吳戀 趙晨潔 左羽 于國(guó)龍 韋萍萍

摘 要：隨著網(wǎng)絡(luò)技術(shù)高速發(fā)展，無疑帶來了很多網(wǎng)絡(luò)安全隱患問題。面對(duì)復(fù)雜、高維的網(wǎng)絡(luò)數(shù)據(jù)特征時(shí)，K-Nearest Neighbour，Navie Bayes等傳統(tǒng)的一些方法無法達(dá)到高性能、高準(zhǔn)精度和實(shí)時(shí)性的要求。為此，提出利用深度學(xué)習(xí)可視化方式進(jìn)行入侵檢測(cè)。對(duì)數(shù)據(jù)進(jìn)行可視化處理，并采用卷積神經(jīng)網(wǎng)絡(luò)（CNN）進(jìn)行入侵檢測(cè)。主要采用不同數(shù)量樣本進(jìn)行對(duì)比，結(jié)果顯示，卷積神經(jīng)網(wǎng)絡(luò)效果與樣本量的多少相關(guān)性不大;并和傳統(tǒng)沒有可視化處理數(shù)據(jù)的方式進(jìn)行對(duì)比，結(jié)果顯示，可視化處理后的檢測(cè)效果相對(duì)較好。

關(guān)鍵詞：深度學(xué)習(xí);網(wǎng)絡(luò)安全;入侵檢測(cè);卷積神經(jīng)網(wǎng)絡(luò);可視化處理;KDD CUP99

中圖分類號(hào)：TP391.4文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：2095-1302（2020）06-0-03

0 引 言

在信息更新迭代快速的時(shí)代，病毒、攻擊等網(wǎng)絡(luò)入侵隨之而來，增強(qiáng)入侵防范意識(shí)及其技術(shù)至關(guān)重要。根據(jù)一些相關(guān)技術(shù)獲取本主機(jī)中關(guān)鍵信息，主動(dòng)檢測(cè)關(guān)鍵信息，保障計(jì)算機(jī)不被內(nèi)、外部攻擊和誤操作的技術(shù)，稱為入侵檢測(cè)。入侵檢測(cè)[1]在網(wǎng)絡(luò)安全保護(hù)中起著至關(guān)重要的作用。

目前，國(guó)內(nèi)外學(xué)者對(duì)入侵檢測(cè)提出多種算法，如K-means聚類[2]、Random Forest（隨機(jī)森林）[3]、模糊神經(jīng)網(wǎng)絡(luò)[4]等。網(wǎng)絡(luò)快速發(fā)展使得網(wǎng)絡(luò)數(shù)據(jù)表現(xiàn)為更加龐雜、多維等特點(diǎn)，傳統(tǒng)的機(jī)器學(xué)習(xí)方法無法滿足處理當(dāng)前復(fù)雜、多維的數(shù)據(jù)。

深度學(xué)習(xí)在圖像及其處理高維、多量數(shù)據(jù)時(shí)，仍然能從中提取出有效的表示特征，并且速度較快。深度學(xué)習(xí)在圖像、音頻中都有較好的發(fā)展?；诖?，本文將數(shù)據(jù)進(jìn)行可視化處理，再利用深度學(xué)習(xí)對(duì)其進(jìn)行入侵研究。

1 入侵檢測(cè)數(shù)據(jù)可視化處理

1.1 數(shù)據(jù)集簡(jiǎn)介

入侵檢測(cè)是國(guó)際一直關(guān)注的話題，KDD CUP99[5]數(shù)據(jù)集是國(guó)際公認(rèn)的入侵檢測(cè)數(shù)據(jù)集，且測(cè)試集與訓(xùn)練集的標(biāo)簽類型不是完全一致，測(cè)試集標(biāo)簽包含更廣。每個(gè)樣本記錄有

42個(gè)參數(shù)，其中一個(gè)為標(biāo)簽數(shù)據(jù)，其余為樣本特征。下面展示一個(gè)樣本數(shù)據(jù)：

“0，tcp，http，SF，164，4460，0，0，0，0，0，1，0，0，0，0，0，0，0，0，0，0，17，18，0，0，0，0，1，0，0.11，161，255，1，0，0.01，0.02，0，0，0，0，normal.”

