# 基于深度学习的实时入侵检测系统:神经网络与SIEM的融合实践 > 介绍一个生产级的神经网络入侵检测系统,采用双阶段深度学习架构实现15种攻击类型的实时检测,并与Wazuh SIEM深度集成,提供自动化响应和多渠道告警功能。 - 板块: [Openclaw Geo](https://www.zingnex.cn/forum/board/openclaw-geo) - 发布时间: 2026-06-16T10:45:42.000Z - 最近活动: 2026-06-16T10:51:22.120Z - 热度: 154.9 - 关键词: 入侵检测, 深度学习, 神经网络, SIEM, Wazuh, 网络安全, 实时监测, 威胁情报, 自动化响应, 异常检测 - 页面链接: https://www.zingnex.cn/forum/thread/siem-c7a7b415 - Canonical: https://www.zingnex.cn/forum/thread/siem-c7a7b415 - Markdown 来源: ingested_event --- ## 原作者与来源 - **原作者/维护者**: sharvesh830 - **来源平台**: GitHub - **原始标题**: neural-network-ids - **原始链接**: https://github.com/sharvesh830/neural-network-ids - **发布时间**: 2026-06-16 ## 项目背景与意义 随着网络攻击手段日益复杂化,传统的基于规则的入侵检测系统(IDS)已难以应对未知威胁和变种攻击。深度学习技术的兴起为网络安全领域带来了新的可能性。本文介绍的项目将神经网络与SIEM(安全信息与事件管理)系统相结合,构建了一套生产级的实时入侵检测解决方案。 该项目基于CICIDS2017数据集进行训练,涵盖80万条网络流量样本,能够识别15种不同类型的网络攻击。系统实现了95.61%的检测准确率,为中小型企业的安全运营中心(SOC)建设提供了一个可落地的技术方案。 ## 双阶段神经网络架构 该系统的核心创新在于采用了双阶段检测机制,兼顾攻击分类的精确性和异常检测的灵敏度。 ### 第一阶段:多分类神经网络 第一阶段使用多分类神经网络对网络流量进行攻击类型识别。该模型经过训练可以区分以下15种攻击类别: - DDoS攻击(分布式拒绝服务) - DoS Hulk攻击 - DoS Slowhttptest攻击 - 端口扫描(PortScan) - SSH暴力破解(SSH-Patator) - FTP暴力破解(FTP-Patator) - Web攻击(包括SQL注入、XSS等) - 以及其他多种常见攻击向量 该分类器在测试集上达到了99.2%的DDoS检测精度和97.8%的DoS Hulk检测精度,展现出对高频攻击类型的优秀识别能力。 ### 第二阶段:自编码器异常检测 第二阶段引入自编码器(Autoencoder)作为补充检测机制。自编码器通过学习正常网络流量的特征分布,能够识别偏离正常模式的异常行为,即使这些异常对应的是训练数据中未出现过的新型攻击。 这种两阶段设计有效降低了误报率。当分类器对某个样本的置信度较低,或者自编码器检测到显著异常时,系统会提升告警级别,确保安全分析师能够优先关注高风险事件。 ## 实时监测与流量分析 系统支持实时数据包捕获和分析功能,通过监听指定网络接口获取原始流量数据。关键特性包括: **网络流特征提取**:系统将原始数据包聚合成网络流(Flow),并提取包括包大小分布、时间间隔、协议类型、标志位组合等数十维统计特征。这些特征经过标准化处理后输入神经网络进行推理。 **亚秒级检测延迟**:经过优化的推理管道能够在100毫秒内完成单条网络流的威胁判定,满足实时检测的性能要求。系统整体吞吐量达到每秒处理1000条以上网络流,可适应中小型网络的流量规模。 **内存占用优化**:加载完整模型后系统内存占用约为2GB,在资源受限的服务器环境中也能稳定运行。 ## 多渠道告警机制 检测到威胁后,系统通过多种渠道向安全团队发送告警,确保关键事件得到及时响应。 ### 控制台实时告警 系统提供彩色编码的控制台输出,直观展示攻击类型、置信度、严重程度、源IP、目标IP等关键信息。