本發(fā)明涉及一種基于深信度網(wǎng)絡(luò)的分布式攻擊入侵的檢測方法���。
背景技術(shù):
網(wǎng)絡(luò)攻擊所產(chǎn)生危害也越來越大�,如信息安全機構(gòu)Ponemon發(fā)布的《2015年網(wǎng)絡(luò)犯罪損失報告》稱���,2015年美國平均每家企業(yè)因網(wǎng)絡(luò)犯罪損失達1540萬美元����,較2010年的650萬美元成倍上漲���,其中由于分布式攻擊手段的隱蔽性和攻擊過程的多變性以及目前檢測方法的滯后性�,其對網(wǎng)絡(luò)的危害性程度和感染的主機的數(shù)量都是最大的���。如據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的安全動態(tài)周報表明,2016年1-2月中國境內(nèi)平均每周約67萬主機感染網(wǎng)絡(luò)病毒�����,其中65%的主機被分布式攻擊控制���。因此��,分布式攻擊入侵檢測是目前網(wǎng)絡(luò)安全的重要任務(wù)之一�。然而,現(xiàn)有分布式入侵檢測技術(shù)存在較多不足��,例如由于缺乏全網(wǎng)感能力而導致難以獲得全面的分布式攻擊特征����,導致其檢測準確率較低。同時���,部署成本較高�����、維護效率較低����,配置不靈活����。
技術(shù)實現(xiàn)要素:
本發(fā)明針對現(xiàn)有技術(shù)的不足,提供一種基于深信度網(wǎng)絡(luò)的分布式攻擊入侵的檢測方法��。該方法采用多隱層的神經(jīng)網(wǎng)絡(luò)對網(wǎng)絡(luò)流量進行多層特征抽象���,抽取流量的深層本質(zhì)特征�,以更好地識別攻擊流量,為提高分布式攻擊入侵檢測準確率提供一種有效的實現(xiàn)途徑����。
為了達到上述目的,本發(fā)明一種基于深信度網(wǎng)絡(luò)的分布式攻擊入侵的檢測方法�,主要包括以下步驟:
第一步,采集分布式攻擊流量作為訓練流量���;
第二步�,對訓練集的網(wǎng)絡(luò)流量提取基本特征�,以作為深度學習的可視層的輸入;
第三步�����,將所提取的基本特征輸入到DBN的第一層中���,即RBM的可視層中,然后對DBN進行逐層訓練以獲取最優(yōu)網(wǎng)絡(luò)參數(shù)����;
第四步�����,監(jiān)測網(wǎng)絡(luò)流量中的實時流量�,并提取實時流量的基本特征�;
第五步,將監(jiān)測并提取的實時流量的基本特征作為DBN可視層輸入�,利用訓練優(yōu)化后的DBN參數(shù)由下向上多層次地學習并提取被監(jiān)測網(wǎng)絡(luò)流量的抽象特征;
第六步���,在DBN的最頂層進行SoftMax回歸分類��,以獲得被監(jiān)測流量的檢測結(jié)果�。
優(yōu)選地����,所述第三步中對DBN進行逐層訓練所選取的層數(shù)為兩層。
作為上述方案的進一步改進���,所述DBN第一層學習率選取值為0.002����,迭代次數(shù)選取值為50�;第二層學習率選取值為0.003�����,迭代次數(shù)選取值為50��。
網(wǎng)絡(luò)中的流定義為兩個進程之間通信時傳輸?shù)淖止?jié)流���,也可以認為是兩個進程之間通信時在同一方向上傳遞的報文序列。根據(jù)Moore等人的研究�����,網(wǎng)絡(luò)流的特征可達248種�,這已被廣泛認同。本發(fā)明第二步中可基于網(wǎng)絡(luò)流的特征可達248種的研究結(jié)果���,提取網(wǎng)絡(luò)流量的所有基本特征作為深度學習的可視層的輸入����。
