基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵防御技術(shù)研究

周路明 鄭明才

摘 要：隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)用戶的數(shù)量激增，僅在國(guó)內(nèi)就有著接近一半人口的用戶。如此大規(guī)模的網(wǎng)絡(luò)給網(wǎng)絡(luò)攻擊者帶來(lái)了巨大的潛在利益，也給網(wǎng)絡(luò)入侵的防御提出了更高的要求。傳統(tǒng)的網(wǎng)絡(luò)防御手段因其僅能針對(duì)特定的網(wǎng)絡(luò)入侵行為進(jìn)行甄別，無(wú)法智能化、動(dòng)態(tài)化的應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)入侵行為已經(jīng)逐漸難以滿足當(dāng)下需求。因此，針對(duì)網(wǎng)絡(luò)入侵防御的問(wèn)題，提出了一種基于深度學(xué)習(xí)的入侵檢測(cè)手段，并闡述了入侵防御系統(tǒng)的設(shè)計(jì)方法。首先，介紹了目前網(wǎng)絡(luò)入侵防御所面臨的嚴(yán)峻形勢(shì);其次，闡述了網(wǎng)絡(luò)入侵檢測(cè)與網(wǎng)絡(luò)入侵防御中的框架性問(wèn)題;再次，詳細(xì)闡述了基于深度學(xué)習(xí)的入侵檢測(cè)算法的設(shè)計(jì)方法，并闡述了入侵防御設(shè)計(jì)的要點(diǎn)，最后，入侵檢測(cè)算法的有效性和準(zhǔn)確性通過(guò)仿真進(jìn)行了驗(yàn)證。仿真結(jié)果表明所設(shè)計(jì)的算法能夠?qū)?fù)雜的入侵?jǐn)?shù)據(jù)具有較高的威脅檢測(cè)準(zhǔn)確度，測(cè)試數(shù)據(jù)集對(duì)按照公式計(jì)算最終測(cè)得的檢測(cè)率為95.22%和誤報(bào)率為0.67%。

關(guān)鍵詞：入侵防御;深度學(xué)習(xí);神經(jīng)網(wǎng)絡(luò);入侵檢測(cè)

中圖分類號(hào)：TP242.3

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1007-757X（2020）11-0093-05

Abstract：With the rapid development of Internet technologies， the number of network users has increased rapidly. In China， there are nearly half of the population of users. Such a large scale network has brought huge potential benefits to network attackers， and puts forward higher requirements for the defense of network intrusion. Traditional network defense means can only screen specific network intrusions and cannot deal with complex network intrusions intelligently and dynamically. Therefore， it is increasingly difficult to meet current needs. Aiming at the problem of network intrusion prevention， this paper proposes an intrusion detection method based on deep learning， and expounds the design method of intrusion prevention system. Firstly， the paper introduces the severe situation of network intrusion prevention. Secondly， the framework of network intrusion detection and network intrusion prevention is discussed. Thirdly， the design method of intrusion detection algorithm based on deep learning is elaborately explained， and the key points of intrusion prevention design are expounded. Finally， the effectiveness and accuracy of intrusion detection algorithm are verified through the simulation. Simulation results show that the proposed algorithm has a high threat detection accuracy for complex intrusion data， and the detection rate of the test data set calculated according to the formula is 95.22% and the false alarm rate is 0.67%.

Key words：intrusion prevention;deep learning;neural networks;intrusion detection

0?引言

2000年以后，我國(guó)的互聯(lián)網(wǎng)技術(shù)在政策支持以及實(shí)際需求的雙重助推下迎來(lái)了發(fā)展的高峰。物聯(lián)網(wǎng)、大數(shù)據(jù)以及云計(jì)算等網(wǎng)絡(luò)技術(shù)隨之出現(xiàn)，通過(guò)技術(shù)變革的力量改善著人民大眾的生產(chǎn)生活，有效提高社會(huì)資源的利用效率[1]?；ヂ?lián)網(wǎng)的優(yōu)勢(shì)來(lái)自于其互聯(lián)性與開放性，以網(wǎng)絡(luò)服務(wù)為核心將現(xiàn)有的社會(huì)資源進(jìn)行優(yōu)化配置[2]。但任何的開放均有著一定程度的數(shù)據(jù)安全威脅，互聯(lián)網(wǎng)更是因其海量的數(shù)據(jù)吞吐和服務(wù)人群的龐大而時(shí)刻收到巨大的安全威脅，這也給網(wǎng)絡(luò)安全的維護(hù)提出了前所未有的挑戰(zhàn)[3]。

