基于深度学习的网络入侵检测方法

基于深度学习的网络入侵检测方法

吉洋,闫添溦,常家琦

国网朝阳供电公司 辽宁省朝阳市 122000

摘要：网络入侵检测（NID）是指通过分析网络流量特征来区分正常和异常的网络行为。入侵检测系统会通过分析对比收集到的网络数据和资料，寻找系统中的危险，检测系统中的入侵行为。网络入侵检测对信息产业的健康发展和人民群众的生产生活至关重要。近年来，随着网络数据的不断增长和攻击手段的不断升级，网络入侵呈现更加隐蔽、更加先进和更加频繁的新特点，对网络入侵检测提出了更高的要求。本文主要分析基于深度学习的网络入侵检测方法。

关键词：网络入侵检测；人工智能；卷积神经网络；递归神经网络

引言

传统的机器学习检测算法以特征提取和特征分离为基础，需要通过人工方式事先对每种网络攻击类型进行学习。随着网络入侵变得越来越复杂，种类越来越多，这一类检测算法的局限性被逐渐放大，在应对新型攻击类型的时候往往不能达到令人满意的效果。新兴的以人工智能为基础的检测算法很好地弥补了传统机器学习算法的这一缺陷，并不需要过多的人工干预，对新型攻击类型也能达到良好的检测准确率。目前，网络入侵检测主要可以分成误用检测和异常检测两类。误用检测以特征检测为基础，通过将流量数据与特征库进行比对进行检测。这种检测方法类似于现在的病毒检测，主要针对已知的攻击模式，被广泛用于商业产品中。误用检测有一个明显的弊端，就是不能检测出新的攻击类型。当新的攻击类型或者已有攻击的变种出现时，特征库没有该攻击的特征，会导致检测系统失效。这时需要通过人工介入，分析并提取这种攻击的特征，并加入特征库才能使系统获得检测能力，这个过程需要耗费大量的人力物力，并需要一定时间。

1、深度学习检测算法

与传统机器学习算法不同，深度学习具有能够直接从原始数据中提取特征的能力，近年来已逐渐被用于网络入侵检测中。多层感知机（MLP）是早期的深度神经网络，最初被应用在语音识别和图像识别等领域，近年来也被应用在网络入侵检测领域。使用堆叠自编码器（SAE）和卷积神经网络（CNN）相结合的方式对网络数据进行分类，进而完成流量特征分类和应用类型识别。提出使用递归神经网络和注意力机制进行网络入侵检测的方法，利用长短期记忆（LSTM）网络在长时间序列上进行特征提取，并引入注意力机制强化对特征重要性的计算，从而克服数据集特征冗余引发的检测效能低的问题。然而，上述基于深度学习的模型只考虑了流量数据的空间特征或时间特征，忽略了两者之间的综合信息，从而面临检测效能的瓶颈。

2、入侵检测技术

入侵检测技术是一种用于识别和响应系统中未授权活异常入侵行为的技术。该技术的作用包括：识别入侵者以及入侵者的入侵行为；监视已成功突破安全防御系统的操作；根据对抗行为的特征及时提供重要的信息，组织对抗行为的发生和事态的扩大。因此，入侵行为检测就是通过监控网络和系统的可疑活动进行风险评估的一种技术，从而在攻击者利用漏洞攻击前对系统潜在的漏洞采取必要的措施进行保护。当前的入侵方式包括主机入侵和网络入侵，主机入侵时通过主机的软件行为和主机的日志判断的，而网络入侵则是通过判断数据流的特征、与主机连接次数来识别外部攻击。当前基于异常入侵的检测技术很多，包括基于概率统计建模的入侵检测方法、基于规则建模的入侵检测方法、基于数据挖掘的入侵检测方法、基于机器学习的入侵检测方法。但是，不管哪一种入侵的检测，入侵检测对于实时性和准确性的要求很高。因此，入侵检测模型必须具有良好的高可用性、高精度检测性和扩展性，才能满足海量网络数据流的入侵检测场景。本文为了应对入侵模型的高可用性、高精度以及高准确性等问题，采用一种在线增量学习的方法来更新入侵检测模型，也就是通过在线不断学习新的知识的方式来应对入侵行为的动态变化进而提高入侵检测的识别精度。但是现有方法（如迁移学习）往往容易遗忘学过的知识，该方法往往在对新数据学习之后就会遗忘旧知识进而造成模型对旧数据的识别能力很低，这显然不满足当前入侵检测的应用需求。因此，本文致力于构建一个新的模型，该模型力求在学习新知识的同时尽量减少模型的“遗忘”问题，进而在旧数据和新数据中都有不错的性能，从而保证模型的稳定性和可靠性。

