基于深度學習的網絡入侵防御技術研究

周路明 鄭明才

摘 要：隨著互聯網技術的快速發展，網絡用戶的數量激增，僅在國內就有著接近一半人口的用戶。如此大規模的網絡給網絡攻擊者帶來了巨大的潛在利益，也給網絡入侵的防御提出了更高的要求。傳統的網絡防御手段因其僅能針對特定的網絡入侵行為進行甄別，無法智能化、動態化的應對復雜的網絡入侵行為已經逐漸難以滿足當下需求。因此，針對網絡入侵防御的問題，提出了一種基于深度學習的入侵檢測手段，并闡述了入侵防御系統的設計方法。首先，介紹了目前網絡入侵防御所面臨的嚴峻形勢;其次，闡述了網絡入侵檢測與網絡入侵防御中的框架性問題;再次，詳細闡述了基于深度學習的入侵檢測算法的設計方法，并闡述了入侵防御設計的要點，最后，入侵檢測算法的有效性和準確性通過仿真進行了驗證。仿真結果表明所設計的算法能夠對復雜的入侵數據具有較高的威脅檢測準確度，測試數據集對按照公式計算最終測得的檢測率為95.22%和誤報率為0.67%。

關鍵詞：入侵防御;深度學習;神經網絡;入侵檢測

中圖分類號：TP242.3

文獻標志碼：A

文章編號：1007-757X（2020）11-0093-05

Abstract：With the rapid development of Internet technologies， the number of network users has increased rapidly. In China， there are nearly half of the population of users. Such a large scale network has brought huge potential benefits to network attackers， and puts forward higher requirements for the defense of network intrusion. Traditional network defense means can only screen specific network intrusions and cannot deal with complex network intrusions intelligently and dynamically. Therefore， it is increasingly difficult to meet current needs. Aiming at the problem of network intrusion prevention， this paper proposes an intrusion detection method based on deep learning， and expounds the design method of intrusion prevention system. Firstly， the paper introduces the severe situation of network intrusion prevention. Secondly， the framework of network intrusion detection and network intrusion prevention is discussed. Thirdly， the design method of intrusion detection algorithm based on deep learning is elaborately explained， and the key points of intrusion prevention design are expounded. Finally， the effectiveness and accuracy of intrusion detection algorithm are verified through the simulation. Simulation results show that the proposed algorithm has a high threat detection accuracy for complex intrusion data， and the detection rate of the test data set calculated according to the formula is 95.22% and the false alarm rate is 0.67%.

Key words：intrusion prevention;deep learning;neural networks;intrusion detection

0?引言

2000年以后，我國的互聯網技術在政策支持以及實際需求的雙重助推下迎來了發展的高峰。物聯網、大數據以及云計算等網絡技術隨之出現，通過技術變革的力量改善著人民大眾的生產生活，有效提高社會資源的利用效率[1]。互聯網的優勢來自于其互聯性與開放性，以網絡服務為核心將現有的社會資源進行優化配置[2]。但任何的開放均有著一定程度的數據安全威脅，互聯網更是因其海量的數據吞吐和服務人群的龐大而時刻收到巨大的安全威脅，這也給網絡安全的維護提出了前所未有的挑戰[3]。

按照國家互聯網信息中心的不完全數據統計，截至2018年中期中國網民數量已經超過了6.6億，從2014年至2018年每年以約2～3千萬的數量穩步增長[4]。網絡已經幾乎深入到每個家庭中，隨著用戶體量的增長，雖然增速的百分比有所放緩，但巨大的增量仍然不容小視[5]。我國近年來互聯網用戶規模的發展趨勢，如圖1所示。

網絡威脅也隨著互聯網技術的橫向擴展而上升到了前所未有的高度。傳統手段對于現今的網絡安全防護已經顯得過于落后，應對網絡入侵力不從心。因此如何通過智能手段檢測網絡威脅入侵，針對性的進行防御已經成為了當前網絡安全領域的重中之重。

1?網絡入侵防御系統

1.1?網絡入侵檢測

入侵檢測系統檢測數據，并通知用戶可能的入侵行為，但僅憑此并未能對網絡提供有效封鎖和保護。傳統的入侵檢測和防火墻只能區分特定的行為，由于入侵行為是隱蔽的、迂回的，靠傳統的保護措施很難保證網絡的安全。入侵防御系統基于入侵檢測技術，是入侵檢測技術的改進。入侵防御系統使用直接串行訪問網絡，通過串行連接有效監測所有實時數據。防止入侵通過端口控制網絡數據，如果發現入侵，可以使用防火墻等防御機制來保護網絡的信息安全。因此，入侵防御技術不僅可以檢測入侵行為，還可以在最短時間內封鎖入侵行為，并及時地、動態地強化本地的檢測策略。入侵防御技術創造了一個深層系統，可以實現對于入侵行為的動態智能防護。入侵防御系統盡管效果良好但是也會給網絡的使用帶來一些負面影響：由于所有的網絡數據均需要經過入侵防御系統的篩查，所以網絡負荷會一定程度上增加，網絡延時、數據傳輸性能等均會因此而有所劣化，但這與網絡發生大規模安全事故所帶來的損失相比是完全可以接受的。