按照國(guó)家互聯(lián)網(wǎng)信息中心的不完全數(shù)據(jù)統(tǒng)計(jì)，截至2018年中期中國(guó)網(wǎng)民數(shù)量已經(jīng)超過(guò)了6.6億，從2014年至2018年每年以約2～3千萬(wàn)的數(shù)量穩(wěn)步增長(zhǎng)[4]。網(wǎng)絡(luò)已經(jīng)幾乎深入到每個(gè)家庭中，隨著用戶體量的增長(zhǎng)，雖然增速的百分比有所放緩，但巨大的增量仍然不容小視[5]。我國(guó)近年來(lái)互聯(lián)網(wǎng)用戶規(guī)模的發(fā)展趨勢(shì)，如圖1所示。

網(wǎng)絡(luò)威脅也隨著互聯(lián)網(wǎng)技術(shù)的橫向擴(kuò)展而上升到了前所未有的高度。傳統(tǒng)手段對(duì)于現(xiàn)今的網(wǎng)絡(luò)安全防護(hù)已經(jīng)顯得過(guò)于落后，應(yīng)對(duì)網(wǎng)絡(luò)入侵力不從心。因此如何通過(guò)智能手段檢測(cè)網(wǎng)絡(luò)威脅入侵，針對(duì)性的進(jìn)行防御已經(jīng)成為了當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的重中之重。

1?網(wǎng)絡(luò)入侵防御系統(tǒng)

1.1?網(wǎng)絡(luò)入侵檢測(cè)

入侵檢測(cè)系統(tǒng)檢測(cè)數(shù)據(jù)，并通知用戶可能的入侵行為，但僅憑此并未能對(duì)網(wǎng)絡(luò)提供有效封鎖和保護(hù)。傳統(tǒng)的入侵檢測(cè)和防火墻只能區(qū)分特定的行為，由于入侵行為是隱蔽的、迂回的，靠傳統(tǒng)的保護(hù)措施很難保證網(wǎng)絡(luò)的安全。入侵防御系統(tǒng)基于入侵檢測(cè)技術(shù)，是入侵檢測(cè)技術(shù)的改進(jìn)。入侵防御系統(tǒng)使用直接串行訪問(wèn)網(wǎng)絡(luò)，通過(guò)串行連接有效監(jiān)測(cè)所有實(shí)時(shí)數(shù)據(jù)。防止入侵通過(guò)端口控制網(wǎng)絡(luò)數(shù)據(jù)，如果發(fā)現(xiàn)入侵，可以使用防火墻等防御機(jī)制來(lái)保護(hù)網(wǎng)絡(luò)的信息安全。因此，入侵防御技術(shù)不僅可以檢測(cè)入侵行為，還可以在最短時(shí)間內(nèi)封鎖入侵行為，并及時(shí)地、動(dòng)態(tài)地強(qiáng)化本地的檢測(cè)策略。入侵防御技術(shù)創(chuàng)造了一個(gè)深層系統(tǒng)，可以實(shí)現(xiàn)對(duì)于入侵行為的動(dòng)態(tài)智能防護(hù)。入侵防御系統(tǒng)盡管效果良好但是也會(huì)給網(wǎng)絡(luò)的使用帶來(lái)一些負(fù)面影響：由于所有的網(wǎng)絡(luò)數(shù)據(jù)均需要經(jīng)過(guò)入侵防御系統(tǒng)的篩查，所以網(wǎng)絡(luò)負(fù)荷會(huì)一定程度上增加，網(wǎng)絡(luò)延時(shí)、數(shù)據(jù)傳輸性能等均會(huì)因此而有所劣化，但這與網(wǎng)絡(luò)發(fā)生大規(guī)模安全事故所帶來(lái)的損失相比是完全可以接受的。

