Разработка системы обнаружения вторжений на основе аномалий (IDS) является основным направлением исследований в области обнаружения вторжений.
IDS изучает нормальное и аномальное поведение, анализируя сетевой трафик и может обнаруживать неизвестные и новые атаки.
Тем не менее, производительность IDS в значительной степени зависит от дизайна функций, и разработка набора функций, который может точно характеризовать сетевой трафик, все еще остается проблемой исследования.
IDS на основе аномалий также имеют проблему высокой частоты ложных срабатываний (FAR), что серьезно ограничивает их практическое применение.
В этой статье мы предлагаем новую IDS, называемую иерархической системой обнаружения вторжений на основе пространственно-временных признаков (HAST-IDS), которая сначала изучает низкоуровневые пространственные характеристики сетевого трафика с использованием глубоко сверточных нейронных сетей (CNN), а затем изучает высокоуровневые временные характеристики с использованием длинных сетей кратковременной памяти.
Весь процесс изучения функций автоматически завершается глубокими нейронными сетями; никакие технические характеристики не требуются.
Автоматически изученные функции трафика эффективно снижают FAR.
Стандартные наборы данных DARPA1998 и ISCX2012 используются для оценки производительности предлагаемой системы.
Экспериментальные результаты показывают, что HAST-IDS превосходит другие опубликованные подходы с точки зрения точности, частоты обнаружения и FAR, что успешно демонстрирует его эффективность как в изучении функций, так и в снижении FAR.
