基于端到端記憶神經(jīng)網(wǎng)絡(luò)的可解釋入侵檢測(cè)模型①

高筱嫻, 龍 春, 魏金俠, 趙 靜, 宋丹劼

1(中國(guó)科學(xué)院 計(jì)算機(jī)網(wǎng)絡(luò)信息中心, 北京 100190)

2(中國(guó)科學(xué)院大學(xué), 北京 100049)

1 引言

入侵檢測(cè)系統(tǒng)(Intrusion Detection System, IDS)是部署在網(wǎng)絡(luò)中用于檢測(cè)異常網(wǎng)絡(luò)行為的安全設(shè)備, 對(duì)于網(wǎng)絡(luò)系統(tǒng)安全具有重要作用. 由于網(wǎng)絡(luò)技術(shù)的不斷發(fā)展, 網(wǎng)絡(luò)攻擊行為也在不斷變化和升級(jí), 因而入侵檢測(cè)技術(shù)需要不斷更新、改進(jìn)以適應(yīng)網(wǎng)絡(luò)威脅的變化.

目前, 入侵檢測(cè)技術(shù)主要包括基于知識(shí)的誤用檢測(cè)和基于行為的異常檢測(cè). 誤用檢測(cè)是將當(dāng)前監(jiān)測(cè)的網(wǎng)絡(luò)行為與提前定義好的入侵行為一一對(duì)比, 若符合則視為入侵行為. 誤用檢測(cè)對(duì)已知攻擊類型有很好的檢測(cè)效果, 但無(wú)法檢測(cè)出變異攻擊類型或未知攻擊類型. 異常檢測(cè)是對(duì)正常網(wǎng)絡(luò)行為建模, 若當(dāng)前網(wǎng)絡(luò)行為不符合正常行為模式, 則判斷為異常網(wǎng)絡(luò)行為. 異常檢測(cè)在變異攻擊類型和未知攻擊類型上有較好的表現(xiàn),但存在誤報(bào)率高的問(wèn)題.

目前很多研究工作嘗試將兩種檢測(cè)方法結(jié)合起來(lái)達(dá)到優(yōu)勢(shì)互補(bǔ)的目的. 一種常用的方法是將基于知識(shí)的模型和基于行為的模型分別進(jìn)行訓(xùn)練和預(yù)測(cè), 之后把兩類算法的預(yù)測(cè)結(jié)果按照預(yù)定策略(如投票和交并集等)融合, 作為最終的判斷結(jié)果[1]. 另一種方法是使用復(fù)合模型, 首先使用單模型學(xué)習(xí)數(shù)據(jù)內(nèi)在知識(shí), 然后將學(xué)習(xí)到的知識(shí)用于下一步的檢測(cè)算法. 這兩種方法的共同點(diǎn)是, 它們都包含了不止一個(gè)基本模型, 各個(gè)模型分別訓(xùn)練之后相結(jié)合, 這使得訓(xùn)練過(guò)程復(fù)雜化.

入侵檢測(cè)中的另一個(gè)問(wèn)題是, 在實(shí)際應(yīng)用中, 入侵檢測(cè)系統(tǒng)給出對(duì)網(wǎng)絡(luò)行為的判斷結(jié)果后, 安全人員需要根據(jù)該判斷結(jié)果做出相應(yīng)的安全處理, 這一過(guò)程要求安全人員具備足夠的經(jīng)驗(yàn). 而基于異常的入侵檢測(cè)技術(shù)往往不能給出檢測(cè)依據(jù), 這就提高了對(duì)安全人員經(jīng)驗(yàn)的要求. 因此, 使入侵檢測(cè)模型輸出可解釋性信息在實(shí)際應(yīng)用中具有一定的意義.

文章中, 我們提出一種基于記憶神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)模型, 它能夠利用已有的攻擊知識(shí), 使用端到端的學(xué)習(xí)方法, 用來(lái)簡(jiǎn)化入侵檢測(cè)算法步驟. 同時(shí), 該方法能夠?qū)z測(cè)結(jié)果提供可解釋信息, 幫助安全人員了解當(dāng)前網(wǎng)絡(luò)行為特點(diǎn). 我們?cè)O(shè)計(jì)并搭建模型, 在NSL KDD數(shù)據(jù)集上完成了實(shí)驗(yàn).