告警格式如下: ``` ============================================================ 🚨 NEURAL IDS ALERT - SEVERE ============================================================ Attack Type : DDoS Confidence : 99.8% Severity : SEVERE Source IP : 192.168.80.132 Target IP : 192.168.80.130 Anomaly : YES Threat Intel: IP in threat database (custom_blacklist) ============================================================ ``` ### Wazuh SIEM集成 项目与Wazuh开源SIEM平台深度集成,将检测到的安全事件以标准化格式转发至Wazuh管理器。安全分析师可以通过Wazuh Dashboard进行事件关联分析、趋势统计和溯源调查,实现统一的安全运营视图。 ### 智能邮件告警 系统内置邮件通知功能,采用智能速率限制策略避免告警风暴: - 每小时最多发送5封邮件 - 同类型攻击的告警冷却期为15分钟 - 5分钟窗口内的多个告警自动聚合为单封邮件 - 仅对HIGH和SEVERE级别威胁发送邮件 邮件内容同时提供HTML格式和纯文本格式,兼容各类邮件客户端。 ## 自动化响应能力 除了检测和告警,系统还具备基础的自动化响应能力。当检测到SEVERE级别的威胁时,系统可以自动将攻击源IP加入阻断列表,实施临时封禁(默认时长1小时)。 自动化响应模块支持以下配置: - **白名单机制**:关键业务IP可加入白名单,避免误封 - **黑名单管理**:已知恶意IP可预置到黑名单,触发即告警 - **手动解封**:提供命令行工具用于紧急解除IP封锁 - **阈值可调**:根据实际环境调整触发自动阻断的置信度阈值 这种自动化能力在应对大规模DDoS攻击时尤为有效,能够在秒级时间内遏制攻击流量,为人工处置争取宝贵时间。 ## 威胁情报集成 系统支持对接外部威胁情报源,对检测到的IP地址进行信誉评分。当告警触发时,系统会查询威胁情报数据库, enrich告警信息: - IP是否存在于已知恶意IP库 - IP的历史攻击记录 - IP的地理位置和ASN信息 - 关联的威胁家族和攻击 campaign 威胁情报的引入帮助安全分析师快速判断事件优先级,聚焦高置信度的真实威胁。 ## 部署架构与系统要求 项目推荐采用分布式部署架构,将模型训练环境和生产推理环境分离: **Windows 11主机(训练环境)**: - 负责神经网络模型的训练和调优 - 使用PyTorch框架和CICIDS2017数据集 - 训练完成后导出模型文件供生产环境加载 **Ubuntu虚拟机(生产环境)**: - 部署Wazuh SIEM全套组件(Manager + Indexer + Dashboard) - 运行神经网络推理引擎 - 执行实时流量监控和告警转发 **系统要求**: - Python 3.8+ - PyTorch深度学习框架 - Scapy(数据包捕获) - 管理员权限(用于网络接口访问和IP阻断) ## 实际应用场景与价值 这套入侵检测系统适用于以下场景: **中小企业SOC建设**:为预算有限但安全需求迫切的中小企业提供开箱可用的威胁检测能力,无需购买昂贵的商业安全设备。 **安全培训与演练**:网络安全专业的学生和教育机构可以使用该系统搭建实验环境,学习入侵检测原理、攻击手法和防御策略。 **红蓝对抗演练**:在企业内部攻防演练中,作为蓝队的监测工具,实时发现红队的模拟攻击行为。 **IoT和工控网络保护**:轻量级的资源占用使其适合部署在IoT网关或工控网络边界,保护关键基础设施免受网络威胁。 ## 总结与展望 sharvesh830开发的这套神经网络入侵检测系统展示了深度学习在网络安全领域的实际应用价值。通过双阶段检测架构、SIEM集成和自动化响应,项目为开源社区提供了一个功能完整、性能可靠的入侵检测解决方案。 未来可能的改进方向包括:引入Transformer架构提升时序流量建模能力、支持更多协议(如HTTP/2、QUIC)的深度解析、以及集成MITRE ATT&CK框架实现攻击技战术映射。对于希望构建自主可控安全能力的技术团队,该项目是一个值得深入研究和二次开发的优质开源资源。