馮英引，師智斌

(中北大學(xué) 大數(shù)據(jù)學(xué)院，山西 太原 030051)

0 引 言

作為機(jī)器學(xué)習(xí)的重要組成部分，深度學(xué)習(xí)在文本處理、 圖像分類、 語音識(shí)別等復(fù)雜領(lǐng)域取得了巨大進(jìn)步，同樣在網(wǎng)絡(luò)入侵檢測研究中表現(xiàn)出良好的分類性能. 文獻(xiàn)[1]直接把原始流量轉(zhuǎn)換為圖片輸入卷積神經(jīng)網(wǎng)絡(luò)CNN進(jìn)行學(xué)習(xí)，得到的分類器效果接近實(shí)際應(yīng)用水平； 文獻(xiàn)[2]針對UNSW-NB15數(shù)據(jù)集的原始流量包使用獨(dú)熱編碼進(jìn)行維度重構(gòu)，利用GoogLeNet對重構(gòu)數(shù)據(jù)進(jìn)行特征學(xué)習(xí)，實(shí)驗(yàn)結(jié)果優(yōu)于其他基于特征數(shù)據(jù)的深度學(xué)習(xí)方法； 文獻(xiàn)[3]結(jié)合CNN和LSTM兩種深度學(xué)習(xí)算法，學(xué)習(xí)網(wǎng)絡(luò)流量數(shù)據(jù)的時(shí)空特征，在CICIDS2017數(shù)據(jù)集上的總體準(zhǔn)確率達(dá)到99.57%； 文獻(xiàn)[4]基于SMOTE-Tomek采樣結(jié)合卷積神經(jīng)網(wǎng)絡(luò)構(gòu)建模型，提高了模型的二分類和多分類效果.

綜上所述，采用超聲診斷急性闌尾炎的準(zhǔn)確性較高，且可對患者疾病類型予以明確診斷，還可為患者疾病診治提供可靠影像學(xué)依據(jù)。

愛國主義是一種民族精神，是團(tuán)結(jié)一心、自強(qiáng)不息。習(xí)近平總書記指出：“愛國主義是中華民族精神的核心?！盵注]習(xí)近平：《在紀(jì)念中國人民抗日戰(zhàn)爭暨世界反法西斯戰(zhàn)爭勝利69周年座談會(huì)上的講話》，《人民日報(bào)》2014年9月4日，第2版。中華民族的民族精神以愛國主義為核心，愛國主義是中華民族的精神基因，愛國主義深深植根于中華民族心中。作為民族精神核心的愛國主義，它既是中華民族團(tuán)結(jié)一心的精神紐帶，也是中華兒女自強(qiáng)不息的精神動(dòng)力。

研究表明，深度學(xué)習(xí)在多個(gè)網(wǎng)絡(luò)入侵檢測公開數(shù)據(jù)集上實(shí)驗(yàn)效果很好，但是大多數(shù)研究存在的共同問題是未能考慮到類別不平衡問題. 類別不平衡是指同一個(gè)分類問題中某些類別的樣本數(shù)量遠(yuǎn)大于其他類別的樣本數(shù)量，將未經(jīng)處理的不平衡數(shù)據(jù)集直接輸入傳統(tǒng)分類器會(huì)導(dǎo)致多數(shù)類淹沒少數(shù)類，得不到好的分類效果[5]. 入侵檢測樣本數(shù)據(jù)中，往往正常樣本數(shù)據(jù)遠(yuǎn)多于入侵樣本數(shù)據(jù)，或者攻擊類別之間數(shù)量差距很大. 針對數(shù)據(jù)不平衡帶來的分類問題，一般從數(shù)據(jù)和算法兩個(gè)層面進(jìn)行處理. 文獻(xiàn)[6]使用過采樣技術(shù)結(jié)合Focal Loss損失函數(shù)，解決了NSL-KDD數(shù)據(jù)集類別不平衡帶來的問題； 文獻(xiàn)[7]在數(shù)據(jù)層面使用SMOTE和bootstrap分階段抽樣方法均衡類別間數(shù)量，在算法層面提出了基于棧式稀疏自編碼網(wǎng)絡(luò)的集成學(xué)習(xí)方式，明顯提升了KDDCUP99數(shù)據(jù)集上少數(shù)類的檢測效果. 但是以上兩種方法均使用處理后的特征數(shù)據(jù)集進(jìn)行學(xué)習(xí)，未能充分利用深度學(xué)習(xí)從原始數(shù)據(jù)中自動(dòng)提取特征的優(yōu)勢.

