朱平哲

（三門峽職業(yè)技術(shù)學(xué)院信息傳媒學(xué)院，河南三門峽472000）

0 引言

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問題日益受得人們的關(guān)注，它已然成為一個(gè)全球性的重大信息安全問題。由于信息共享的程度不斷提高，人們?cè)谑褂镁W(wǎng)絡(luò)提供的各種服務(wù)和信息的同時(shí)，信息的安全也受到各種惡意行為和攻擊的嚴(yán)重威脅，面臨著日益增加的網(wǎng)絡(luò)入侵的困擾，網(wǎng)絡(luò)安全問題成為迫切需要解決的問題之一。據(jù)美國(guó)《金融時(shí)報(bào)》報(bào)道，現(xiàn)在平均每20秒就發(fā)生一次入侵計(jì)算機(jī)網(wǎng)絡(luò)的事件，超過1/3的互聯(lián)網(wǎng)防火墻被攻破。計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為關(guān)鍵的基礎(chǔ)設(shè)施，涉及政府機(jī)構(gòu)、軍事部門、科研院校、金融商業(yè)等部門的計(jì)算機(jī)犯罪，嚴(yán)重干擾了人們的日常生活，造成巨大經(jīng)濟(jì)損失，甚至直接或間接地威脅到國(guó)家安全。

入侵檢測(cè)是一種具有主動(dòng)防御能力的安全防護(hù)技術(shù)，它通過相關(guān)技術(shù)及時(shí)地檢測(cè)出可能發(fā)生的入侵行為，從而大大提高目標(biāo)系統(tǒng)的安全防護(hù)能力[1]。但現(xiàn)有的入侵檢測(cè)系統(tǒng)大多存在檢測(cè)時(shí)間較長(zhǎng)、檢測(cè)精度低、誤報(bào)率和漏報(bào)率高等不足?；跈C(jī)器學(xué)習(xí)的入侵檢測(cè)是網(wǎng)絡(luò)安全領(lǐng)域研究的熱點(diǎn)，它通過對(duì)帶有入侵?jǐn)?shù)據(jù)的大量訓(xùn)練樣本的學(xué)習(xí)，構(gòu)建一個(gè)用于區(qū)分正常狀態(tài)和入侵狀態(tài)的入侵檢測(cè)模型。但目前仍然存在著許多有待解決的問題，如建立分類器模型所需要的訓(xùn)練樣本過多、訓(xùn)練樣本標(biāo)注耗費(fèi)大量時(shí)間且過分依賴于專業(yè)知識(shí)等問題。

深度學(xué)習(xí)作為一種新的解決方案已經(jīng)出現(xiàn)，由于其具有諸如前饋和反向傳播等優(yōu)勢(shì)，因而它可提供更有效的網(wǎng)絡(luò)入侵檢測(cè)的潛力[2]。

鑒于此，本文深入研究了如何利用深度學(xué)習(xí)模型原理建立實(shí)時(shí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，提出一種基于深度學(xué)習(xí)的實(shí)時(shí)網(wǎng)絡(luò)入侵檢測(cè)方法。該方法結(jié)合了深度學(xué)習(xí)二項(xiàng)分類模型來預(yù)測(cè)是否存在入侵，進(jìn)而使用深度學(xué)習(xí)多項(xiàng)式模型來識(shí)別入侵類別。為了提供消息傳遞服務(wù)該深度學(xué)習(xí)模型在建立時(shí)選擇的是H2O深度學(xué)習(xí)庫構(gòu)建其模型。最后為測(cè)試該模型的有效性及性能評(píng)估使用NSL-KDD數(shù)據(jù)集[3]進(jìn)行了評(píng)價(jià)研究，并將H2O深度學(xué)習(xí)的二項(xiàng)式/多項(xiàng)式模型和隨機(jī)森林、Logistic回歸、貝葉斯等其他機(jī)器學(xué)習(xí)模型進(jìn)行比較和分析。

1 基于深度學(xué)習(xí)的入侵檢測(cè)

