基于混合卷積神經(jīng)網(wǎng)絡(luò)和循環(huán)神經(jīng)網(wǎng)絡(luò)的入侵檢測模型

方 圓,李 明,王 萍,江興何,張信明

(1.國家電網(wǎng) 安徽省電力有限公司信息通信分公司,合肥 230061;2.中國科學技術(shù)大學 計算機科學與技術(shù)學院,合肥 230027)(*通信作者電子郵箱xinming@ustc.edu.cn)

0 引言

高級持續(xù)性威脅(Advanced Persistent Threat, APT)攻擊是一種高級的網(wǎng)絡(luò)入侵技術(shù),因其極強的隱蔽性、針對性、持續(xù)性和不計成本的長期入侵機制,使得各類核心網(wǎng)絡(luò)的安全受到極大的威脅[1]。電力信息網(wǎng)絡(luò)作為整個電力資源管理的核心,因其存儲著海量的高價值數(shù)據(jù),來自網(wǎng)絡(luò)的安全威脅往往更為突出。例如,2015年烏克蘭電網(wǎng)系統(tǒng)遭受了黑客入侵[2],植入的惡意軟件同時攻擊了多個電網(wǎng)公司,這是史上首次導(dǎo)致大規(guī)模停電的惡意網(wǎng)絡(luò)攻擊。因此盡早地檢測到網(wǎng)絡(luò)的入侵行為,隔離處理各種潛在的威脅,為國民生活生產(chǎn)提供可靠的保障刻不容緩。

檢測APT攻擊行為是電力信息系統(tǒng)安全防護的前提，也是整個防御階段最為核心的部分。常用的基于底層數(shù)據(jù)分析的檢測方案有惡意代碼異常檢測、社交網(wǎng)絡(luò)安全事件挖掘和網(wǎng)絡(luò)流量異常檢測[3]。惡意代碼異常檢測需要采用靜態(tài)或動態(tài)的方式提取特征,由于APT攻擊具有很強的偽裝性、隱藏性和變異性,導(dǎo)致提取時難以識別變形、加密后的惡意代碼且耗時較長;社交網(wǎng)絡(luò)安全事件挖掘,往往需要處理海量低價值密度的數(shù)據(jù)且有隱私保護的限制,數(shù)據(jù)量過大且面臨法律糾紛的風險[3]。由于上述兩種檢測方式存在一些不足,本文采用基于網(wǎng)絡(luò)流量的異常檢測方案,分析惡意入侵的行為模式、處理特定網(wǎng)絡(luò)中的流量數(shù)據(jù),避免偽裝帶來的干擾,降低數(shù)據(jù)規(guī)模。

網(wǎng)絡(luò)流量異常檢測的方案需要先通過網(wǎng)絡(luò)嗅探工具例如:Sniffer、NetFlow和flow-tools等,周期性地采集來自網(wǎng)絡(luò)數(shù)據(jù)流各分組不同維度數(shù)據(jù)的屬性值或統(tǒng)計值作為原始的訓練數(shù)據(jù),預(yù)處理后再通過數(shù)據(jù)挖掘、統(tǒng)計學習、深度學習等方法去探測網(wǎng)絡(luò)中存在的異常網(wǎng)絡(luò)連接、數(shù)據(jù)轉(zhuǎn)發(fā)、網(wǎng)絡(luò)分組等。按照檢測數(shù)據(jù)覆蓋的范圍可把異常檢測方案分為兩類:第一類是基于單一鏈路的入侵攻擊異常檢測；第二類是基于全網(wǎng)流量矩陣的入侵攻擊異常檢測。單一鏈路的入侵檢測往往是考慮單鏈路流量數(shù)據(jù)的時間相關(guān)性,使用機器學習如樸素貝葉斯(Naive Bayes)[4]、支持向量機(Support Vector Machine, SVM)[5]等模型進行訓練;全網(wǎng)流量矩陣則是利用各分組不同維度的數(shù)據(jù)屬性,分析多條鏈路網(wǎng)絡(luò)流量的空間相關(guān)性并針對全網(wǎng)流量高維度的特點使用主成分分析法 (Principal Component Analysis, PCA)來降低數(shù)據(jù)維度[6],提取出多個主要特征來進行分析。

