研究人員提出基於字嵌入的可識別長流的分層注意力模型

在網路安全研究中，基於深度學習的入侵檢測方法因具有較強的檢測能力而受到越來越多的關注。然而，大部分基於深度學習的入侵檢測方法處理長度過長的網路流量數據時能力不足，它們選擇只處理流量的包頭部分，忽略流量載荷中有價值的信息，因此當黑客把攻擊行為隱藏在流量的載荷中時，這些入侵檢測方法就無法有效檢測到惡意流量。

中國科學院聲學研究所國家網路新媒體工程技術研究中心博士生韓陸超等人提出了一種能夠檢測不同長度流量的注意力模型，以檢測基於流量載荷的惡意流量；同時設計了一種基於生成式對抗網路（Generative Adversarial Networks, GAN）的流量生成模型，可以從原始數據集生成新的網路流量數據，以增強數據的安全性並保護用戶隱私。相關研究成果6月24日在線發表於國際學術期刊IEEE Access。

研究人員提出的分層注意力模型，可以從位元組和數據包這兩個層面學習流量信息。該模型使用雙向GRU(Gated Recurrent Unit)構建位元組表示，並通過注意機制給不同的位元組分配不同的權重，一些與分類目標直接相關的關鍵位元組在編碼過程中被賦予更多權重。數據包表示的構建與此類似，最後使用注意力機制匯總構建整個TCP（Transmission Control Protocol）流的表示向量。

在入侵檢測研究中經常遇到缺乏流量數據的問題，特別是在深度學習方法中，訓練數據的局限性嚴重限制了模型的訓練效果。此外，直接檢測現實用戶的網路流量可能會侵犯用戶隱私。

研究人員提出了Flow-WGAN（Wasserstein GAN）流量生成模型，從原始數據集中生成新數據。這種模型的結構和提取信息的方法與分類器不同，因此可以從同一原始訓練集中學習新的特徵並獲得具有全新數據的網路流數據包。研究人員用此數據包來模擬新的網路應用流量類型，以評估分類器的性能或改進分類器。

基於ISCX-2012和ISCX-2017數據集的實驗結果表明，與其他四種先進的深度學習方法相比，該分層注意力模型在準確性和真陽性率（true positive rate，TPR）方面具有更高的性能，且該模型在檢測生成的數據包時所需訓練時間比當前最先進的HSAT-IDS惡意流量檢測模型減少30%。

分層注意力模型的結構圖（圖/中科院聲學所）

流量生成模型的原理圖（圖/中科院聲學所）

來源：中國科學院聲學研究所

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！