綜合分析上述文獻(xiàn)在網(wǎng)絡(luò)入侵檢測研究中存在的數(shù)據(jù)集較為老舊、 類別不平衡、 多分類檢測效果不理想、 未結(jié)合深度學(xué)習(xí)模型和原始流量等問題，本文提出一種類別重組技術(shù)結(jié)合FocalLoss損失函數(shù)的不平衡類別處理方法，應(yīng)用于原始入侵流量數(shù)據(jù)集. 該方法調(diào)整了訓(xùn)練過程中入侵流量數(shù)據(jù)集的不平衡性，并通過Focal Loss損失函數(shù)來提高模型對復(fù)雜入侵流量樣本的關(guān)注.

1 網(wǎng)絡(luò)入侵檢測算法

輸出：流量灰度圖集合IMG={g1,g2,g3,…，gn}

1.1 數(shù)據(jù)集預(yù)處理

UNSW-NB15數(shù)據(jù)集[8-9]包括9種類型攻擊，由于原始流量數(shù)據(jù)是混合流量，首先利用WireShark工具根據(jù)IP地址把流量文件分割為正常流量和異常流量. 流量特有的MAC地址和IP地址信息會(huì)影響模型的特征學(xué)習(xí)，而所有數(shù)據(jù)包的數(shù)據(jù)鏈路層被替換為Linux cooked capture，流量數(shù)據(jù)是在同一個(gè)網(wǎng)絡(luò)環(huán)境下產(chǎn)生的，因此，不需要進(jìn)行流量清洗. 數(shù)據(jù)預(yù)處理流程分為流量切分、 流量打標(biāo)、 會(huì)話截取和圖片生成四個(gè)步驟.

步驟1(流量切分)：將原始流量數(shù)據(jù)按照相同五元組(源IP，源端口，目的IP，目的端口，傳輸層協(xié)議)切分成多個(gè)會(huì)話流量，會(huì)話流量文件以五元組屬性命名，保存格式為PCAP.

步驟2(流量打標(biāo))：UNSW-NB15_GT.CSV文件記錄了9種攻擊類型的詳細(xì)屬性，包括時(shí)間戳、 五元組信息、 攻擊類別等. 根據(jù)真值表的數(shù)據(jù)記錄與會(huì)話流量五元組的對應(yīng)關(guān)系，把切分好的會(huì)話流量打上標(biāo)簽并分類到對應(yīng)文件夾中.

4 alpha_choice←tf.gather(alpha,Labels)/*為各類別樣本加上類別權(quán)重alpha*/

步驟4(圖片生成)：對每條會(huì)話流的前7個(gè)數(shù)據(jù)包進(jìn)行編碼處理. 數(shù)據(jù)包在鏈路層上傳輸時(shí)的最終形式是十六進(jìn)制，將截取部分的十六進(jìn)制數(shù)據(jù)轉(zhuǎn)換為十進(jìn)制數(shù)據(jù)，每兩位十六進(jìn)制數(shù)對應(yīng)一個(gè)灰度圖像素值，最大值ff=255，范圍0～255. 將像素矩陣保存為PNG圖片. 以下為會(huì)話流量生成灰度圖的偽代碼.

算法1 PNG=Session2Png(Session)

輸入：會(huì)話流量集合Session={s1,s2,s3,…，sn}

本節(jié)將詳細(xì)介紹原始流量數(shù)據(jù)集的預(yù)處理流程，類別不平衡的處理辦法以及網(wǎng)絡(luò)入侵檢測算法的整體框架.