3、网络入侵检测方法研究

万物互联的时代要求网络入侵检测的方法具有更加有效性和实时性，特别是海量终端的接入产生高维度、规模大的流量数据冲击下，在线入侵检测面临在线更新复杂度过高、计算量过大的问题。因此，利用网络流量分布特征的变化构建一个在线自适应的网络入侵检测模型变得尤为重要。针对上述的需求，本文采用深度学习提取网络流量序列的多尺度特征，结合在线增量学习的思想对在线流量数据进行增量学习，采用损失函数最小化目标对原始模型进行在线更新，使得模型尽量减少旧知识“遗忘”的同时，也提升了更新后模型性能和检测的精度。

3.1基于IDII-DBN入侵检测模型

在数据的收集与传输过程中,会出现数据未完全收集或信息丢失的情况;出于保护用户隐私和安全的考虑,部分数据会被隐蔽起来,无法参与实际的入侵检测。因此,在数据层面,面对信息不完备的网络数据,模型对网络数据进行不完备信息的处理,针对各类别数据量的不平衡进行优化。使用改进后的SMOTE采样方法,对网络数据中的低频样本进行增量处理,实现各类别的数据量进行平衡,从而使得网络数据可以得到更加充分的训练,以此来抵消数据在传输过程中出现的数据丢失问题。模型对采样后的网络数据采用深度信念网络对其进行训练,通过多层RBM对数据进行降维,提取出最有效的特征,利用BP算法对参数微调,获得原始数据最优的特征表示。最后将降维后的数据送入SVM分类器,SVM在低维数据和高维数据上都有良好的分类表现,且正则化方法有效预防过拟合的问题。经由DBN降维后数据大大降低了SVM的训练时间,满足了入侵检测实时性的需求。

3.2模型结构

模型输入网络数据后与核复合体的大层混淆，这一层的功能是从网络入侵数据中提取越来越有效的信息，用作添加噪声和克服过拟合，所以在每个卷积层后引入升降块层和全连接层，在添加噪声的同时提高模型的泛化能力。在升降块层后连接最大池化层，使参数矩阵大小明显减小，减少全连接层参数个数，加快计算速度，获得更多特征，进而简化模型。卷积层、升降块层和池化层排列组成卷积块。但是，由于函数的维度有不同的信息，为获取更多的特征信息，并赋予新的权重信息，将特征信息提升到注意力层，得到新的张量，并作为下一个卷积块的输入。第2个卷积块由开端层、升降块层和最大池化层组成，其中，开端层由大小分别为3，5，7的卷积层和大小为3的池化层，以及NIN层构成，可完成网络宽度和尺度的丰富提取。最后，通过全连接层将得到的卷积块局部特征重新组装组合成一个完整的形式，在升降块后转移到Softmax层并被分类，得出检测结果。

结束语

瞄准全面建设网络强国的战略需求，本文提出一种基于深度学习的网络入侵检测算法，通过CNN+RNN模块综合提取利用流量数据中的空间和时间信息，实现了模型性能的体征，实验结果验证了模型的有效性，在分类准确率和误报率两项指标表现上均优于基准模型，可用于时空信息领域网络入侵检测。

参考文献：

[1]冯艳丽.面向工业控制系统的攻击图生成系统设计与实现［D］.哈尔滨：哈尔滨工业大学，2020：1-9.

[2]彭勇.工业控制系统信息物理跨域风险分析技术和应用［D］.北京：北京邮电大学，2020：1-16.

[3]舒豪,王晨,史崯.基于BiLSTM和注意力机制的入侵检测[J].计算机工程与设计,2020(11).

[4]刘新倩，单纯，任家东，等.基于流量异常分析多维优化的入侵检测方法［J］.信息安全学报，2019，4（1）：14-26.

[5]张昊,张小雨,张振友,李.基于深度学习的入侵检测模型综述[J].计算机工程与应用,2022,58(6):17-28.