基于深度學(xué)習(xí)的入侵檢測(cè)技術(shù)

◆王思敏 王恒

基于深度學(xué)習(xí)的入侵檢測(cè)技術(shù)

◆王思敏 王恒通訊作者

（寧夏大學(xué) 信息工程學(xué)院 寧夏 750000）

傳統(tǒng)的以防護(hù)為主的網(wǎng)絡(luò)安全技術(shù)已經(jīng)很難解決當(dāng)前存在的復(fù)雜的網(wǎng)絡(luò)安全問題，基于深度學(xué)習(xí)的入侵檢測(cè)技術(shù)能夠通過(guò)收集計(jì)算機(jī)網(wǎng)絡(luò)或者主機(jī)上的若干關(guān)鍵點(diǎn)信息并對(duì)其進(jìn)行分析，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)中是否有違反安全策略的行為或網(wǎng)絡(luò)遭到襲擊的現(xiàn)象。本文主要圍繞基于深度學(xué)習(xí)的入侵檢測(cè)的關(guān)鍵技術(shù)和流程進(jìn)行闡述，介紹了基于深度學(xué)習(xí)的入侵檢測(cè)算法的評(píng)價(jià)指標(biāo)，并對(duì)基于深度學(xué)習(xí)的入侵檢測(cè)方法進(jìn)行了總結(jié)和展望。

網(wǎng)絡(luò)安全；入侵檢測(cè)；深度學(xué)習(xí)

1 引言

由于攻擊類型日益增多，攻擊方法日益復(fù)雜，導(dǎo)致網(wǎng)絡(luò)中產(chǎn)生的安全問題越來(lái)越嚴(yán)重。傳統(tǒng)的以防火墻為主體的安全防護(hù)措施已經(jīng)顯得越來(lái)越力不從心，所以怎樣能夠更好地解決日益復(fù)雜的網(wǎng)絡(luò)安全問題成為亟待解決的問題。

入侵檢測(cè)[1]是解決網(wǎng)絡(luò)安全問題的重要工具，其目的是檢測(cè)出網(wǎng)絡(luò)是否存在潛在或惡意的攻擊。1980年，James Anderson[2]提出了審計(jì)記錄可以用于識(shí)別計(jì)算機(jī)誤用操作，監(jiān)測(cè)入侵檢測(cè)行為。1986年，SRI的Dorothy E.Denning[3]在論文中首次將入侵檢測(cè)的概念作為一種計(jì)算機(jī)系統(tǒng)安全防御措施提出，并且建立了一個(gè)獨(dú)立于系統(tǒng)、程序應(yīng)用環(huán)境的通用入侵檢測(cè)系統(tǒng)模型。

直至20世紀(jì)九十年代，關(guān)于機(jī)器學(xué)習(xí)的入侵檢測(cè)方法逐漸興起，數(shù)據(jù)通過(guò)特征提取[4]，在得到特征向量后，將其輸入分類器，最終通過(guò)模型輸出的分類結(jié)果判定是正常或入侵。但是傳統(tǒng)的機(jī)器學(xué)習(xí)方法不能對(duì)網(wǎng)絡(luò)環(huán)境下海量的入侵?jǐn)?shù)據(jù)進(jìn)行分類。而深度學(xué)習(xí)能夠從數(shù)據(jù)中自動(dòng)提取更好的特征，基于深度學(xué)習(xí)的入侵檢測(cè)模型[5]成為解決當(dāng)前網(wǎng)絡(luò)安全問題主流的研究思想。

2 基于深度學(xué)習(xí)的入侵檢測(cè)概述

基于深度學(xué)習(xí)的入侵檢測(cè)的判別行為指的是按照一定的分類標(biāo)準(zhǔn)對(duì)入侵檢測(cè)的數(shù)據(jù)集進(jìn)行分類標(biāo)記。比如KDDCUP99[6]數(shù)據(jù)集，它共有42項(xiàng)特征，前41項(xiàng)分為4類：TCP連接的基本特征、TCP連接的內(nèi)容特征、基于時(shí)間的網(wǎng)絡(luò)流量統(tǒng)計(jì)特征和基于主機(jī)的網(wǎng)絡(luò)流量統(tǒng)計(jì)特征。最后一位是標(biāo)記特征，將攻擊類型分為4類：DoS拒絕服務(wù)攻擊、R2L攻擊、U2R攻擊和PROBEL攻擊。通過(guò)基于深度學(xué)習(xí)的入侵檢測(cè)模型學(xué)習(xí)對(duì)KDDCUP99數(shù)據(jù)集進(jìn)行分類。

