在網(wǎng)絡(luò)技術(shù)飛速發(fā)展的同時,各種新型攻擊層出不窮,導致網(wǎng)絡(luò)環(huán)境變得日益復雜。同時多樣的攻擊類型與有限的安全規(guī)則之間的矛盾導致了網(wǎng)絡(luò)攻擊檢測面臨著巨大的挑戰(zhàn)。機器學習技術(shù)的出現(xiàn)使實現(xiàn)更加復雜、更加準確的網(wǎng)絡(luò)攻擊檢測成為了可能。本文提出一種基于機器學習的網(wǎng)絡(luò)攻擊智能發(fā)現(xiàn)技術(shù),利用監(jiān)督學習、無監(jiān)督學習、信息熵等方法實現(xiàn)對網(wǎng)絡(luò)攻擊的高效檢測與智能發(fā)現(xiàn)。首先針對U2R、R2L等特定網(wǎng)絡(luò)攻擊難以檢測的問題,本文根據(jù)信息熵理論提出一種基于信息增益的網(wǎng)絡(luò)流量特征分析方法。在此方法中,本文將網(wǎng)絡(luò)流量中不同特征給系統(tǒng)帶來的信息增益作為特征貢獻度,一方面基于特征貢獻度進行特征選擇以減少冗余特征降低特征維度,另一方面基于特征貢獻度進行特征加權(quán)以提高對特定難以檢測攻擊的效果。實驗顯示對于一些傳統(tǒng)機器學習難以檢測的攻擊,本方法也有著較大的效果提升。其次針對傳統(tǒng)機器學習方法適用性低,網(wǎng)絡(luò)攻擊檢測效果不佳的問題,為提高攻擊檢測精確率和查全率并降低誤報率,本文提出一種監(jiān)督學習和無監(jiān)督學習結(jié)合的網(wǎng)絡(luò)攻擊智能檢測算法TNN。TNN針對KNN算法在性能和適用性方面的缺陷,結(jié)合無監(jiān)督聚類與有監(jiān)督分類各自的優(yōu)勢,提出一種基于三角距... 

【文章來源】：國防科技大學湖南省 211工程院校 985工程院校

【文章頁數(shù)】：70 頁

【學位級別】：碩士

【部分圖文】：

017網(wǎng)絡(luò)攻擊

國防科技大學研究生院碩士學位論文第4頁圖1.2我國境內(nèi)感染主機數(shù)據(jù)CNCERT監(jiān)測報告，目前我國聯(lián)網(wǎng)設(shè)備種活躍著大量各種類型的惡意程序，主要包括Ddosf、Dofloo、Gafgyt、MrBlack、Persirai、Sotdas、Tsunami、Triddy、Mirai、Moose、Teaper、Satori等。這些惡意程序嚴重威脅著用戶隱私、造成用戶信息泄露，或者控制用戶機器發(fā)起僵尸網(wǎng)絡(luò)攻擊。由于惡意程序結(jié)構(gòu)復雜、變種多樣、更新升級快，對網(wǎng)絡(luò)設(shè)備的安全防護帶來了巨大的難度。1.1.2網(wǎng)絡(luò)安全面臨挑戰(zhàn)網(wǎng)絡(luò)的安全威脅如今日趨凸顯，研究人員根據(jù)現(xiàn)實中網(wǎng)絡(luò)所面臨主要威脅進行了大量研究[4,5]，其中主要的四個方面包括：網(wǎng)絡(luò)入侵檢測(包括DDoS攻擊)，惡意軟件檢測，垃圾郵件/釣魚郵件檢測，網(wǎng)頁篡改。而在其中，又以網(wǎng)絡(luò)入侵問題最為嚴重。目前網(wǎng)絡(luò)入侵檢測領(lǐng)域，根據(jù)檢測機制的部署位置與被檢測目標兩個因素考慮主要分為兩類：一是基于轉(zhuǎn)發(fā)設(shè)備的網(wǎng)絡(luò)異常流量檢測。該類型檢測機制通常部署在網(wǎng)絡(luò)中的轉(zhuǎn)發(fā)單元（如路由器等）中，主要利用預先定義的規(guī)則或基于機器學習方法訓練所得到的固定模式對轉(zhuǎn)發(fā)流量進行檢測，從而判斷是否有惡意流量；二是基于端系統(tǒng)的入侵檢測。該類型檢測機制部署在端系統(tǒng)中（通常為PC或其它接入設(shè)備），一般通過“攻擊模式匹配”或“異常行為發(fā)現(xiàn)”兩種方式進行檢測。對于端系統(tǒng)的異常檢測的研究相對較為常見。而由于實驗條件限制，僅有部分具備實驗條件的研究人員可以在大規(guī)模網(wǎng)絡(luò)中對基于轉(zhuǎn)發(fā)設(shè)備的網(wǎng)絡(luò)異常檢測進行了深入研究與實驗驗證。但是，無論哪種異常檢測機制的研究，傳統(tǒng)的檢測方法一般都需要安全專家對攻擊行為進行建模，并根據(jù)攻擊行為與正常流量間的區(qū)別設(shè)計出靜態(tài)規(guī)則對異常行為進行判別。

