3.1.1 整体框架 ......................... 21
3.1.2 离线训练 ............................. 22
第四章 基于生成对抗网络的无监督 NIDS 异常检测算法 ........................ 49
4.1 基于生成对抗网络的无监督 NIDS 异常检测算法框架 ........................ 49
4.2 Packet-GAN 模型算法概述 ....................................... 50
4.3 Packet-GAN 模型算法流程 ..................................... 52
第五章 基于 PacketGAN 和深度包检测的 IDS 系统框架 ..................... 65
5.1 系统总体设计 ................................................ 65
5.1.1 系统总体架构 ................................... 65
5.1.2 系统环境部署图 .............................. 67
第六章 入侵检测系统的实现
6.1 系统开发环境
本论文的入侵检测系统实现主要采用 Python,JavaScript,Shell 语言开发实现,采用 Vue + Flask 的前后端分离 B/S 架构实现用户端的界面配置展示内容,采用 LibPcap + Docket 自动化部署设备端的流采集工具。
系统的开发环境如下如表 6.1 所示:
本章基于 DPI 和基于 Packet-GAN 无监督的 NIDS 异常检测深度学习技术构建的入侵检测系统,提供了整个系统开发所需的软件库与运行环境,使用 Docker 技术使前置模块拥有了跨终端跨操作系统的一键式部署能力,该能力解决了 IDS 入侵检测系统部署难管理的问题,前置模块通过分布式后端系统统一调控解决 IDS 入侵检测系统难控制难升级的问题。使用系统框架图描述该入侵检测系统所使用的技术与架构具体设计,使用流程图描述前置模块,后端模块的业务流程,使用时序图描述用户与前端交互过程后端的交互内容。最后在系统运行展示中,提供丰富的可视化对恶意攻击进行描述。
第七章 总结与展望移动互联网时代网络结构越发复杂,恶意攻击呈现攻击频繁、种类多样等特点。使用深度学习技术来解决入侵检测问题是一种趋势,其中无监督的深度学习方式最适合解决真实网络的安全问题。主要因为无监督的入侵检测算法解决了有监督分类算法的两个核心问题。(1)现网环境很难捕获有标签的恶意流量数据集,而无监督算法不需要有标签的恶意流量数据集。 (2)无监督算法可解决有监督分类模型无法检测出未知恶意攻击,同时无监督算法还兼具有监督算法的性能表现。
本文的工作重点:第一,提出一种无监督的入侵检测系统,将无监督的异常入侵检测算法与成熟的 DPI 技术合理结合,解决传统入侵检测系统无法检测未知恶意攻击的问题,解决传统入侵检测系统无法对历史数据自动化建模的问题。第二,提出基于变分自动编码器的COD-VAE 模型,该模型在公开的入侵检测数据集上比无监督的堆叠式自动编码器模型有更好的性能表现。第三,提出基于生成对抗网络的 Packet-GAN 算法,该算法在 COD-VAE 的基础上增加生成对抗的思想帮助生成器训练出更加符合正常网络流量数据集分布的模型,在公开入侵检测数据集 CICIDS2017 上展现出超过 COD-VAE 算法的性能表现。
根据本文的研究结果和研究实验数据,希望在论文下一个阶段增加如下的研究内容方向:
(1)相比于图像、自然语言处理领域,无监督的入侵检测算法研究还很少且不成熟。本论文主要将无监督的生成模型算法用于异常入侵检测中,还有很多内容需要探索例如更适合学习网络流量的神经网络结构或结合自然语言领域流式的入侵检测算法,使这些模型可以更好的学习正常流量的多维空间分布,更好的检测异常网络流量。
(2)深度学习特征学习过程的不可解释性是一个问题。网络数据流不像图像和自然语言处理领域人可以直观的通过眼睛和耳朵直接进行判断,帮助我们了解模型的整个学习过程。而网络数据流是序列的字节流,只有专业的网络工程师才能从中获取一部分信息内容。在网络数据流特征工程过程给出可解释性的说明是一个不错的研究方向,能有效帮助 NIDS 异常检测技术更快的发展。
参考文献(略)
