深度學習技術在網路入侵檢測中的應用

cuda_study發表於2018-03-06
案例簡介
• 本案例中,北京郵電大學移動網際網路安全技術國家工程實驗室研究團隊致力於將最新的深度學習技術應用於網路入侵檢測,積極探索利用人工智慧解決網路安全問題的新思路。
• 本案例中使用的NVIDIA GPU:10塊 Tesla K80。
Case Introduction
• In this case, the research team belongs to the National Engineering Laboratory for Mobile Network Security Technologies, Beijing University of Posts and Telecommunications. They devote to applying the latest deep learning technology to network intrusion detection, and actively exploring new ideas of using artificial intelligence to solve cyber security problems.
• The major product utilized in the case is 10 NVIDIA Tesla K80 GPUs.
現狀
從全球範圍來看,網路空間安全形勢不容樂觀。繼早期的蠕蟲病毒、特洛伊木馬和殭屍網路之後,近年來又興起了被稱為APT(高階持續威脅)的新型網路攻擊手段。2017年上半年,勒索病毒WannaCry更是在全球範圍內肆虐,通過網路造成一場嚴重的災難。最新統計資料顯示,WannaCry勒索病毒至少感染了150個國家的30萬臺電腦,波及了眾多行業,包括金融、能源、醫療等,造成經濟損失約達80億美元,成為多年以來影響力最大的病毒之一。
簡言之,不斷爆發的大規模網路攻擊一方面證明了傳統安全防護技術的缺陷和不足,另一方面則呼喚著新一代網路安全技術的出現。筆者所在研究團隊隸屬於北京郵電大學移動網際網路安全技術國家工程實驗室,主要關注基於深度學習技術的網路入侵檢測,在網路異常流量檢測、基於載荷的Web攻擊檢測等方面開展研究工作。此外,團隊也積極探索利用人工智慧解決網路安全問題的新思路。
挑戰
入侵檢測技術最早在1980年提出,此後一直是網路安全領域的重點研究方向。傳統入侵檢測技術採用基於規則的方法,所謂規則是指惡意程式的簽名和對惡意行為的描述,與規則相匹配的程式程式碼或網路行為會被檢測為攻擊。從實際應用情況來看,基於規則的入侵檢測技術可以有效防禦已知攻擊方面,但對於新型未知攻擊則素手無策。
鑑於此,諸多網路安全研究人員將關注點轉移到基於異常的入侵檢測技術。該檢測技術主要採用統計機器學習的方法——收集正常的程式和網路行為資料,提取多維度特徵,並在此基礎上訓練判決式機器學習模型(常用的包括樸素貝葉斯、決策樹、支援向量機和隨機森林等)。在檢測階段,與正常值之間的偏離超出容限的程式程式碼或網路行為會被認為是惡意程式碼或網路攻擊行為。
與規則檢測相比,基於異常的檢測方法難以被繞過,在一定程度上提升了入侵檢測的能力。然而實踐表明,異常檢測模型的優劣主要取決於特徵提取。在已有研究中,特徵提取工作主要都是由領域專家人工完成,使得該環節嚴重依賴於專家經驗,而且缺乏在不同應用場景下的自適應性。
方案
由於深度神經網路有良好的資料表示和特徵提取能力,筆者所在研究團隊嘗試在特徵提取環節應用深度學習技術,替代人工專家的主觀經驗。團隊主要從網路異常流量檢測和基於載荷的Web攻擊檢測兩方面展開研究。接下來簡要介紹我們的研究工作。
 利用受限玻爾茲曼機和支援向量機進行網路異常流量檢測
網路異常流量檢測的總體流程如圖1所示。相比傳統方法,此工作的創新點是在分類器模型之前增加了特徵抽取器。在實現時,分類器模型採用支援向量機,而特徵抽取器則使用了受限玻爾茲曼機。

NV Template_深度學習技術在網路入侵檢測中的應用.pdf

683.5 KB, 下載次數: 0

原文釋出時間為:2018-2-28
原文由:emily 釋出,版權歸屬於原作者 
本文來自雲棲社群合作伙伴NVIDIA,瞭解相關資訊可以關注NVIDIA官方網站


相關文章