全網(wǎng)流量矩陣數(shù)據(jù)中特征維度很高,一般的機器學習方法難以發(fā)現(xiàn)高維度特征之間的相關(guān)性,不能將APT入侵時不同主機的網(wǎng)絡(luò)流量聯(lián)系起來。卷積神經(jīng)網(wǎng)絡(luò)(Convolutional Neural Network,CNN)能很好地提取二維數(shù)據(jù)中不同特征之間的聯(lián)系,通過不同的卷積核設(shè)置,CNN能提取出流量矩陣中不同位置特征之間的深層特性,挖掘數(shù)據(jù)之間未知的惡意行為特征;此外,考慮到網(wǎng)絡(luò)入侵行為往往會持續(xù)一段時間,通過分析流量矩陣在一段時間內(nèi)的變化能更好地檢測到入侵行為的發(fā)生,循環(huán)神經(jīng)網(wǎng)絡(luò)(Recurrent Neural Network,RNN)能將數(shù)據(jù)按照時間進行處理,層層訓練獲得流量數(shù)據(jù)在時間維度上變化的特性,找出流量數(shù)據(jù)內(nèi)在的時間依賴。因此,為了提高APT入侵檢測的效果,綜合考慮了惡意入侵所帶來網(wǎng)絡(luò)流量的時間相關(guān)性和空間相關(guān)性,本文提出了一種基于混合卷積神經(jīng)網(wǎng)絡(luò)和循環(huán)神經(jīng)網(wǎng)絡(luò)(Hybrid Convolutional and RNN, H-CRNN)的入侵檢測模型。相對于傳統(tǒng)的機器學習模型,混合型深度學習網(wǎng)絡(luò)結(jié)構(gòu)能挖掘全網(wǎng)流量矩陣更復(fù)雜的結(jié)構(gòu)特征,能對未知的惡意行為特征進行提取和封裝。首先,通過CNN提取網(wǎng)絡(luò)流量矩陣中的不同特征空間之間的相關(guān)性,再利用RNN進一步找出入侵流量數(shù)據(jù)在時間上依賴性,充分挖掘全網(wǎng)流量矩陣中的時空特征,提高入侵檢測模型的準確性。

1 問題描述及模型介紹

1.1 問題描述

APT攻擊往往針對高價值的目標,使用多種先進的入侵手段,不間斷地進行入侵攻擊來竊取目標網(wǎng)絡(luò)的數(shù)據(jù)或者進行破壞。如圖1所示,網(wǎng)絡(luò)入侵攻擊大致可分為六個階段[7]。入侵在不同階段具有不同的實施步驟,檢測模型要確保在攻擊收益階段之前探測到入侵行為,及時處理惡意攻擊。電力信息網(wǎng)絡(luò)作為電力運行控制的核心,難免會遭到各類先進的APT攻擊,需要部署靈敏的APT檢測系統(tǒng),通過分析全網(wǎng)流量的特征及時地發(fā)現(xiàn)攻擊活動。電力信息網(wǎng)絡(luò)中記錄了大量網(wǎng)絡(luò)流量日志信息,預(yù)處理之后使用入侵模型進行判斷,可以實時判斷當前網(wǎng)絡(luò)中是否存在入侵活動。由于APT攻擊具有階段性、多目標性等特點,構(gòu)建網(wǎng)絡(luò)流量檢測模型時不僅要考慮到惡意行為在網(wǎng)絡(luò)流量時間上的相關(guān)性,也要將空間上的相關(guān)性融入到模型中。此外網(wǎng)絡(luò)流量中能提取的特征很多,為了避免“維度災(zāi)難”,本文參考文獻[5]中數(shù)據(jù)集KDD 99所包含的網(wǎng)絡(luò)流量的基本屬性,統(tǒng)計網(wǎng)絡(luò)中不同鏈路中TCP連接的基本屬性，如連接所持續(xù)的時長、協(xié)議的具體類型等;TCP連接內(nèi)容屬性，如一段時間文件被操作的次數(shù)、shell被使用的次數(shù)等;基于時間流量的統(tǒng)計屬性，如一個周期內(nèi)具有相同連接目標主機的數(shù)量等;基于主機的流量屬性，如一定連接次數(shù)下具有相同目標或相同服務(wù)的比例等[8]。

圖1 APT攻擊的各階段Fig. 1 Stages of APT attack

1.2 卷積神經(jīng)網(wǎng)絡(luò)