近年許多學(xué)者對(duì)基于深度學(xué)習(xí)的入侵檢測(cè)方法進(jìn)行了研究和探索。Kim[3]等利用深層神經(jīng)網(wǎng)絡(luò)以及對(duì)基本數(shù)據(jù)的清理和復(fù)制消除了特征對(duì)數(shù)據(jù)和訓(xùn)練數(shù)據(jù)進(jìn)行轉(zhuǎn)換的預(yù)處理過程。由于KDDcup99數(shù)據(jù)集包含整數(shù)和浮點(diǎn)數(shù)，因此將所有數(shù)據(jù)轉(zhuǎn)換為字符串類型防止最小化數(shù)據(jù)丟失，進(jìn)而利用10%的校正數(shù)據(jù)訓(xùn)練模型，從而達(dá)到了準(zhǔn)確率99%和誤報(bào)率0.08%的良好效果。Saxe和Berlin[5]采用了大于400k的二進(jìn)制文件來構(gòu)建三層深度學(xué)習(xí)模型。第一層是訓(xùn)練層，第二層是對(duì)于標(biāo)記數(shù)據(jù)和未標(biāo)記數(shù)據(jù)的數(shù)據(jù)分類層，而最后一層是用于全部數(shù)據(jù)分類。經(jīng)反復(fù)實(shí)驗(yàn)，這種模型獲得了95%的準(zhǔn)確率，但其缺點(diǎn)為缺乏數(shù)據(jù)清理這一重要過程，因?yàn)镵DDcup99數(shù)據(jù)集包含超過70%的重復(fù)記錄，因而數(shù)據(jù)清理的過程必不可少[4]。

Lecun等[5]采用了一個(gè)新型的神經(jīng)網(wǎng)絡(luò)，它是以順序模式獲取輸入。當(dāng)每行通過系統(tǒng)時(shí)，它保持前一個(gè)結(jié)果的向量狀態(tài)，并用前一個(gè)模型進(jìn)行訓(xùn)練。由于向量梯度值在訓(xùn)練階段可能壓縮或中斷，所以訓(xùn)練過程很困難。李陽等[6]使用自動(dòng)編碼器方法和相同的基準(zhǔn)數(shù)據(jù)集KDDcup99來訓(xùn)練和測(cè)試模型。自動(dòng)編碼器、深度置信網(wǎng)絡(luò)和歸一化訓(xùn)練數(shù)據(jù)可同時(shí)使用，以減少日志丟失?；谧詣?dòng)編碼器的方法和歸一化方法均給出了比遞歸神經(jīng)網(wǎng)絡(luò)方法更好的結(jié)果。雖然這兩種方法都提供了良好的結(jié)果，但它們不具有實(shí)時(shí)性。

Salama等[2]實(shí)現(xiàn)了受限玻爾茲曼機(jī)系統(tǒng)。它是在結(jié)合已有的SVM算法和深度置信網(wǎng)絡(luò)的基礎(chǔ)上進(jìn)行工作的。輸入數(shù)據(jù)集流經(jīng)提取13個(gè)網(wǎng)絡(luò)參數(shù)的系統(tǒng)，這些參數(shù)被SVM用作輸入，以將輸入分類為入侵或不入侵。Niyaz等[8]提出了自學(xué)習(xí)的三個(gè)階段。特征學(xué)習(xí)是從使用未標(biāo)記數(shù)據(jù)的第一層開始。第二階段是將學(xué)習(xí)向量應(yīng)用于標(biāo)記數(shù)據(jù)集，然后進(jìn)行軟最大回歸和分類從而預(yù)測(cè)網(wǎng)絡(luò)入侵檢測(cè)。軟最大回歸模型與其他回歸模型相比，具有更高的效率且易于實(shí)現(xiàn)。在Matlab系統(tǒng)上采用三級(jí)數(shù)據(jù)清理流程以減少日志丟失。在測(cè)試數(shù)據(jù)和訓(xùn)練中，他們分別獲得了98.84%和88.39%的F度量值。因此他們得到的下一步重要研究目標(biāo)就為將該模型轉(zhuǎn)化為實(shí)時(shí)入侵檢測(cè)系統(tǒng)。

綜上所述，以上針對(duì)入侵檢測(cè)問題的解決方法均是基于深度學(xué)習(xí)模型的。這些方法分別給出了高低不同的性能水平，也都存在一些缺點(diǎn)和其他的困難。因此，本文研究主要是在深度學(xué)習(xí)性能提高和實(shí)時(shí)性應(yīng)用兩個(gè)方面為解決網(wǎng)絡(luò)入侵檢測(cè)問題。由此本文提出一種基于深度學(xué)習(xí)的實(shí)時(shí)網(wǎng)絡(luò)入侵檢測(cè)方法。

2 基于深度學(xué)習(xí)的實(shí)時(shí)入侵檢測(cè)模型

深度學(xué)習(xí)在實(shí)時(shí)入侵檢測(cè)中的性能研究及方法模型仍在初步探索階段，因而本文將以實(shí)時(shí)入侵檢測(cè)為研究重點(diǎn)，嘗試將深度學(xué)習(xí)二項(xiàng)式分類模型與深度學(xué)習(xí)多項(xiàng)式模型相結(jié)合的方法檢測(cè)和預(yù)測(cè)入侵，以識(shí)別攻擊類別。

