導(dǎo)語：如何才能寫好一篇卷積神經(jīng)網(wǎng)絡(luò)的優(yōu)缺點，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：ROS；表面缺陷；圖像采集；神經(jīng)網(wǎng)絡(luò)；模型訓(xùn)練

飛機蒙皮是包圍在飛機骨架結(jié)構(gòu)外且用粘接劑或鉚釘固定于骨架上，形成飛機氣動力外形的維形構(gòu)件，在飛機正常工作狀態(tài)下扮演著重要的角色，一旦飛機蒙皮出現(xiàn)缺陷等問題，需要及時的反饋出來并且維修。傳統(tǒng)的飛機表面缺陷檢測方式大多數(shù)是由人工來完成，會存在效率低、成本高等缺點，甚至?xí)霈F(xiàn)檢測失誤的情況。本文就針對鋁合金表面缺陷檢測方面，提出一種基于ROS的飛機表面缺陷檢測系統(tǒng)，采用移動機器人底盤定位和導(dǎo)航技術(shù)，結(jié)合深度學(xué)習(xí)、圖像處理等技術(shù)檢測出存在缺陷的位置并標記出來，通過機器代替?zhèn)鹘y(tǒng)人工的方式，旨在提高檢測效率和檢測精度，為飛機表面缺陷檢測提供一種方式。

1系統(tǒng)的總體設(shè)計

飛機表面缺陷檢測系統(tǒng)主要由檢測模塊、ROS機器人模塊、圖像處理模塊三大部分組成，系統(tǒng)的總體結(jié)構(gòu)框圖如圖1所示。系統(tǒng)的具體工作原理為：在某一區(qū)域范圍內(nèi)，檢測模塊以樹莓派為核心控制器，通過檢測模塊中的圖像采集系統(tǒng)對鋁合金材料表面進行圖像采集，將采集到的圖像通過TCP通信傳輸?shù)綀D像處理模塊上[4]。圖像處理模塊利用深度學(xué)習(xí)中設(shè)計的卷積神經(jīng)網(wǎng)絡(luò)進行數(shù)據(jù)訓(xùn)練，得到檢測模型，將檢測模型應(yīng)用到圖像預(yù)處理上。此時，OpenCV對檢測模塊得到的圖像進行圖像處理[5]，最終得到缺陷出現(xiàn)的位置。當(dāng)前區(qū)域檢測完畢后，通過ROS機器人模塊的定位和導(dǎo)航功能，驅(qū)動運動執(zhí)行機構(gòu)工作，并移動到相鄰下一塊檢測區(qū)域，直到所有位置都檢測完畢。上述工作原理可實現(xiàn)飛機表面缺陷檢測系統(tǒng)，下文將對其包括的三大模塊進行說明介紹。

2檢測模塊設(shè)計

如圖2所示，系統(tǒng)的檢測模塊主要是包括樹莓派和攝像頭，其中樹莓派作為檢測模塊的處理器，搭建的有Ubuntu系統(tǒng)，是系統(tǒng)實現(xiàn)的重要組成部分。樹莓派可以提供普通計算機的功能，并且功耗低?？芍苯釉跇漭缮习惭bKeil進行開發(fā)，具有很好的開發(fā)效果，運行穩(wěn)定。本次飛機表面缺陷檢測系統(tǒng)實現(xiàn)了樹莓派將攝像頭拍攝的圖片發(fā)送到圖像處理模塊上，同時也搭載ROS系統(tǒng)實現(xiàn)了移動底盤的定位和導(dǎo)航功能。

3ROS機器人模塊設(shè)計

ROS隨著機器人技術(shù)發(fā)展愈發(fā)受到關(guān)注，采用分布式框架結(jié)構(gòu)來處理文件，這種方式允許開發(fā)者單獨設(shè)計和開發(fā)可執(zhí)行文件。ROS還以功能包的形式封裝功能模塊，方便移植和用戶之間的共享。下面將介紹其建圖和導(dǎo)航功能的實現(xiàn)。

