◆王思敏 王恒

基于深度學(xué)習(xí)的入侵檢測技術(shù)

◆王思敏 王恒通訊作者

（寧夏大學(xué) 信息工程學(xué)院 寧夏 750000）

傳統(tǒng)的以防護為主的網(wǎng)絡(luò)安全技術(shù)已經(jīng)很難解決當(dāng)前存在的復(fù)雜的網(wǎng)絡(luò)安全問題，基于深度學(xué)習(xí)的入侵檢測技術(shù)能夠通過收集計算機網(wǎng)絡(luò)或者主機上的若干關(guān)鍵點信息并對其進行分析，實時監(jiān)測網(wǎng)絡(luò)中是否有違反安全策略的行為或網(wǎng)絡(luò)遭到襲擊的現(xiàn)象。本文主要圍繞基于深度學(xué)習(xí)的入侵檢測的關(guān)鍵技術(shù)和流程進行闡述，介紹了基于深度學(xué)習(xí)的入侵檢測算法的評價指標(biāo)，并對基于深度學(xué)習(xí)的入侵檢測方法進行了總結(jié)和展望。

網(wǎng)絡(luò)安全；入侵檢測；深度學(xué)習(xí)

1 引言

由于攻擊類型日益增多，攻擊方法日益復(fù)雜，導(dǎo)致網(wǎng)絡(luò)中產(chǎn)生的安全問題越來越嚴(yán)重。傳統(tǒng)的以防火墻為主體的安全防護措施已經(jīng)顯得越來越力不從心，所以怎樣能夠更好地解決日益復(fù)雜的網(wǎng)絡(luò)安全問題成為亟待解決的問題。

入侵檢測[1]是解決網(wǎng)絡(luò)安全問題的重要工具，其目的是檢測出網(wǎng)絡(luò)是否存在潛在或惡意的攻擊。1980年，James Anderson[2]提出了審計記錄可以用于識別計算機誤用操作，監(jiān)測入侵檢測行為。1986年，SRI的Dorothy E.Denning[3]在論文中首次將入侵檢測的概念作為一種計算機系統(tǒng)安全防御措施提出，并且建立了一個獨立于系統(tǒng)、程序應(yīng)用環(huán)境的通用入侵檢測系統(tǒng)模型。

直至20世紀(jì)九十年代，關(guān)于機器學(xué)習(xí)的入侵檢測方法逐漸興起，數(shù)據(jù)通過特征提取[4]，在得到特征向量后，將其輸入分類器，最終通過模型輸出的分類結(jié)果判定是正?；蛉肭?。但是傳統(tǒng)的機器學(xué)習(xí)方法不能對網(wǎng)絡(luò)環(huán)境下海量的入侵?jǐn)?shù)據(jù)進行分類。而深度學(xué)習(xí)能夠從數(shù)據(jù)中自動提取更好的特征，基于深度學(xué)習(xí)的入侵檢測模型[5]成為解決當(dāng)前網(wǎng)絡(luò)安全問題主流的研究思想。

2 基于深度學(xué)習(xí)的入侵檢測概述

基于深度學(xué)習(xí)的入侵檢測的判別行為指的是按照一定的分類標(biāo)準(zhǔn)對入侵檢測的數(shù)據(jù)集進行分類標(biāo)記。比如KDDCUP99[6]數(shù)據(jù)集，它共有42項特征，前41項分為4類：TCP連接的基本特征、TCP連接的內(nèi)容特征、基于時間的網(wǎng)絡(luò)流量統(tǒng)計特征和基于主機的網(wǎng)絡(luò)流量統(tǒng)計特征。最后一位是標(biāo)記特征，將攻擊類型分為4類：DoS拒絕服務(wù)攻擊、R2L攻擊、U2R攻擊和PROBEL攻擊。通過基于深度學(xué)習(xí)的入侵檢測模型學(xué)習(xí)對KDDCUP99數(shù)據(jù)集進行分類。

基于深度學(xué)習(xí)的入侵檢測從流程上可分為數(shù)據(jù)預(yù)處理、詞向量化和模型的訓(xùn)練等過程。

3 基于深度學(xué)習(xí)的入侵檢測關(guān)鍵技術(shù)

3.1 數(shù)據(jù)預(yù)處理

3.2 詞向量

獲取到的入侵檢測預(yù)處理后的數(shù)據(jù)不能直接作為計算機的輸入，需要轉(zhuǎn)化為詞向量?；谏窠?jīng)網(wǎng)絡(luò)的詞向量訓(xùn)練有兩種模型，分別是連續(xù)詞袋模型（Continuous Bag-of-Word Model：CBOW）和跳字模型（Continuous skip-gram Model：Skip-Gram）。CBOW是通過周圍的詞去預(yù)測中心詞，預(yù)處理后的數(shù)據(jù)通過詞向量的模型訓(xùn)練會得到與每個特征和標(biāo)簽對應(yīng)的詞向量，然后進行模型的訓(xùn)練。

3.3 基于深度學(xué)習(xí)的入侵檢測模型

3.3.1循環(huán)神經(jīng)網(wǎng)絡(luò)與入侵檢測

where Rg was the resistance associated with the gate metallization.