1 forf←s1tosndo

2 hex_series←?/*hex_series保存會(huì)話流量f對應(yīng)的十六進(jìn)制字節(jié)序列*/

3 packet={p1,p2,p3,…,pn}←editcap(f,1～7)/*使用editcap腳本截取會(huì)話流量文件f的前7個(gè)分組packet*/

4 for pkt←p1topndo

另外，0號(hào)高壓加熱器抽汽管道的調(diào)節(jié)閥具備一次調(diào)頻能力，可以降低汽輪機(jī)主蒸汽調(diào)節(jié)閥節(jié)流損失，進(jìn)一步提高機(jī)組熱經(jīng)濟(jì)性[18]。

5 hexst←getHex(pkt)/*getHex函數(shù)得到單個(gè)分組pkt對應(yīng)的十六進(jìn)制字節(jié)序列*/

6 if hexst.length<112bytes

結(jié)合這兩種改進(jìn)方法，最終Focal Loss損失函數(shù)形式如式(3)所示，將其用于網(wǎng)絡(luò)入侵檢測多分類實(shí)驗(yàn). 其中，p代表把樣本識(shí)別為對應(yīng)類別的概率；α代表樣本的類別權(quán)重，樣本個(gè)數(shù)越多其權(quán)重越小，范圍在(0，1]之間；γ是一個(gè)大于0的常數(shù)，與類別無關(guān).

8 hexst←hexst[0∶112]/*取前112字節(jié)*/

9 hex_series←hex_series+hexst/*合并數(shù)據(jù)包十六進(jìn)制數(shù)序列hexst，用hex_series保存*/

10 endfor

11 if hex_series.length<784bytes

12 thenhex_series←padding(hex_series)/*長度少于784字節(jié)，則用0x00補(bǔ)足*/

13 mat←getMatrix(hex_series)/*將784字節(jié)十六進(jìn)制數(shù)序列hex_series轉(zhuǎn)換為對應(yīng)十進(jìn)制28*28的數(shù)值矩陣*/

14 g←img.save(mat,png)/*28*28二維矩陣保存為PNG灰度圖像*/

15 endfor

經(jīng)過數(shù)據(jù)預(yù)處理流程，一共生成82 825條流量圖片數(shù)據(jù)，類別樣本數(shù)量見表1. 由于正常流量數(shù)據(jù)過于龐大，本文只隨機(jī)選擇一個(gè)pcap文件中的正常流量作為Normal樣本進(jìn)行預(yù)處理.

表1 流量預(yù)處理結(jié)果

1.2 類別不平衡處理方法

1.2.1 類別重組技術(shù)

類別重組技術(shù)對流量樣本進(jìn)行均勻采樣，使得訓(xùn)練集內(nèi)各攻擊類別相對均衡，以下為實(shí)現(xiàn)類別重組的具體方法.

“好！”顏曉晨依舊分不清東南西北，卻立即答應(yīng)了，就如被五百萬砸中的人，即使蒙到完全不知道該如何應(yīng)對飛來橫財(cái)，卻一定會(huì)先緊緊抓住了。兩個(gè)確認(rèn)了戀愛關(guān)系的“親密戀人”，卻一點(diǎn)沒有親密的姿態(tài)，更沒有喜悅的表情。沈侯沉默著，好像不知道該再說些什么，顏曉晨也沉默著，是真不知道該說什么。

1) 對10類流量圖片各隨機(jī)采樣8/10作為基礎(chǔ)，得到不均衡的10類隨機(jī)流量列表；

2) 計(jì)算每個(gè)類別樣本數(shù)量，記錄最大樣本數(shù)為MAX_LIST；

高校開展武術(shù)散打課程是綜合素質(zhì)教育下的觀念，是促進(jìn)教學(xué)體系進(jìn)一步完善，是高校為提升校園文化內(nèi)涵的一種措施。為學(xué)校提供了培養(yǎng)人才的新觀念，在修養(yǎng)方面，武術(shù)散打運(yùn)動(dòng)課程在理論思想學(xué)習(xí)上可以切實(shí)提高學(xué)生的道德和修養(yǎng)，使學(xué)生不僅能掌握以巧智取、順勢借力等技擊原則，還能傳承中國人禮讓為先、有禮有節(jié)、剛強(qiáng)而不狂野，注重內(nèi)外兼修的文化傳統(tǒng)。由此可以看出武術(shù)散打在教育上并不是單單地傳授技術(shù)練習(xí)，更加注重對學(xué)生道德品質(zhì)的完善和提升,對促進(jìn)學(xué)校綜合教育質(zhì)量有重要的作用。