卷積神經(jīng)網(wǎng)絡(luò)是由Lecun等[9]提出的一種能實現(xiàn)深度神經(jīng)網(wǎng)絡(luò)中局部感知、權(quán)值共享等功能的網(wǎng)絡(luò),其網(wǎng)絡(luò)結(jié)構(gòu)包含卷積層和池化層。卷積層作為CNN結(jié)構(gòu)的核心部分,它的設(shè)計動機是減少參數(shù)數(shù)量、模擬生物行為、提取數(shù)據(jù)之間的深層特性等,通過局部連接降低高維度的輸入數(shù)據(jù)帶來的時間和空間代價。其中一個神經(jīng)元只需與部分神經(jīng)元連接,而沒有必要對整體進行感知;池化層常常對應(yīng)于統(tǒng)計函數(shù)如最大值、L2范數(shù)、加權(quán)平均值等,用于降低參數(shù)規(guī)模和保持線性變換過后結(jié)果不變。卷積層提取的特征在用于分類模型的訓練時,考慮到特征在不同位置具有空間局部性,需要使用池化層對不同位置的特征進行一定程度的聚合統(tǒng)計,降低數(shù)據(jù)維度,減少過擬合的問題。

圖2是卷積神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu),其中包含2個卷積層和2個池化層,整個卷積網(wǎng)絡(luò)的數(shù)據(jù)處理步驟如下:

(1)

在經(jīng)過卷積運算后通常會再連接一個激活層,把非線性特征引入一個剛經(jīng)過線性卷積運算的系統(tǒng),避免輸入層僅僅對上一層的結(jié)果作一個簡單的線性變換。

圖2 卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)Fig. 2 Architecture of CNN

S2層:第一次采樣窗口大小為2×2,輸入的24×24的矩陣被池化成一個12×12大小的pool map,為了使得采樣層具有學習性,加入標量。M個卷積核使得生成M個pool map:

(2)

(3)

S4層:第二次采樣,大小為2×2的采樣窗口將8×8的feature map池化成一個4×4的pool map,第i個采樣結(jié)果為:

(4)

(5)

(6)

其中：Nl為l層中pool map的數(shù)量。

1.3 循環(huán)神經(jīng)網(wǎng)絡(luò)

循環(huán)神經(jīng)網(wǎng)絡(luò)能對時間序列數(shù)據(jù)進行建模,將數(shù)據(jù)流按照循環(huán)的方式來層層處理,其顯著的特點是具有持續(xù)性和記憶性[10]。持續(xù)性是指在時間序列的數(shù)據(jù)中,時間前后關(guān)系的數(shù)據(jù)并不是獨立的,而是具有某種內(nèi)在的依賴性,某個階段的輸入不僅僅和當前階段的數(shù)據(jù)相關(guān)也受過去信息的影響;記憶性是指RNN在處理序列數(shù)據(jù)時,具備保留過去信息的能力。入侵檢測需要挖掘數(shù)據(jù)流量中的時間相關(guān)特征,同類型的統(tǒng)計數(shù)據(jù)之間隱藏著復(fù)雜的內(nèi)在聯(lián)系,考察當前狀態(tài)時不應(yīng)該拋棄過往的結(jié)果。在時間和空間相關(guān)的場景中,這些數(shù)據(jù)更是存在著不同的組合關(guān)系,數(shù)據(jù)特征的糅合多種多樣。為了挖掘深藏的依賴關(guān)系,本文使用RNN去處理CNN所提取的特征數(shù)據(jù)。

在任意的時間t,隱藏層和輸出層處理如下:

st=sigmoid(UT×xt+WT×st-1)

(7)

ot=softmax(VT×st)

(8)

基保：U是連接輸入層和隱藏層的權(quán)重矩陣；W是兩個隱藏層之間連接的權(quán)重矩陣；V是隱藏層到輸出層的權(quán)重矩陣。反向傳播時,導(dǎo)入數(shù)據(jù)的損失函數(shù)可通過如式(9)得出:

(9)

使用梯度下降來對其中的參數(shù)進行更新,將任意時間的損失C(ot,yt)對V求導(dǎo)結(jié)果如下:

(10)

其中:

(11)

m為輸入神經(jīng)元個數(shù);d為輸出神經(jīng)元個數(shù)。從結(jié)果可以看出對V求導(dǎo)并不因為時間流逝而導(dǎo)致梯度的消失。損失函數(shù)C(ot,yt)對W求導(dǎo)的結(jié)果如式(12)所示:

(12)

但是當時間序列跨度過長時會出現(xiàn)梯度消失的問題,即梯度計算結(jié)果隨著一層層的傳遞而指數(shù)級的降低,此時一種基于RNN的改進的門控遞歸單元(Gated Recurrent Unit, GRU)[11]可以處理這樣的問題。GRU網(wǎng)絡(luò)作為處理隱藏層的方式,其原理如圖3所示。

圖3 單個GRU網(wǎng)絡(luò)節(jié)點結(jié)構(gòu)Fig. 3 Architecture of single GRU network node

(13)

(14)

(15)

(16)

1.4 混合CNN和RNN的網(wǎng)絡(luò)模型

如圖4所示,全網(wǎng)流量矩陣先經(jīng)過CNN處理,提取出網(wǎng)絡(luò)流量的空間特征,輸出按時間排列的分組數(shù)據(jù),再通過RNN對已經(jīng)時間序列化的數(shù)據(jù)進行訓練最終得到結(jié)果。為了解決傳統(tǒng)的矩形卷積核難以在二維矩陣中采集離散分布的特征的問題，通過給訓練的卷積窗口增加一個隨機的偏移向量的方式獲得可變的卷積核來處理CNN中的卷積和池化操作[12],其思想核心是對原有CNN中的采樣方式進行一定的改進。

首先給出一個與輸入矩陣窗口大小相同的偏移域(offset field),卷積窗口在偏移域中滑動得出卷積偏移的效果,以此達到優(yōu)化采樣空間的效果。9種偏移向量如下所示:

Γ=((-1,-1),(-1,0),…,(1,1))

(17)

任意一個點可以向周圍八個方向偏移。原有的卷積的輸出結(jié)果經(jīng)過式(18)可得:

(18)

每個卷積窗口每個元素Pn有權(quán)重w,其中Pg則代表每個窗口輸出的任意元素。通過加上ΔPn,可以使輸入的數(shù)據(jù)矩陣x進行偏移:

(19)

其中:ΔPn用來處理x輸入層對應(yīng)元素的采樣,對窗口元素權(quán)重w沒有約束,這里需要對w和ΔPn兩組參數(shù)進行訓練。對于可變形的池化區(qū)域也可以通過類似的變形步驟,將傳統(tǒng)的池化區(qū)域轉(zhuǎn)化成大小為bin的特征圖:

(20)

其中:Pg是池化區(qū)域上某個點；nij對應(yīng)bin大小的特征圖中元素的個數(shù)。再通過對池化區(qū)域進行偏移變形計算得出最終的池化區(qū)域：

(21)

圖4 混合CNN和RNN模型結(jié)構(gòu)Fig. 4 Architecture of hybrid CNN and RNN model

2 模型性能評估

2.1 實驗設(shè)置

本文實驗是在Linux仿真平臺上基于TensorFlow[13]深度學習框架來進行訓練的。實驗包含兩類數(shù)據(jù)：第一類數(shù)據(jù)來源于含有大量先進APT攻擊技術(shù)的惡意軟件數(shù)據(jù)庫[14]；第二類數(shù)據(jù)是Predict網(wǎng)絡(luò)中“Defense Advanced Research Projects Agency (DARPA) Scalable Network Monitoring (SNM) Program Traffic”分類下的良性數(shù)據(jù)[15]。真實場景中的APT攻擊往往隱藏在大量的正常網(wǎng)絡(luò)數(shù)據(jù)流中,本文將這兩類數(shù)據(jù)融合在一起使得數(shù)據(jù)來源更貼近現(xiàn)實。APT攻擊常常使用多種先進的攻擊手段而且攻擊時間往往持續(xù)幾天甚至幾個星期。本文實驗選取40個IP地址作為監(jiān)聽對象,記錄惡意入侵時各種網(wǎng)絡(luò)流量特征的統(tǒng)計值,收集其一個月的網(wǎng)絡(luò)流量數(shù)據(jù)。每個統(tǒng)計值數(shù)據(jù)50 ms更新一次,間隔5 s得到一份全網(wǎng)流量矩陣原始樣本。最后利用4 GB左右的DAPRA良性樣本和848 MB的APT標記的惡意樣本來進行模型訓練。圖5是數(shù)據(jù)處理的大致流程。

