楊彥榮，宋榮杰，周兆永

1.西北農(nóng)林科技大學(xué) 網(wǎng)絡(luò)與教育技術(shù)中心，陜西 楊凌712100

2.西北農(nóng)林科技大學(xué) 信息工程學(xué)院，陜西 楊凌712100

1 引言

近年來各種網(wǎng)絡(luò)攻擊、非法入侵的情況屢見不鮮，并且手段也越來越復(fù)雜，網(wǎng)絡(luò)信息安全正面臨著海量數(shù)據(jù)、復(fù)雜入侵模式等完全問題，如何有效、快速地識(shí)別各種網(wǎng)絡(luò)攻擊已成為網(wǎng)絡(luò)信息安全中一個(gè)亟待解決的問題[1-2]。網(wǎng)絡(luò)入侵檢測(cè)采用主動(dòng)防范方式進(jìn)行安全檢測(cè)，彌補(bǔ)了被動(dòng)式方法的不足，能夠主動(dòng)檢測(cè)識(shí)別出正常網(wǎng)絡(luò)流量中包含的異常攻擊信息，已成為當(dāng)前網(wǎng)絡(luò)安全技術(shù)研究的熱點(diǎn)[3]。

隨著機(jī)器學(xué)習(xí)方法的發(fā)展，國(guó)內(nèi)外學(xué)者對(duì)基于機(jī)器學(xué)習(xí)的入侵檢測(cè)方法進(jìn)行了大量研究。文獻(xiàn)[4]提出一種布谷鳥算法優(yōu)化支持向量機(jī)的入侵檢測(cè)方法，此方法在處理小樣本數(shù)據(jù)集時(shí)檢測(cè)準(zhǔn)確率較高，但處理海量數(shù)據(jù)集時(shí)性能較差，無法滿足檢測(cè)實(shí)時(shí)性要求。文獻(xiàn)[5]提出一種基于聚類和遺傳算法的復(fù)合入侵檢測(cè)方法，該方法采用無監(jiān)督算法，沒有利用樣本標(biāo)簽信息，因此檢測(cè)性能容易達(dá)到上限。文獻(xiàn)[6]設(shè)計(jì)了一種KNN離群點(diǎn)檢測(cè)和隨機(jī)森林相結(jié)合的算法，采用KNN離群點(diǎn)檢測(cè)重構(gòu)訓(xùn)練集，然后使用多層次的隨機(jī)森林進(jìn)行分類，提高了檢測(cè)準(zhǔn)確率，降低了誤報(bào)率。文獻(xiàn)[7]利用和聲搜索算法優(yōu)化BP神經(jīng)網(wǎng)絡(luò)，并將其應(yīng)用到網(wǎng)絡(luò)入侵檢測(cè)中，通過實(shí)驗(yàn)驗(yàn)證了該方法在入侵檢測(cè)領(lǐng)域的優(yōu)良性，但是處理海量數(shù)據(jù)時(shí)魯棒性較低，且收斂速度低，訓(xùn)練時(shí)間過長(zhǎng)。文獻(xiàn)[8]提出一種基于多尺度卷積神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法，利用不同尺度卷積核提取數(shù)據(jù)最優(yōu)特征，該方法不僅收斂速度快，而且能夠提高檢測(cè)準(zhǔn)確率。文獻(xiàn)[9]利用深度自編碼網(wǎng)絡(luò)提取原始網(wǎng)絡(luò)數(shù)據(jù)，獲得新的低維特征數(shù)據(jù)集，然后利用BP算法進(jìn)行分類識(shí)別，有效提高了檢測(cè)準(zhǔn)確率，但是檢測(cè)時(shí)間過長(zhǎng)，檢測(cè)實(shí)時(shí)性差。

盡管上述基于機(jī)器學(xué)習(xí)的入侵檢測(cè)方法取得不錯(cuò)的效果，但是未考慮入侵檢測(cè)數(shù)據(jù)的不平衡問題，對(duì)于整個(gè)網(wǎng)絡(luò)訪問行為而言，正常行為的數(shù)量要遠(yuǎn)遠(yuǎn)大于入侵行為的數(shù)量，入侵行為的數(shù)量很小，正常行為與入侵行為之間存在類別分布不均衡，并且入侵攻擊類別之間也存在類別分布不均衡。直接將機(jī)器學(xué)習(xí)方法應(yīng)用于非平衡的入侵檢測(cè)數(shù)據(jù)時(shí)，容易導(dǎo)致多數(shù)類的分類精度較高而少數(shù)類的分類精度較低。