檢測(cè)入侵是防止入侵的基礎(chǔ)。網(wǎng)絡(luò)數(shù)據(jù)收集和分析透析了網(wǎng)絡(luò)攻擊的行為。針對(duì)不同類型入侵檢測(cè)相應(yīng)的檢測(cè)方法，如圖2所示。

1.2?入侵檢測(cè)與入侵防御

入侵檢測(cè)系統(tǒng)的目標(biāo)是確保網(wǎng)絡(luò)安全。入侵防御系統(tǒng)是在發(fā)現(xiàn)入侵時(shí)產(chǎn)生作用的。它們之間有不同的連接和處理策略[6-8]。

（1） 連接的方法：入侵檢測(cè)系統(tǒng)以并行的方式連接到網(wǎng)絡(luò)，入侵防御系統(tǒng)以串行的方式連接到網(wǎng)絡(luò)，二者協(xié)同提供網(wǎng)絡(luò)數(shù)據(jù)的檢測(cè)和威脅防御。

（2） 處理機(jī)制：入侵檢測(cè)系統(tǒng)報(bào)告被發(fā)現(xiàn)的入侵，并交由網(wǎng)絡(luò)管理員處理。入侵防御系統(tǒng)可以在發(fā)現(xiàn)入侵后積極提供保護(hù)、并對(duì)防護(hù)的機(jī)制和水平進(jìn)行動(dòng)態(tài)調(diào)整。

（3） 系統(tǒng)響應(yīng)的及時(shí)性：由于入侵檢測(cè)系統(tǒng)與網(wǎng)絡(luò)并行連接，其檢測(cè)存在一定的時(shí)滯，這也是為了盡量保障網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)馁|(zhì)量和速度。而防御系統(tǒng)必須在檢測(cè)到入侵威脅后的第一時(shí)間對(duì)目標(biāo)進(jìn)行阻斷和封鎖，響應(yīng)必須足夠及時(shí)。

（4） 系統(tǒng)性能需求：入侵檢測(cè)系統(tǒng)，對(duì)于系統(tǒng)所分配的性能需要較小，這是由于其僅承擔(dān)對(duì)入侵行為的檢測(cè)和呈報(bào)工作;入侵防御系統(tǒng)由于其需要對(duì)系統(tǒng)進(jìn)行高權(quán)限的管理，所作出的響應(yīng)也需要最高優(yōu)先級(jí)的調(diào)度，所以需要的系統(tǒng)性能也極高。

2?基于深度學(xué)習(xí)的入侵檢測(cè)技術(shù)

深度學(xué)習(xí)是一種模擬人腦的神經(jīng)網(wǎng)絡(luò)方法，通過(guò)這種方法可在一定程度上再現(xiàn)人類對(duì)問(wèn)題的思考和學(xué)習(xí)過(guò)程[9]。作為一種多層次的機(jī)器學(xué)習(xí)方法，深度學(xué)習(xí)通過(guò)學(xué)習(xí)逐漸實(shí)現(xiàn)對(duì)于問(wèn)題真實(shí)情況的逼近，進(jìn)而發(fā)現(xiàn)問(wèn)題內(nèi)在的運(yùn)行機(jī)制。其脫胎于人工神經(jīng)網(wǎng)絡(luò)，是對(duì)于傳統(tǒng)神經(jīng)網(wǎng)絡(luò)的一次改革。深度學(xué)習(xí)方法，對(duì)于復(fù)雜的難以直接抽象出模型的問(wèn)題具有十分強(qiáng)大的求解能力。