3) 為每個(gè)類別產(chǎn)生一個(gè)隨機(jī)排列列表random_list，種子數(shù)為MAX_LIST；

鐘志英等發(fā)現(xiàn)芪參益氣滴丸具有明顯的促進(jìn)雞胚尿囊膜（CAM）血管新生的作用，在大、中血管增生效果更為明顯，對HUVECs具有增殖影響。

4) 用random_list中的隨機(jī)數(shù)對各類別的樣本數(shù)取余，得到對應(yīng)索引值列表index_list；

5) 根據(jù)各類別的index_list列表，利用索引值提取流量圖片，生成該類別的圖片隨機(jī)列表img_list，大小和最大樣本數(shù)MAX_LIST相同；

6) 所有類別的img_list連在一起隨機(jī)打亂次序，得到最終流量圖片列表all_img_list，每類樣本數(shù)目均等.

在利用卷積神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)流量樣本時(shí)，保證batch從類別分布均勻的all_img_list生成的train.tfrecords文件中隨機(jī)選擇樣本. 隨著迭代次數(shù)的增加，整體輸入網(wǎng)絡(luò)的流量樣本趨于類別均衡.

1.2.2 Focal Loss損失函數(shù)

2004年，英國曼徹斯特大學(xué)的Geim和Novoselov首次采用機(jī)械剝離法，成功制備出單原子層的二維晶體——石墨烯，震撼了物理界[1]。石墨烯是由純碳原子組成的六元環(huán)平面結(jié)構(gòu)構(gòu)成的二維材料，是其他維數(shù)碳材料(富勒烯、碳納米管和石墨等)的構(gòu)筑單元。因其獨(dú)特的物理化學(xué)性質(zhì)，如大理論比表面積、高機(jī)械強(qiáng)度、高電導(dǎo)率、良好的生物兼容性及易功能化等，石墨烯成為電化學(xué)傳感器的理想材料，其在傳感器領(lǐng)域的應(yīng)用也得到了越來越多的關(guān)注。

Focal Loss主要是為了解決one-stage目標(biāo)檢測中正負(fù)樣本比例嚴(yán)重失衡的問題，該損失函數(shù)降低了大量簡單負(fù)樣本在訓(xùn)練中所占的權(quán)重.

Focal Loss在標(biāo)準(zhǔn)交叉熵的基礎(chǔ)上進(jìn)行修改. 式(1)為標(biāo)準(zhǔn)交叉熵，pt代表把樣本識(shí)別為正類的概率. 大量簡單負(fù)樣本的loss值會(huì)主導(dǎo)梯度下降的方向，淹沒少量正樣本的影響. 為了平衡正負(fù)樣本，為標(biāo)準(zhǔn)交叉熵添加一個(gè)權(quán)重因子α. 負(fù)樣本越多，權(quán)重越小，降低了負(fù)樣本的影響. 針對簡單樣本和復(fù)雜樣本之間的不平衡，定義了Focal Loss損失函數(shù)形式，如式(2)所示.γ是一個(gè)大于0的常數(shù)，簡單樣本pt比較大，γ使其權(quán)重減?。?復(fù)雜樣本pt比較小，γ使其權(quán)重增大，網(wǎng)絡(luò)傾向于利用這類樣本進(jìn)行參數(shù)更新.

