張寶華 趙瑩

摘要：近年來(lái)，隨著互聯(lián)網(wǎng)技術(shù)的持續(xù)發(fā)展，人們?cè)谝蕾囉诰W(wǎng)絡(luò)所帶來(lái)的極大方便的同時(shí)，也面臨著各種各樣的安全威脅。入侵檢測(cè)系統(tǒng)是網(wǎng)絡(luò)安全防護(hù)的重要工具，它能夠?qū)崟r(shí)監(jiān)測(cè)網(wǎng)絡(luò)環(huán)境，識(shí)別網(wǎng)絡(luò)漏洞。長(zhǎng)短期記憶神經(jīng)網(wǎng)絡(luò)是一種經(jīng)典的深度學(xué)習(xí)方法，它能夠有效解決梯度消失和梯度爆炸問(wèn)題。本文將LSTM算法用于入侵檢測(cè)，提出了基于PCA-LSTM的入侵檢測(cè)模型，經(jīng)過(guò)仿真模擬實(shí)驗(yàn)證明，該模型具有良好的入侵檢測(cè)性能。

Abstract： In recent years， with the continuous development of internet technology， people are facing a variety of security threats while relying on the great convenience brought by the network. Intrusion detection system is an important tool of network security protection. It can monitor network environment in real time and identify network vulnerabilities. Long short-term memory neural network is a classical deep learning method， which can effectively solve the problem of gradient disappearance and gradient explosion. This paper proposes an intrusion detection model based on PCA and LSTM. The simulation experiment of intrusion detection shows that the model has good performance of intrusion detection.

關(guān)鍵詞：入侵檢測(cè);深度學(xué)習(xí);主成分分析;長(zhǎng)短期記憶神經(jīng)網(wǎng)絡(luò)

Key words： intrusion detection;deep learning;PCA;LSTM

中圖分類號(hào)：TP309 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文章編號(hào)：1006-4311（2020）15-0259-04

0 ?引言

隨著互聯(lián)網(wǎng)技術(shù)的持續(xù)發(fā)展，人們?cè)谝蕾囉诰W(wǎng)絡(luò)所帶來(lái)的極大方便的同時(shí)，也面臨著各種各樣的安全威脅。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是一種主動(dòng)的網(wǎng)絡(luò)安全防御工具，它能夠?qū)W(wǎng)絡(luò)環(huán)境中的關(guān)鍵節(jié)點(diǎn)進(jìn)行即時(shí)的監(jiān)控和分析，檢測(cè)網(wǎng)絡(luò)系統(tǒng)中是否存在被攻擊的跡象或者是否存在違反安全策略的行為，并對(duì)該行為做出相應(yīng)處理[1][2]。為了有效提高入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)環(huán)境中的檢測(cè)性能，許多研究者將機(jī)器學(xué)習(xí)技術(shù)運(yùn)用到智能檢測(cè)系統(tǒng)的研發(fā)中，例如支持向量機(jī)、樸素貝葉斯、隨機(jī)森林、人工神經(jīng)網(wǎng)絡(luò)等。

深度學(xué)習(xí)是機(jī)器學(xué)習(xí)的一種，它的概念源于人工神經(jīng)網(wǎng)絡(luò)的研究，而它的結(jié)構(gòu)實(shí)際上是含有多個(gè)隱藏層的多層感知器。長(zhǎng)短期記憶神經(jīng)網(wǎng)絡(luò)（LSTM）是一種特殊的循環(huán)神經(jīng)網(wǎng)絡(luò)，也是經(jīng)典的深度學(xué)習(xí)方法之一，它能夠有效地解決數(shù)據(jù)訓(xùn)練時(shí)出現(xiàn)的梯度消失和梯度爆炸問(wèn)題[3]。

本文提出了一種基于PCA-LSTM的網(wǎng)絡(luò)入侵檢測(cè)模型，對(duì)其在仿真模擬環(huán)境中進(jìn)行實(shí)驗(yàn)，并將其結(jié)果與經(jīng)典機(jī)器學(xué)習(xí)方法進(jìn)行比較，結(jié)果表明PCA-LSTM模型優(yōu)于其他方法。

1 ?相關(guān)工作

1.1 主成分分析（Principal Component Analysis，PCA）

主成分分析是一種經(jīng)典的統(tǒng)計(jì)學(xué)方法，它能夠在保留數(shù)據(jù)重要信息的前提下，對(duì)數(shù)據(jù)集進(jìn)行降維處理，去除冗余信息。該方法借助正交變換，將其分量相關(guān)的原隨機(jī)變量轉(zhuǎn)化成其分量不相關(guān)的新隨機(jī)變量，這在代數(shù)上表現(xiàn)為將原隨機(jī)變量的協(xié)方差矩陣變換成對(duì)角形矩陣;在幾何上表現(xiàn)為將原坐標(biāo)系變換成新的正交坐標(biāo)系，使之指向樣本散布最開的n個(gè)正交方向，然后對(duì)多維變量系統(tǒng)進(jìn)行降維處理，使之能以一個(gè)較高的精度轉(zhuǎn)換成低維變量系統(tǒng)[4]。

1.2 長(zhǎng)短期記憶神經(jīng)網(wǎng)絡(luò)（Long Short-Term Memory，LSTM）

長(zhǎng)短期記憶神經(jīng)網(wǎng)絡(luò)是一種特殊的循環(huán)神經(jīng)網(wǎng)絡(luò)，它適合于處理和預(yù)測(cè)時(shí)間序列中間隔和延遲非常長(zhǎng)的重要事件。LSTM延續(xù)了循環(huán)神經(jīng)網(wǎng)絡(luò)（Recurrent Neural Network，RNN）的連續(xù)結(jié)構(gòu)，如圖1所示。

它在RNN模型中的隱層增加了三個(gè)門（遺忘門、輸入門、輸出門）和一個(gè)單元狀態(tài)更新，使其具有變化的自循環(huán)權(quán)重，故此當(dāng)模型參數(shù)不變時(shí)，在不同的時(shí)間節(jié)點(diǎn)上，可以得到動(dòng)態(tài)改變的積分尺度，從而解決了梯度消失和梯度爆炸的問(wèn)題[5]。

LSTM首先通過(guò)遺忘門決定從單元狀態(tài)中去除那些信息，它讀取ht-1和xt，并計(jì)算遺忘門ft的值。

然后通過(guò)輸入門和單元狀態(tài)決定存儲(chǔ)哪些信息，并計(jì)算輸入門It和單元狀態(tài)候選值向t。

然后將舊的單元狀態(tài)更新為新的單元狀態(tài)Ct