本文是一篇软件工程论文,本文通过调研IDS的发展历程、各类模型的优缺点以及最新研究进展,基于机器学习、深度学习算法提出新的模型实现入侵行为数据的区分与检测。
1绪论
1.1研究背景与意义
随着科技的飞速发展和智能化的持续推进,信息革命浪潮正在席卷全球[1],网络已经成为各行各业的基础、包括政务、金融、医疗、教育等,同时也是公民个人信息传输的重要渠道,然而这也带来了一系列的网络安全威胁和风险,不仅影响政治、经济、文化等领域,还会对国家重要网络基础设施、公民信息安全和国家安全格局等产生深远的影响。习近平总书记针对我国的网络安全工作多次指出要不断推动网络安全体系完善,不断加强广大人民群众在信息空间的获得感、幸福感、安全感[2]。因此,针对复杂多变的网络攻击,及时检测并防御,进而保障国家重要网络基础设施和公民信息安全已然成为目前网络安全研究的紧迫需求。总之,入侵检测不仅是网络设施稳定运行的基本条件,也是保障国家网络空间安全和提升广大人民群众虚拟空间安全感的当务之急。
随着网络用户量和网络规模的不断扩增,网络攻击的范围愈发广泛、技术愈发多样,危害程度和隐蔽程度不断加深。入侵检测系统(Intrusion Detection System,IDS)可以有效检测系统入侵和异常活动(包括潜藏网络中的漏洞、勒索软件、病毒等)。但IDS的性能离不开其检测模型的性能,因此建立可行的网络流量监测和预测模型对于网络流量监控与维护、保障国家重要网络基础设施和公民信息安全等方面意义重大,通过建立可行的网络流量监测和预测模型能够优化网络结构、节约网络资源、节省基站能耗、提高网络性能和安全保障,进而为人类提供更高质量的服务。
..........................
1.2研究现状
1.2.1入侵检测研究现状
IDS作为保障互联网网络安全平稳运行的关键技术之一,通过对网络进行实时监控,识别各类计算机病毒或恶意代码,并及时发出警报或者采取主动反应措施进行防范。1980年,Anderson[3]等人首次提出入侵检测技术,自此以后网络入侵检测技术研究一直是专家们保证网络安全和改善网络环境的主要关注点之一,入侵检测技术已成为了维护网络空间安全和促进网络安全领域发展的重要力量。
入侵检测技术从提出到应用,国内外各种研究层出不穷。据统计,在知网学术平台上以“网络入侵检测”为主题检索到近20年内(2007年~2022年)的相关文献共计3959篇,其中仅2008年的创作数量高达285篇。近20年的创作数量趋势图如图1-1所示。
软件工程论文怎么写
...............................
2相关技术与理论基础
2.1入侵检测系统
2.1.1入侵检测系统定义
入侵检测系统(IDS)是一种设备和软件程序,用于监控和检测网络环境中的主机是否存在恶意行为和非法程序[30]。该系统通过收集关键节点数据信息、利用分类模型进行评估判断,针对异常进行告警预报,进而实现系统和数据的安全性[30]。IDS模型通常由信息数据采集、入侵分析引擎和入侵响应等模块组成[34]。其中,信息数据采集模块是整个系统的基础,入侵分析引擎是核心模块,入侵响应模块则用于采取紧急措施避免事态进一步加剧,如报警响应、窗口预警等。
2.1.2入侵检测系统分类
不同的分类标准对应不同的分类结果。IDS常见的分类分类标准包括6种:检测原理、时效性、数据类型、数据来源、体系结构、响应方式。
按照检测原理可以分为误用检测、异常检测和混合检测;异常入侵检测是将当前网络行为与系统正常行为进行比较,若两者偏差较大,超过了预定义的阈值,则认为系统发生了异常或被入侵,该检测虽然可以识别未知攻击,但其关键问题是如何准确描述正常流量和行为的边界和确定其为异常流量的阈值基准值,该问题到目前并未有明确的规范,因此导致该方法的误报率较高。误用检测也称为基于规则的检测,是以已知攻击为特征,将异常流量与正常流量按照已知的特征区分开来,该检测方法能够明确标注入侵类型,故具有较高的准确率和较低的误报率,但该方法对于未知攻击的识别能力较差。混合入侵检测结合两者优势,不仅可以识别未知攻击的能力,而且可以提高准确率,降低误报率,是目前较为常用的方法。
............................