ESP教學(xué)教師應(yīng)既有專業(yè)素養(yǎng)，又能用流利的英語表達(dá)和分析專業(yè)知識(shí)。Dudley Evans和St.John(1998)指出一個(gè)合格ESP教師應(yīng)扮演的五種角色：很高的英語水平的英語教師；可以更具需要設(shè)計(jì)課堂教學(xué)的課程設(shè)計(jì)者；能搞與專業(yè)教師與學(xué)生合作的合作者；隨時(shí)關(guān)注本領(lǐng)域最新發(fā)展的研究者；根據(jù)學(xué)生學(xué)習(xí)情況進(jìn)行分析和總結(jié)的測試評估者。對照國外ESP教師衡量標(biāo)準(zhǔn)，筆者認(rèn)為現(xiàn)階段國內(nèi)ESP師資的短板主要表現(xiàn)在高水平教師和研究者這兩種角色上。

CE(pt)=-log(pt),

(1)

7 Loss←mean(tf.multiply(weight, tf.log(prob)))/*依據(jù)式(3)計(jì)算batch內(nèi)部的平均Loss*/

(2)

7 then hexst←padding(hexst)/*hexst長度少于112字節(jié)，則用0x00補(bǔ)足*/

伴隨信息化和現(xiàn)代化的不斷發(fā)展，我國保險(xiǎn)公司的財(cái)務(wù)風(fēng)險(xiǎn)管控也越來越受到社會(huì)關(guān)注，這不僅關(guān)系著國民經(jīng)濟(jì)的發(fā)展，也牽扯著社會(huì)關(guān)系的和諧與否。因此，建立完整的財(cái)務(wù)風(fēng)險(xiǎn)預(yù)警體系是當(dāng)務(wù)之急。利用財(cái)務(wù)風(fēng)險(xiǎn)預(yù)警體系，可以在實(shí)際運(yùn)行中為保險(xiǎn)公司提供實(shí)時(shí)的風(fēng)險(xiǎn)動(dòng)態(tài)，同時(shí)也能對潛在的風(fēng)險(xiǎn)進(jìn)行預(yù)警通報(bào)以做好防控措施?？梢杂行Ы档拓?cái)務(wù)風(fēng)險(xiǎn)發(fā)生的可能性，同時(shí)也能在風(fēng)險(xiǎn)真的發(fā)生之時(shí)以最有效的措施應(yīng)對，減少因財(cái)務(wù)風(fēng)險(xiǎn)引起的企業(yè)財(cái)務(wù)損失。

FL(p)=-α(1-p)γlog(p).

(3)

算法2 Focal Loss損失函數(shù)

輸入：網(wǎng)絡(luò)計(jì)算輸出值Logits={o1,o2,o3,…,on}

樣本真實(shí)標(biāo)簽Labels={b1,b2,b3,…,bn}

輸出：平均損失Loss

1 alpha←[α1,α2,…,α10]/*初始化alpha向量，即各類別樣本權(quán)重*/

2 softmax←Softmax(Logits)/*歸一化，計(jì)算單個(gè)樣本屬于每一類的概率值*/

3 prob←getprob(softmax,Labels)/*得到batch中每個(gè)訓(xùn)練樣本屬于各個(gè)類別的概率*/

步驟3(會(huì)話截取)：對10個(gè)類別文件夾中的會(huì)話流逐個(gè)進(jìn)行處理. 為了實(shí)現(xiàn)對會(huì)話流的實(shí)時(shí)檢測，只保留每條會(huì)話流的前七個(gè)數(shù)據(jù)包，利用editcap工具進(jìn)行截取操作.

陳遠(yuǎn)景副廳長到永嘉縉云調(diào)研（省廳執(zhí)法監(jiān)察局〈監(jiān)察總隊(duì)〉） ...................................................................12-12

5 weight←pow(tf.subtract(1., prob), gamma)

6 weight←multiply(alpha_choice, weight)

FL(pt)=-(1-pt)γlog(pt).

1.3 整體框架

網(wǎng)絡(luò)入侵檢測算法基于卷積神經(jīng)網(wǎng)絡(luò)模型進(jìn)行實(shí)驗(yàn)，在LeNet[10]，AlexNet[11]，GoogLeNet[12]3類模型上進(jìn)行學(xué)習(xí).