特征值中有9個(gè)參數(shù)類型是離散型數(shù)據(jù)[6]。數(shù)據(jù)類型共有5類數(shù)據(jù)，其中包含Probe，Dos，U2R，R2L四類異常數(shù)據(jù)和一類正常數(shù)據(jù)。

1.2 數(shù)據(jù)預(yù)處理

對(duì)于KDD CUP99數(shù)據(jù)集，為了方便數(shù)據(jù)的統(tǒng)一處理，將字符型數(shù)據(jù)轉(zhuǎn)化為數(shù)值型數(shù)據(jù)。轉(zhuǎn)化數(shù)值型數(shù)據(jù)時(shí)，采用映射[7]方法，將每一種的類型都對(duì)應(yīng)唯一確定的二進(jìn)制編碼，如下：

式中：A為原始字符型數(shù)據(jù);B為二進(jìn)制數(shù)據(jù);f為其映射

關(guān)系。

該數(shù)據(jù)的范圍在[0，58 329]分布不均衡，在網(wǎng)絡(luò)中出現(xiàn)收斂速度慢和精度不準(zhǔn)確等問題，為了解決該問題，將數(shù)據(jù)進(jìn)行歸一化處理[8]。本文將采用極差變換法[9]對(duì)數(shù)據(jù)進(jìn)

行[0，1]標(biāo)準(zhǔn)化，如下：

式中：Xik∈[0，1]，表示歸一化后的值;Xij∈KDD CUP99，

表示原始數(shù)據(jù)集中的值;Min，Max分別為原始數(shù)據(jù)集中需要?dú)w一化的最小值、最大值。

1.3 可視化處理

經(jīng)過預(yù)處理后的數(shù)據(jù)集，每條數(shù)據(jù)的特征為127維，其中后5維的數(shù)據(jù)為該數(shù)據(jù)的標(biāo)簽，其他為該數(shù)據(jù)的特征。該數(shù)據(jù)維數(shù)較大，若直接使用深度學(xué)習(xí)模型進(jìn)行訓(xùn)練將會(huì)降低其訓(xùn)練和測(cè)試速度。

因此，本文提出將數(shù)據(jù)轉(zhuǎn)化為可視化圖像進(jìn)行訓(xùn)練。將5維標(biāo)簽單獨(dú)列出，剩余的數(shù)據(jù)維度變?yōu)?22，為了保證數(shù)據(jù)集的有效性，在122維中刪除1維冗余的零數(shù)據(jù)，將121維

數(shù)據(jù)按數(shù)組轉(zhuǎn)化圖像的方式，轉(zhuǎn)化成11×11大小的圖像集。

2 基于CNN的入侵檢測(cè)方法

2.1 CNN網(wǎng)絡(luò)結(jié)構(gòu)

卷積神經(jīng)網(wǎng)絡(luò)（CNN）[10]處理圖像能力強(qiáng)，核心層包括全連接層、池化層、卷積層。其中，卷積層是由若干卷積核組成，特征值提取需要經(jīng)過多層卷積。圖像m×n的卷積

運(yùn)算[11]為：

式中：z （x， y）表示卷積后的圖像;f代表輸入的2維圖像;

g代表卷積核;m和n分別代表卷積核的尺寸。

通過卷積運(yùn)算后，需要進(jìn)行非線性激活去除冗余信息，保存原始數(shù)據(jù)特征的映射信息。“梯度消失”可用非飽和激活函數(shù)來緩和，即ReLu函數(shù)[12]。

式中：當(dāng)矩陣x的值為非負(fù)時(shí)，經(jīng)激活后變?yōu)?;當(dāng)矩陣x的值為負(fù)時(shí)，此時(shí)激活仍為它本身。

Pooling layers（池化層）通過Max pooling或Average Pooling來減少參數(shù)、降低維度，使訓(xùn)練能快速提取特征。

全連接層[13]主要是將前兩層訓(xùn)練的高維特征分布與低維樣本進(jìn)行標(biāo)記。

2.2 CNN入侵檢測(cè)模型

由于將KDD CUP99數(shù)據(jù)集變?yōu)?1×11可視化圖像集，因此對(duì)CNN模型設(shè)計(jì)采用一個(gè)10層模型結(jié)構(gòu)：一個(gè)輸入層;三個(gè)卷積層，每次卷積后都經(jīng)過池化層;兩個(gè)全連接層并在其全連接層中都加入Dropout，避免過渡擬合;一個(gè)輸出層。模型如圖1所示。

3 實(shí)驗(yàn)與分析

3.1 實(shí)驗(yàn)評(píng)價(jià)標(biāo)準(zhǔn)

秉承客觀評(píng)價(jià)原則，本文從訓(xùn)練數(shù)據(jù)集大小方面對(duì)CNN模型進(jìn)行對(duì)比。采用F1-score[14]作為實(shí)驗(yàn)效果的評(píng)判標(biāo)準(zhǔn)，公式如下：

F1-score公式中，各指標(biāo)的評(píng)判標(biāo)準(zhǔn)參數(shù)含義解釋見表1所列。

3.2 結(jié)果分析

3.2.1 數(shù)據(jù)集樣本

數(shù)據(jù)集樣本大小是影響深度模型訓(xùn)練效果的一方面，為了驗(yàn)證本文的模型將在幾組不同數(shù)據(jù)集大小下進(jìn)行分析。