為解決機(jī)器學(xué)習(xí)中數(shù)據(jù)不平衡問題，一種思路是從算法層面入手，根據(jù)算法在解決不平衡問題時(shí)的缺陷，結(jié)合不平衡數(shù)據(jù)的特點(diǎn)，有針對(duì)性地對(duì)算法進(jìn)行改進(jìn)，提高算法處理不平衡分類問題的能力[10]。另一種是從數(shù)據(jù)層面入手，通過對(duì)少數(shù)類的上采樣和對(duì)多數(shù)類的下采樣來改變樣本分布，降低數(shù)據(jù)的不平衡程度[11]。由于基于數(shù)據(jù)層面的方法對(duì)分類算法的普適性以及處理方法簡(jiǎn)單直觀，在解決不平衡問題中得到廣泛采用，但是在實(shí)際應(yīng)用中過采樣只是基于少數(shù)樣本的信息，缺乏數(shù)據(jù)多樣性，易導(dǎo)致訓(xùn)練過擬合；欠采樣會(huì)造成大量樣本數(shù)據(jù)的信息丟失，并且解決不平衡度的能力有限[12]。

生成式對(duì)抗網(wǎng)絡(luò)（Generative Adversarial Nets，GAN）作為一種新的生成式模型[13]，能夠通過學(xué)習(xí)給定樣本數(shù)據(jù)的概率分布，從而生成類似真實(shí)樣本的偽造樣本。與傳統(tǒng)的生成模型不同，GAN不再需要一個(gè)假設(shè)的真實(shí)樣本分布，而是直接比較生成樣本和真實(shí)樣本的分布來訓(xùn)練生成網(wǎng)絡(luò)，可以生成無限逼近真實(shí)樣本的偽造樣本，從而提升生成樣本的質(zhì)量，避免了由于訓(xùn)練樣本不足而導(dǎo)致的過擬合問題。因此GAN自提出以來被應(yīng)用于多個(gè)領(lǐng)域的生成數(shù)據(jù)研究中[14-16]，均取得較好的效果，但目前尚未運(yùn)用到網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)的不平衡問題中。極限學(xué)習(xí)機(jī)（Extreme Learning Machine，ELM）是一種單隱層前饋神經(jīng)網(wǎng)絡(luò)[17]，只需要設(shè)定隱含層的神經(jīng)元個(gè)數(shù)，不需要迭代，與傳統(tǒng)機(jī)器學(xué)習(xí)算法支持向量機(jī)和神經(jīng)網(wǎng)絡(luò)相比，具有學(xué)習(xí)速度快、泛化性能好等優(yōu)點(diǎn)，近年來，被廣泛應(yīng)用到網(wǎng)絡(luò)入侵檢測(cè)研究中。劉金平等人[18]提出一種基于核極限學(xué)習(xí)機(jī)選擇性集成的網(wǎng)絡(luò)入侵檢測(cè)方法，實(shí)驗(yàn)表明該方法確保了高檢測(cè)率的同時(shí)降低了模型訓(xùn)練時(shí)間。顧兆軍等人[19]將ELM與K最近鄰算法相結(jié)合，提出基于ELM-KNN算法的入侵檢測(cè)模型，該模型能防止過擬合現(xiàn)象，并且能提高網(wǎng)絡(luò)侵檢測(cè)速度。然而由于ELM隨機(jī)給定隱含層權(quán)重與偏置，容易導(dǎo)致輸出結(jié)果不穩(wěn)定，因此需要參數(shù)優(yōu)化。粒子群優(yōu)化算法（Particle Swarm Optimiztion，PSO）是一種全局迭代優(yōu)化算法[20]，具有運(yùn)算速度快、容易實(shí)現(xiàn)等優(yōu)點(diǎn)，在參數(shù)優(yōu)化中得到廣泛應(yīng)用，并取得較好的效果。基于PSO算法的ELM已應(yīng)用于圖像分類、故障預(yù)測(cè)等領(lǐng)域[21]，然而將其應(yīng)用到網(wǎng)絡(luò)入侵檢測(cè)中的研究較少。

