مقاله تشخیص نفوذ به شبکه با استفاده از شبکه عصبی حافظه طولانی کوتاه مدت ( LSTM )

بخشی از مقاله

چکیده

تشخیص نفوذ نقش مهمی را در تضمین امنیت اطلاعات ایفا میکند و فناوری کلیدی برای شناسایی حملات مختلف در شبکه است. در این مقاله، ما به بررسی نحوه مدلسازی یک سیستم تشخیص نفوذ مبتنی بر یادگیری عمیق میپردازیم و یک روش یادگیری عمیق برای تشخیص نفوذ با استفاده از شبکههای عصبی حافظه طولانی کوتاه مدت - LSTM - پیشنهاد میکنیم. برای مقایسه عملکرد روش پیشنهادی، ما آن را با بسیاری از روشهای یادگیری ماشین که توسط پژوهشگران قبلی در مجموعه دادههای NSL-KDD ارائهشده مقایسه میکنیم. نتایج تجربی نشان میدهد که LSTM برای مدلسازی یک مدل طبقهبندی با دقت بالا مناسب است و عملکرد آن برتر از روشهای طبقهبندی سنتی یادگیری ماشین در کلاسهای دودویی است. مدل LSTM صحت تشخیص نفوذ را بهبود میبخشد و یک روش پژوهش جدید برای تشخیص نفوذ فراهم میکند.
.1 مقدمه

اینترنت با استفاده از ادغام فزایندهی عمیق اطلاعات، وضعیت افراد جامعه را که در آن تحصیل و کار میکنند، تغییر میدهد. اما تهدیدات امنیتی مختلفی که ما با آن مواجه هستیم، در حال افزایش است. نحوه شناسایی حملات مختلف شبکه، بهویژه حملات غیرمجاز، یک مسئله مهم فنی اجتنابناپذیر است. یک سیستم تشخیص نفوذ - IDS - ، یک پیشرفت قابلتوجه پژوهشی درزمینهی امنیت اطلاعات، میتواند یک حمله را شناسایی کند که در آن یک حمله مداوم یا نفوذی استکه قبلاً رخ داده است. درواقع، تشخیصنفوذ معمولاً معادل یک مساله طبقهبندی مانند یک مساله طبقهبندی دودویی یا چندتایی؛ یعنی شناسایی اینکه آیا رفتار ترافیک شبکه طبیعی است یا غیرعادی، یا یک طبقهبندی شده با پنج دسته، یعنی شناسایی اینکه آیا این رفتار عادی است یا خیر یا هر یک از چهار نوع دیگر حمله: Denial of Service - DOS - ، کاربر برای ریشه - U2R - ، پروب - Probing - و ریشه به محلی . - R2L - بهطور خلاصه، انگیزه اصلی تشخیص نفوذ، بهبود دقت طبقهبندیها در شناسایی مؤثر رفتار نفوذ است.

روشهای یادگیری ماشین بهطور گستردهای در شناسایی انواع حملات مورداستفاده قرار میگیرند و یک روش یادگیری ماشین میتواند به مدیر شبکه کمک کند تا اقدامات مربوطه را برای جلوگیری از نفوذ انجام دهد. بااینحال، بیشتر روشهای یادگیری ماشین سنتی متعلق به یادگیری کمعمق هستند و اغلب بر طراحی و انتخاب ویژگیها تأکیددارند؛ آنها نمیتوانند بهطور مؤثر حل مسئله طبقهبندی دادههای نفوذ عظیم که در مواجهه با یک محیط برنامه کاربردی شبکه رخ میدهد را حل کند. با رشد پویا مجموعه دادهها، وظایف طبقهبندی چندگانه منجر به کاهش دقت خواهد شد. علاوه بر این، یادگیری سطحی برای تحلیل هوشمندانه و نیازهای پیشبینی یادگیری با ابعاد بزرگ با دادههای عظیم مناسب نیست. در مقابل، یادگیرندگان عمیق توانایی بازنمایی بهتر از داده را دارند تا الگوهای بسیار بهتر را ایجاد کنند. درنتیجه، فناوری تشخیص نفوذ پس از سقوط به یکدوره نسبتاً کند، پیشرفت سریع را تجربه کرده است.

پسازآنکه پروفسور هینتون [1] نظریه یادگیری عمیق را در سال 2006 پیشنهاد داد، تئوریو فنّاوری یادگیری عمیق در ارتقای یادگیری ماشین تحت تأثیر قرار گرفت. در این سناریو، مقالات نظری مربوطه و یافتههای تحقیقاتی عملی بینهایت ظاهر شد و دستاوردهای قابلتوجهی را بهویژه درزمینههای تشخیص گفتار، تشخیص تصویر [2] و تشخیص عمل ایجاد کرد .[5-3] واقعیت این است که تئوری و فناوری یادگیری عمیق در سالهای اخیر بهسرعت پیشرفت کرده است به این معنی که دوران جدیدی از هوش مصنوعیباز کرده و راه کاملاً جدیدی برایتوسعه فنّاوری تشخیص نفوذ هوشمند ارائه کرده است.