檢測入侵是防止入侵的基礎。網絡數據收集和分析透析了網絡攻擊的行為。針對不同類型入侵檢測相應的檢測方法，如圖2所示。

1.2?入侵檢測與入侵防御

入侵檢測系統的目標是確保網絡安全。入侵防御系統是在發現入侵時產生作用的。它們之間有不同的連接和處理策略[6-8]。

（1） 連接的方法：入侵檢測系統以并行的方式連接到網絡，入侵防御系統以串行的方式連接到網絡，二者協同提供網絡數據的檢測和威脅防御。

（2） 處理機制：入侵檢測系統報告被發現的入侵，并交由網絡管理員處理。入侵防御系統可以在發現入侵后積極提供保護、并對防護的機制和水平進行動態調整。

（3） 系統響應的及時性：由于入侵檢測系統與網絡并行連接，其檢測存在一定的時滯，這也是為了盡量保障網絡數據傳輸的質量和速度。而防御系統必須在檢測到入侵威脅后的第一時間對目標進行阻斷和封鎖，響應必須足夠及時。

（4） 系統性能需求：入侵檢測系統，對于系統所分配的性能需要較小，這是由于其僅承擔對入侵行為的檢測和呈報工作;入侵防御系統由于其需要對系統進行高權限的管理，所作出的響應也需要最高優先級的調度，所以需要的系統性能也極高。

2?基于深度學習的入侵檢測技術

深度學習是一種模擬人腦的神經網絡方法，通過這種方法可在一定程度上再現人類對問題的思考和學習過程[9]。作為一種多層次的機器學習方法，深度學習通過學習逐漸實現對于問題真實情況的逼近，進而發現問題內在的運行機制。其脫胎于人工神經網絡，是對于傳統神經網絡的一次改革。深度學習方法，對于復雜的難以直接抽象出模型的問題具有十分強大的求解能力。

2.1?深度學習概述

2.1.1?深度學習概述

深度學習方法相對于傳統機器學習方法具有更多的層次，對于復雜函數擬合效果更佳。輸入層、隱含層和輸出層共同構成了深度學習網絡，但深度學習的隱藏層數量更多[10]。其網絡結構，如圖3所示。

2.1.2?算法復雜度

本文算法主要考慮的是算法的時間復雜度，在時間頻度中，n稱為問題的規模，當n不斷變化時，時間頻度T（n）也會不斷變化。為此，我們引入時間復雜度概念[11-12]。

一般情況下，算法中基本操作重復執行的次數是問題規模n的某個函數，用T（n）表示，若有某個輔助函數f（n），存在一個正常數c使得f（n）*c>=T（n）恒成立。記作T（n）=O（f（n）），稱O（f（n））為算法的漸進時間復雜度，簡稱時間復雜度。

在各種不同算法中，若算法中語句執行次數為一個常數，則時間復雜度為O（1），另外，在時間頻度不相同時，時間復雜度有可能相同，如T（n）=n^2+3n+4與T（n）=4n^2+2n+1它們的頻度不同，但時間復雜度相同，都為O（n^2）。

按數量級遞增排列，常見的時間復雜度如下。

常數階O（1），對數階O（log2n）（以2為底n的對數，下同），線性階O（n）;

線性對數階O（nlog2n），平方階O（n2），立方階O（n3），…，k次方階O（nk）。

隨著問題規模n的不斷增大，上述時間復雜度不斷增大，算法的執行效率越低。

2.2?分類器設計

聚類算法傾向于不同的類之間有足夠大的差異，而同一類相似度足夠高，使得分類能夠涇渭分明。通過聚類算法可將樣本中相似的部分劃分為一個類別[12-14]。

2.2.1?Logistic回歸

與一般的分類方法相比，Logistic回歸在完成對樣本的分類的同時，還可以提供其概率信息。{X（1），Y（1），X（2），Y（2），…，X（n），Y（n）}為一個具有標記的樣本集，其中X（i）表示訓練樣本，Y（i）表示與X（i）對應的標簽。

損失函數需要轉化到規定的區間內，通過梯度下降法可以實現。參數θ可進行迭代求解。

使用梯度下降法將損失函數調整到規定范圍內，如式（6）。

2.2.2?Softmax分類器

盡管Logistic回歸在二分類上性能卓越，但是因為其模型設計簡單，難以應對多分類的情況。采用Softmax分類器可以有效應對這一問題，其基于Logistic回歸，并對模型進行了擴展。尤其是在具有互斥性的問題上的效果更加。