綜上分析，為解決入侵檢測(cè)數(shù)據(jù)不平衡而導(dǎo)致少數(shù)類檢測(cè)率低的問題，本文提出一種GAN-PSO-ELM的入侵檢測(cè)方法。該方法通過整體類擴(kuò)充的方式，利用GAN對(duì)數(shù)據(jù)集進(jìn)行少數(shù)類樣本進(jìn)行擴(kuò)充，降低入侵檢測(cè)數(shù)據(jù)的不平衡程度；然后在新的數(shù)據(jù)集上訓(xùn)練ELM，同時(shí)利用PSO優(yōu)化ELM的隱含層權(quán)重與偏置，并建立入侵檢測(cè)模型。實(shí)驗(yàn)結(jié)果表明，本文方法在保證較高整體檢測(cè)準(zhǔn)確率和檢測(cè)效率的同時(shí)，能夠提高少數(shù)類檢測(cè)準(zhǔn)確率。

2 相關(guān)工作

2.1 生成式對(duì)抗網(wǎng)絡(luò)

生成對(duì)抗網(wǎng)絡(luò)GAN是Goodfellow等在2014年提出的一種新型生成模型，其在結(jié)構(gòu)上受博弈論中的二人零和博弈的啟發(fā)，一方的收益是另一方的損失，博弈雙方的收益和損失總和永遠(yuǎn)為零。GAN由生成模型（Generative model，G）和判別模型（Discriminative model，D）組成，并通過G和D交替學(xué)習(xí)模擬現(xiàn)實(shí)生成樣本。生成模型G可以看作是一個(gè)能捕捉給定樣本的潛在分布，同時(shí)模仿并偽造樣本的生成器，它通過輸入一個(gè)隨機(jī)向量z，生成與真實(shí)樣本具有一致的潛在分布的新樣本。判別模型D可以看作是一個(gè)二分類器，判別輸入數(shù)據(jù)是否為真實(shí)樣本。

GAN的基本結(jié)構(gòu)如圖1所示。GAN的訓(xùn)練和優(yōu)化過程可看成一個(gè)動(dòng)態(tài)的“二元極小極大”博弈過程，G和D在對(duì)抗訓(xùn)練過程中不斷迭代優(yōu)化，兩個(gè)模型的能力越來越強(qiáng)，當(dāng)生成模型生成的樣本達(dá)到以假亂真的地步，同時(shí)判別模型能夠區(qū)分真實(shí)樣本和生成樣本時(shí)，最終達(dá)到穩(wěn)態(tài)，此時(shí)G能夠生成接近真實(shí)樣本分布的偽造樣本。其核心思想可用數(shù)學(xué)公式表示如下：

式中，V(D,G)為代價(jià)函數(shù)；Pdata表示真實(shí)樣本分布；Pz表示生成樣本分布；G(z)表示生成模型G依據(jù)輸入z生成的樣本，其中z為隨機(jī)向量；D(x)表示x為真實(shí)樣本的概率；D(x)和G(z)交替地最小化和最大化V(D,G)，也就是使D(x)無限接近于1，D(G(z))無限接近于0，最終求得近似最優(yōu)解的生成式模型min G。

圖1 生成對(duì)抗網(wǎng)絡(luò)框架圖

2.2 極限學(xué)習(xí)機(jī)

極限學(xué)習(xí)機(jī)ELM是一種前饋神經(jīng)網(wǎng)絡(luò)，網(wǎng)絡(luò)結(jié)構(gòu)通常分為3層，分別為輸入層、隱含層和輸出層。在訓(xùn)練之前隨機(jī)給定隱含層權(quán)重以及偏置，并且在訓(xùn)練過程中保持不變，只需確定激活函數(shù)及隱含層神經(jīng)元數(shù)量，即可計(jì)算出輸出層權(quán)值，從而通過一次訓(xùn)練便可得到唯一的最優(yōu)值。對(duì)于輸入的N個(gè)任意的樣本(xi,ti)，其中：

那么具有L個(gè)隱含層神經(jīng)元的ELM可以表示為：

式（3）中，αi表示第i個(gè)神經(jīng)元輸入層和隱含層之間的輸入權(quán)重；βi表示輸出權(quán)重，αi和βi在訓(xùn)練之前隨機(jī)給定；g為激活函數(shù)；bi為第i個(gè)隱含層神經(jīng)元的偏置。