3.1建圖設(shè)計

本文在ROS系統(tǒng)中使用Gmapping算法軟件包實現(xiàn)建圖[7]，在ROS系統(tǒng)中設(shè)計了建圖過程中各節(jié)點及節(jié)點間的話題訂閱/的關(guān)系如圖3所示。在圖3建圖節(jié)點話題關(guān)系圖上，其中橢圓形里代表節(jié)點，矩形基于ROS的飛機表面缺陷檢測系統(tǒng)胡浩鵬（紐約大學(xué)NewYorkUniversity紐約10003）框里代表的是主題，節(jié)點指向主題代表著該節(jié)點了主題消息，主題指向節(jié)點代表著該節(jié)點訂閱了主題消息。在建圖過程中，主要涉及激光雷達節(jié)點、鍵盤控制節(jié)點、底盤節(jié)點、Gmapping節(jié)點和地圖服務(wù)節(jié)點。

3.2導(dǎo)航設(shè)計

ROS提供的Navigation導(dǎo)航框架結(jié)構(gòu)如圖4所示，顯然MOVE_BASE導(dǎo)航功能包中包括全局路徑規(guī)劃和局部路徑規(guī)劃兩部分，即在已構(gòu)建好的地圖的基礎(chǔ)上，通過配置全局和局部代價地圖，從而支持和引導(dǎo)路徑規(guī)劃的實施。為了保證導(dǎo)航效果的準確，通過AMCL定位功能包進行護理床的位置定位[8]。獲取目標點的位置后，MOVE_BASE功能包結(jié)合傳感器信息，在路徑規(guī)劃的作用下，控制指令，控制護理床完成相應(yīng)的運動。

4圖像處理模塊設(shè)計

圖像處理模塊設(shè)計主要分為圖像預(yù)處理、模型訓(xùn)練和卷積神經(jīng)網(wǎng)絡(luò)三大部分，通過TCP通信協(xié)議進行通信，TCP通信是一種面向連接的通信，可完成客戶端（樹莓派）和服務(wù)端（PC）的信息傳遞[9]。下面主要對卷積神經(jīng)網(wǎng)絡(luò)部分進行介紹。

4.1卷積神經(jīng)網(wǎng)絡(luò)訓(xùn)練流程

通過相機采集到的缺陷和問題圖像作為訓(xùn)練樣本，這部分是檢測飛機表面缺陷的關(guān)鍵一步，然后對訓(xùn)練樣本進行訓(xùn)練，具體步驟如下所示。（1）訓(xùn)練標記數(shù)據(jù)：首先使用圖像預(yù)處理中標記好的道路故障提取出來，通過卷積神經(jīng)網(wǎng)絡(luò)對標記框內(nèi)的目標數(shù)據(jù)進行訓(xùn)練；（2）提取特征數(shù)據(jù)：將道路故障的類型統(tǒng)計并歸納；（3）誤差反饋學(xué)習(xí)：對測試樣本進行誤差反饋學(xué)習(xí)，并進行測試；（4）優(yōu)化訓(xùn)練數(shù)據(jù)：將得到的測試結(jié)果與設(shè)定的故障分類結(jié)果進行誤差對比，不斷優(yōu)化訓(xùn)練集，最終得到理想的訓(xùn)練數(shù)據(jù)。

4.2缺陷檢測流程

缺陷檢測流程如圖5所示，首先輸入缺陷原始圖像，通過特征提取網(wǎng)絡(luò)，將處理后的圖像使用檢測器進行檢測，其中檢測器里為卷積神經(jīng)網(wǎng)絡(luò)訓(xùn)練后得到的模型，最終缺陷檢測后得到的識別后的圖像，并反饋出來。