2.1 數(shù)據(jù)集

大量研究文獻(xiàn)及報(bào)告顯示，大多數(shù)與入侵檢測(cè)相關(guān)的研究與實(shí)驗(yàn)都使用了基準(zhǔn)KDDcup99數(shù)據(jù)集。然而，使用該數(shù)據(jù)集的缺點(diǎn)在于有可能會(huì)影響模型訓(xùn)練的重復(fù)值。KDcup99訓(xùn)練和測(cè)試數(shù)據(jù)集中分別包含有78%和75%的重復(fù)記錄[3]，因此即使是基本的機(jī)器學(xué)習(xí)模型也可在訓(xùn)練數(shù)據(jù)上達(dá)到98%以上的準(zhǔn)確率，在測(cè)試數(shù)據(jù)上達(dá)到86%以上的準(zhǔn)確率。

因此，本文的研究則使用在KDDcup99數(shù)據(jù)集中由選定記錄組成的NSL-KDD數(shù)據(jù)集，因?yàn)樵摂?shù)據(jù)集不具有重復(fù)值高的缺點(diǎn)[3]。NSL-KDD訓(xùn)練數(shù)據(jù)集具有41個(gè)屬性、3個(gè)標(biāo)識(shí)型屬性（即協(xié)議、服務(wù)、標(biāo)志）和38個(gè)數(shù)值型屬性（如持續(xù)時(shí)間、源字節(jié)、目的地字節(jié)、錯(cuò)誤片段、失敗登錄次數(shù)等）。該數(shù)據(jù)集是由正常流量和39種攻擊類型組成，這些攻擊類型被分為4組，即拒絕服務(wù)（DoS）、探測(cè)（Probe）、遠(yuǎn)程到本地（R2L）和用戶到遠(yuǎn)程（U2R）[7]。

NSL-KDD數(shù)據(jù)集為一種結(jié)構(gòu)化格式，是KDDcup99數(shù)據(jù)集的一個(gè)簡(jiǎn)明示例，因此只需要很少的預(yù)處理。檢測(cè)訓(xùn)練數(shù)據(jù)和測(cè)試數(shù)據(jù)集是否有缺失值，并將完成所有記錄，因此不需要消除記錄或進(jìn)行歸類。一些機(jī)器學(xué)習(xí)算法只處理數(shù)值，因此標(biāo)識(shí)型屬性必須采用編碼映射為多個(gè)二進(jìn)制的數(shù)值屬性。然而，通過H2O深度學(xué)習(xí)模型可實(shí)現(xiàn)自動(dòng)完成其映射。

2.2 H2O深度學(xué)習(xí)模型

本研究受Niyaz[7]、Arora[8]等研究成果的啟發(fā)，深度學(xué)習(xí)所具備的學(xué)習(xí)新特征使其具有高精度和較高的準(zhǔn)確率，由此在機(jī)器學(xué)習(xí)的諸多模型中基于深度學(xué)習(xí)的神經(jīng)網(wǎng)絡(luò)模型的性能是最佳的。因此，本文提出了網(wǎng)絡(luò)入侵檢測(cè)的深度學(xué)習(xí)方法，并進(jìn)一步將功能擴(kuò)展至實(shí)時(shí)入侵檢測(cè)模型。

本文研究的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是分別基于兩種深度學(xué)習(xí)模型建立的。第一種模型是基于深度學(xué)習(xí)的二項(xiàng)式分類模型，適用于正常的網(wǎng)絡(luò)入侵預(yù)測(cè)。第二種模型是基于深度學(xué)習(xí)的多項(xiàng)式模型，用于第一模型檢測(cè)到入侵后進(jìn)一步檢測(cè)其入侵行為類別的（包括DoS、Probe、R2L和U2R等入侵行為）。

在深度學(xué)習(xí)的諸多模型中，本文選擇使用H2O深度學(xué)習(xí)，即使用開源H2O庫開發(fā)深度學(xué)習(xí)模型。選擇H2O深度學(xué)習(xí)模型的主要原因是其對(duì)機(jī)器學(xué)習(xí)的廣泛接受以及它向Web應(yīng)用程序提供基于POJO的API服務(wù)。由于Web應(yīng)用模型在網(wǎng)絡(luò)管理方面是至關(guān)重要的，因此基于Web的應(yīng)用模型是系統(tǒng)的重要組成部分。在創(chuàng)建H2O深度學(xué)習(xí)模型后，即可下載Java POJO類。下載模型的方法有兩種，使用本地主機(jī)Web UI或H2O庫下載。此外，H2O深度學(xué)習(xí)模型還提供了包含所有依賴性JAR的H2O生成模型以支持Java API。在這種情況下，一個(gè)用于二項(xiàng)分類模型或多項(xiàng)式模型的Java類可與H2O生成模型JAR同時(shí)下載。