GoogLeNet在建立更深網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上，引入了Inception模塊，增加了網(wǎng)絡(luò)寬度，提升了網(wǎng)絡(luò)性能. 本文中使用InceptionV4版本進(jìn)行訓(xùn)練. Inception V4模型包括1個(gè)Stem 模塊，3個(gè) Inception 模塊和2個(gè)Reduction模塊. Stem模塊對進(jìn)入Inception模塊前的數(shù)據(jù)進(jìn)行預(yù)處理，利用多次卷積操作加上2次池化操作，把 299*299*1的輸入轉(zhuǎn)換為35*35*384的輸出，減小了對圖片壓縮的精度損失； Reduction 模塊借鑒Inception 的設(shè)計(jì)，使用并行結(jié)構(gòu)避免了特征表示的瓶頸問題并能實(shí)現(xiàn)降維功能，把 35*35 的網(wǎng)絡(luò)尺寸改變?yōu)?7*17，8*8，降低了 Inception 模塊之間的網(wǎng)絡(luò)尺寸. Inception 結(jié)構(gòu)采用不同大小的卷積核學(xué)習(xí)不同尺度特征并進(jìn)行特征融合，可提高深層卷積神經(jīng)網(wǎng)絡(luò)的圖像識(shí)別能力.

圖1 為基于卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測算法流程.

圖1 網(wǎng)絡(luò)入侵檢測算法整體框架

在特征學(xué)習(xí)模塊分別使用三種CNN模型進(jìn)行特征提取和表征學(xué)習(xí)，通過調(diào)整重要參數(shù)值，使每種模型的學(xué)習(xí)能力達(dá)到最優(yōu).

2 實(shí)驗(yàn)與分析

2.1 數(shù)據(jù)集描述

實(shí)驗(yàn)所用原始流量UNSW-NB15是澳大利亞網(wǎng)絡(luò)安全中心(ACCS)于2015年在實(shí)驗(yàn)室采集的現(xiàn)代網(wǎng)絡(luò)正常活動(dòng)和綜合攻擊活動(dòng)的混合流量. 研究人員利用IXIA PerfectStorm工具模擬了9種攻擊類別產(chǎn)生的異常流量，包括Analysis，Backdoors，DoS，Exploits，F(xiàn)uzzers，Generic，Reconnaissance，Shellcode，Worms.

事情總算圓滿解決了。三十來萬的損失，幾經(jīng)周折，終于塵埃落定，小倆口再不用愁眉苦臉了。不管歷經(jīng)多少坎坷，不管飽受多少折磨，如今皆是過眼云煙。小倆口覺得很幸福，很輕松。不過玉敏心里仍不是個(gè)滋味，纏著要和小蟲談?wù)劇Ｓ衩粽f很對不起姑父，讓他破費(fèi)了。小蟲調(diào)侃道，姑父破費(fèi)就對了，這是正當(dāng)消費(fèi)，沒花冤枉錢，享用無償消費(fèi)心里并不踏實(shí)。玉敏點(diǎn)點(diǎn)頭。小蟲伸過胳膊，將玉敏摟住，兩人再度把幸福感推向了高潮。

本文只用到了原始流量數(shù)據(jù)和記錄攻擊事件的真值表UNSW-NB15_GT.CSV. 在網(wǎng)絡(luò)入侵檢測多分類實(shí)驗(yàn)中，用到的訓(xùn)練數(shù)據(jù)集如表2 所示. 可以發(fā)現(xiàn)訓(xùn)練集的攻擊類別數(shù)目相差很大.

表2 多分類數(shù)據(jù)集

2.2 實(shí)驗(yàn)配置及評價(jià)指標(biāo)

使用的軟件框架是TensorFlow，運(yùn)行在Ubuntu16.04 64位操作系統(tǒng)中. 實(shí)驗(yàn)硬件方面，CPU是12核Xeon E5-2678 2.50 GHz，內(nèi)存是125.8 GB. 此外，使用一塊Nvidia GeForce RTX 2080 Ti GPU作為加速器. 隨機(jī)挑選2/10作為測試數(shù)據(jù)，剩余8/10作為訓(xùn)練數(shù)據(jù). 訓(xùn)練時(shí)，mini-batch尺寸是64，優(yōu)化方法為TF內(nèi)置的AdamOptimizer，學(xué)習(xí)速率為0.000 1.

針對網(wǎng)絡(luò)入侵檢測實(shí)驗(yàn)采用的評價(jià)指標(biāo)為準(zhǔn)確率(Accuracy)，精確率(又稱為查準(zhǔn)率，Precision)，召回率(又稱為查全率，Recall)和F1值.