式（3）可用矩陣形式表示為：

其中：

式（4）中H為隱含層節(jié)點(diǎn)的輸出矩陣；β為輸出權(quán)重矩陣；T為期望輸出矩陣。

極限學(xué)習(xí)機(jī)ELM算法是一種求解SLFN的學(xué)習(xí)算法，文獻(xiàn)[17]已證明，對(duì)于任意給定N個(gè)訓(xùn)練樣本，當(dāng)激活函數(shù)g無限可微時(shí)，只要N大于隱含層神經(jīng)元個(gè)數(shù)L，SLFN就能在隨機(jī)給定隱含層權(quán)重以及偏置情況下都可零誤差逼近訓(xùn)練樣本。

ELM的訓(xùn)練過程可等效為求解方程Hβ=T的最小二乘解：

式（8）中，H+為H的廣義逆，可用正交法計(jì)算求得，所求解最小且唯一。

2.3 粒子群算法

粒子群優(yōu)化算法PSO是受鳥群和魚群捕食行為啟發(fā)而產(chǎn)出的一種全局迭代優(yōu)化算法。PSO算法具有結(jié)構(gòu)簡(jiǎn)單、收斂速度快、魯棒性強(qiáng)等優(yōu)點(diǎn)，在參數(shù)優(yōu)化領(lǐng)域中得到普遍應(yīng)用，并取得良好的效果。

粒子群優(yōu)化算法實(shí)現(xiàn)過程如下：在一個(gè)由m個(gè)粒子組成的群里，每個(gè)i粒子可以被看作是在N維搜索空間中的一個(gè)搜索個(gè)體，并都有對(duì)應(yīng)的位置xi=(xi1,xi2,…,xid)和速度vi=(vi1,vi2,…,vid)。適應(yīng)度函數(shù)確定空間中每一個(gè)粒子適應(yīng)度值，粒子運(yùn)動(dòng)的方向和距離由粒子的運(yùn)動(dòng)速度決定。在優(yōu)化迭代中，每個(gè)粒子通過自身找到個(gè)體最優(yōu)和整體最優(yōu)不斷更新自身的速度和位置，并將最優(yōu)位置記錄下來，最終通過不斷迭代學(xué)習(xí)最優(yōu)解。粒子的速度和位置按公式（9）和（10）更新。

式中，ω表示慣性權(quán)重；r1和r2為隨機(jī)數(shù)，取值范圍[0，1]；pBesti表示粒子i搜索過的最優(yōu)位置；gBesti表示整個(gè)粒子群搜索到的最優(yōu)位置；c1和c2分別表示粒子個(gè)體和粒子群體的加速系數(shù)，為非負(fù)常數(shù)，在標(biāo)準(zhǔn)PSO算法[22]中通常將c1和c2統(tǒng)一設(shè)置為2。

3 基于GAN_PSO_ELM的入侵檢測(cè)

GAN是一種優(yōu)秀的生成模型，通過對(duì)抗的方式學(xué)習(xí)真實(shí)樣本分布的生成式模型，不需要預(yù)先建模，能生成高質(zhì)量的新樣本。由于入侵檢測(cè)數(shù)據(jù)人工標(biāo)注工作巨大，并且網(wǎng)絡(luò)訪問數(shù)據(jù)中入侵行為數(shù)據(jù)的數(shù)量極少，數(shù)據(jù)類別分布不均衡，因此將GAN應(yīng)用到入侵檢測(cè)訓(xùn)練樣本生成任務(wù)中，使用GAN增加訓(xùn)練樣本數(shù)量，降低不平衡訓(xùn)練樣本對(duì)檢測(cè)準(zhǔn)確率的影響。

ELM是一個(gè)單隱含層的前饋神經(jīng)網(wǎng)絡(luò)，具有訓(xùn)練速度快，泛化性好，分類精度高等優(yōu)點(diǎn)。然而由于在訓(xùn)練之前隨機(jī)給定隱含層權(quán)重以及偏置，參數(shù)隨機(jī)給定會(huì)導(dǎo)致部分參數(shù)未達(dá)到最優(yōu)狀態(tài)，進(jìn)而容易導(dǎo)致輸出結(jié)果不穩(wěn)定。而PSO是一種全局優(yōu)化算法，可以對(duì)ELM隨機(jī)給定的參數(shù)隨機(jī)進(jìn)行優(yōu)化，尋找ELM權(quán)值和偏差量的最優(yōu)值。