本文第二節(jié)介紹入侵檢測(cè)領(lǐng)域的相關(guān)工作, 第三節(jié)介紹我們提出的模型架構(gòu)和實(shí)現(xiàn)細(xì)節(jié), 第四、五節(jié)設(shè)計(jì)、完成實(shí)驗(yàn), 并分析實(shí)驗(yàn)結(jié)果, 第六節(jié)以Snort規(guī)則為例, 詳細(xì)描述模型在數(shù)據(jù)應(yīng)用上的擴(kuò)展方案, 最后在第七節(jié)總結(jié)本文工作, 提出未來(lái)工作方向.

2 相關(guān)工作

入侵檢測(cè)系統(tǒng)根據(jù)監(jiān)控的事件類型以及部署位置,分為基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS[2]. 前者監(jiān)控主機(jī)上的事件, 后者則部署在特定的網(wǎng)絡(luò)設(shè)備上, 對(duì)網(wǎng)絡(luò)流量進(jìn)行分析, 以識(shí)別可疑活動(dòng). 我們的模型是基于網(wǎng)絡(luò)的, 處理的數(shù)據(jù)為靜態(tài)流量數(shù)據(jù).

用于入侵檢測(cè)的兩種典型的方法是基于知識(shí)的誤用檢測(cè)方法和基于行為的異常檢測(cè)方法.

誤用檢測(cè)通過(guò)預(yù)定義的靜態(tài)signature來(lái)過(guò)濾流量數(shù)據(jù)[3]. 靜態(tài)signature通常從安全專家構(gòu)建的攻擊模式庫(kù)中選擇. 大多數(shù)商業(yè)IDS和開(kāi)源應(yīng)用程序都采用基于知識(shí)的方法, 如 Snort[4]和Bro IDS[5]. 對(duì)這類方法研究主要集中在構(gòu)建signature或?qū)χR(shí)重編碼上. 例如, Gu等人提出將Snort規(guī)則和基于主機(jī)的統(tǒng)計(jì)結(jié)合起來(lái)監(jiān)測(cè)僵尸網(wǎng)絡(luò)[6]. Kumar等人通過(guò)有色Petri網(wǎng)的自適應(yīng)實(shí)現(xiàn)了匹配的遺傳模型[7]. 基于signiture的方法還包括對(duì)IDS系統(tǒng)的改進(jìn), 如楊忠明等人采用策略分流的方式, 同時(shí)使用Snort和Bro過(guò)濾不同層次的流量數(shù)據(jù)[8]. 基于signature的方法在已知的攻擊類型上有很好的性能.

基于行為的方法也稱為基于異常的方法, 使用一段時(shí)間內(nèi)的監(jiān)控流量來(lái)描述正常網(wǎng)絡(luò)行為[1]. 如果當(dāng)前行為不符合正常網(wǎng)絡(luò)行為模式, 則認(rèn)為它是異常網(wǎng)絡(luò)流量. 機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘方法中的無(wú)監(jiān)督和有監(jiān)督方法被廣泛用于基于行為的檢測(cè). 例如, 在Tajbakhsh等人的文章中使用模糊關(guān)聯(lián)規(guī)則發(fā)現(xiàn)行為中有價(jià)值的關(guān)系模式, 進(jìn)而判斷入侵行為[9]. Blowers等人使用DBSCAN聚類算法對(duì)正常和異常網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分組來(lái)檢測(cè)異常流量[10]. 基于行為的檢測(cè)方法, 其主要研究?jī)?nèi)容是提升模型檢測(cè)速度和精度. Singh R等人設(shè)計(jì)了基于profiling和OS-ELM的入侵檢測(cè)方法, 能夠提高大數(shù)據(jù)情況下的檢測(cè)速度和準(zhǔn)確率[11]. Chong D等將增強(qiáng)學(xué)習(xí)方法中的學(xué)習(xí)自動(dòng)機(jī)(learning automata)與SVM相結(jié)合, 選擇出有效特征子集以簡(jiǎn)化訓(xùn)練過(guò)程,提高SVM訓(xùn)練效率和精度[12]. Agarap等人引入SVM來(lái)替代GRU模型最終輸出層中的Softmax以提高神經(jīng)網(wǎng)絡(luò)的分類精度并降低訓(xùn)練時(shí)間[13]. 異常檢測(cè)在工業(yè)控制, 軍事監(jiān)視以及網(wǎng)絡(luò)安全等領(lǐng)域具有廣泛的應(yīng)用[14], 因而有大量的綜合性研究.