分類器的訓練可通過梯度下降法來實現，通過對J（θ）的優化，當其滿足要求后θ的調整即可完成。

2.3?入侵檢測算法

深度學習方法可以應對多維度的入侵數據，通過其提取能力實現對特征的抽象。

2.3.1?基于自編碼器的深度學習網絡

人類在思考過程中區域內的神經元僅有一個活躍，這滿足了問題的互斥性。稀疏自編碼器通過模擬人類的這種思維方式利用神經元互斥的屬性，降低輸入層的特征維度，通過較少的隱含單元進行表征，這使得問題稀疏化。其神經網絡結構，如圖4所示。

基于自編碼器的深度學習網絡的分類向量獲取需要經過多次的特征提取，需使用多個隱藏層來實現，如圖5所示。

由上圖5所示，X={x1，x2，x3}和Y={y1，y2}分別表征輸入和輸出。分類器的選擇基于最后隱含層的元素，過程中通過多隱含層對輸入向量進行特征的提取。

2.3.2?基于深度學習的入侵檢測算法

基于深度學習的入侵檢測神經網絡結構模型，如圖6所示。

該神經網絡為多層結構，經過層層遞進式的特征提取，其結果隨之更加抽象化，對抽象后的特征進行分類可得出最終的分類結果，該結果就是入侵檢測的結果。

特征提取流程如下。

7.微調權值矩陣和偏置向量。

因此，基于深度學習的入侵檢測算法訓練流程圖，如圖7所示。

將訓練集輸入到深度學習的入侵檢測算法訓練。計算第i個隱含層誤差，調整權值矩陣，調整偏差向量，判斷訓練是否可以結束。是否有i+1層，參數微調，輸入測試集，輸出測試集經學習后的結果，輸入分類器，輸出測試集分類結果，最終計算檢測率和誤報率。

3?基于深度學習的入侵防御

3.1?入侵防御系統

作為網絡安全防護的一種有效手段，網絡入侵防御系統能夠對網絡威脅進行檢測并主動啟動防御機制進行阻斷。通過對外部通信數據的檢驗，允許其中正常數據通過防火墻進入內部進行交互，阻斷其中的異常數據，確保網絡不會受到安全威脅。該系統的模型，如圖8所示。

外部輸入進入到防火墻，可以觸發入侵防御系統。防御系統進行入侵防御對數據類型進行判斷，如果數據正常則進入內部網絡，否則將引發響應措施。

網絡入侵防御系統的構建需要考慮以下兩個問題。

1.能夠準確鑒別網絡通信數據包中的異常數以及不安全行為。

2.對于威脅的阻斷要有及時的響應速度。

網絡入侵防御系統的設計需要服從以下原則。

（1） 可在線部署：在線部署旨在提高實時處理的效率，防止入侵。

（2） 檢測準確性高：發現入侵是防止入侵的必要條件和基礎。如果不能正確發現入侵行為或者對于非入侵行為誤檢測為入侵行為，則網絡會受到威脅或被自身阻斷，造成不可避免的損失。

（3） 可擴展性：由于網絡入侵不是一成不變的，網絡攻擊者也會根據現有的防御手段針對性改進自己的攻擊手段，因此想要對網絡威脅進行有效的阻斷，防御系統必須具備自我成長、自我改進的能力，能夠吸納新的入侵防御手段以形成對新形勢下的威脅防御。

（4） 穩定可靠：由于網絡入侵防御系統的是串行連接的，如果入侵防御系統發生故障造成中斷，則會阻斷正常的網絡通信，不僅起不到防御威脅的作用，且會因此而造成直接的損失。

（5） 較低的學習成本：一個稱職的網絡入侵防御系統在完成復雜的威脅阻斷操作的同時，應該對操作者提供相對簡單的操作邏輯。

（6） 對威脅智能化的分級及處理能力：系統應該能夠對不同危害程度、不同種類的入侵行為采取不同的處理方式，在保障網絡安全的同時最大程度確保網絡的正常運行。

3.2?入侵防御系統架構設計

對于網絡入侵防御系統的設計通常是采用分層架構，這樣做的好處是可以將防御系統的負擔攤薄到每個層級中，使得系統的平均負荷控制在可接受的范圍內，設計結構如圖9所示。

由圖9可見，外部數據通過外層防御進入到內網該，內部防御系統生成日志。系統主要由控制、通信、入侵防御和日志四大功能模塊構成。來自于外網的通信數據包經過外層防御的鑒別后，通過日志記錄其中的異常行為對并將其阻斷到外層防御之外，對于正常數據允許其通過外網防火墻進入內網;之后，經過內層防御的鑒別后，如果其符合網絡設定的安全標準則允許其進入內部工作系統最終實現與內部網絡系統的交互。