4.3實驗測試

鋁合金表面缺陷主要有碰傷、刮花、凸粉、臟點等常見的缺陷，下面將以這四種為主要對象進行檢測訓(xùn)練，各自訓(xùn)練集數(shù)量為1000張。通過卷積神經(jīng)網(wǎng)絡(luò)對缺陷的特征進行提取和分類，最終實現(xiàn)了缺陷的檢測。本次實驗測試的樣本為200張，每種缺陷50張，均采集自鋁合金材料表面且與訓(xùn)練樣本一致，實驗結(jié)果如表1所示。由表1可知，檢測臟點的準確率高達98%，刮花和凸粉的準確率也達到94%，但碰傷的準確率相對較低，只有88%?？赡茉斐傻脑蚴牵孩儆布?qū)е虏杉膱D像清晰度比較低；②碰傷缺陷不明顯，無人機難以識別；③訓(xùn)練的數(shù)據(jù)集較少，特征學(xué)習(xí)誤差大；但最后結(jié)果是滿足了設(shè)計需求，還需進一步改進。

5總結(jié)與展望

篇2

關(guān)鍵詞：內(nèi)部威脅；檢測模型；信息泄露；網(wǎng)絡(luò)安全；

作者：吳良秋

0、引言

隨著大數(shù)據(jù)、云計算蓬勃發(fā)展，計算機相關(guān)產(chǎn)品在我們生活中扮演著重要角色，我們在享受的同時，信息安全成了不可忽視的安全隱患，數(shù)據(jù)的非法獲取成了互聯(lián)網(wǎng)環(huán)境下的巨大威脅，特別是內(nèi)部威脅，具有一定的透明性，發(fā)生在安全邊界之內(nèi)，相對于外部攻擊更隱蔽，對整個網(wǎng)絡(luò)安全環(huán)境提出了嚴峻挑戰(zhàn)。

美國防部海量數(shù)據(jù)庫[1]監(jiān)測、分析和識別單位雇員的行為是否給國防部帶來危險；2013年斯諾登事件中內(nèi)部人員通過私人渠道公開內(nèi)部數(shù)據(jù)引起媒體廣泛關(guān)注；2017年3月，Dun&Bradstreet(鄧白氏)的52GB數(shù)據(jù)庫遭到泄露，這個數(shù)據(jù)庫中包括了美國一些大型企業(yè)和政府組織(包括AT&T，沃爾瑪、WellsFargo，美國郵政甚至美國國防部)的3300多萬員工的信息和聯(lián)系方式等；2014年1月，韓國信用局內(nèi)部員工竊取了2000萬銀行和信用卡用戶的個人數(shù)據(jù)，造成韓國歷史上最嚴重的數(shù)據(jù)泄露事件，但這只是內(nèi)部威脅安全的冰山一角。SailPoint的調(diào)查顯示，被調(diào)查者中20%的人表示只要價錢合適會出賣自己的工作賬號和密碼。即時內(nèi)部威脅檢測系統(tǒng)(ITDS)是一項昂貴而復(fù)雜的工程，但是情報界，國防部，公司都在研究相關(guān)檢測模型。

截止2016年4月公安部部署打擊整治網(wǎng)絡(luò)侵犯公民個人信息犯罪專項行動以來，全國公安機關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門已經(jīng)查破刑事案件1200余起，抓獲犯罪嫌疑人3300余人，其中銀行、教育、電信、快遞、證券、電商網(wǎng)站等行業(yè)內(nèi)部人員270余人[2]。

國內(nèi)外內(nèi)部威脅事件不斷發(fā)生，內(nèi)部威脅應(yīng)對形式嚴峻，需要社會各界的高度重視，首要工作是分析內(nèi)部威脅的特征，從而研究可能的應(yīng)對方案。

