本文是一篇计算机论文,本文使用基于混合神经网络的方法设计了入侵流量检测模型,并在此基础上,实现了一个可视化的入侵流量检测系统。
第一章 绪论
1.1 研究背景及意义
随着互联网的飞速发展,人们的视野得到了极大的拓展,生活方式也发生了翻天覆地的变化。它为人们提供了便捷的信息获取方式、全球范围的社交网络、便利的电子商务、灵活的教育和工作方式,以及多样化的娱乐和文化体验。由中国互联网信息中心(CNNIC)发布的第52次《中国互联网络发展状况统计报告》[1]可以看到,如表1-1所示,我国网民规模较2022年12月增长1109万人,已经达到10.79亿人,互联网普及率达到76.4%,较2022年12月提升了0.8个百分点。这一数据表明,随着互联网的飞速发展,人们的生活方式正在发生改变。于此同时,随着网络技术的发展,网络安全问题也变得日益突出,对个人、企业和国家造成了巨大的威胁和损失。首先,网络攻击对个人造成了严重的损害,如2021年2月印度政府网站泄露了800万核酸检测报告结果和个人信息和2021年4月FaceBook泄露了来自106个国家的超过5.33亿的用户个人信息。通过网络攻击得到用户的个人信息后,泄露的个人信息可能被不法分子用于身份盗窃,他们可以使用身份信息进行欺诈、开立银行账户、办理贷款或信用卡,进行非法活动,并且影响信用记录和信用评分,同时还有可能盗取资金或进行未授权的交易,造成经济损失。同时,网络攻击也给企业造成了不可挽回的危害,如2017年5月中旬爆发的WannaCry、2022年9月国内40多家金融机构数据被窃以及2023年8月丹麦托管服务商CloudNordic和AzeroCloud在被勒索软件攻击加密了大部分客户数据后被迫关闭,且数据恢复不成功。网络攻击者可能通过黑客攻击、恶意软件或网络钓鱼等手段,获取企业的敏感数据和商业机密。这些数据包括客户信息、财务数据、研发成果等。数据泄露和盗窃可能导致企业声誉受损、法律责任增加,甚至导致财务损失和竞争劣势。另外,网络攻击可以通过分布式拒绝服务(Distributed Denial of Service,DDoS)攻击、勒索软件或恶意代码破坏企业的网络基础设施和系统。
1.2 国内外研究现状
入侵检测的研究可以追溯到20世纪80年代,但在互联网兴起后受到重视并迅速发展。早在1980年,J Anderson及其同事就提出了入侵检测的概念,可以轻松地对入侵行为进行分类。1985年,Denning在Oakland首次提出了一个实时入侵检测专家系统模型[3],这个模型标志着入侵侦查学科的重要突破,从此以后,众多的入侵检测系统(Intrusion Detection System,IDS)模型陆续涌现。20世纪90年代初以后,随着Porras和Kemmerer基于状态转换分析的入侵检测技术[4]的提出和完善,出现了许多入侵检测分类方法,但是随着网络数据的不断演化,传统的入侵检测方法存在局限性,机器学习算法和深度学习算法在处理这些高维数据方面有着优异的表现。因此,许多研究人员开始使用机器学习算法和深度学习算法进行入侵检测。
1.2.1 基于机器学习的IDS
在机器学习中,存在无监督学习和有监督学习两种方式。无监督学习是数据集中不含标签,有监督学习中数据集中含有标签。有监督学习和无监督学习在流量检测领域各有优势。有监督学习算法能够利用已有标签信息对不同攻击数据进行充分学习,在下次该类攻击到来的时候,能够准确的识别出它,但是无法对未曾学习过的攻击行为进行识别。无监督学习的特点是不用含有标签的数据中进行学习和预测,这样可以省去大量人工标记的时间,且能够快速识别与正常网络行为不同的异常行为,但无法准确区分具体攻击的类别。如图1-1所示,该图展示了机器学习在流量检测领域中常用的算法模型。
第二章 相关理论及技术介绍
2.1入侵检测技术
2.1.1 入侵检测系统的概念
入侵检测系统用来监视计算机网络或系统中的活动,以侦测并应对潜在的恶意活动或未经授权的行为。其主要功能是识别和响应各种安全事件,包括但不限于网络攻击、恶意软件、内部威胁等。入侵检测系统能够识别出正常流量和异常流量,安全工作人员可以通过对异常流量的分析来区分网络攻击行为,从而做出相应决策。入侵流量检测系统主要依赖于流量识别算法,流量识别算法通过不断学习流量中的特征,从而对正常流量和异常流量进行识别。入侵检测系统在网络和系统安全中起着至关重要的作用,帮助组织及时发现并应对潜在的安全威胁,保护网络和系统的安全性和完整性。
2.1.2 入侵检测系统分类
按照检测原理,入侵检测可以分为三类:异常检测、误用检测和混合检测。异常检测:该方法将当前网络行为与系统正常行为进行比较,若在观察两者之间差值的过程中,发现高于了预定义的阈值,就说明当前系统异常或收到入侵。异常检测能够识别未知攻击,但其关键问题在于如何准确描述正常流量和异常行为的边界,以及确定异常流量的阈值基准值。目前尚未有明确的规范,因此导致了该方法的误报率较高;误用检测:该方法根据已知攻击的特征将异常流量与正常流量区分开来。误用检测能够明确标注入侵类型,具有较高的准确率和较低的误报率。然而,该方法对于未知攻击的识别能力较差;混合入侵检测:混合检测结合了异常检测和误用检测的优势。它不仅能够识别未知攻击,还可以提高准确率并降低误报率。因此,混合入侵检测是目前较为常用的方法。