2.2入侵检测原理及流程
IDS的实质就是通过对收集到的网络流量或主机数据来进行处理、特征提取、模型构建和学习,判断该行为是否属于正常行为,即是分类问题,最终针对异常行为进行告警或采取防御措施。
2.2.1数据采集与解析
数据是仿真实验的基础,数据采集[39]是指从不同来源或渠道收集数据的过程。数据来源包括:系统日志信息采集,网络数据获取,传感器固定接口采集;如Hadoop的Chukwa,Cloudera的Flume,Facebook的Scribe等都是用来采集日志信息的工具,通过网络爬虫或网站公开API等方式可以实现网络数据的获取,对于企业学科研究所等保密性要求较高的数据,可以使用特定系统接口等方式采集数据,通常IDS研究是基于日志信息和网络数据展开研究的。数据采集可以是手动或自动的,可以在实时或非实时的情况下进行,在进行数据采集时,需要考虑(1)数据来源,包括类型、格式等;(2)数据获取方式:包括爬虫、API、手动输入等;(3)数据解析和清洗:采集到的数据可能是非结构化的数据,需要通过解析使之成为结构化数据,针对解析后存在数据错误、重复、不完整等问题,需要进行数据清洗和处理,以确保数据的准确性和完整性;(4)数据存储和管理:选择合适的数据存储和管理方式,例如数据库、云存储等,以方便后续的数据分析和应用。(5)数据安全和隐私:在进行数据采集时,需要保护数据的安全和隐私,确保符合相关法律法规和行业标准。
...........................
3 基于WLA优化混合核LSSVM的网络入侵检测模型 .................... 30
3.1 HIDM模型框架 .................................... 30
3.2 WLA算法 ..................................... 31
4 基于IDP-TSW的深度网络入侵检测模型 ..................... 47
4.1 IDP-TSW模型框架 .......................... 47
4.2 IDPCA特征提取模块........................................ 48
5 总结和展望............................. 62
5.1 论文总结 ............................ 62
5.2 未来展望 ........................................... 62
4基于IDP-TSW的深度网络入侵检测模型
4.1 IDP-TSW模型框架
IDP-TSW检测框架总体上是一个层次模型,结构如图4-1所示,由特征构建层、数据预处理层、特征提取层、模型训练与测试层和结果输出层共五层构成。主要工作模式为:
(1)获取开源数据集及初始特征;(2)对初始特征进行预处理;(3)基于IDPCA提取初始特征的最优子集,并按照4:1比例构建模型训练集和测试集;(4)训练TSW模块;(5)采用测试集进行模型评估,输出测试结果。
软件工程论文参考
...............................
5总结和展望
5.1论文总结
网络入侵检测是保障国家重要网络基础设施和公民信息安全的基本前提。本文通过调研IDS的发展历程、各类模型的优缺点以及最新研究进展,基于机器学习、深度学习算法提出新的模型实现入侵行为数据的区分与检测。本文的主要工作归纳如下:
(1)调研了近年来IDS模型的发展现状,限制IDS发展的因素、各类模型的优缺点等,并以IDS实现检测的全流程为出发点,逐步整理每个步骤常用的方法与思路。
(2)基于机器学习LSSVM算法构建了HIDM入侵检测模型。针对网络数据维度高、分布差异较大等引起的网络入侵检测时间开销大,精度低、泛化性差的问题,结合WLA和HKLSSVM算法提出HIDM模型。将非线性递减因子、自适应权值策略结合鲸鱼优化算法提出WLA,利用WLA优化HKLSSVM的参数,实现网络入侵的有效检测。
(3)基于深度学习CNN、LSTM网络构建了IDP-TSW模型。针对机器学习模型对特征选择过程过于依赖的问题,基于深度学习CNN网络、LSTM网络自学习的能力提出TSW模型,为降低原始数据维度、引入基于密度的主成分分析方法实现降维。
(4)基于不同的数据集利用仿真实验验证了本文的模型在二分类、多分类情况下具有良好的检测效果,并按照控制变量法的思路设置多组对比实验,逐步逐层验证了本文所提出的模型改进的正确性和有效性。
参考文献(略)