1、內(nèi)部威脅的產(chǎn)生

1.1、相關(guān)術(shù)語

內(nèi)部威脅，一般存在于某一個企業(yè)或組織的內(nèi)部，內(nèi)部的人員與外界共同完成對團隊信息的盜竊和交易。

定義1內(nèi)部威脅攻擊者一般是指企業(yè)或組織的員工(在職或離職)、承包商以及商業(yè)伙伴等，其應(yīng)當(dāng)具有組織的系統(tǒng)、網(wǎng)絡(luò)以及數(shù)據(jù)的訪問權(quán)。

內(nèi)部人外延是指與企業(yè)或組織具有某種社會關(guān)系的個體，如在職員工，離職員工，值得注意的是承包商與商業(yè)伙伴擴展了內(nèi)部人的范圍，即“合伙人”也是潛在的內(nèi)部攻擊者；內(nèi)涵則是具有系統(tǒng)訪問權(quán)。

定義2內(nèi)部威脅是指內(nèi)部威脅攻擊者利用合法獲得的訪問權(quán)對組織信息系統(tǒng)中信息的機密性、完整性以及可用性造成負面影響的行為。

內(nèi)部威脅的結(jié)果是對數(shù)據(jù)安全造成了破壞，如機密性(如數(shù)據(jù)竊取)、完整性(如數(shù)據(jù)篡改)以及可用性(如系統(tǒng)攻擊)等。

企業(yè)或者組織信息化程度已經(jīng)深入日常管理，盡管企業(yè)或組織努力保護自身數(shù)據(jù)，但身份盜竊、數(shù)據(jù)庫泄露和被盜密碼問題仍然是企業(yè)組織面臨的主要挑戰(zhàn)。如今，組織面臨的最大挑戰(zhàn)之一是內(nèi)部人士的系統(tǒng)濫用，他們的行為深深植根于不遵守監(jiān)管標準。已經(jīng)確定，信息安全防御中最薄弱的環(huán)節(jié)是人，這意味著最嚴重的威脅來自內(nèi)部人員。

因此，內(nèi)部威脅產(chǎn)生，主要有兩方面原因：(1)主體原因，即攻擊者有攻擊的能力，行為完成一次攻擊；(2)客體原因，一次攻擊能成功都是因為被攻擊對象存在漏洞或者缺乏監(jiān)管。

1.2、內(nèi)部威脅的分類

內(nèi)部威脅[3]有三種主要的分類：偶然的、惡意的和非惡意的。

偶然的威脅通常是由錯誤引起的。例如，由于粗心大意、對政策的漠視、缺乏培訓(xùn)和對正確的事情的認識，員工可能不會遵循操作流程。惡意的威脅是指故意破壞組織或使攻擊者受益。例如，信息技術(shù)(IT)管理員因心懷不滿而破壞IT系統(tǒng)，使組織陷入停頓。在許多事件中，當(dāng)前和以前的管理員都是因各種動機故意造成系統(tǒng)問題。非惡意的威脅是人們故意采取的行動，而不打算破壞組織。在非惡意威脅中，其動機是提高生產(chǎn)力，而錯誤的發(fā)生是由于缺乏培訓(xùn)或?qū)φ?、程序和風(fēng)險的認識。

1.3、內(nèi)部威脅特征

⑴高危性內(nèi)部威脅危害較外部威脅更大，因為攻擊者具有組織知識，可以接觸核心資產(chǎn)(如知識產(chǎn)權(quán)等)，從而對組織經(jīng)濟資產(chǎn)、業(yè)務(wù)運行及組織信譽進行破壞以造成巨大損失。如2014年的美國CERT的網(wǎng)絡(luò)安全調(diào)查顯示僅占28%的內(nèi)部攻擊卻造成了46%的損失。

⑵隱蔽性由于攻擊者來自安全邊界內(nèi)部，所以內(nèi)部威脅具有極強的偽裝性，可以逃避現(xiàn)有安全機制的檢測。

⑶透明性攻擊者來自安全邊界內(nèi)部，因此攻擊者可以躲避防火墻等外部安全設(shè)備的檢測，導(dǎo)致多數(shù)內(nèi)部攻擊對于外部安全設(shè)備具有透明性.