針對(duì)這三座山，一是要激活民營(yíng)企業(yè)內(nèi)在潛力，融化市場(chǎng)的“冰山”。要提升產(chǎn)品核心競(jìng)爭(zhēng)力，打造區(qū)域性品牌，并借助電子商務(wù)平臺(tái)，拓展優(yōu)勢(shì)產(chǎn)品的銷售半徑；鼓勵(lì)企業(yè)“走出去”，參與發(fā)展中國(guó)家的資源開發(fā)，依托本地優(yōu)勢(shì)產(chǎn)業(yè)基礎(chǔ)，與有關(guān)國(guó)家合作建立境外生產(chǎn)加工基地。二是要健全融資信用保障體系，削低融資的“高山”。要通過健全民營(yíng)企業(yè)融資信用保障體系，解決銀行不敢或不愿貸款給中小民營(yíng)企業(yè)的問題。三是要以優(yōu)化創(chuàng)新創(chuàng)業(yè)條件來跨越轉(zhuǎn)型的“火山”。

考慮到入侵檢測(cè)數(shù)據(jù)的海量、不平衡等特性，鑒于生成對(duì)抗網(wǎng)絡(luò)（GAN）、單隱層前饋神經(jīng)網(wǎng)絡(luò)ELM、粒子群優(yōu)化算法（PSO）的各種優(yōu)良性能，將其結(jié)合起來，充分利用它們各自的優(yōu)點(diǎn)，克服其缺點(diǎn)，構(gòu)建基于CANPSO-ELM入侵?jǐn)?shù)據(jù)檢測(cè)分類方法。整體框架如圖2所示。

圖2 基于GAN-ELM-PSO的入侵檢測(cè)框架

其檢測(cè)流程為：

（1）利用網(wǎng)絡(luò)監(jiān)聽捕獲模塊采集網(wǎng)絡(luò)訪問數(shù)據(jù)，對(duì)采集到的歷史訪問數(shù)據(jù)進(jìn)行特征映射、數(shù)字化、歸一化等預(yù)處理，再對(duì)預(yù)處理后的數(shù)據(jù)進(jìn)行人工標(biāo)注，形成訓(xùn)練數(shù)據(jù)集。

（2）訓(xùn)練數(shù)據(jù)集是從網(wǎng)絡(luò)中捕捉到的行為數(shù)據(jù)，其中包括正常行為數(shù)據(jù)和入侵行為數(shù)據(jù)，然而一般情況下入侵行為數(shù)據(jù)的數(shù)量遠(yuǎn)遠(yuǎn)小于正常行為數(shù)據(jù)的，并且入侵行為數(shù)據(jù)也存在類別不平衡。因而通過生成式對(duì)抗網(wǎng)絡(luò)（GAN）對(duì)訓(xùn)練數(shù)據(jù)集中少數(shù)類進(jìn)行樣本數(shù)據(jù)擴(kuò)充，使訓(xùn)練數(shù)據(jù)平衡。

（3）在擴(kuò)充后的訓(xùn)練數(shù)據(jù)集上訓(xùn)練ELM網(wǎng)絡(luò)，同時(shí)利用PSO優(yōu)化ELM的輸入權(quán)重與隱含層偏置，優(yōu)化流程如圖3所示，最后可得到最優(yōu)PSO-ELM入侵檢測(cè)模型。

圖3 PSO算法優(yōu)化ELM參數(shù)流程

（4）在線檢測(cè)時(shí)，對(duì)采集到的實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理，并形成測(cè)試數(shù)據(jù)，然后利用PSO-ELM模型對(duì)測(cè)試數(shù)據(jù)集進(jìn)行入侵檢測(cè)分類，從而實(shí)時(shí)實(shí)現(xiàn)的網(wǎng)絡(luò)入侵檢測(cè)。

