OA系统图书馆网站地图所长信箱English中国科学院
 
首页机构概况科研成果研究队伍国际交流科技合作研究生教育文化建设党群园地科学传播信息公开
  综合新闻  
  图片新闻  
  科研动态  
  学术活动  
  媒体报道  
您现在的位置:首页 > 老网站 > 新闻动态 > 科研动态
基于字嵌入的可识别长流的分层注意力模型
2019/08/02 | 作者:国家网络新媒体工程技术研究中心 韩陆超 | 【 【打印】【关闭】

  在网络安全研究中,基于深度学习的入侵检测方法因具有较强的检测能力而受到越来越多的关注。然而,大部分基于深度学习的入侵检测方法处理长度过长的网络流量数据时能力不足,它们选择只处理流量的包头部分,忽略流量载荷中有价值的信息,因此当黑客把攻击行为隐藏在流量的载荷中时,这些入侵检测方法就无法有效检测到恶意流量。

  中科院声学所国家网络新媒体工程技术研究中心的博士生韩陆超等人提出了一种能够检测不同长度流量的注意力模型,以检测基于流量载荷的恶意流量;同时设计了一种基于生成式对抗网络(Generative Adversarial Networks, GAN)的流量生成模型,可以从原始数据集生成新的网络流量数据,以增强数据的安全性并保护用户隐私。相关研究成果2019624日在线发表于国际学术期刊 IEEE Access

  研究人员提出的分层注意力模型,可以从字节和数据包这两个层面学习流量信息。该模型使用双向GRU(Gated Recurrent Unit)构建字节表示,并通过注意机制给不同的字节分配不同的权重,一些与分类目标直接相关的关键字节在编码过程中被赋予更多权重。数据包表示的构建与此类似,最后使用注意力机制汇总构建整个TCPTransmission Control Protocol)流的表示向量。

  在入侵检测研究中经常遇到缺乏流量数据的问题,特别是在深度学习方法中,训练数据的局限性严重限制了模型的训练效果。此外,直接检测现实用户的网络流量可能会侵犯用户隐私。

  研究人员提出了Flow-WGANWasserstein GAN)流量生成模型,从原始数据集中生成新数据。这种模型的结构和提取信息的方法与分类器不同,因此可以从同一原始训练集中学习新的特征并获得具有全新数据的网络流数据包。研究人员用此数据包来模拟新的网络应用流量类型,以评估分类器的性能或改进分类器。

  基于ISCX-2012ISCX-2017数据集的实验结果表明,与其他四种先进的深度学习方法相比,该分层注意力模型在准确性和真阳性率(true positive rateTPR)方面具有更高的性能,且该模型在检测生成的数据包时所需训练时间比当前最先进的HSAT-IDS恶意流量检测模型减少30%

   

  分层注意力模型的结构图(图/中科院声学所)

   

  流量生成模型的原理图(图/中科院声学所)

  关键词:

  网络安全入侵检测深度学习

  参考文献:

  HAN Luchao, SHENG Yiqiang, ZENG Xuewen. A Packet-Length-Adjustable Attention Model Based on Bytes Embedding Using Flow-WGAN for Smart Cybersecurity. IEEE Access, 2019, 7: 82913 - 82926. DOI: 10.1109/ACCESS.2019.2924492.

  论文链接:

  https://ieeexplore.ieee.org/document/8744218

 
  相关新闻
Copyright 1996 - 中国科学院声学所 版权所有 备案序号:京ICP备16057196号 京公网安备110402500001号
地址:北京市海淀区北四环西路21号中国科学院声学研究所  邮编:100190