基于深度學(xué)習(xí)的入侵檢測(cè)從流程上可分為數(shù)據(jù)預(yù)處理、詞向量化和模型的訓(xùn)練等過(guò)程。

3 基于深度學(xué)習(xí)的入侵檢測(cè)關(guān)鍵技術(shù)

3.1 數(shù)據(jù)預(yù)處理

3.2 詞向量

獲取到的入侵檢測(cè)預(yù)處理后的數(shù)據(jù)不能直接作為計(jì)算機(jī)的輸入，需要轉(zhuǎn)化為詞向量?；谏窠?jīng)網(wǎng)絡(luò)的詞向量訓(xùn)練有兩種模型，分別是連續(xù)詞袋模型（Continuous Bag-of-Word Model：CBOW）和跳字模型（Continuous skip-gram Model：Skip-Gram）。CBOW是通過(guò)周圍的詞去預(yù)測(cè)中心詞，預(yù)處理后的數(shù)據(jù)通過(guò)詞向量的模型訓(xùn)練會(huì)得到與每個(gè)特征和標(biāo)簽對(duì)應(yīng)的詞向量，然后進(jìn)行模型的訓(xùn)練。

3.3 基于深度學(xué)習(xí)的入侵檢測(cè)模型

3.3.1循環(huán)神經(jīng)網(wǎng)絡(luò)與入侵檢測(cè)

where Rg was the resistance associated with the gate metallization.

循環(huán)神經(jīng)網(wǎng)絡(luò)（Recurrent Neural Networks：RNN）是一類用于處理序列數(shù)據(jù)的神經(jīng)網(wǎng)絡(luò)，由輸入層、隱藏層、輸出層組成。它的訓(xùn)練方式分為前向傳播和反向傳播。

（1）前向傳播公式為：

T時(shí)刻輸出為：

其中（）為激活函數(shù)，一般選擇tanh函數(shù)，為偏置，是輸入，是隱層單元，、、是權(quán)值，為激活函數(shù)，在入侵檢測(cè)中一般用softmax函數(shù)進(jìn)行二分類。

（2）反向傳播采用隨時(shí)間反向傳播（Back-propagation Through Time：BPTT）算法計(jì)算各個(gè)參數(shù)的梯度。

由于RNN對(duì)于較長(zhǎng)的序列無(wú)法記住以前的狀態(tài)，因此引入了門控單元，它是通過(guò)設(shè)置門結(jié)構(gòu)來(lái)選擇性的決定是否記憶或遺忘。門控單元包括長(zhǎng)短期記憶神經(jīng)網(wǎng)絡(luò)[7]、雙向長(zhǎng)短期記憶神經(jīng)網(wǎng)絡(luò)[8]等。

3.3.2長(zhǎng)短期記憶神經(jīng)網(wǎng)絡(luò)與入侵檢測(cè)

遺忘門是決定記憶細(xì)胞丟棄什么東西，采用sigmoid激活函數(shù)，它介于（0，1）之間，輸出用于遺忘權(quán)重的更新。公式為：

輸入門決定了需要新增的內(nèi)容，采用sigmod激活函數(shù)。

輸出門決定輸出什么內(nèi)容，表示當(dāng)前時(shí)刻，若O=0則表示不輸出，若O=1則表示輸出。計(jì)算O的公式為：

待輸出的內(nèi)容公式為：

由于LSTM網(wǎng)絡(luò)不能記住未來(lái)時(shí)刻的內(nèi)容，只能記憶過(guò)去和當(dāng)前，所以為了更好記憶，引入了雙向長(zhǎng)短期記憶的概念。