⑷復(fù)雜性(1)內(nèi)外勾結(jié)：越來越多的內(nèi)部威脅動機與外部對手關(guān)聯(lián)，并且得到外部的資金等幫助；(3)合伙人：商業(yè)合作伙伴引發(fā)的內(nèi)部威脅事件日益增多，監(jiān)控對象群體擴大；(3)企業(yè)兼并：當(dāng)企業(yè)發(fā)生兼并、重組時最容易發(fā)生內(nèi)部威脅，而此時內(nèi)部檢測難度較大；(4)文化差異：不同行為人的文化背景會影響其同類威脅時的行為特征。

2、內(nèi)部威脅模型

學(xué)界曾經(jīng)對內(nèi)部威脅提出過諸多的行為模型，希望可以從中提取出行為模式，這部分主要的工作開始于早期提出的SKRAM模型與CMO模型，兩個模型都從內(nèi)部攻擊者的角度入手，分析攻擊者成功實施一次攻擊所需要具備的要素，其中的主觀要素包括動機、職業(yè)角色具備的資源訪問權(quán)限以及技能素養(yǎng)，客觀要素則包括目標的內(nèi)部缺陷的訪問控制策略以及缺乏有效的安全監(jiān)管等。

根據(jù)內(nèi)部威脅產(chǎn)生的原因，內(nèi)部威脅的模型也可分為兩類：基于主體和基于客體。其中基于主體模型主要代表有CMO模型和SKRAM模型，這也是最早的內(nèi)部威脅模型。

2.1、基于主體的模型

CMO模型[4]是最早用于內(nèi)部攻擊的通用模型，這都是單純從攻擊者的主觀方面建立的模型，沒有考慮到客觀因素，如由于資源所有者內(nèi)部缺陷的訪問控制策略及其缺乏切實有效的安全監(jiān)管。攻擊者成功實施一次攻擊主觀方面所需要具備的要素即：(1)能力(Capability)，進行內(nèi)部攻擊的能力，包括文化層次，技術(shù)水平等能力；(2)動機(Motive)，內(nèi)部攻擊的動機，有因為工作不滿，換取利益等；(2)機會(Opportunity)，不是每個人都有機會攻擊，有攻擊的能力，也有動機，但是還得有合適的機會把動機轉(zhuǎn)化人實際行動。

SKRAM模型[5]是Parker等人在早期的CMO模型基礎(chǔ)上進行的改進，即需要具備的要素有：(1)技能(Skills)，也即是內(nèi)部攻擊者的能力；(2)知識(Knowledge)，包括內(nèi)部攻擊者的知識水平，文化素養(yǎng)；(3)資源(Resources)，職業(yè)角色具備的資源訪問權(quán)限；(4)Authority；(5)動機(Motives)。

Jason等人[6]提出內(nèi)部人員成為了具有攻擊動機的內(nèi)部攻擊者，主觀要素是用戶的自身屬性，主要影響、反映內(nèi)部人的當(dāng)前心理狀態(tài)，這些要素主要包括三類：一類是包括內(nèi)部人的人格特征等內(nèi)在心理特征，另一類包括精神病史或違法犯罪史等檔案信息以及現(xiàn)實中可以表征心理狀態(tài)變化的諸多行為，最后一類則是內(nèi)部人在組織中的職位、能力等組織屬性。

2.2、基于客體的模型

CRBM模型[7](Role-BasedAccessControl)是基于角色訪問控制。通過擴展基于角色的訪問控制模型來克服內(nèi)部威脅的局限性，引入了CRBM(復(fù)合基于角色的監(jiān)視)方法。CRBM繼承了RBAC的優(yōu)點，將角色結(jié)構(gòu)映射為三個：組織角色(OrganizationRole，OR)、應(yīng)用程序角色(ApplicationRole，AR)和操作系統(tǒng)角色(OperatingSystemRole，OSR)。