異常檢測(cè)和誤用檢測(cè)相結(jié)合的方式通常有兩種實(shí)現(xiàn)方式, 一種是分別使用異常檢測(cè)和誤用檢測(cè)結(jié)果的交并集作為最終結(jié)果;另一種是將兩種方法串聯(lián)使用.如任曉芳等提出的方法中, 使用隨機(jī)森林形成誤用檢測(cè)中的模式, 若網(wǎng)絡(luò)行為數(shù)據(jù)與模式匹配則判斷為攻擊, 否則將其轉(zhuǎn)交至異常檢測(cè)算法中, 異常檢測(cè)用K-means實(shí)現(xiàn)[15]. 王峰的研究中使用神經(jīng)網(wǎng)絡(luò)完成了類似的檢測(cè)過(guò)程[16]. 組合方法和復(fù)合方法的研究?jī)?nèi)容主要為改善原始數(shù)據(jù)質(zhì)量和提升檢測(cè)精度兩方面. 如Al-Yaseen WL提出改進(jìn)的K-means算法來(lái)構(gòu)建高質(zhì)量的訓(xùn)練數(shù)據(jù)集, 再使用SVM和ELM算法對(duì)處理后的數(shù)據(jù)分類, 提高已知和未知攻擊的檢測(cè)效率[17]. 可見(jiàn), 使用兩種檢測(cè)方式融合的入侵檢測(cè)方法中, 通常要訓(xùn)練不止一個(gè)模型, 網(wǎng)絡(luò)行為數(shù)據(jù)要經(jīng)過(guò)多個(gè)模型判斷.

3 模型

記憶神經(jīng)網(wǎng)絡(luò)(Memory Neural Network)由Weston J等人提出[18]. Sukhbaatar等人在此基礎(chǔ)上提出了端到端的記憶神經(jīng)網(wǎng)絡(luò)(N2N Mem Network)[19]. 模型中, 背景知識(shí)或上下文信息被存儲(chǔ)在外置記憶單元中, 通過(guò)神經(jīng)網(wǎng)絡(luò)循環(huán)完成輸入數(shù)據(jù)和記憶項(xiàng)之間關(guān)聯(lián)關(guān)系的計(jì)算, 過(guò)程中自動(dòng)選擇出K個(gè)最相關(guān)的記憶項(xiàng)融合到原始輸入數(shù)據(jù)中, 用于對(duì)標(biāo)簽的訓(xùn)練.

本文使用端到端記憶神經(jīng)網(wǎng)絡(luò)的一種變體, 是一個(gè)基于領(lǐng)域知識(shí)的分類器, 其基本思想是利用領(lǐng)域知識(shí)輔助分類, 領(lǐng)域知識(shí)與當(dāng)前網(wǎng)絡(luò)行為的匹配度越高,該知識(shí)項(xiàng)在分類器中發(fā)揮的作用越大, 據(jù)此設(shè)計(jì)模型架構(gòu), 主要由五個(gè)部分組成, 如圖1所示. 網(wǎng)絡(luò)流量數(shù)據(jù)首先與領(lǐng)域知識(shí)做匹配度計(jì)算, 然后將領(lǐng)域知識(shí)按照匹配結(jié)果融合進(jìn)原始流量數(shù)據(jù), 對(duì)融合數(shù)據(jù)分類得到最終判斷結(jié)果, 同時(shí)匹配結(jié)果作為可解釋信息輸出.

圖1 模型框架

3.1 輸入輸出

本文模型利用領(lǐng)域知識(shí)輔助對(duì)網(wǎng)絡(luò)行為進(jìn)行分類,其輸入包括領(lǐng)域知識(shí)和待分類的網(wǎng)絡(luò)行為數(shù)據(jù). 領(lǐng)域知識(shí)是關(guān)于攻擊的知識(shí), 可以是IDS規(guī)則、防火墻規(guī)則、安全人員經(jīng)驗(yàn)數(shù)據(jù)等;網(wǎng)絡(luò)行為數(shù)據(jù)是反映當(dāng)前網(wǎng)絡(luò)行為或狀態(tài)的數(shù)據(jù), 一般從網(wǎng)絡(luò)流量數(shù)據(jù)包中提取, 如連接方式、操作類型等. 模型中領(lǐng)域知識(shí)應(yīng)當(dāng)與網(wǎng)絡(luò)行為數(shù)據(jù)具有關(guān)聯(lián)關(guān)系, 才能使用領(lǐng)域知識(shí)輔助對(duì)網(wǎng)絡(luò)行為分類.

