進(jìn)行構(gòu)建，其構(gòu)建思路分為三個流程:a)數(shù)據(jù)預(yù)處理;b)訓(xùn)練基于深度學(xué)習(xí)的分類網(wǎng)絡(luò);c)將未標(biāo)記數(shù)據(jù)輸入分類網(wǎng)絡(luò)進(jìn)行分類，輸出分類結(jié)果。為了進(jìn)一步體現(xiàn)該思路的合理性和有效性，下面選擇KDD99數(shù)據(jù)集作為測試集，并與一些流行的入侵檢測方法得到的實驗結(jié)果進(jìn)行比較。KDD99是美國國防部高級規(guī)劃署與麻省理工大學(xué)林肯實驗室聯(lián)合進(jìn)行的一項入侵檢測評估項目所產(chǎn)生的模擬數(shù)據(jù)集，數(shù)據(jù)總量近五百萬條，其中包含標(biāo)志為normal的正常訪問數(shù)據(jù)和22種攻擊數(shù)據(jù)，這些攻擊數(shù)據(jù)歸屬為Probe(或Probing)、DoS(denialofservice)、R2L(remotetolocal)、U2R(或U2L，usertoroot)四種攻擊大類［3，4］，每條數(shù)據(jù)共41個特征。本文采用如圖10所示的框架來進(jìn)行實驗。首先需要對KDD99數(shù)據(jù)集作預(yù)處理，

【參考文獻(xiàn)】：
期刊論文
[1]基于時序圖像深度學(xué)習(xí)的電熔鎂爐異常工況診斷[J]. 吳高昌,劉強,柴天佑,秦泗釗.  自動化學(xué)報. 2019(08)
[2]基于感知哈希矩陣的最近鄰入侵檢測算法[J]. 江澤濤,周譚盛子,韓立堯.  電子學(xué)報. 2019(07)
[3]基于KELM選擇性集成的復(fù)雜網(wǎng)絡(luò)環(huán)境入侵檢測[J]. 劉金平,何捷舟,馬天雨,張五霞,唐朝暉,徐鵬飛.  電子學(xué)報. 2019(05)
[4]SDN中基于信息熵與DNN的DDoS攻擊檢測模型[J]. 張龍,王勁松.  計算機研究與發(fā)展. 2019(05)
[5]基于KNN離群點檢測和隨機森林的多層入侵檢測方法[J]. 任家東,劉新倩,王倩,何海濤,趙小林.  計算機研究與發(fā)展. 2019(03)
[6]一種針對基于SVM入侵檢測系統(tǒng)的毒性攻擊方法[J]. 錢亞冠,盧紅波,紀(jì)守領(lǐng),周武杰,吳淑慧,雷景生,陶祥興.  電子學(xué)報. 2019(01)
[7]基于dCNN的入侵檢測方法[J]. 張思聰,謝曉堯,徐洋.  清華大學(xué)學(xué)報(自然科學(xué)版). 2019(01)
[8]深度學(xué)習(xí)中的對抗樣本問題[J]. 張思思,左信,劉建偉.  計算機學(xué)報. 2019(08)
[9]機器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究中的應(yīng)用[J]. 張蕾,崔勇,劉靜,江勇,吳建平.  計算機學(xué)報. 2018(09)
[10]無組織惡意攻擊檢測問題的研究[J]. 龐明,周志華.  中國科學(xué):信息科學(xué). 2018(02)



本文編號：3592981