4 實(shí)驗(yàn)與分析

實(shí)驗(yàn)環(huán)境：使用的軟件為Pycharm，Python 3.6，Tensorflow 1.1.0版本；操作系統(tǒng)為64位Ubuntu16.04，CPU為Intel core i5-3230 2.60 GHz，內(nèi)存為16 GB DDR。

4.1 實(shí)驗(yàn)數(shù)據(jù)集及數(shù)據(jù)預(yù)處理

KDD CUP99數(shù)據(jù)集被廣泛地應(yīng)用于入侵檢測(cè)仿真實(shí)驗(yàn)中，NSL-KDD是其改進(jìn)版，剔除了KDD CUP99中大量的冗余數(shù)據(jù)，并調(diào)整了訓(xùn)練集和測(cè)試集，可以更好地適用于網(wǎng)絡(luò)檢測(cè)實(shí)驗(yàn)。NSL-KDD數(shù)據(jù)集包含用于的125 973個(gè)訓(xùn)練數(shù)據(jù)和11 850個(gè)測(cè)試數(shù)據(jù)，其攻擊行為數(shù)據(jù)包括拒絕服務(wù)攻擊（Dos）、端口掃描與探測(cè)（Probe）、對(duì)本地超級(jí)用戶的非法訪問（U2R）和遠(yuǎn)程機(jī)器的非法訪問（R2L）四種類型，正常的訪問數(shù)據(jù)為Normal。具體實(shí)驗(yàn)數(shù)據(jù)的類型分布情況如表1所示。

表1 實(shí)驗(yàn)數(shù)據(jù)的類型分布情況表

NSL-KDD每一條記錄包括一個(gè)類別標(biāo)識(shí)和41維特征，其中特征區(qū)間1～9為TCP連接基本特征，10～23為TCP連接的內(nèi)容特征，24～31為時(shí)間的網(wǎng)絡(luò)流量統(tǒng)計(jì)特征，32～41為主機(jī)的網(wǎng)絡(luò)流量統(tǒng)計(jì)特征，類別標(biāo)識(shí)用于表明該條記錄是攻擊行為還是正常訪問。每一條記錄的特征值有字符型、數(shù)值型，需要標(biāo)準(zhǔn)化預(yù)處理，預(yù)處理過程如下。

（1）字符型特征數(shù)值化。

對(duì)字符型屬性進(jìn)行特征映射，將其轉(zhuǎn)換成二進(jìn)制特征。例如協(xié)議類型TCP、UDP、ICMP，使用二進(jìn)制數(shù)字將這三種協(xié)議類型分別表示為[1，0，0]、[0，1，0]、[0，0，1]。通過特征映射，最終41維的特征轉(zhuǎn)換為122維特征。

（2）歸一化處理。

為了避免各個(gè)特征屬性的量綱對(duì)檢測(cè)結(jié)果造成影響，需要對(duì)特征映射后的數(shù)據(jù)做均值化處理，將數(shù)據(jù)歸一化到[0，1]范圍，轉(zhuǎn)化公式如下：

4.2 訓(xùn)練數(shù)據(jù)擴(kuò)充

生成對(duì)抗網(wǎng)絡(luò)GAN廣泛地應(yīng)用于數(shù)據(jù)生成任務(wù)中，利用GAN生成數(shù)據(jù)的方式大致分為兩種方法：一種方法是類別內(nèi)擴(kuò)充[23]，在需要生成數(shù)據(jù)的類別中進(jìn)行GAN訓(xùn)練，并生成相應(yīng)類別的數(shù)據(jù)；另外一種方法是整體類擴(kuò)充[24]，在整體類別中進(jìn)行GAN訓(xùn)練并生成數(shù)據(jù)，再對(duì)生成的數(shù)據(jù)進(jìn)行類別識(shí)別。在本文實(shí)驗(yàn)中采用后一種方式進(jìn)行數(shù)據(jù)生成，具體步驟為：

（1）使用訓(xùn)練數(shù)據(jù)對(duì)ELM進(jìn)行訓(xùn)練，并使用PSO優(yōu)化，生成一個(gè)PSO-ELM分類器。

（2）依據(jù)GAN模型輸入格式要求將122維的訓(xùn)練數(shù)據(jù)維度重組為12×12矩陣向量，因訓(xùn)練數(shù)據(jù)維度數(shù)不夠，需要在矩陣的末位進(jìn)行補(bǔ)0。