2.1?深度學(xué)習(xí)概述

2.1.1?深度學(xué)習(xí)概述

深度學(xué)習(xí)方法相對(duì)于傳統(tǒng)機(jī)器學(xué)習(xí)方法具有更多的層次，對(duì)于復(fù)雜函數(shù)擬合效果更佳。輸入層、隱含層和輸出層共同構(gòu)成了深度學(xué)習(xí)網(wǎng)絡(luò)，但深度學(xué)習(xí)的隱藏層數(shù)量更多[10]。其網(wǎng)絡(luò)結(jié)構(gòu)，如圖3所示。

2.1.2?算法復(fù)雜度

本文算法主要考慮的是算法的時(shí)間復(fù)雜度，在時(shí)間頻度中，n稱為問(wèn)題的規(guī)模，當(dāng)n不斷變化時(shí)，時(shí)間頻度T（n）也會(huì)不斷變化。為此，我們引入時(shí)間復(fù)雜度概念[11-12]。

一般情況下，算法中基本操作重復(fù)執(zhí)行的次數(shù)是問(wèn)題規(guī)模n的某個(gè)函數(shù)，用T（n）表示，若有某個(gè)輔助函數(shù)f（n），存在一個(gè)正常數(shù)c使得f（n）*c>=T（n）恒成立。記作T（n）=O（f（n）），稱O（f（n））為算法的漸進(jìn)時(shí)間復(fù)雜度，簡(jiǎn)稱時(shí)間復(fù)雜度。

在各種不同算法中，若算法中語(yǔ)句執(zhí)行次數(shù)為一個(gè)常數(shù)，則時(shí)間復(fù)雜度為O（1），另外，在時(shí)間頻度不相同時(shí)，時(shí)間復(fù)雜度有可能相同，如T（n）=n^2+3n+4與T（n）=4n^2+2n+1它們的頻度不同，但時(shí)間復(fù)雜度相同，都為O（n^2）。

按數(shù)量級(jí)遞增排列，常見(jiàn)的時(shí)間復(fù)雜度如下。

常數(shù)階O（1），對(duì)數(shù)階O（log2n）（以2為底n的對(duì)數(shù)，下同），線性階O（n）;

線性對(duì)數(shù)階O（nlog2n），平方階O（n2），立方階O（n3），…，k次方階O（nk）。

隨著問(wèn)題規(guī)模n的不斷增大，上述時(shí)間復(fù)雜度不斷增大，算法的執(zhí)行效率越低。

2.2?分類器設(shè)計(jì)

聚類算法傾向于不同的類之間有足夠大的差異，而同一類相似度足夠高，使得分類能夠涇渭分明。通過(guò)聚類算法可將樣本中相似的部分劃分為一個(gè)類別[12-14]。

2.2.1?Logistic回歸

與一般的分類方法相比，Logistic回歸在完成對(duì)樣本的分類的同時(shí)，還可以提供其概率信息。{X（1），Y（1），X（2），Y（2），…，X（n），Y（n）}為一個(gè)具有標(biāo)記的樣本集，其中X（i）表示訓(xùn)練樣本，Y（i）表示與X（i）對(duì)應(yīng)的標(biāo)簽。

損失函數(shù)需要轉(zhuǎn)化到規(guī)定的區(qū)間內(nèi)，通過(guò)梯度下降法可以實(shí)現(xiàn)。參數(shù)θ可進(jìn)行迭代求解。

使用梯度下降法將損失函數(shù)調(diào)整到規(guī)定范圍內(nèi)，如式（6）。

2.2.2?Softmax分類器

盡管Logistic回歸在二分類上性能卓越，但是因?yàn)槠淠Ｐ驮O(shè)計(jì)簡(jiǎn)單，難以應(yīng)對(duì)多分類的情況。采用Softmax分類器可以有效應(yīng)對(duì)這一問(wèn)題，其基于Logistic回歸，并對(duì)模型進(jìn)行了擴(kuò)展。尤其是在具有互斥性的問(wèn)題上的效果更加。