領(lǐng)域知識(shí)由若干條彼此獨(dú)立且具有實(shí)際意義的領(lǐng)域知識(shí)項(xiàng)組成, 在訓(xùn)練和使用前靜態(tài)加載進(jìn)入模型, 用來(lái)表征關(guān)于攻擊的特點(diǎn), 在模型中用一個(gè)矩陣M來(lái)表示:

其中,mi表示第i條領(lǐng)域知識(shí). 網(wǎng)絡(luò)行為數(shù)據(jù)用來(lái)表征當(dāng)前網(wǎng)絡(luò)行為或狀態(tài), 用向量x表示.

模型的輸出包括兩部分, 一個(gè)是分類器對(duì)網(wǎng)絡(luò)行為的分類結(jié)果, 為某一種的攻擊類型, 用值y?表示;另一組可解釋信息, 用于向安全人員提供參考, 用值E表示.

3.2 匹配

匹配模塊計(jì)算網(wǎng)絡(luò)行為數(shù)據(jù)與知識(shí)項(xiàng)的匹配程度.當(dāng)網(wǎng)絡(luò)行為與某條領(lǐng)域知識(shí)相匹配時(shí), 認(rèn)為網(wǎng)絡(luò)行為傾向于是該知識(shí)項(xiàng)所表征的行為類別, 或者說(shuō)當(dāng)前網(wǎng)絡(luò)行為具有該知識(shí)項(xiàng)表征行為類型的部分特點(diǎn). 匹配模塊中有一個(gè)匹配算法來(lái)計(jì)算網(wǎng)絡(luò)行為與知識(shí)項(xiàng)的匹配度.

首先將x和M轉(zhuǎn)換到統(tǒng)一的計(jì)算空間, 得到嵌入行為數(shù)據(jù)x′和嵌入知識(shí)矩陣M′:

其中,V是一組轉(zhuǎn)換矩陣.

假設(shè)g是匹配度計(jì)算函數(shù), 則網(wǎng)絡(luò)行為x和領(lǐng)域知識(shí)的匹配度為:

網(wǎng)絡(luò)行為x與知識(shí)項(xiàng)mi所表征的攻擊類型越接近,相應(yīng)的pi的值越大, 表示x和mi匹配度越高.

匹配模塊的另一個(gè)作用是輸出關(guān)聯(lián)度高的知識(shí)項(xiàng)的類型標(biāo)簽, 作為最終分類結(jié)果可解釋信息.

3.3 融合

融合模塊試圖在分類計(jì)算之前將原始輸入和領(lǐng)域知識(shí)相結(jié)合, 從而使知識(shí)信息能夠在分類中發(fā)揮作用.融合的基本思想是知識(shí)項(xiàng)與網(wǎng)絡(luò)行為之間的匹配度越高, 則該知識(shí)項(xiàng)在分類器中發(fā)揮的作用越大. 假設(shè)重構(gòu)輸入為o, 需要通過(guò)原始輸入x, 知識(shí)項(xiàng)M和匹配度p來(lái)計(jì)算.

這樣, 重構(gòu)輸入o就同時(shí)包含了原始輸入內(nèi)容和領(lǐng)域知識(shí)的內(nèi)容.

3.4 分類

分類是模型的主要部分. 它負(fù)責(zé)將流量記錄分類到預(yù)定義的類別中, 確定它們是正常流量還是其他特定的攻擊類型:

3.5 模型細(xì)節(jié)

本文將采用余弦相似度作為匹配算法, 使用線性加權(quán)作為融合算法, 模型細(xì)節(jié)如圖2所示.

圖2 N2N Mem-IDS模型

首先使用一組轉(zhuǎn)換矩陣V將知識(shí)項(xiàng)M和行為數(shù)據(jù)x映射到維度相同的空間, 分別得到MA,MB和u:

假設(shè)向量ai是MA中第i個(gè)嵌入知識(shí)項(xiàng), 使用余弦相似度計(jì)算每個(gè)嵌入知識(shí)項(xiàng)與輸入網(wǎng)絡(luò)行為的匹配程度:

矩陣MB中的嵌入知識(shí)項(xiàng)bi根據(jù)匹配度pi, 用線性加權(quán)算法與u融 合, 然后使用轉(zhuǎn)換矩陣W得到重構(gòu)輸出o:

本文模型是一個(gè)堆疊網(wǎng)絡(luò), 本層的輸出將作為下一層的輸入, 即:

最后一層的輸出用來(lái)得到最終的分類結(jié)果:

訓(xùn)練過(guò)程中, 參數(shù)V和W將會(huì)被模型自動(dòng)學(xué)習(xí).