（3）根據(jù)設(shè)定的迭代次數(shù)訓(xùn)練GAN，同時(shí)生成樣本，將生成樣本輸入到訓(xùn)練好的PSO-ELM進(jìn)行類別檢測(cè)，依據(jù)檢測(cè)的類別選取擴(kuò)充樣本，在本實(shí)驗(yàn)中，主要針對(duì)樣本數(shù)量較少的U2R和R2L兩類進(jìn)行樣本擴(kuò)充。

（4）將擴(kuò)充的樣本維度重組為144維特征向量，選取前面122維作為擴(kuò)充樣本的特征，并將擴(kuò)充樣本加入到原始訓(xùn)練數(shù)據(jù)集中形成新的訓(xùn)練數(shù)據(jù)集。

4.3 評(píng)價(jià)指標(biāo)

本文采用準(zhǔn)確率AC和誤報(bào)率FA作為入侵檢測(cè)的評(píng)價(jià)指標(biāo)，AC和FA的計(jì)算方法為：

4.4 實(shí)驗(yàn)參數(shù)設(shè)置

本文采用標(biāo)準(zhǔn)PSO算法，在參考已有研究的基礎(chǔ)上[25-26]，選擇迭代次數(shù)為80，粒子群數(shù)量為60；同時(shí)為了確定ELM網(wǎng)絡(luò)隱含層節(jié)點(diǎn)數(shù)，ELM選擇不同的激活函數(shù)，并逐漸增加隱含層節(jié)點(diǎn)數(shù)進(jìn)行實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果如圖4所示。當(dāng)隱含層節(jié)點(diǎn)數(shù)大于40時(shí)，入侵檢測(cè)準(zhǔn)確率趨于穩(wěn)定，并且當(dāng)激活函數(shù)為Sigmoid時(shí)，能獲得相對(duì)最優(yōu)的入侵檢測(cè)準(zhǔn)確率，故本文實(shí)驗(yàn)中隱含層節(jié)點(diǎn)數(shù)設(shè)為40，選擇Sigmoid為激活函數(shù)。

圖4 不同隱含層節(jié)點(diǎn)數(shù)和激活函數(shù)的檢測(cè)準(zhǔn)確率

實(shí)驗(yàn)過程中，本文分別選用迭代次數(shù)為100、300、500、700和900進(jìn)行GAN訓(xùn)練樣本擴(kuò)充實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果如圖5所示，在迭代次數(shù)500以后的檢測(cè)準(zhǔn)確率趨于穩(wěn)定，隨著迭代次數(shù)的增加檢測(cè)準(zhǔn)確率無明顯提高。綜合考慮時(shí)間效率和實(shí)驗(yàn)結(jié)果，在后續(xù)的實(shí)驗(yàn)中GAN迭代次數(shù)選擇500次。

圖5 不同迭代次數(shù)的檢測(cè)準(zhǔn)確率

4.5 結(jié)果分析

為分析訓(xùn)練集擴(kuò)充大小對(duì)檢測(cè)準(zhǔn)確率的影響，利用GAN分別對(duì)訓(xùn)練數(shù)據(jù)集中U2R和R2L兩個(gè)少數(shù)類別進(jìn)行樣本擴(kuò)充，擴(kuò)充比例分別選擇原樣本數(shù)的20%、40%、60%、80%、100%、120%以及0%進(jìn)行7組對(duì)比實(shí)驗(yàn)。表2為不同擴(kuò)充比例的測(cè)試檢測(cè)準(zhǔn)確率。

從表2可知，隨著擴(kuò)充比例的提高GAN-PSO-ELM的準(zhǔn)確率先提升再降低，擴(kuò)充比例為80%時(shí)分類結(jié)果最佳，準(zhǔn)確率達(dá)到96.56%，相比0%也就是原訓(xùn)練集總體準(zhǔn)確率提高3%以上，因此后續(xù)實(shí)驗(yàn)訓(xùn)練集擴(kuò)充比例選擇80%。

為驗(yàn)證GAN-PSO-ELM對(duì)入侵檢測(cè)識(shí)別的效果，選用相同的訓(xùn)練集和測(cè)試集，分別采用SVM、ELM、PSO-ELM進(jìn)行對(duì)比實(shí)驗(yàn)，得到不同方法的檢測(cè)誤報(bào)率和檢測(cè)準(zhǔn)確率（表3）。