2.3 H2O深層學(xué)習(xí)模型的入侵檢測(cè)實(shí)驗(yàn)

本文以我校園網(wǎng)的實(shí)際網(wǎng)絡(luò)流量為實(shí)驗(yàn)數(shù)據(jù)，基于深度學(xué)習(xí)二項(xiàng)式分類模型的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)檢測(cè)的網(wǎng)絡(luò)預(yù)測(cè)的實(shí)驗(yàn)結(jié)果數(shù)據(jù)集如表1所示，基于深度學(xué)習(xí)多項(xiàng)式模型的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)一步檢測(cè)其入侵行為類別的實(shí)驗(yàn)結(jié)果如表2所示。

表1 正常網(wǎng)絡(luò)流量和不同網(wǎng)絡(luò)攻擊類別的分布數(shù)據(jù)

表2 正常網(wǎng)絡(luò)流量和不同網(wǎng)絡(luò)攻擊類別的分布數(shù)據(jù)

2.4 兩種模型的性能評(píng)估實(shí)驗(yàn)

為了測(cè)試兩種模型的性能，本文將與隨機(jī)森林、Logistic回歸和貝葉斯等其他經(jīng)典的機(jī)器學(xué)習(xí)模型進(jìn)行比較實(shí)驗(yàn)。由于所有這些機(jī)器學(xué)習(xí)庫都在Java虛擬機(jī)中工作，因而可更為方便直接地進(jìn)行性能比較。

本實(shí)驗(yàn)采用兩種方法對(duì)模型進(jìn)行性能評(píng)估。第一種方法是對(duì)NSL-KDD訓(xùn)練數(shù)據(jù)進(jìn)行5倍交叉驗(yàn)證。第二種方法在沒有驗(yàn)證分割的情況下對(duì)訓(xùn)練數(shù)據(jù)集上的模型進(jìn)行訓(xùn)練，并在測(cè)試數(shù)據(jù)集上對(duì)模型進(jìn)行測(cè)試。評(píng)估機(jī)器學(xué)習(xí)模型的性能度量指標(biāo)主要有5個(gè)，包括準(zhǔn)確度、精度、F-測(cè)量值、AUC（用于評(píng)估魯棒性）、檢測(cè)率（正確分類為屬于特定類實(shí)例的比率）。

針對(duì)本文所提出的兩種模型、隨機(jī)森林、Logistic回歸和貝葉斯等5種機(jī)器學(xué)習(xí)模型進(jìn)行NSLKDD訓(xùn)練數(shù)據(jù)集的5倍交叉驗(yàn)證法實(shí)驗(yàn)，得到的性能評(píng)估度量結(jié)果如表3所示。針對(duì)本文所提出的兩種模型、隨機(jī)森林、Logistic回歸和貝葉斯等5種機(jī)器學(xué)習(xí)模型進(jìn)行NSL-KDD測(cè)試數(shù)據(jù)集的無交叉驗(yàn)證法實(shí)驗(yàn)，得到的性能評(píng)估度量結(jié)果如表4所示。兩次實(shí)驗(yàn)結(jié)果表明，本文所提的兩種深度學(xué)習(xí)模型中，基于深度學(xué)習(xí)的多項(xiàng)式模型性能更好，且與其他三種典型機(jī)器學(xué)習(xí)模型相比，綜合性能也有一定的優(yōu)勢(shì)。

3 結(jié)束語

本文提出了一種基于深度學(xué)習(xí)的實(shí)時(shí)網(wǎng)絡(luò)入侵檢測(cè)方法，該方法給出了兩種機(jī)器學(xué)習(xí)模型——H2O深度學(xué)習(xí)的二項(xiàng)式分類模型和H2O深度學(xué)習(xí)的多項(xiàng)式分類模型。實(shí)驗(yàn)結(jié)果表明，與其他三種機(jī)器學(xué)習(xí)模型相比，基于H2O深度學(xué)習(xí)的多項(xiàng)式分類模型的性能良好，各性能度量指標(biāo)值均有一定的優(yōu)勢(shì)。因此，本文所提的方法為網(wǎng)絡(luò)入侵檢測(cè)問題提供了一種新的嘗試。

表3 5種機(jī)器學(xué)習(xí)模型的NSL-KDD訓(xùn)練數(shù)據(jù)集的5倍交叉驗(yàn)證實(shí)驗(yàn)

表4 5種機(jī)器學(xué)習(xí)模型的NSL-KDD訓(xùn)練數(shù)據(jù)集的無交叉驗(yàn)證實(shí)驗(yàn)