4 實(shí)驗(yàn)設(shè)計(jì)

本章首先介紹實(shí)驗(yàn)使用的數(shù)據(jù)集, 接著介紹數(shù)據(jù)處理方法和攻擊知識(shí)項(xiàng)提取方法, 然后介紹實(shí)驗(yàn)方案設(shè)計(jì), 最后給出實(shí)驗(yàn)結(jié)果與分析.

4.1 數(shù)據(jù)介紹

本文實(shí)驗(yàn)使用的NSL KDD數(shù)據(jù)集源于KDD CUP99數(shù)據(jù), 是目前最重要的公開(kāi)入侵檢測(cè)數(shù)據(jù)集之一. 1998年美國(guó)空軍發(fā)起DARPA’98入侵檢測(cè)系統(tǒng)評(píng)估計(jì)劃, 在模擬真實(shí)空軍網(wǎng)絡(luò)的局域網(wǎng)內(nèi)收集網(wǎng)絡(luò)流量數(shù)據(jù), 用于進(jìn)一步研究[20,21]. 1999年從原始數(shù)據(jù)中提取出KDD CUP99數(shù)據(jù)集. 2009年, Tavallaee等人通過(guò)去重、重新設(shè)置數(shù)據(jù)比例等操作改進(jìn)了KDD CUP99數(shù)據(jù)集存在一些內(nèi)在問(wèn)題, 形成NSL KDD數(shù)據(jù)集[22].

NSL KDD數(shù)據(jù)集中每一條數(shù)據(jù)表示一個(gè)網(wǎng)絡(luò)連接記錄, 其類別包括正常類型和4大類、40子類攻擊類型. 數(shù)據(jù)集由一個(gè)訓(xùn)練集train+和一個(gè)測(cè)試集test+組成, 測(cè)試集中的攻擊類型都是訓(xùn)練集中的攻擊類型或者訓(xùn)練集中攻擊的變體類型.

4.2 數(shù)據(jù)預(yù)處理

NSL KDD數(shù)據(jù)有41個(gè)特征, 包括離散特征和連續(xù)特征. 對(duì)于連續(xù)特征, 我們使用Z分?jǐn)?shù)(z-score)標(biāo)準(zhǔn)化進(jìn)行處理,z-score標(biāo)準(zhǔn)化計(jì)算方法為:

其中, μ =E(X),σ=Var(X). 對(duì)于離散特征, 我們使用獨(dú)熱編碼(One-Hot Encoding)對(duì)特征值進(jìn)行處理. One-Hot Encoding是使用N維特征來(lái)對(duì)原始特征中的N個(gè)取值進(jìn)行編碼, 即原始特征中的每一個(gè)取值都由新特征組中對(duì)應(yīng)位置的0/1狀態(tài)來(lái)表示. 經(jīng)過(guò)處理后的數(shù)據(jù)共有122個(gè)特征.

數(shù)據(jù)集中共有41個(gè)行為類型, 我們將這41個(gè)類型歸納為五大類攻擊類型, 同樣適用One-Hot Encoding對(duì)其編碼, 使用五維向量作為數(shù)據(jù)標(biāo)簽, 用于五分類實(shí)驗(yàn).

4.3 攻擊知識(shí)項(xiàng)提取

模型要求領(lǐng)域知識(shí)與網(wǎng)絡(luò)行為數(shù)據(jù)具有關(guān)聯(lián)關(guān)系,本實(shí)驗(yàn)中我們采用從行為數(shù)據(jù)集中直接提取攻擊知識(shí)項(xiàng)的方式來(lái)獲取領(lǐng)域知識(shí). 根據(jù)數(shù)據(jù)集特點(diǎn), 我們?cè)O(shè)計(jì)如下算法, 在數(shù)據(jù)集全集中提取攻擊知識(shí)項(xiàng):

步驟3)中, α表示特征重要程度累加值所占比例經(jīng)過(guò)預(yù)實(shí)驗(yàn) α =80%時(shí)有較好的效果, 因而采用α=80%, 即知識(shí)項(xiàng)保留重要程度前80%的特征. 這使得新特征能夠排除非重要因素的影響, 降低數(shù)據(jù)復(fù)雜度, 同時(shí)在一定程度上保留該行為類別的特點(diǎn).

