摘要
以互联网为代表的网络技术引领着信息工业革命,网络早就深入我们生活工作娱乐的每一个角落,这样的飞速的发展带来了前所未有的安全问题,入侵检测作为一种强有力的网络安全技术也就应运而生。网络攻击也在跟随网络技术的发展而不停的进化,传统的基于预先设定规则和模式的入侵检测技术很难再应对这样变化莫测的网络攻击,随着机器学习的进步,入侵检测利用这些新技术克服了传统方法难以解决的问题,而深度学习作为机器学习中最前沿的研究方向更是为入侵检测未来的发展指出了一条道路。仅仅用现有成熟的深度学习模型进行套用很难适应和满足入侵检测的需要,本文针对现有研究的不足之处设计了IDPnet和CQ-IDPnet模型,能够很好的改善入侵检测效果和性能。本文的做出的主要工作与成果如下: 本文选择从IDS2018数据集公布的PCAP抓包文件中提取原始字节流作为模型的输入。绝大多数入侵检测模型使用了人工设计好特征并进行提取的预备特征数据集,如数据包长度、持续时长等,这样的特征难以反映原始的流量特征,也造成了模型学习特征困难。原始数据包字节流特征解决了这样的问题,降低了深度学习模型所需要的层数,这样做也解决了不同入侵检测数据集攻击特征难以统一的问题,使得预训练模型可以在不同硬件环境和协议下进行迁移学习。 本文随后提出了深度学习算法模型 IDPnet,主要采用一维深度可分离卷积作为主要特征学习结构,利用逐深度卷积和逐点卷积层级学习数据包字节流中的特征,降低了模型所包含的参数,在网络中还结合了残差连接、批量规范化等结构加快收敛速度降低过拟合。实验中对比了预备特征和字节流特征的效果,与其他深度学习模型相比在提高的精度的同时有更快的推理速度,实用性更强。最后用IDPnet预训练模型进行了迁移学习实验,在不同协议环境和攻击类型的物联网数据集MQTT2020上仅需要简单的微调训练就可以获得极好的检测效果,有效地降低了反复训练消耗。 本文进一步针对入侵检测数据集各类攻击数据极不平衡,导致检测结果偏差较大的问题,将IDPnet与门控循环单元与自注意力机制结合提出了CQ-IDPnet,通过门控循环单元学习特征中的长程时间序列信息,并减少不平衡入侵数据导致的梯度消失和梯度爆炸,利用自注意力机制进一步学习全局序列中的重点信息,并将它们放置在模型不同阶段来减少学习时的序列信息损耗。实验中不仅在 IDS2018 两种数据中进行了实验,还在IDS2017的不平衡12分类中与使用过采样的机器学习算法进行了对比。 在上述研究的基础上,本文设计了基于 CQ-IDPnet 模型的入侵检测系统,将提出的 CQ-IDPnet 深度学习模型部署在了安卓系统上,实现了内置浏览器及其他应用的数据流量包抓取、检测、查看的功能,还包含了网络诊断、数据包保存等实用功能,方便了用户对网络安全相关问题进一步研究。
NETL