分類器的訓(xùn)練可通過(guò)梯度下降法來(lái)實(shí)現(xiàn)，通過(guò)對(duì)J（θ）的優(yōu)化，當(dāng)其滿足要求后θ的調(diào)整即可完成。

2.3?入侵檢測(cè)算法

深度學(xué)習(xí)方法可以應(yīng)對(duì)多維度的入侵?jǐn)?shù)據(jù)，通過(guò)其提取能力實(shí)現(xiàn)對(duì)特征的抽象。

2.3.1?基于自編碼器的深度學(xué)習(xí)網(wǎng)絡(luò)

人類在思考過(guò)程中區(qū)域內(nèi)的神經(jīng)元僅有一個(gè)活躍，這滿足了問(wèn)題的互斥性。稀疏自編碼器通過(guò)模擬人類的這種思維方式利用神經(jīng)元互斥的屬性，降低輸入層的特征維度，通過(guò)較少的隱含單元進(jìn)行表征，這使得問(wèn)題稀疏化。其神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，如圖4所示。

基于自編碼器的深度學(xué)習(xí)網(wǎng)絡(luò)的分類向量獲取需要經(jīng)過(guò)多次的特征提取，需使用多個(gè)隱藏層來(lái)實(shí)現(xiàn)，如圖5所示。

由上圖5所示，X={x1，x2，x3}和Y={y1，y2}分別表征輸入和輸出。分類器的選擇基于最后隱含層的元素，過(guò)程中通過(guò)多隱含層對(duì)輸入向量進(jìn)行特征的提取。

2.3.2?基于深度學(xué)習(xí)的入侵檢測(cè)算法

基于深度學(xué)習(xí)的入侵檢測(cè)神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)模型，如圖6所示。

該神經(jīng)網(wǎng)絡(luò)為多層結(jié)構(gòu)，經(jīng)過(guò)層層遞進(jìn)式的特征提取，其結(jié)果隨之更加抽象化，對(duì)抽象后的特征進(jìn)行分類可得出最終的分類結(jié)果，該結(jié)果就是入侵檢測(cè)的結(jié)果。

特征提取流程如下。

7.微調(diào)權(quán)值矩陣和偏置向量。

因此，基于深度學(xué)習(xí)的入侵檢測(cè)算法訓(xùn)練流程圖，如圖7所示。

將訓(xùn)練集輸入到深度學(xué)習(xí)的入侵檢測(cè)算法訓(xùn)練。計(jì)算第i個(gè)隱含層誤差，調(diào)整權(quán)值矩陣，調(diào)整偏差向量，判斷訓(xùn)練是否可以結(jié)束。是否有i+1層，參數(shù)微調(diào)，輸入測(cè)試集，輸出測(cè)試集經(jīng)學(xué)習(xí)后的結(jié)果，輸入分類器，輸出測(cè)試集分類結(jié)果，最終計(jì)算檢測(cè)率和誤報(bào)率。

3?基于深度學(xué)習(xí)的入侵防御

3.1?入侵防御系統(tǒng)

作為網(wǎng)絡(luò)安全防護(hù)的一種有效手段，網(wǎng)絡(luò)入侵防御系統(tǒng)能夠?qū)W(wǎng)絡(luò)威脅進(jìn)行檢測(cè)并主動(dòng)啟動(dòng)防御機(jī)制進(jìn)行阻斷。通過(guò)對(duì)外部通信數(shù)據(jù)的檢驗(yàn)，允許其中正常數(shù)據(jù)通過(guò)防火墻進(jìn)入內(nèi)部進(jìn)行交互，阻斷其中的異常數(shù)據(jù)，確保網(wǎng)絡(luò)不會(huì)受到安全威脅。該系統(tǒng)的模型，如圖8所示。

外部輸入進(jìn)入到防火墻，可以觸發(fā)入侵防御系統(tǒng)。防御系統(tǒng)進(jìn)行入侵防御對(duì)數(shù)據(jù)類型進(jìn)行判斷，如果數(shù)據(jù)正常則進(jìn)入內(nèi)部網(wǎng)絡(luò)，否則將引發(fā)響應(yīng)措施。