4.4 實(shí)驗(yàn)設(shè)計(jì)

使用檢測(cè)率(Detection Rate,DR)和精確度(Precision)作為入侵檢測(cè)模型的評(píng)價(jià)指標(biāo), 把記憶神經(jīng)網(wǎng)絡(luò)模型和其它相關(guān)工作中的結(jié)果進(jìn)行對(duì)比. 其中:

記憶神經(jīng)網(wǎng)絡(luò)模型在輸出分類結(jié)果的同時(shí), 輸出可解釋信息. 可解釋信息為與網(wǎng)絡(luò)行為數(shù)據(jù)相關(guān)度最高的三個(gè)攻擊知識(shí)項(xiàng)的類別. 定義ExpV和MemV用于評(píng)價(jià)記憶神經(jīng)網(wǎng)絡(luò)中記憶模塊的作用.

ExpV表示可解釋結(jié)果對(duì)研究人員的可參考價(jià)值,ExpV越大, 可參考價(jià)值越大.MemV表示攻擊知識(shí)項(xiàng)對(duì)判斷結(jié)果所起作用,MemV越大說(shuō)明模型中攻擊知識(shí)項(xiàng)發(fā)揮的作用越大.ExpScore和MemScore取決于可解釋結(jié)果和輸入值的真實(shí)類別, 計(jì)算方式如表1所示.

我們?cè)O(shè)計(jì)另外兩種知識(shí)項(xiàng)提取方式, 方法1為不使用攻擊項(xiàng), 方法2為隨機(jī)從數(shù)據(jù)集中選取50條數(shù)據(jù)作為攻擊知識(shí)項(xiàng), 方法3為直接對(duì)不同類別數(shù)據(jù)進(jìn)行聚類. 將本文方法與這三種方法相比較, 驗(yàn)證知識(shí)項(xiàng)有效性.

表1 ExpScore和MemScore計(jì)算方式

5 實(shí)驗(yàn)結(jié)果

本文中模型的輸出包括分類結(jié)果和可解釋信息.根據(jù)4.4的評(píng)價(jià)指標(biāo)計(jì)算方式, 采用不同攻擊知識(shí)項(xiàng)提取方式對(duì)模型輸出的可解釋信息質(zhì)量進(jìn)行比較. 比較結(jié)果如圖3(a)所示. 發(fā)現(xiàn)使用本文知識(shí)項(xiàng)提取方式在ExpV和MemV上具有最佳表現(xiàn). 這是因?yàn)檩敵龅目山忉屝畔⑹桥c網(wǎng)絡(luò)行為數(shù)據(jù)匹配度最高的3條攻擊知識(shí)項(xiàng)標(biāo)簽. 而匹配度越高的攻擊知識(shí)項(xiàng)越能夠表征網(wǎng)絡(luò)行為特點(diǎn), 因而將其輸出后能夠給安全人員參考, 使其了解當(dāng)前網(wǎng)絡(luò)行為所具有的部分特征. 另一方面, 在模型設(shè)計(jì)中, 匹配度越高的攻擊知識(shí)項(xiàng)對(duì)分類器的輔助作用越大, 因而匹配度能夠表征分類器的部分分類依據(jù).

圖3(b)為使用攻擊知識(shí)項(xiàng)和不使用攻擊知識(shí)項(xiàng)的對(duì)比結(jié)果, 可以看出攻擊知識(shí)項(xiàng)確實(shí)在模型中發(fā)揮了輔助分類的作用.

將本文模型與幾個(gè)模型比較, 驗(yàn)證模型有效性, 結(jié)果如圖4所示. 對(duì)比顯示本文模型相比傳統(tǒng)單模型機(jī)器學(xué)習(xí)算法, 在檢測(cè)率和精確度上有明顯的提升.