式中：TP表示被正確識(shí)別出的目標(biāo)流量數(shù)目；TN表示被正確識(shí)別出的其他類別流量數(shù)目；FP表示被錯(cuò)誤識(shí)別出的目標(biāo)流量數(shù)目；FN表示未被識(shí)別到的目標(biāo)流量數(shù)目.

2.3 實(shí)驗(yàn)1

實(shí)驗(yàn)1對比了 LeNet，AlexNet 和 GoogLeNet 3種模型對于網(wǎng)絡(luò)入侵檢測數(shù)據(jù)集的分類效果，采用不同深度、 不同結(jié)構(gòu)的CNN網(wǎng)絡(luò)對數(shù)據(jù)集進(jìn)行特征提取和分類. 3種CNN模型基于Tensorflow平臺(tái)搭建，基于相同的訓(xùn)練集進(jìn)行特征學(xué)習(xí)，數(shù)據(jù)集中訓(xùn)練集與測試集比例為8∶2. 具體以f1-score分?jǐn)?shù)作為評估參數(shù)來衡量分類效果，如圖2 所示.

圖2 不同CNN分類效果

由圖2 可知，隨著模型結(jié)構(gòu)的改進(jìn)，對于每一類別的識(shí)別效果越來越好，整體識(shí)別效果為GoogLeNet>AlexNet>LeNet. Inception V4憑借更深更復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，通過多種不同尺寸的卷積核獲取多種圖片信息，分類效果更加準(zhǔn)確.

2.4 實(shí)驗(yàn)2

2.4.1 樣本數(shù)量與分類效果分析

以LeNet模型的分類結(jié)果為例，比較訓(xùn)練集中攻擊樣本數(shù)量和類別識(shí)別精度之間的關(guān)系. 如圖3 所示，Exploits，F(xiàn)uzzers，Normal，Reconnaissance的識(shí)別效果很好，與其樣本數(shù)量成正相關(guān)關(guān)系； Backdoors，Generic，Shellcode的樣本數(shù)量較少，但是其識(shí)別效果很好，說明訓(xùn)練集中的樣本都極具代表性，可以很好地表征該類別； Dos類別的識(shí)別效果與其樣本數(shù)量不匹配，可能是由于其特殊性質(zhì)，使CNN學(xué)習(xí)模型并不適用于檢測Dos攻擊類別； Analysis，Worms樣本識(shí)別率很低，造成這一結(jié)果的主要原因是類別不平衡.

圖3 類別樣本數(shù)量與識(shí)別精度的關(guān)系

2.4.2 方法有效性分析

激光淬火技術(shù)作為一種新型的熱處理工藝，與傳統(tǒng)表面淬火技術(shù)相比，具有加熱速度快、所得組織細(xì)密、淬硬性高、不變形等特點(diǎn)，并且技術(shù)適用性廣，不受感應(yīng)器制作難度的限制。本文首先將對激光淬火工藝技術(shù)作一詳細(xì)說明，其次對工廠生產(chǎn)的缸筒進(jìn)行了局部激光淬火，最后提出了生產(chǎn)中存在的主要問題及一些改進(jìn)措施。

網(wǎng)絡(luò)流量數(shù)據(jù)集存在的類別不平衡問題以及樣本的復(fù)雜性會(huì)導(dǎo)致少數(shù)類識(shí)別效果較差，嘗試使用類別重組方法結(jié)合FocalLoss損失函數(shù)進(jìn)行改進(jìn).