實(shí)驗(yàn)數(shù)據(jù)來自kddcup.data_10%_corrected的數(shù)據(jù)集[15]，正常97 278條，異常396 743條，共494 021條數(shù)據(jù)。在其中隨機(jī)抽取5 000，10 000，20 000，40 000個(gè)樣本，構(gòu)成4組訓(xùn)練集數(shù)據(jù)，詳細(xì)信息見表2所列。

3.2.2 與傳統(tǒng)方式對(duì)比

將本文采用三層卷積層的卷積神經(jīng)網(wǎng)絡(luò)用不同數(shù)據(jù)量的樣本進(jìn)行處理，準(zhǔn)確率結(jié)果見表3所列。結(jié)果顯示精確度與訓(xùn)練集的大小相關(guān)性不大。傳統(tǒng)的入侵檢測(cè)，對(duì)未經(jīng)過圖像處理的數(shù)據(jù)直接進(jìn)行訓(xùn)練，而本文先把數(shù)據(jù)映射成可視化圖像，而后對(duì)其進(jìn)行訓(xùn)練，對(duì)比結(jié)果見表4所列。結(jié)果顯示，相對(duì)于傳統(tǒng)方式，本文方法的精確度較高。

4 結(jié) 語

本文提出關(guān)于深度學(xué)習(xí)的入侵檢測(cè)流程，將處理后的可視化數(shù)據(jù)經(jīng)過CNN進(jìn)行入侵檢測(cè)，并從多方面進(jìn)行分析。實(shí)驗(yàn)結(jié)果顯示，CNN對(duì)于圖像數(shù)據(jù)的入侵檢測(cè)有著明顯優(yōu)異的效果。但是目前研究的是將數(shù)據(jù)預(yù)先經(jīng)過數(shù)值化、歸一化處理后再進(jìn)行可視化處理，才能達(dá)到效果。

參考文獻(xiàn)

[1]賈凡，孔令智.基于卷積神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)算法[J].北京理工大學(xué)學(xué)報(bào)，2017，37（12）：1271-1275.

[2] TZELEPIS C，MEZARIS V，PATRAS I. Linear maximum margin classifier for learning from uncertain data [J]. IEEE transactions on pattern analysis & machine intelligence，2017，40（12）：2948-2962.

[3] MENG X M，WU S，ZHU J. A unified Bayesian inference framework for generalized linear models [J]. IEEE signal processing letters，2018，25（3）：398-402.

[4]周飛燕，金林鵬，董軍.卷積神經(jīng)網(wǎng)絡(luò)研究綜述[J].計(jì)算機(jī)學(xué)報(bào)，2017，40（6）：1229-1251.

[5] SIDDIQUE K，AKHTAR Z，KHAN F A，et al. KDD cup 99 data sets：a perspective on the role of data sets in network intrusion detection research [J]. Computer，2019，52（2）：41-51.

[6] TAVALLAEE M，BAGHERI E，LU W，et al. A detailed analysis of the KDD CUP 99 data set [C]// 2009 IEEE Symposium on Computational Intelligence for Security and Defense Applications. Ottawa：IEEE，2009：53-58.

[7] CORT?S V，DIETERICH P S，MOHAUPT T. ASK/PSK-correspondence and the r-map [J]. Letters in mathematical physics，2018，108：1279-1306.

[8] RUOTI S，HEIDBRINK S，ONEILL M，et al. Intrusion detection with unsupervised heterogeneous ensembles using cluster-based normalization [C]// 24th IEEE International Conference on Web Services. Honolulu：IEEE，2017：862-865.

[9]薛瀟，劉以安，闞媛，等.基于FCM-GRNN聚類的入侵檢測(cè)算法研究[J].計(jì)算機(jī)仿真，2010，27（6）：151-154.

[10] SCH?LKOPF B，PLATT J，HOFMANN T. Greedy layer-wise training of deep networks [J]. Advances in neural information processing systems，2007，19：153-160.

[11]盧強(qiáng)，游榮義，葉曉紅.基于自適應(yīng)卷積濾波的網(wǎng)絡(luò)近鄰入侵檢測(cè)算法[J].計(jì)算機(jī)科學(xué)，2018，45（7）：160-163.

[12]佚名.關(guān)于改進(jìn)的激活函數(shù)TReLU的研究[J].小型微型計(jì)算機(jī)系統(tǒng)，2019，40（1）：60-65.

[13] CHEN T，LU S J，F(xiàn)AN J Y. SS-HCNN：semi-supervised hierarchical convolutional neural network for image classification [J]. IEEE transactions on image processing，2019，28（5）：2389-2398.

[14] HAO H，XU H，WANG X，et al. Maximum F1-score discriminative training criterion for automatic mispronunciation detection [J]. IEEE/ACM transactions on audio speech & language processing，2015，23（4）：787-797.

[15]張新有，曾華燊，賈磊，等.入侵檢測(cè)數(shù)據(jù)集KDDCUP99研究

[J].計(jì)算機(jī)工程與設(shè)計(jì)，2010，31（22）：4809-4812.