圖5 H-CRNN模型訓練過程Fig. 5 H-CRNN model training process

通過觀察損失值(loss)下降曲線圖和準確率變化趨勢,在較大學習率時確定合適的參數(shù)范圍,循環(huán)縮小超參數(shù)的搜索空間。然后降低學習率,利用網(wǎng)格搜索(grid search)的方式進行大量訓練找出最優(yōu)的模型參數(shù)。本文模型的CNN、全連接層(Fully Connected layer, FC)RNN各超參數(shù)如表1所示。系統(tǒng)硬件配置如下:CPU為Intel Core i7 7700K,內(nèi)存為DDR4 2 333 MHz 64 GB, 顯卡為NVIDIA GTX 1080Ti。如圖6所示,在訓練初期模型loss震蕩下降,訓練后期損失值不再隨著訓練步數(shù)增加而減少。圖7中模型預(yù)測準確率(accuracy)在訓練初期隨著訓練步數(shù)增而加快速升高,訓練后期預(yù)測準確率基本維持在95.5%左右。整個訓練時間約4.3 h。

表1 各模塊參數(shù)設(shè)置Tab. 1 Parameters setting for each module

圖6 H-CRNN模型損失值Fig. 6 Loss of H-CRNN model

圖7 H-CRNN模型準確率Fig. 7 Accuracy of H-CRNN model

2.2 實驗結(jié)果與分析

為了驗證本文模型的有效性，表2給了出分類問題預(yù)測結(jié)果的交叉矩陣。測試樣本總數(shù)S=TP+FN+FP+TN,其中正確預(yù)測的樣本數(shù)為TP+TN,錯誤預(yù)測的樣本數(shù)為FP+FN,通用的樣本分類問題評價指標如下。

誤報率是預(yù)測為惡意樣本中良性樣本的比值,表達式如下:

(22)

查準率(Precison)是預(yù)測為良性的樣本中,真實值為良性樣本的比值,表達式如下:

(23)

查全率(Recall)是真實的良性樣本占預(yù)測為良性樣本的比值,表達式如下:

(24)

F1度量是精確度和召回率的平衡點,可以看作是精確度和召回率的調(diào)和平均數(shù),表達式如下:

(25)

表2 分類結(jié)果的混淆矩陣Tab. 2 Confusion matrix of classification results

將本文模型H-CRNN與已有的基于單鏈路流量的Naive Bayes[4]、SVM[5]和基于全網(wǎng)流量矩陣的PCA-based[6]進行對比。隨機截取數(shù)據(jù)集中1/4的數(shù)據(jù)作為測試集,各模型預(yù)測結(jié)果統(tǒng)計如表3所示。混合模型能綜合考慮發(fā)生APT攻擊時網(wǎng)絡(luò)流量的空間相關(guān)性和時間相關(guān)性,使得模型在查準率、查全率、F1度量上都有一定程度的提升。除此以外,相對于其他模型,本文模型H-CRNN大幅降低了誤報率,減少人力排查的時間。

圖8給出四種模型的ROC曲線,其中橫坐標假正例率定義為FP/(TN+FP),縱坐標真正例率定義為TP/(TP+FN)。H-CRNN模型的ROC曲線一直位于上在其他模型的上方,曲線下方的面積(Area Under Curve, AUC)相對于其他模型有7.5%～14.0%的提升,表明所提模型在綜合性上能有了一定的提高。

表3 不同模型的分類結(jié)果統(tǒng)計Tab. 3 Classification results of different models

圖8 不同模型的ROC曲線Fig. 8 Different models’ ROC curves

3 結(jié)語

本文針對電力信息網(wǎng)絡(luò)中APT攻擊問題設(shè)計一種高效的入侵檢測模型。這種新型的入侵檢測模型采用了混合卷積神經(jīng)網(wǎng)絡(luò)和循環(huán)神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu),能綜合分析APT攻擊時網(wǎng)絡(luò)流量的時空特性。除此以外,本文在卷積核的設(shè)計上,給卷積核添加隨機偏移量來處理更廣的空間特征,使得模型具有更高的靈敏度和更低誤報率。實驗結(jié)果表明,該模型在各項通用指標上都有一定的提升。值得注意的是,針對不斷迭代的各種網(wǎng)絡(luò)入侵攻擊,實際部署的檢測模型需要定期進行訓練更新。