با توجه به رشد منابع محاسباتی، شبکههای عصبی بازگشتی - RNN - - که در دهههای گذشته در حال گسترش بودهاند اما پتانسیل کامل آنها تا به امروز بهطور گسترده شناخته شده است، مانند شبکههای عصبی کانولوشن - - CNN - اخیراً توسعه قابلتوجهی در دامنه از یادگیری عمیق .[6] در سالهای اخیر، RNNها نقش مهمی درزمینهی بینایی کامپیوتر، پردازش زبان طبیعی - NLP - ، درک معنایی، تشخیص گفتار، مدلسازی زبان، ترجمه ماشینی، توضیحات تصویر و شناخت عمل انسان -7] [9 بین سایرین داشتهاند. ازآنجاییکه یادگیری عمیق توانایی بازنمایی بهتر از دادهها را برای ایجاد مدلهای بسیار بهتر و الهام از شبکههای عصبی بازگشتی دارد، ما یک رویکرد یادگیری عمیق برای یک سیستم تشخیص نفوذ با استفاده از شبکههای عصبی مبتنی بر حافظه طولانی کوتاه مدت - LSTM - 1 پیشنهاد کردهایم.

.2 مرور کارهای گذشته

در مطالعات پیشین، تعدادی از روشهای مبتنی بر یادگیری ماشینهای سنتی، ازجمله [10] SVM، [11]، نزدیکترین همسایه [12] - KNN - ، [13] ANN، جنگل تصادفی [14] - RF - ، [15] و دیگران [16]، [17] پیشنهاد شده است و برای یک سیستم تشخیص نفوذ موفقیتآمیز بوده است. در سالهای اخیر، یادگیری عمیق، شاخهای از یادگیری ماشین، بهطور فزایندهای محبوب شده است و برای تشخیص نفوذ استفاده شده است. مطالعات نشان دادهاند که یادگیری عمیق بهطور کامل از روشهای سنتی فراتر رفته است. در [18]، نویسندگان یک رویکرد یادگیری عمیق مبتنی بر شبکه عصبی عمیق برای تشخیص آنومالی مبتنی بر جریان استفاده میکنند و نتایج تجربی نشان میدهد که یادگیری عمیق میتواند برای تشخیص ناهنجاری در شبکههای تعریف شده نرمافزاری استفاده شود.

در [19] نویسندگان پیشنهاد یک روش مبتنی بر یادگیری عمیق با استفاده از یادگیری خودآموزی - STL - بر روی مجموعه داده NSL-KDD معیار در سیستم تشخیص نفوذ شبکه پیشنهاد میکنند. با مقایسه عملکرد آن با آنچه در مطالعات قبلی مشاهده شد، روش نشان داده شده است که مؤثرتر است. بااینحال، این دسته از مراجع بر قابلیت کاهش قابلیت یادگیری عمیق تمرکز میکنند. اینعمدتاً از روشهای یادگیری عمیق برای پیشآزمون استفاده میکند و از طریق مدل نظارت سنتی طبقهبندی میکند. شایع نیست که روش یادگیری عمیق برای انجام طبقهبندی بهطور مستقیم استفاده شود و کمبود مطالعه در عملکرد در طبقهبندی چندطبقهای وجود ندارد.

با توجه به [20]، RNNها شبکههای عصبی کاهشیافتهاند. در این مقاله، نویسنده معماری سهبعدی LSTM را با 41 ویژگی بهعنوان ورودی و چهار دسته نفوذ بهعنوان خروجی و برای IDS مبتنی بر سوءاستفاده ارائه میدهد. بااینحال، گرههای لایه بهطور جزئی متصل میشوند، LSTMهای کاهشیافته توانایی یادگیری عمیق را برای مدلسازی ویژگیهای ابعادی بزرگ نشان نمیدهند و نویسندگان عملکرد مدل را در طبقهبندی دوتایی مطالعه نمیکنند.

با توسعه مداوم دادههای بزرگ و قدرت محاسباتی، روشهای یادگیری عمیق بهسرعت در حال رشد بوده و درزمینههای مختلف بهطور گستردهای مورداستفاده قرارگرفتهاند. به دنبال این تفکر، یک روش یادگیری عمیق برای شناسایی نفوذ با استفاده از حافظه طولانی کوتاه مدت - LSTM - در این مقاله ارائهشده است. در مقایسه با کارهای قبلی، ما از مدل مبتنی بر LSTM برای طبقهبندی استفاده میکنیم و نه برای پیشآزمون. علاوه بر این، ما از مجموعه دادههای NSL-KDD با استفاده از آموزش و تست جداگانه برای ارزیابی عملکرد آنها در تشخیص ورودیهای شبکه استفاده میکنیم و آن را با J48، ANN، RF، SVM و دیگر روشهای یادگیری ماشین ارائهشده توسط پژوهشگران قبلی مقایسه میکنیم.

.3 تشخیص نفوذ با شبکه عصبی LSTM

حافظه طولانی کوتاه مدت - LSTM - ، پیشنهاد شده توسط [20]، معماری شبکه عصبی بازگشتی است که قادر به یادگیری وابستگیهای طولانی مدت است. LSTM بهمنظور مقابله با پراکندگی گرادیان یا مشکلات انفجاری گرادیان توسعه داده شده است و میتواند به عنوان یک معماری شبکه عمیق عصبی زمانی برحسب زمان برآورد شده است در نظر گرفته شود. واحد مولفه اصلی لایه LSTM سلول حافظه نامیده میشود. یک سلول حافظه از چهار عنصر اصلی تشکیل شده است: یک دروازه ورودی، یک نورون با اتصال خودبازگشتی، یک دروازه فراموشی و یک دروازه خروجی. ورودی ارائه شده به LSTM عملیاتهایی را که توسط دروازهها در سلول حافظه انجام میشود کنترل میکند: نوشتن - دروازه ورودی - ، خواندن - دروازه