網(wǎng)絡(luò)入侵防御系統(tǒng)的構(gòu)建需要考慮以下兩個(gè)問(wèn)題。

1.能夠準(zhǔn)確鑒別網(wǎng)絡(luò)通信數(shù)據(jù)包中的異常數(shù)以及不安全行為。

2.對(duì)于威脅的阻斷要有及時(shí)的響應(yīng)速度。

網(wǎng)絡(luò)入侵防御系統(tǒng)的設(shè)計(jì)需要服從以下原則。

（1） 可在線部署：在線部署旨在提高實(shí)時(shí)處理的效率，防止入侵。

（2） 檢測(cè)準(zhǔn)確性高：發(fā)現(xiàn)入侵是防止入侵的必要條件和基礎(chǔ)。如果不能正確發(fā)現(xiàn)入侵行為或者對(duì)于非入侵行為誤檢測(cè)為入侵行為，則網(wǎng)絡(luò)會(huì)受到威脅或被自身阻斷，造成不可避免的損失。

（3） 可擴(kuò)展性：由于網(wǎng)絡(luò)入侵不是一成不變的，網(wǎng)絡(luò)攻擊者也會(huì)根據(jù)現(xiàn)有的防御手段針對(duì)性改進(jìn)自己的攻擊手段，因此想要對(duì)網(wǎng)絡(luò)威脅進(jìn)行有效的阻斷，防御系統(tǒng)必須具備自我成長(zhǎng)、自我改進(jìn)的能力，能夠吸納新的入侵防御手段以形成對(duì)新形勢(shì)下的威脅防御。

（4） 穩(wěn)定可靠：由于網(wǎng)絡(luò)入侵防御系統(tǒng)的是串行連接的，如果入侵防御系統(tǒng)發(fā)生故障造成中斷，則會(huì)阻斷正常的網(wǎng)絡(luò)通信，不僅起不到防御威脅的作用，且會(huì)因此而造成直接的損失。

（5） 較低的學(xué)習(xí)成本：一個(gè)稱職的網(wǎng)絡(luò)入侵防御系統(tǒng)在完成復(fù)雜的威脅阻斷操作的同時(shí)，應(yīng)該對(duì)操作者提供相對(duì)簡(jiǎn)單的操作邏輯。

（6） 對(duì)威脅智能化的分級(jí)及處理能力：系統(tǒng)應(yīng)該能夠?qū)Σ煌：Τ潭?、不同種類的入侵行為采取不同的處理方式，在保障網(wǎng)絡(luò)安全的同時(shí)最大程度確保網(wǎng)絡(luò)的正常運(yùn)行。

3.2?入侵防御系統(tǒng)架構(gòu)設(shè)計(jì)

對(duì)于網(wǎng)絡(luò)入侵防御系統(tǒng)的設(shè)計(jì)通常是采用分層架構(gòu)，這樣做的好處是可以將防御系統(tǒng)的負(fù)擔(dān)攤薄到每個(gè)層級(jí)中，使得系統(tǒng)的平均負(fù)荷控制在可接受的范圍內(nèi)，設(shè)計(jì)結(jié)構(gòu)如圖9所示。

由圖9可見(jiàn)，外部數(shù)據(jù)通過(guò)外層防御進(jìn)入到內(nèi)網(wǎng)該，內(nèi)部防御系統(tǒng)生成日志。系統(tǒng)主要由控制、通信、入侵防御和日志四大功能模塊構(gòu)成。來(lái)自于外網(wǎng)的通信數(shù)據(jù)包經(jīng)過(guò)外層防御的鑒別后，通過(guò)日志記錄其中的異常行為對(duì)并將其阻斷到外層防御之外，對(duì)于正常數(shù)據(jù)允許其通過(guò)外網(wǎng)防火墻進(jìn)入內(nèi)網(wǎng);之后，經(jīng)過(guò)內(nèi)層防御的鑒別后，如果其符合網(wǎng)絡(luò)設(shè)定的安全標(biāo)準(zhǔn)則允許其進(jìn)入內(nèi)部工作系統(tǒng)最終實(shí)現(xiàn)與內(nèi)部網(wǎng)絡(luò)系統(tǒng)的交互。