在數(shù)據(jù)層面，使用類別重組技術(shù)使得訓(xùn)練集內(nèi)各類別樣本分布相對均衡； 在算法層面，F(xiàn)ocal Loss損失函數(shù)中預(yù)定義向量α根據(jù)樣本比例來反向推導(dǎo)，樣本數(shù)量越多類別權(quán)重越小. 由于訓(xùn)練集已做均衡處理，因此，向量α=[1.00，1.00，1.00，1.00，1.00，1.00，1.00，1.00，1.00，1.00]. 文獻(xiàn)[10] 進(jìn)行參數(shù)對比實(shí)驗(yàn)時(shí)，γ分別取值0，0.5，1，2，5，本實(shí)驗(yàn)中同樣把γ分別取值0，0.5，1，2，5來比較FocalLoss損失函數(shù)在三種CNN模型上的應(yīng)用效果，其中base表示非平衡數(shù)據(jù)集結(jié)合標(biāo)準(zhǔn)交叉熵?fù)p失函數(shù)的模型識(shí)別效果，γ=0表示平衡數(shù)據(jù)集結(jié)合標(biāo)準(zhǔn)交叉熵?fù)p失函數(shù)的模型識(shí)別效果.

宜興市湖父鎮(zhèn)地處我國江蘇省、浙江省、安徽省的交界位置，因“太湖第一源”、“太湖之父”而得名，更以“竹的海洋”、“茶的綠洲”、“洞天世界”、“紫砂源地”而名聞遐邇。其中有國家級風(fēng)景名勝區(qū)6個(gè)，其中國家AAAA級景區(qū)3個(gè)。著名景點(diǎn)有竹海、張公洞、靈谷洞、陶祖圣境、玉女山莊、磬山崇恩寺等。

表3 不同γ參數(shù)值下LeNet實(shí)驗(yàn)的結(jié)果

表4 不同γ參數(shù)值下AlexNet實(shí)驗(yàn)的結(jié)果

表5 不同γ參數(shù)值下GoogLeNet實(shí)驗(yàn)的結(jié)果

如表3～表5 所示，使用類別重組技術(shù)平衡訓(xùn)練集后，三種CNN模型上的整體學(xué)習(xí)效果均有提高，macro- f1分別提高了6.98%，1.27%，3.66%； 針對單個(gè)模型，F(xiàn)ocalLoss損失函數(shù)γ的不同取值會(huì)略微影響模型的學(xué)習(xí)效果. 相較于γ=0的情況，在LeNet模型上，γ=0.5時(shí)學(xué)習(xí)效果最好，macro-f1分?jǐn)?shù)提高了2.27%，少數(shù)類Analysis，Worms的f1-score分別提高了 16.67%，16.67%； 在AlexNet模型上，γ=2時(shí)學(xué)習(xí)效果最好，macro-f1分?jǐn)?shù)提高了0.38%，少數(shù)類Analysis，Worms的f1-score分別提高了 8.00%，7.69%； 在GoogLeNet模型上，γ=1時(shí)學(xué)習(xí)效果最好，macro-f1分?jǐn)?shù)提高了0.6%，少數(shù)類Analysis的f1-score提高了5.17%，Worms略有下降. 實(shí)驗(yàn)結(jié)果表明：類別重組技術(shù)可以使類別間保持相對均衡，有效提高了模型的整體識(shí)別效果； FocalLoss損失函數(shù)能夠提高復(fù)雜樣本的識(shí)別效果，可以進(jìn)一步提高少數(shù)類的識(shí)別精度. 兩種方法的結(jié)合對于處理網(wǎng)絡(luò)入侵檢測中數(shù)據(jù)類別不平衡帶來的問題有一定的改進(jìn)效果.

3 結(jié)束語

深度學(xué)習(xí)可以從大量流量數(shù)據(jù)中自動(dòng)學(xué)習(xí)各類攻擊樣本的特征表示，有效提高了網(wǎng)絡(luò)入侵檢測的整體檢測率. 實(shí)驗(yàn)表明模型結(jié)構(gòu)越復(fù)雜越高級，對于攻擊流量的識(shí)別能力越好. 針對網(wǎng)絡(luò)入侵檢測中存在的類別不平衡問題，利用類別重組結(jié)合Focal Loss損失函數(shù)的混合方法在多個(gè)CNN模型上進(jìn)行實(shí)驗(yàn)，均可有效提高少數(shù)類樣本的識(shí)別精度，證明了該方法的可行性. 然而有些攻擊類別比如DoS攻擊，由于其特性，在樣本數(shù)量較大的情況下也總是難以識(shí)別，因此，未來的工作將注重于多分類場景下對DoS攻擊的檢測.