3.3.3雙向長(zhǎng)短期記憶網(wǎng)絡(luò)和入侵檢測(cè)

通過(guò)雙向長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)可以把整個(gè)句子學(xué)習(xí)完整并且記憶，因此能更好提高模型的學(xué)習(xí)精度和準(zhǔn)確率。

4 入侵檢測(cè)的其他方法

4.1 遷移學(xué)習(xí)與入侵檢測(cè)

遷移學(xué)習(xí)[9]在對(duì)時(shí)間序列進(jìn)行分類時(shí)，首先在源數(shù)據(jù)集上訓(xùn)練網(wǎng)絡(luò)，然后將學(xué)習(xí)到的特征即網(wǎng)絡(luò)的權(quán)重轉(zhuǎn)移到目標(biāo)數(shù)據(jù)集上訓(xùn)練的第二個(gè)網(wǎng)絡(luò)的過(guò)程。對(duì)預(yù)先訓(xùn)練好的模型進(jìn)行微調(diào)，減小了對(duì)標(biāo)注數(shù)據(jù)的依賴，模型性能預(yù)標(biāo)注數(shù)據(jù)量可以不成正比。通過(guò)遷移學(xué)習(xí)能夠提高深度神經(jīng)網(wǎng)絡(luò)的泛化能力。在檢測(cè)網(wǎng)絡(luò)是否被入侵時(shí)通過(guò)遷移學(xué)習(xí)的方法，可以得到更精確的結(jié)果。

5 評(píng)價(jià)指標(biāo)

各評(píng)價(jià)指標(biāo)可計(jì)算如下：

其中為被系統(tǒng)正確識(shí)別的正常樣本；為被系統(tǒng)正確識(shí)別的攻擊樣本；為被系統(tǒng)錯(cuò)誤識(shí)別為正常的攻擊樣本；為被系統(tǒng)錯(cuò)誤識(shí)別為攻擊的正常樣本。

6 結(jié)論

本文首先對(duì)獲取到的入侵檢測(cè)數(shù)據(jù)進(jìn)行預(yù)處理，然后通過(guò)基于詞嵌入技術(shù)的深度神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)模型對(duì)預(yù)處理后的特征和標(biāo)簽進(jìn)行自主學(xué)習(xí)，更高效準(zhǔn)確地判別出網(wǎng)絡(luò)是否存在攻擊，同時(shí)減少了誤報(bào)率。

[1]薛傳東. 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)分析[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（11）：37-38.

[2]Anup K. Ghos，Anderson J. P.. Computer security threat monitoring and surveillance [P]. PA 19304，USA，1980.4.

[3]陸坤，姜厚云. 基于SMF的大型主機(jī)DB2數(shù)據(jù)庫(kù)分析工具[J]. 實(shí)驗(yàn)技術(shù)與管理，2017，34（08）：141-145.

[4]宋勇，侯冰楠，蔡志平. 基于深度學(xué)習(xí)特征提取的網(wǎng)絡(luò)入侵檢測(cè)方法[J]. 華中科技大學(xué)學(xué)報(bào)（自然科學(xué)版），2021，49（02）：115-120.

[5]崔建京. 基于復(fù)雜結(jié)構(gòu)深度神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)研究[D]. 國(guó)防科技大學(xué)，2018.

[6]吳建勝，張文鵬，馬垣. KDDCUP99數(shù)據(jù)集的數(shù)據(jù)分析研究[J]. 計(jì)算機(jī)應(yīng)用與軟件，2014，31（11）：321-325.

[7]丁亞雷. 基于長(zhǎng)短期記憶模型的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 東南大學(xué)，2019.

[8]周航，凌捷. 改進(jìn)的基于BiLSTM的網(wǎng)絡(luò)入侵檢測(cè)方法[J]. 計(jì)算機(jī)工程與設(shè)計(jì)，2020，41（07）：1809-1814.

[9]盧明星，杜國(guó)真，季澤旭. 基于深度遷移學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)[J]. 計(jì)算機(jī)應(yīng)用研究，2020，37（09）：2811-2814.

結(jié)合注意力機(jī)制基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)研究（2021AAC03114）