4?仿真

借助入侵?jǐn)?shù)據(jù)集KDD CUP99對(duì)網(wǎng)絡(luò)進(jìn)行訓(xùn)練，并通過(guò)仿真結(jié)果對(duì)算法相關(guān)指標(biāo)的評(píng)定。該數(shù)據(jù)集中的數(shù)據(jù)具有41項(xiàng)屬性，其中異常數(shù)據(jù)可分為以下四個(gè)類別。

（1） 非法獲取權(quán)限（U2R）

U2R攻擊，通常是指攻擊者以一般用戶身份在網(wǎng)絡(luò)進(jìn)行注冊(cè)登錄，通過(guò)密鑰破解或系統(tǒng)漏洞等手段，提升自身權(quán)限，隨著權(quán)限的不斷提升逐漸接觸到自己無(wú)權(quán)限獲取的信息的行為。

（2） 遠(yuǎn)程非法訪問(wèn)（R2L）

R2L攻擊通常是指通過(guò)異常數(shù)據(jù)包獲取對(duì)要入侵的目標(biāo)主機(jī)的訪問(wèn)權(quán)限進(jìn)而進(jìn)行滲透的一種方式。

（3） 拒絕服務(wù)攻擊（Dos）

Dos攻擊通常指通過(guò)正常數(shù)據(jù)對(duì)要入侵的服務(wù)器進(jìn)行的一種打擊行為，其特點(diǎn)是通過(guò)大量的請(qǐng)求引起服務(wù)器不具備足夠的響應(yīng)能力而崩潰，導(dǎo)致網(wǎng)絡(luò)無(wú)法正常工作。

（4） 端口監(jiān)視（Probe）

該類型攻擊通常是通過(guò)大范圍掃描某一指定地址段的主機(jī)以試探性的方式獲取主機(jī)的薄弱環(huán)節(jié)，為進(jìn)一步的入侵行為提高成功率。

仿真所用數(shù)據(jù)集中所包含的異常數(shù)據(jù)分布，如表1所示。

按照表1的分布比例能夠進(jìn)量保證仿真中所設(shè)定的條件與真實(shí)的網(wǎng)絡(luò)入侵情況接近。

在數(shù)據(jù)集中分別按照總量的14、13、12和34作為測(cè)試數(shù)據(jù)集對(duì)按照如下公式計(jì)算檢測(cè)的準(zhǔn)確率。

檢測(cè)率=準(zhǔn)確分類數(shù)據(jù)測(cè)試數(shù)據(jù)集容量×100%

誤報(bào)率按照如下公式進(jìn)行測(cè)算。

誤報(bào)率=誤檢為其他類型的數(shù)據(jù)測(cè)試數(shù)據(jù)集容量×100%

最終測(cè)得的檢測(cè)率和誤報(bào)率，如表2所示。

從表2的仿真結(jié)果可知，隨著所用數(shù)據(jù)集的容量提升，算法的準(zhǔn)確性隨之提升，在第2～4組數(shù)據(jù)集的仿真結(jié)果已經(jīng)可以滿足網(wǎng)絡(luò)入侵檢測(cè)的需要，第一組數(shù)據(jù)的檢測(cè)率較低是由于數(shù)據(jù)集的容量過(guò)小導(dǎo)致網(wǎng)絡(luò)無(wú)法得到充分的訓(xùn)練。

5?總結(jié)