循環(huán)神經(jīng)網(wǎng)絡(luò)（Recurrent Neural Networks：RNN）是一類用于處理序列數(shù)據(jù)的神經(jīng)網(wǎng)絡(luò)，由輸入層、隱藏層、輸出層組成。它的訓(xùn)練方式分為前向傳播和反向傳播。

（1）前向傳播公式為：

T時刻輸出為：

其中（）為激活函數(shù)，一般選擇tanh函數(shù)，為偏置，是輸入，是隱層單元，、、是權(quán)值，為激活函數(shù)，在入侵檢測中一般用softmax函數(shù)進行二分類。

（2）反向傳播采用隨時間反向傳播（Back-propagation Through Time：BPTT）算法計算各個參數(shù)的梯度。

由于RNN對于較長的序列無法記住以前的狀態(tài)，因此引入了門控單元，它是通過設(shè)置門結(jié)構(gòu)來選擇性的決定是否記憶或遺忘。門控單元包括長短期記憶神經(jīng)網(wǎng)絡(luò)[7]、雙向長短期記憶神經(jīng)網(wǎng)絡(luò)[8]等。

3.3.2長短期記憶神經(jīng)網(wǎng)絡(luò)與入侵檢測

遺忘門是決定記憶細(xì)胞丟棄什么東西，采用sigmoid激活函數(shù)，它介于（0，1）之間，輸出用于遺忘權(quán)重的更新。公式為：

輸入門決定了需要新增的內(nèi)容，采用sigmod激活函數(shù)。

輸出門決定輸出什么內(nèi)容，表示當(dāng)前時刻，若O=0則表示不輸出，若O=1則表示輸出。計算O的公式為：

待輸出的內(nèi)容公式為：

由于LSTM網(wǎng)絡(luò)不能記住未來時刻的內(nèi)容，只能記憶過去和當(dāng)前，所以為了更好記憶，引入了雙向長短期記憶的概念。

3.3.3雙向長短期記憶網(wǎng)絡(luò)和入侵檢測

通過雙向長短時記憶網(wǎng)絡(luò)可以把整個句子學(xué)習(xí)完整并且記憶，因此能更好提高模型的學(xué)習(xí)精度和準(zhǔn)確率。

4 入侵檢測的其他方法

4.1 遷移學(xué)習(xí)與入侵檢測

遷移學(xué)習(xí)[9]在對時間序列進行分類時，首先在源數(shù)據(jù)集上訓(xùn)練網(wǎng)絡(luò)，然后將學(xué)習(xí)到的特征即網(wǎng)絡(luò)的權(quán)重轉(zhuǎn)移到目標(biāo)數(shù)據(jù)集上訓(xùn)練的第二個網(wǎng)絡(luò)的過程。對預(yù)先訓(xùn)練好的模型進行微調(diào)，減小了對標(biāo)注數(shù)據(jù)的依賴，模型性能預(yù)標(biāo)注數(shù)據(jù)量可以不成正比。通過遷移學(xué)習(xí)能夠提高深度神經(jīng)網(wǎng)絡(luò)的泛化能力。在檢測網(wǎng)絡(luò)是否被入侵時通過遷移學(xué)習(xí)的方法，可以得到更精確的結(jié)果。

5 評價指標(biāo)

各評價指標(biāo)可計算如下：

其中為被系統(tǒng)正確識別的正常樣本；為被系統(tǒng)正確識別的攻擊樣本；為被系統(tǒng)錯誤識別為正常的攻擊樣本；為被系統(tǒng)錯誤識別為攻擊的正常樣本。

6 結(jié)論

本文首先對獲取到的入侵檢測數(shù)據(jù)進行預(yù)處理，然后通過基于詞嵌入技術(shù)的深度神經(jīng)網(wǎng)絡(luò)入侵檢測模型對預(yù)處理后的特征和標(biāo)簽進行自主學(xué)習(xí)，更高效準(zhǔn)確地判別出網(wǎng)絡(luò)是否存在攻擊，同時減少了誤報率。

[1]薛傳東. 網(wǎng)絡(luò)入侵檢測技術(shù)分析[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（11）：37-38.

[2]Anup K. Ghos，Anderson J. P.. Computer security threat monitoring and surveillance [P]. PA 19304，USA，1980.4.

[3]陸坤，姜厚云. 基于SMF的大型主機DB2數(shù)據(jù)庫分析工具[J]. 實驗技術(shù)與管理，2017，34（08）：141-145.

[4]宋勇，侯冰楠，蔡志平. 基于深度學(xué)習(xí)特征提取的網(wǎng)絡(luò)入侵檢測方法[J]. 華中科技大學(xué)學(xué)報（自然科學(xué)版），2021，49（02）：115-120.

[5]崔建京. 基于復(fù)雜結(jié)構(gòu)深度神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)研究[D]. 國防科技大學(xué)，2018.

[6]吳建勝，張文鵬，馬垣. KDDCUP99數(shù)據(jù)集的數(shù)據(jù)分析研究[J]. 計算機應(yīng)用與軟件，2014，31（11）：321-325.

[7]丁亞雷. 基于長短期記憶模型的入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)[D]. 東南大學(xué)，2019.

[8]周航，凌捷. 改進的基于BiLSTM的網(wǎng)絡(luò)入侵檢測方法[J]. 計算機工程與設(shè)計，2020，41（07）：1809-1814.

[9]盧明星，杜國真，季澤旭. 基于深度遷移學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測[J]. 計算機應(yīng)用研究，2020，37（09）：2811-2814.

結(jié)合注意力機制基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測研究（2021AAC03114）