入侵检测系统根据数据来源可分为基于主机的IDS和基于网络的IDS。基于主机的IDS监视主机或服务器上的活动,以检测潜在的攻击。基于主机的IDS能够发现内部问题,误报率较低,但存在无法检测网络攻击、覆盖范围有限和配置繁琐等问题。相比之下,基于网络的IDS通过监视网络上的数据流量来检测潜在的攻击。它们通常被部署在网络的入口点。因此,选择合适的IDS取决于特定的网络环境和安全需求。
2.2 深度学习技术
深度学习是一种机器学习方法,旨在模拟人类大脑的结构和功能,通过多层次的神经网络来学习和理解复杂的数据表示。深度学习模型通常由输入层、隐藏层和输出层组成。隐藏层可以有多个,并且通过权重连接来传递和处理数据。深度学习思想是通过大量数据的特征学习,建立其中的联系,最终利用学习到的权重对目标对象进行识别分类。本文选择基于深度学习的入侵检测模型进行训练。
2.2.1 多层感知机
多层感知机是人工神经网络的一种。
感知机无法处理非线性关系,也不像其他神经网络具有记忆能力。为了解决这些问题,多层感知机(MLP)引入了多个隐藏层和隐藏单元,构建了一个有向无环图,实现了数据从输入到输出的向前流动。每个隐藏单元与下一层的所有隐藏单元连接,形成全连接层,最后全连接层神经元的个数就是需要分类的个数。
卷积运算通常需要设置卷积核和步长(Stride)的大小,步长代表卷积核每次移动的距离。在卷积过程中,还需要对原始图像进行填充(Padding),因为卷积核、步长和原始图像大小的关系,避免卷积核在移动过程中越界,而填充就是在原始图像的边界填零来确保有足够的空间使卷积核滑动。
当输入数据有多个通道时,卷积核的个数需要和输入通道数保持一致,首先,卷积核会与相应通道进行卷积操作,然后按位置进行相加。下图2-4展示了多通道卷积的运算过程。
第三章 基于混合神经网络的入侵流量检测方法 ................................ 16
3.1基于混合神经网络的入侵流量检测方法 .................................... 16
3.1.1 数据预处理 ..................................... 17
3.1.2 混合神经网络模型结构 ................................ 18
第四章 入侵流量检测系统原型设计与实现 ............................. 30
4.1 系统总体架构 ................................... 30
4.2 系统功能模块实现 .............................. 31
4.3 数据库设计 ........................................... 33
第五章 入侵流量检测系统原型测试 .............................. 39
5.1 系统运行展示 ................................... 39
5.2 网络拓扑结构 ......................... 43
5.3 攻击场景模拟 ................................. 44
第五章 入侵流量检测系统原型测试
5.1 系统运行展示
本节将对本文实现的入侵检测系统界面进行展示,具体通过基于Vue框架搭建的前端可视化给用户,页面包含用户的登录和添加、首页的流量统计页面、用户管理页面和流量识别页面。
在系统的安全方面,保证了系统只有一个超级用户,具有最高的权限,可以对普通用户进行管理,该超级用户直接在数据库进行写入。用户的登录和添加页面如图5-1和图5-2所示,用户的添加操作只有在超级用户登录系统之后才可以进行操作,保证了系统的安全性。
第六章 总结和展望
6.1 全文总结
本文使用基于混合神经网络的方法设计了入侵流量检测模型,并在此基础上,实现了一个可视化的入侵流量检测系统。主要内容具体如下:
首先本文探讨了深度学习算法以及其在网络入侵流量检测领域的相关应用,还分析了国内外的研究现状。同时,对经典算法的性能特点和存在的缺陷进行了讨论,并进一步总结前人的不足,为本文方法提供了研究思路和依据。
其次,本文提出了一种基于混合神经网络的入侵流量检测模型,将网络流量特征表示成矩阵形式,利用MobilenetV2和ViT分别提取了流量数据较近的局部特征和较远的全局特征,将两个网络结构的输出融合后再进行分类,解决了当前网络入侵检测研究存在模型分类器层面特征不完整和分类准确性不高的问题,提升了入侵检测分类性能。并且通过实验分别在网络入侵检测数据集Bot-IoT和ToN-IoT上进行了多个模型之间的对别分析。结果显示,与其它方法相比,本文方法在网络入侵检测分类任务中,较其它模型表现更好。
最后,在基于混合神经网络的入侵流量检测模型的基础上,设计了一个可视化的入侵流量检测系统,便于操作。在此基础上,针对不同模块的功能分别进行了测试,测试结果表明该系统的功能和性能均达到了设计预期。
参考文献(略)