李殿偉等人[8]將訪問控制與數(shù)據(jù)挖掘相結(jié)合，設(shè)計了一種基于角色行為模式挖掘的內(nèi)部威脅檢測模型，提出了一種基于用戶角色行為準則、行為習(xí)慣與實際操作行為匹配的內(nèi)部威脅預(yù)警方法。文雨等人[9]提出一種新的用戶跨域行為模式分析方法。該方法能夠分析用戶行為的多元模式，不需要依賴相關(guān)領(lǐng)域知識和用戶背景屬性，針對用戶行為模式分析方法設(shè)計了一種面向內(nèi)部攻擊的檢測方法，并在真實場景中的5種用戶審計日志，實驗結(jié)果驗證了其分析方法在多檢測域場景中分析用戶行為多元模式的有效性，同時檢測方法優(yōu)于兩種已有方法：單域檢測方法和基于單一行為模式的檢測方法。

2.3、基于人工智能的模型

傳統(tǒng)的內(nèi)部威脅檢測模型主要是基于異常檢測、基于角色等相關(guān)技術(shù)，隨著人工智能的興起，利用機器學(xué)習(xí)等相關(guān)算法來建立內(nèi)部威脅模型占據(jù)主要地位。這種模型，建立網(wǎng)絡(luò)用戶的正常行為輪廓，并利用不同的機器學(xué)習(xí)算法進行訓(xùn)練，實現(xiàn)了檢測準確率高的優(yōu)點，但是效率較低。

Szymanski[10]等人使用遞歸數(shù)據(jù)挖掘來描述用戶簽名和監(jiān)視會話中的結(jié)構(gòu)和高級符號，使用一個類SVM來測量這兩種特征的相似性。郭曉明[11]等提出一種基于樸素貝葉斯理論的內(nèi)部威脅檢測模型。通過分析多用戶對系統(tǒng)的命令操作行為特征，對多用戶命令樣本進行訓(xùn)練，構(gòu)建樸素貝葉斯分類器。Yaseen等人[12]研究了關(guān)系數(shù)據(jù)庫系統(tǒng)中的內(nèi)部威脅。介紹知識圖譜(KG)，展示內(nèi)部人員知識庫和內(nèi)部人員對數(shù)據(jù)項的信息量；引入約束和依賴圖(CDG)，顯示內(nèi)部人員獲取未經(jīng)授權(quán)知識的路徑；使用威脅預(yù)測圖(TPG)，顯示內(nèi)部人員每個數(shù)據(jù)項的威脅預(yù)測價值(TPV)，當(dāng)內(nèi)部威脅發(fā)生時，TPV被用來提高警報級別。梁禮[13]等人提出基于實時告警的層次化網(wǎng)絡(luò)安全風(fēng)險評估方法，包含服務(wù)、主機和網(wǎng)絡(luò)三級的網(wǎng)絡(luò)分層風(fēng)險評估模型，通過加權(quán)的方式計算網(wǎng)絡(luò)各層的安全風(fēng)險值。分別以實驗室網(wǎng)絡(luò)環(huán)境及校園網(wǎng)環(huán)境為實例驗證了方法的準確性和有效性。

2.4、基于交叉學(xué)科的模型

隨著內(nèi)部威脅的不斷發(fā)展，內(nèi)部威脅的研究領(lǐng)域不斷擴展，基于心理學(xué)、社會學(xué)等方面也出現(xiàn)新的研究思路。

