基于深度學習的網絡攻擊檢測模型*

禹 寧，谷 良，狄 婷

（國網山西省電力公司信息通信分公司，太原 030000）

0 引言

網絡已經成為能源、金融、政務等國家基礎設施和公民個人信息傳輸的主要載體，由于網絡架構的開放性和其難以根除的系統漏洞，各類網絡攻擊層出不窮，尤其高級持續威脅（advanced persistent threat，APT）攻擊已經成為近年來威脅我國網絡設施安全的主要攻擊形式［1］，及時檢測復雜多變的網絡攻擊，保障國家重要網絡基礎設施和公民信息安全成為目前網絡安全研究的緊迫需求。

網絡攻擊通常主要有4 種形式，分別是DoS（Deny of Service）、Probe、U2R（User to Root）和R2L（Remote to Local），上述攻擊形式也是APT 攻擊過程中據點建立和橫向移動階段的主要攻擊形式；一旦攻擊達成便可長期駐留用戶網絡，適時竊取目標用戶敏感數據信息，造成難以察覺的巨大破壞。針對上述攻擊，目前存在大量研究。YANG Y Q 等針對U2R 和R2L 攻擊提出基于改進密度峰值算法和深度置信網絡的MDPCA-DBN 算法實現攻擊檢測［2］，該算法針對良性數據的識別準確率達到97.38%，對于U2R 和R2L 的識別率分別達到6.5%和17.25%。CHUAN Y 等針對DoS 攻擊提出基于CNN 和RNN的集成檢測算法，識別率達到99.1%，但該方法計算開銷較大［3］。SONG C H 等將網絡攻擊視為惡意流量，基于分類思想利用LSTM 和XGBoost 集成算法實現了惡意流量分類識別，但該檢測方法檢測精度較低［4］。劉海波等針對APT 攻擊利用對抗網絡提出了基于GAN-LSTM 的檢測方法，實驗表明融入生成對抗網絡的檢測算法對比LSTM 網絡檢測效果有明顯提升［5］。針對DDoS 攻擊，ROBSON V 等提出基于快速分層深度卷積神經網絡的入侵檢測算法（Tree-CNN）［6］，并在模型頂層使用SRS 激活函數使模型具有更好的泛化能力和學習速度，該模型識別率達到97%，但該方法模型檢測精度較低。……