目的:实现预测下一时段网络流量特征变化和网络安全事件分类识别,为NIDS实现网络安全事件的预警功能提供了方法分析。
方法:由三个主要阶段组成的神经网络模型:在第一阶段,对NIDS中网络流量数据进行时间序列预处理和长期短期记忆(LSTM)网络学习时间特征。在第二阶段,卷积神经网络(CNN)学习网络流量的空间特征。在第三阶段,基于前面步骤得到训练后的LSTM模型用以预测后续时间戳中的网络流量时间序列,训练后的CNN模型对该时间序列进行安全事件分类,用以估计下一时间段中网络安全事件的出现概率。
预测方法模型主要由时间序列预测模型和攻击分类模型组成,如图1所示。其中时间序列预测模块由LSTM实现,攻击分类模型由LetNet实现。
特征归一化处理
LSTM输入特征:将NIDS的网络流量数据集通过数据预处理构造为包含多个连续流量数据的时间序列,每个训练样本由相邻时间戳的两个时间序列组成。
CNN输入特征:将拥有n维特征项的流量数据通过独热编码(OHE)后转换为单个m×m的流图像, m=根号n
数据集:2017年,加拿大新布伦瑞克大学(UNB)信息安全卓越中心(ISCX)发布了一个名为CICIDS2017的入侵检测数据集。如DoS、DDoS、Bruteforce、XSS,SQL注入、Infiltration、PortScan和Botnet。
特征:根据ImanSharafaldin[32],在实验中选择包含了表1中显示的每种攻击对应最佳选择功能特征值,共计33个。
特征提取工具:CICFlowMeter