TesleemFagade等人[14]提出了信息安全如何嵌入到組織安全文化中。組織文化被描述為在人、過程和政策之間保持聯(lián)系的共同價值觀、行為、態(tài)度和實踐。建議將安全管理與治理結(jié)合到組織行為和行動文化中，這是最有效的。習(xí)慣性行為傳播，通常需要共同努力打破常規(guī)。如果組織想要養(yǎng)成安全行為的習(xí)慣，那么也許一個與組織安全文化的方向一致的長期目標是一種更好的方法，而不是專注于快速認證狀態(tài)，然后假設(shè)所有的技術(shù)和人工過程都是安全的。組織安全文化被定義為被接受和鼓勵的假設(shè)、態(tài)度和感知，目的是保護信息資產(chǎn)，從而使信息安全的屬性和習(xí)慣得以實現(xiàn)。

匡蕾[15]采用了基于蜜罐技術(shù)的檢測模型；B.A.Alahmadi[16]等人對用戶的網(wǎng)絡(luò)行為建立關(guān)聯(lián)，從而檢測出潛在的內(nèi)部威脅。首先從用戶瀏覽的網(wǎng)頁中提取出文本信息，建立向量；其次建立詞向量與語言獲得和詞匯計數(shù)，然后通過建立的Word-LIWC關(guān)系矩陣與已有的LIWC-OCEAN關(guān)系矩陣結(jié)合得到詞向量的關(guān)系矩陣。OCEAN代表大五人格：開放性(Openness)、盡責(zé)性(Conscientiousness)、外傾性(Extraversion)、宜人性(Agreeableness)、情緒穩(wěn)定性(Neuroticism)；計算用戶瀏覽的新網(wǎng)頁中的詞向量OCEAN值與日常值的歐氏距離，根據(jù)距離的大小判定行為的異常。

3、內(nèi)部威脅常用數(shù)據(jù)集

目前有很多公開的數(shù)據(jù)集，如：KDD99數(shù)據(jù)集，SEA數(shù)據(jù)集、WUIL數(shù)據(jù)集和CERT-IT數(shù)據(jù)集，表1對主要數(shù)據(jù)集進行了對比。

⑴KDD99數(shù)據(jù)集：KDD99[17](DataMiningandKnowledgeDiscovery)，記錄4，898，431條數(shù)據(jù)，每條數(shù)據(jù)記錄包含41個特征，22種攻擊，主要分為以下四類攻擊：拒絕服務(wù)攻擊(denialofservice，DoS)、遠程到本地的攻擊(remotetolocal，R2L)用戶到遠程的攻擊(usertoremote，U2R)和探測攻擊(probing)。

Putchala[18]將GRU應(yīng)用于物聯(lián)網(wǎng)領(lǐng)域的入侵檢測，在KDD99數(shù)據(jù)集上進行實驗，得到的準確率高于99%?；诰矸e神經(jīng)網(wǎng)絡(luò)的入侵檢測算法在KDD99的實驗下，比經(jīng)典BP神經(jīng)網(wǎng)絡(luò)和SVM算法有提高。

⑵SEA數(shù)據(jù)集：SEA數(shù)據(jù)集涵蓋70多個UNIX系統(tǒng)用戶的行為日志，這些數(shù)據(jù)來自于UNIX系統(tǒng)acct機制記錄的用戶使用的命令。SEA數(shù)據(jù)集中每個用戶都采集了15000條命令，從用戶集合中隨機抽取50個用戶作為正常用戶，剩余用戶的命令塊中隨機插入模擬命令作為內(nèi)部偽裝者攻擊數(shù)據(jù)。

⑶WUIL數(shù)據(jù)集：WUIL數(shù)據(jù)集通過借助Windows的審計工具，他們實驗記錄20個用戶的打開文件/目錄的行為，每條記錄包含事件ID、事件時間以及事件對象及其路徑信息(如文件名與文件路徑)。