國防科技大學研究生院碩士學位論文第5頁在機器學習技術(shù)應用到網(wǎng)絡(luò)安全領(lǐng)域之前，網(wǎng)絡(luò)異常檢測通常使用基于安全專家根據(jù)經(jīng)驗或?qū)粜袨榈姆治鏊A定義的靜態(tài)規(guī)則進行惡意流量檢測。然而，隨著網(wǎng)絡(luò)業(yè)務日趨復雜，攻擊行為的日益豐富和隱蔽，傳統(tǒng)的網(wǎng)絡(luò)異常檢測機制面臨兩大問題：新型攻擊行為增長速度遠遠高于安全專家發(fā)現(xiàn)與解決速度。傳統(tǒng)的網(wǎng)絡(luò)安全領(lǐng)域中，安全專家需要對攻擊模式進行發(fā)現(xiàn)，分析原理及危害，并設(shè)計檢測與防御規(guī)則。而根據(jù)1.1.1節(jié)的討論，當前平均每天會產(chǎn)生多種不同網(wǎng)絡(luò)攻擊，單純依靠網(wǎng)絡(luò)專家的人力難以完成如此大的工作量，這導致了安全問題中“攻擊”和“檢測”間嚴重失衡，如圖1.3。而該問題的本質(zhì)就是單純依靠人力的檢測機制的效率低下。圖1.3網(wǎng)絡(luò)安全回環(huán)中的攻擊與檢測間失衡問題攻擊行為復雜帶來的規(guī)則更新日趨復雜，并可能與歷史規(guī)則產(chǎn)生沖突。當安全威脅被發(fā)現(xiàn)后，安全專家需要設(shè)計規(guī)則對所發(fā)現(xiàn)的威脅進行有效檢測與防御。但同時，專家們也要考慮新的規(guī)則不應當對其它歷史規(guī)則產(chǎn)生影響，這個問題隨著規(guī)規(guī)模的增大將變得困難，甚至在有些情況下成為無法解決的問題。這就更增加了檢測與防御的難度，也就使得攻擊與檢測間失衡的問題更加嚴重。這種失衡嚴重影響網(wǎng)絡(luò)安全性，并使得網(wǎng)絡(luò)安全的問題日益突出。1.2國內(nèi)外研究現(xiàn)狀網(wǎng)絡(luò)入侵檢測和入侵防御作為網(wǎng)絡(luò)安全中的重要一環(huán)，在防范網(wǎng)絡(luò)攻擊上具有重要的作用。IDS(入侵檢測系統(tǒng))主要優(yōu)勢是監(jiān)聽網(wǎng)絡(luò)流量進行攻擊威脅檢測，而不影響網(wǎng)絡(luò)的性能，它提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時防護。在大型、復雜的計算機網(wǎng)絡(luò)中布置入侵檢測系統(tǒng)可以顯著提高網(wǎng)絡(luò)安全管理的質(zhì)量。1.2.1入侵檢測與防御方法


本文編號：3213303