分布式攻擊采用的協(xié)議具有多個協(xié)議交互參與者通過多個連接通道進行通信交互的協(xié)議�。例如基于MegaD協(xié)議的僵尸網(wǎng)絡(luò)。分布式攻擊協(xié)議交互是一個混合時空關(guān)系���、綜錯復(fù)雜的過程�,不僅表現(xiàn)在報文的時間序列上�,還呈現(xiàn)出空間上特有的特征。例如協(xié)議的交互方之間通信的順序可能是有先行后繼的規(guī)律���,也有可能是完全無序����,也有可能會出現(xiàn)多個交互方并發(fā)連接通信����。
限制波爾茲曼機(RBM),是一種深度學習模型���,其定義聯(lián)合組態(tài)能量表示為:
給定RBM的隱層h��,可視層v的概率為:
給定RBM可視層v的基礎(chǔ)上�����,隱層h的概率為:
給定一個滿足獨立同分布的訓練集:D={v(1),v(2),…,v(N)}�,可采用最大似然概率法來求解RBM模型參數(shù)θ={W,a,b}:
對最大對數(shù)似然函數(shù)求導��,即可得到L最大時對應(yīng)的參數(shù)W:
深信度網(wǎng)絡(luò)(DBN)��,由一系列自底向上組合的多個RBM組成的,采用逐層學習的方法�����,即將數(shù)據(jù)輸入到可視層v���,經(jīng)過學習得到的w加權(quán)變換給隱含層h1�,再將隱含層h1的輸出經(jīng)過學習得到的權(quán)值w1的加權(quán)變換后作為隱含層h2的輸入�����,依此類推�。訓練過程一般采用非監(jiān)督貪婪逐層方法:首先將可視向量值通過加權(quán)變換給隱單元,經(jīng)過隱單元的重建�,再將重建后的向量再次給隱單元。反復(fù)迭代此過程�,權(quán)值根據(jù)隱層激活單元與可視層輸入之間的相關(guān)性差別進行更新。
本發(fā)明提出基于多隱層的深信度網(wǎng)絡(luò)的入侵檢測方法��,提高入侵檢測的準確性�����,同時,借助SDN技術(shù)��,將入侵檢測的功能分布式地分散在可編程的SDN交換機上��,組成一個具有入侵檢測功能的彈性網(wǎng)絡(luò)�����,降低部署和維護的成本�、增強系統(tǒng)穩(wěn)定性����。
附圖說明
圖1為本發(fā)明基于深信度網(wǎng)絡(luò)的分布式攻擊入侵的檢測方法的實施流程示意圖。
具體實施方式
以下結(jié)合附圖和具體實施例對本發(fā)明進行詳細描述�,但不作為對本發(fā)明的限定。
本發(fā)明采用網(wǎng)絡(luò)功能虛擬化的方法�����,將基于DBN的分布式攻擊入侵檢測系統(tǒng)以軟件定義的方式部署在SDN的虛擬節(jié)點上��,根據(jù)用戶或網(wǎng)絡(luò)的需求�����,不同的區(qū)域按需求生成針對不同分布式攻擊的入侵檢測虛擬節(jié)點,構(gòu)成一個大規(guī)模的彈性網(wǎng)絡(luò)�����。SDN控制器通過下發(fā)流表規(guī)則�,在交換機的配合下,將監(jiān)測流量引流到虛擬節(jié)點上����,實現(xiàn)網(wǎng)絡(luò)流的采樣及原始數(shù)據(jù)的簡單特征提取。緊接著����,虛擬節(jié)點對采集的簡單流量特征進行深度學習,抽取流量的抽象特征�����,并執(zhí)行入侵檢測���。
參照圖1���,本發(fā)明實施例一種基于深信度網(wǎng)絡(luò)的分布式攻擊入侵的檢測方法,主要包括以下步驟:
第一步��,采集分布式攻擊流量作為訓練流量。
第二步����,對訓練集的網(wǎng)絡(luò)流量提取基本特征,以作為深度學習的可視層的輸入����。
第三步,將所提取的基本特征輸入到DBN的第一層中����,即RBM的可視層中��,然后對DBN進行逐層訓練以獲取最優(yōu)網(wǎng)絡(luò)參數(shù)��。
所述對DBN進行逐層訓練所選取的層數(shù)為兩層�����。所述DBN第一層學習率選取值為0.002�����,迭代次數(shù)選取值為50��;第二層學習率選取值為0.003,迭代次數(shù)選取值為50�。