⑷CERT-IT數(shù)據(jù)集：CERT-IT(InsiderThreat)數(shù)據(jù)集[19]來源于卡耐基梅隆大學(xué)(CarnegieMellonUniversity)的內(nèi)部威脅中心，該中心由美國國防部高級研究計劃局(DARPA)贊助，與ExactData公司合作從真實企業(yè)環(huán)境中采集數(shù)據(jù)構(gòu)造了一個內(nèi)部威脅測試集。該中心迄今為止最富有成效的內(nèi)部威脅研究中心，其不僅建立了2001年至今的700多例內(nèi)部威脅數(shù)據(jù)庫，還基于豐富的案例分析不同內(nèi)部威脅的特征，提出了系統(tǒng)破壞、知識產(chǎn)權(quán)竊取與電子欺詐三類基本的攻擊類型，由此組合形成復(fù)合攻擊以及商業(yè)間諜攻擊；此外CERT還建立了內(nèi)部威脅評估與管理系統(tǒng)MERIT用于培訓(xùn)安全人員識別、處理內(nèi)部威脅。CERT完整數(shù)據(jù)集有80G，全部以csv格式記錄用戶行為，包括文件訪問權(quán)限、文件各種屬性以及用戶對文件的增刪改查、Email收發(fā)、移動存儲設(shè)備、打印機等硬件設(shè)備使用記錄、HTTP訪問及系統(tǒng)登錄、工作崗位及工作部門等信息。CERT數(shù)據(jù)集提供了用戶全面的行為觀測數(shù)據(jù)以刻畫用戶行為模型。

⑸MasqueradingUserData數(shù)據(jù)集：MasqueradingUserData[20]，模擬真是用戶入侵系統(tǒng)。整個數(shù)據(jù)集由50個文件組成，每個文件對應(yīng)一個用戶。該文件包含100行和50列，每一列對應(yīng)于50個用戶中的一個。每一行對應(yīng)一組100個命令，從命令5001開始，以命令15000結(jié)束。文件中的條目是0或1。0代表相應(yīng)的100個命令沒有受到感染。狀態(tài)1代表它們被感染了。

⑹其他數(shù)據(jù)集：Mldata[21]數(shù)據(jù)集包含了869個公開的數(shù)據(jù)集，主要是基于機器學(xué)習(xí)的數(shù)據(jù)，包含視頻流和鍵值集群和服務(wù)度量的Linux內(nèi)核統(tǒng)計數(shù)據(jù)、HDF5等。

表1常用數(shù)據(jù)集比較

表1常用數(shù)據(jù)集比較

4、展望

隨著網(wǎng)絡(luò)系統(tǒng)不斷龐大，互聯(lián)網(wǎng)技術(shù)不斷更新，防范網(wǎng)絡(luò)攻擊需要綜合網(wǎng)絡(luò)測量、網(wǎng)絡(luò)行為分析、網(wǎng)絡(luò)流量異常檢測及相關(guān)檢測模型在處理數(shù)據(jù)時的最新研究成果，并且還需要有能力分析國內(nèi)外各種最新網(wǎng)絡(luò)態(tài)勢。內(nèi)部威脅的傳統(tǒng)檢測方法在模型的特征抽取和模版匹配有一定的局限性，隨著人工智能、云計算、大數(shù)據(jù)等新技術(shù)的成熟，這些前沿技術(shù)在特征抽取和模式匹配時，檢測效率和準確率有較大提升，目前內(nèi)部威脅熱門研究方向包括：

4.1、人工智能方向

人工智能已經(jīng)日趨成熟，各行各業(yè)都在融合人工智能、機器學(xué)習(xí)等相關(guān)算法技術(shù)，在內(nèi)部威脅檢測領(lǐng)域也是一個熱點。

利用當(dāng)前互聯(lián)網(wǎng)領(lǐng)域前沿的數(shù)據(jù)分析技術(shù)、克隆技術(shù)、神經(jīng)網(wǎng)絡(luò)算法、人工智能算法等，在數(shù)據(jù)采集、身份認證、日志管理、漏洞檢測、操作審計環(huán)節(jié)上改進，從而大力提高檢測的質(zhì)量和效率。

4.2、云平臺方向