4?仿真

借助入侵數據集KDD CUP99對網絡進行訓練，并通過仿真結果對算法相關指標的評定。該數據集中的數據具有41項屬性，其中異常數據可分為以下四個類別。

（1） 非法獲取權限（U2R）

U2R攻擊，通常是指攻擊者以一般用戶身份在網絡進行注冊登錄，通過密鑰破解或系統漏洞等手段，提升自身權限，隨著權限的不斷提升逐漸接觸到自己無權限獲取的信息的行為。

（2） 遠程非法訪問（R2L）

R2L攻擊通常是指通過異常數據包獲取對要入侵的目標主機的訪問權限進而進行滲透的一種方式。

（3） 拒絕服務攻擊（Dos）

Dos攻擊通常指通過正常數據對要入侵的服務器進行的一種打擊行為，其特點是通過大量的請求引起服務器不具備足夠的響應能力而崩潰，導致網絡無法正常工作。

（4） 端口監視（Probe）

該類型攻擊通常是通過大范圍掃描某一指定地址段的主機以試探性的方式獲取主機的薄弱環節，為進一步的入侵行為提高成功率。

仿真所用數據集中所包含的異常數據分布，如表1所示。

按照表1的分布比例能夠進量保證仿真中所設定的條件與真實的網絡入侵情況接近。

在數據集中分別按照總量的14、13、12和34作為測試數據集對按照如下公式計算檢測的準確率。

檢測率=準確分類數據測試數據集容量×100%

誤報率按照如下公式進行測算。

誤報率=誤檢為其他類型的數據測試數據集容量×100%

最終測得的檢測率和誤報率，如表2所示。

從表2的仿真結果可知，隨著所用數據集的容量提升，算法的準確性隨之提升，在第2～4組數據集的仿真結果已經可以滿足網絡入侵檢測的需要，第一組數據的檢測率較低是由于數據集的容量過小導致網絡無法得到充分的訓練。

5?總結

本文針對網絡入侵的防御問題，針對現有的防御體系無法有效應對復雜的入侵數據的情況，提出了一種基于深度學習的入侵檢測手段。通過設計分類器和深度學習網絡闡明了入侵檢測算法的機制，闡述了入侵防御系統設計的要點。仿真結果表明該方法能夠有效地對入侵數據進行準確檢測，該方法具有一定的實際應用價值。

參考文獻

[1]?梁建營. 基于Snort的網絡入侵防御探究[J]. 網絡空間安全， 2015， 6（2）：37-38.

[2]?崔玉禮. 基于認知網絡入侵防御系統的分析與構建[J]. 山東農業工程學院學報， 2016， 33（8）：148-149.

[3]?張寧熙. 智能神經網絡入侵防御系統研究與設計[C].廣西：南寧，廣西計算機學會學術年會， 2015.

[4]?鄒洪， 龍震岳， 陳力. 混合無線網絡區域的入侵主動防御模型仿真[J]. 計算機仿真， 2016， 33（1）：280-283.

[5]?李藝穎， 鄧皓文， 王思齊， 等. 基于機器學習和NetFPGA的智能高速入侵防御系統[J]. 信息網絡安全， 2014（2）：12-19.

[6]?張玉清， 董穎， 柳彩云， 等. 深度學習應用于網絡空間安全的現狀、趨勢與展望[J]. 計算機研究與發展， 2018， 5（6）：3-28.

[7]?丁順鶯. 基于深度學習的大數據網絡安全防御模式研究[J]. 信息與電腦， 2018（17）：194-195.

[8]?王凱， 陳立云， 李昊鵬. 網站指紋攻擊與防御技術研究綜述[J]. 飛航導彈， 2019， 411（3）：83-87.

[9]?孫惠麗， 陳維華， 劉東朝. 基于深度學習的改進貝葉斯網絡入侵檢測算法[J]. 軟件工程， 2019， 22（4）：20-24.

[10]?李春林， 黃月江， 王宏， 等. 一種基于深度學習的網絡入侵檢測方法[J]. 信息安全與通信保密， 2014（10）：68-71.

[11]?王貴喜. 基于深度學習的支持向量機的信息安全檢測和預警研究[J]. 微型電腦應用， 2018， 34（6）：39-42.

[12]?閆春江， 王闖， 方華林， 等. 基于深度學習的輸電線路工程車輛入侵檢測[J]. 信息技術， 2018， 42（7）：36-41.

[13]?溫明莉， 趙軒， 蔡夢倩. 基于深度學習的端到端驗證碼識別[J]. 無線互聯科技， 2017（14）：85-86.

[14]?管廷昭. 持續攻擊下智能網絡入侵主動防御系統設計[J]. 電子設計工程， 2018， 26（18）：50-54.

（收稿日期：2019.09.12）