表2 不同擴(kuò)充比例的AC和FA

表3 不同方法的檢測(cè)誤報(bào)率和檢測(cè)準(zhǔn)確率 %

由表3的結(jié)果可知，與SVM、ELM、PSO-ELM相比，GAN-PSO-ELM整體準(zhǔn)確率比平均提高了3.74%，誤報(bào)率平均降低了2.81%；尤其是在少數(shù)類R2L和U2R上，GAN-PSO-ELM準(zhǔn)確率分別為82.28%和80.53%，相比其他三種檢測(cè)方法的準(zhǔn)確率平均提升了28.13%和16.84%，同時(shí)檢測(cè)誤報(bào)率平均分別降低了4.33和6.64%。ELM和PSO-ELM能很好地識(shí)別Normal、Dos和Probe，但是對(duì)小類別攻擊R2L和U2R的檢測(cè)率均比較低，GAN-PSO-ELM具有較高的整體類別檢測(cè)率，同時(shí)能很好地檢測(cè)出R2L和U2R。

網(wǎng)絡(luò)異常行為的實(shí)時(shí)性檢測(cè)是入侵檢測(cè)方法的一個(gè)重要的效率指標(biāo)，為了驗(yàn)證GAN-PSO-ELM在入侵檢測(cè)中的檢測(cè)效率，在不同規(guī)模的測(cè)試集上對(duì)GAN-PSOELM、SVM和ELM進(jìn)行實(shí)驗(yàn)，測(cè)試所需時(shí)間如圖6所示。

圖6 不同規(guī)模測(cè)試集上的檢測(cè)時(shí)間比較

由圖6可知，在不同規(guī)模的測(cè)試集上，GAN-PSOELM的檢測(cè)效率都要高于SVM，并且隨著測(cè)試集數(shù)據(jù)的增大檢測(cè)花費(fèi)的時(shí)間差也變大；與ELM相比，GANPSO-ELM運(yùn)行時(shí)間要稍微高一點(diǎn)，但是總體相差時(shí)間有限。

綜上分析，從少數(shù)類攻擊檢出率、整體檢測(cè)準(zhǔn)確率以及檢測(cè)時(shí)間方面考慮，在處理非平衡的海量入侵檢測(cè)數(shù)據(jù)時(shí)，GAN-PSO-ELM具有較高的整體檢測(cè)準(zhǔn)確率的同時(shí)，也能很好地檢測(cè)出少數(shù)類攻擊R2L和U2R，并且整體檢測(cè)的效率也有一定優(yōu)勢(shì)。

5 結(jié)論

本文提出融合生成式對(duì)抗神經(jīng)網(wǎng)絡(luò)、粒子群算法和極限學(xué)習(xí)機(jī)的入侵檢測(cè)方法（GAN-PSO-ELM）。針對(duì)入侵檢測(cè)中少數(shù)類檢測(cè)率低以及入侵檢測(cè)的實(shí)時(shí)性要求，采用生成式對(duì)抗神經(jīng)網(wǎng)絡(luò)對(duì)少數(shù)類樣本數(shù)據(jù)進(jìn)行擴(kuò)充，降低數(shù)據(jù)的不平衡程度；在擴(kuò)充后的數(shù)據(jù)上進(jìn)行ELM訓(xùn)練，同時(shí)利用PSO對(duì)ELM的參數(shù)進(jìn)行優(yōu)化，并建立PSO-ELM入侵分類模型。將SVM、ELM、PSO-ELM和GAN-PSO-ELM方法在NSL-KDD數(shù)據(jù)集上進(jìn)行仿真對(duì)比實(shí)驗(yàn)，結(jié)果表明GAN-PSO-ELM能有效提高少數(shù)類樣本檢測(cè)準(zhǔn)確率，同時(shí)具有較高的整體檢測(cè)準(zhǔn)確率和檢測(cè)效率。下一步工作的重點(diǎn)在不同數(shù)據(jù)集上驗(yàn)證GAN-PSO-ELM方法的有效性，并進(jìn)一步探索改進(jìn)方法使其應(yīng)用于實(shí)時(shí)網(wǎng)絡(luò)檢測(cè)中。