第四步,監(jiān)測網(wǎng)絡(luò)流量中的實時流量����,并提取實時流量的基本特征。
第五步�,將監(jiān)測并提取的實時流量的基本特征作為DBN可視層輸入,利用訓練優(yōu)化后的DBN參數(shù)由下向上多層次地學習并提取被監(jiān)測網(wǎng)絡(luò)流量的抽象特征�����。
第六步���,在DBN的最頂層進行SoftMax回歸分類�����,以獲得被監(jiān)測流量的檢測結(jié)果�����。
網(wǎng)絡(luò)中的流定義為兩個進程之間通信時傳輸?shù)淖止?jié)流����,也可以認為是兩個進程之間通信時在同一方向上傳遞的報文序列。根據(jù)Moore等人的研究�����,網(wǎng)絡(luò)流的特征可達248種��,這已被廣泛認同�����。本發(fā)明實施例第二步中可基于網(wǎng)絡(luò)流的特征可達248種的研究結(jié)果�����,提取網(wǎng)絡(luò)流量的所有基本特征作為深度學習的可視層的輸入���。
分布式攻擊采用的協(xié)議具有多個協(xié)議交互參與者通過多個連接通道進行通信交互的協(xié)議。例如基于MegaD協(xié)議的僵尸網(wǎng)絡(luò)�。分布式攻擊協(xié)議交互是一個混合時空關(guān)系、綜錯復(fù)雜的過程�,不僅表現(xiàn)在報文的時間序列上,還呈現(xiàn)出空間上特有的特征����。例如協(xié)議的交互方之間通信的順序可能是有先行后繼的規(guī)律�����,也有可能是完全無序���,也有可能會出現(xiàn)多個交互方并發(fā)連接通信。
限制波爾茲曼機(RBM)���,是一種深度學習模型����,其定義聯(lián)合組態(tài)能量表示為:
給定RBM的隱層h�,可視層v的概率為:
給定RBM可視層v的基礎(chǔ)上,隱層h的概率為:
給定一個滿足獨立同分布的訓練集:D={v(1),v(2),…,v(N)}����,可采用最大似然概率法來求解RBM模型參數(shù)θ={W,a,b}:
對最大對數(shù)似然函數(shù)求導,即可得到L最大時對應(yīng)的參數(shù)W:
深信度網(wǎng)絡(luò)(DBN)���,由一系列自底向上組合的多個RBM組成的�����,采用逐層學習的方法��,即將數(shù)據(jù)輸入到可視層v��,經(jīng)過學習得到的w加權(quán)變換給隱含層h1�����,再將隱含層h1的輸出經(jīng)過學習得到的權(quán)值w1的加權(quán)變換后作為隱含層h2的輸入��,依此類推�����。訓練過程一般采用非監(jiān)督貪婪逐層方法:首先將可視向量值通過加權(quán)變換給隱單元��,經(jīng)過隱單元的重建��,再將重建后的向量再次給隱單元���。反復(fù)迭代此過程,權(quán)值根據(jù)隱層激活單元與可視層輸入之間的相關(guān)性差別進行更新��。
本發(fā)明提出基于多隱層的深信度網(wǎng)絡(luò)的入侵檢測方法��,提高入侵檢測的準確性�����,同時,借助SDN技術(shù)��,將入侵檢測的功能分布式地分散在可編程的SDN交換機上�����,組成一個具有入侵檢測功能的彈性網(wǎng)絡(luò)�,降低部署和維護的成本、增強系統(tǒng)穩(wěn)定性����。c
本發(fā)明采用多隱層的神經(jīng)網(wǎng)絡(luò)對網(wǎng)絡(luò)流量進行多層特征抽象,抽取流量的深層本質(zhì)特征�����,以更好地識別攻擊流量�,為提高分布式攻擊入侵檢測準確率提供一種有效的實現(xiàn)途徑。
以上已將本發(fā)明做一詳細說明��,但顯而易見���,本領(lǐng)域的技術(shù)人員可以進行各種改變和改進�����,而不背離所附權(quán)利要求書所限定的本發(fā)明的范圍�。