6 在不同類型數(shù)據(jù)上的擴(kuò)展

由于數(shù)據(jù)來(lái)源限制, 本文實(shí)驗(yàn)中從訓(xùn)練數(shù)據(jù)中提取近似的聚類中心, 作為領(lǐng)域知識(shí)的替代項(xiàng). 如3.1節(jié)中提到的, 領(lǐng)域知識(shí)的來(lái)源可以是IDS規(guī)則、防火墻規(guī)則、安全人員經(jīng)驗(yàn)數(shù)據(jù)等, 本節(jié)以Snort規(guī)則為例,提出不同類型數(shù)據(jù)在模型中使用方式的設(shè)想.

圖3 不同知識(shí)項(xiàng)提取方式實(shí)驗(yàn)結(jié)果對(duì)比

圖4 與其它模型實(shí)驗(yàn)結(jié)果對(duì)比

一條Snort規(guī)則對(duì)應(yīng)一種網(wǎng)絡(luò)威脅和應(yīng)對(duì)方式, 由規(guī)則頭和規(guī)則選項(xiàng)組成, 規(guī)則頭指定待篩選的連接和規(guī)則動(dòng)作, 規(guī)則選項(xiàng)包含若干匹配條件, 一旦待篩選連接滿足全部的匹配條件, 則觸發(fā)規(guī)則動(dòng)作. 當(dāng)使用Snort規(guī)則作為知識(shí)領(lǐng)域時(shí), 本文提出的方法中, 匹配模塊和融合模塊應(yīng)作出相應(yīng)的修改.

匹配模塊判斷Snort規(guī)則與網(wǎng)絡(luò)連接數(shù)據(jù)的匹配程度. 一種可行的方案為, 將Snort規(guī)則中的匹配條件與原始網(wǎng)絡(luò)連接數(shù)據(jù)相比對(duì), 計(jì)算被滿足的匹配條件所占比例, 作為規(guī)則與連接的匹配程度. 即

其中,Ik(x)表示連接x是否滿足第i條規(guī)則mi的第k個(gè)條件,K為mi中的條件總數(shù).

融合模塊將按照匹配程度將Snort規(guī)則融合到原始數(shù)據(jù)中. 一種可行方案為, 使用匹配度作為特征,將其以連接(concatenate)方式與原始數(shù)據(jù)融合. 連接方式如下圖5所示.

圖5 連接(concatenate) 融合方法

在這種情況下, 網(wǎng)絡(luò)連接數(shù)據(jù)與知識(shí)項(xiàng)的相似度直接作為新的數(shù)據(jù)特征放入分類器中, 能夠?yàn)榉诸惼魈峁└嘈畔⒁赃_(dá)到輔助分類的目的. 而每條Snort規(guī)則對(duì)應(yīng)一種網(wǎng)絡(luò)威脅, 可以用于可解釋信息輸出.

此外, 使用IDS規(guī)則的方式還有其它擴(kuò)展方式,如, 針對(duì)規(guī)則中的匹配條件, 按照專家知識(shí)設(shè)置匹配權(quán)重;將描述形式的規(guī)則以某種方法轉(zhuǎn)化為可計(jì)算的向量形式等. 同理, 防火墻規(guī)則或經(jīng)驗(yàn)數(shù)據(jù)等都能夠通過(guò)設(shè)計(jì)合適的匹配方法和融合方法, 使之在模型中發(fā)揮作用.

7 結(jié)論與展望

本文提出一種基于端到端的記憶神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法, 這種方法利用神經(jīng)網(wǎng)絡(luò)將領(lǐng)域知識(shí)整合到算法中, 令神經(jīng)網(wǎng)絡(luò)分類器在領(lǐng)域知識(shí)的輔助下進(jìn)行的端對(duì)端訓(xùn)練和預(yù)測(cè), 并給出最終預(yù)測(cè)結(jié)果的可解釋依據(jù). 之后本文通過(guò)實(shí)驗(yàn)對(duì)模型進(jìn)行評(píng)估證明領(lǐng)域知識(shí)在模型中發(fā)揮了作用, 并且模型在檢測(cè)率和精確度上有良好表現(xiàn). 最后本文以Snort規(guī)則為例, 描述了模型在其它類型數(shù)據(jù)上的可行擴(kuò)展方案. 今后, 將嘗試諸如IDS規(guī)則等各種更加通用的領(lǐng)域知識(shí)數(shù)據(jù), 并從神經(jīng)網(wǎng)絡(luò)優(yōu)化角度考慮優(yōu)化模型以降低模型訓(xùn)練時(shí)間.