本文針對(duì)網(wǎng)絡(luò)入侵的防御問(wèn)題，針對(duì)現(xiàn)有的防御體系無(wú)法有效應(yīng)對(duì)復(fù)雜的入侵?jǐn)?shù)據(jù)的情況，提出了一種基于深度學(xué)習(xí)的入侵檢測(cè)手段。通過(guò)設(shè)計(jì)分類器和深度學(xué)習(xí)網(wǎng)絡(luò)闡明了入侵檢測(cè)算法的機(jī)制，闡述了入侵防御系統(tǒng)設(shè)計(jì)的要點(diǎn)。仿真結(jié)果表明該方法能夠有效地對(duì)入侵?jǐn)?shù)據(jù)進(jìn)行準(zhǔn)確檢測(cè)，該方法具有一定的實(shí)際應(yīng)用價(jià)值。

參考文獻(xiàn)

[1]?梁建營(yíng). 基于Snort的網(wǎng)絡(luò)入侵防御探究[J]. 網(wǎng)絡(luò)空間安全， 2015， 6（2）：37-38.

[2]?崔玉禮. 基于認(rèn)知網(wǎng)絡(luò)入侵防御系統(tǒng)的分析與構(gòu)建[J]. 山東農(nóng)業(yè)工程學(xué)院學(xué)報(bào)， 2016， 33（8）：148-149.

[3]?張寧熙. 智能神經(jīng)網(wǎng)絡(luò)入侵防御系統(tǒng)研究與設(shè)計(jì)[C].廣西：南寧，廣西計(jì)算機(jī)學(xué)會(huì)學(xué)術(shù)年會(huì)， 2015.

[4]?鄒洪， 龍震岳， 陳力. 混合無(wú)線網(wǎng)絡(luò)區(qū)域的入侵主動(dòng)防御模型仿真[J]. 計(jì)算機(jī)仿真， 2016， 33（1）：280-283.

[5]?李藝穎， 鄧皓文， 王思齊， 等. 基于機(jī)器學(xué)習(xí)和NetFPGA的智能高速入侵防御系統(tǒng)[J]. 信息網(wǎng)絡(luò)安全， 2014（2）：12-19.

[6]?張玉清， 董穎， 柳彩云， 等. 深度學(xué)習(xí)應(yīng)用于網(wǎng)絡(luò)空間安全的現(xiàn)狀、趨勢(shì)與展望[J]. 計(jì)算機(jī)研究與發(fā)展， 2018， 5（6）：3-28.

[7]?丁順鶯. 基于深度學(xué)習(xí)的大數(shù)據(jù)網(wǎng)絡(luò)安全防御模式研究[J]. 信息與電腦， 2018（17）：194-195.

[8]?王凱， 陳立云， 李昊鵬. 網(wǎng)站指紋攻擊與防御技術(shù)研究綜述[J]. 飛航導(dǎo)彈， 2019， 411（3）：83-87.

[9]?孫惠麗， 陳維華， 劉東朝. 基于深度學(xué)習(xí)的改進(jìn)貝葉斯網(wǎng)絡(luò)入侵檢測(cè)算法[J]. 軟件工程， 2019， 22（4）：20-24.

[10]?李春林， 黃月江， 王宏， 等. 一種基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)方法[J]. 信息安全與通信保密， 2014（10）：68-71.

[11]?王貴喜. 基于深度學(xué)習(xí)的支持向量機(jī)的信息安全檢測(cè)和預(yù)警研究[J]. 微型電腦應(yīng)用， 2018， 34（6）：39-42.

[12]?閆春江， 王闖， 方華林， 等. 基于深度學(xué)習(xí)的輸電線路工程車輛入侵檢測(cè)[J]. 信息技術(shù)， 2018， 42（7）：36-41.

[13]?溫明莉， 趙軒， 蔡夢(mèng)倩. 基于深度學(xué)習(xí)的端到端驗(yàn)證碼識(shí)別[J]. 無(wú)線互聯(lián)科技， 2017（14）：85-86.

[14]?管廷昭. 持續(xù)攻擊下智能網(wǎng)絡(luò)入侵主動(dòng)防御系統(tǒng)設(shè)計(jì)[J]. 電子設(shè)計(jì)工程， 2018， 26（18）：50-54.

（收稿日期：2019.09.12）