基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

肖中峰 何思熙

摘要：入侵檢測(cè)系統(tǒng)可以及時(shí)發(fā)現(xiàn)和響應(yīng)網(wǎng)絡(luò)攻擊，保護(hù)重要的數(shù)據(jù)和資源?；谏窠?jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)是一種利用神經(jīng)網(wǎng)絡(luò)技術(shù)來(lái)賓現(xiàn)入侵檢測(cè)的方法，通過(guò)對(duì)現(xiàn)有攻擊方法和模式的模擬仿真，利用大量數(shù)據(jù)的訓(xùn)練來(lái)學(xué)習(xí)特征和模式，并用于分類、識(shí)別和預(yù)測(cè)等任務(wù)。該方法具有一定的泛化能力和自適應(yīng)能力．可以處理大規(guī)模和復(fù)雜的數(shù)據(jù)，提高檢測(cè)的準(zhǔn)確率和魯棒性。文章基于遞歸神經(jīng)網(wǎng)絡(luò)搭建了一個(gè)入侵檢測(cè)系統(tǒng)的框架并用NSL-KDD數(shù)據(jù)集做了訓(xùn)練和測(cè)試。實(shí)驗(yàn)結(jié)果表明，入侵檢測(cè)系統(tǒng)框架中的LSTM網(wǎng)絡(luò)架構(gòu)表現(xiàn)最好，VAC，TAC，F(xiàn)IS分別達(dá)到了98.16%，84.76％，98.48%，可以滿足實(shí)際應(yīng)用需求。

關(guān)鍵詞：循環(huán)神經(jīng)網(wǎng)絡(luò)；入侵檢測(cè)系統(tǒng)；XGBoost；Softmax

中圖法分類號(hào)：TF393 文獻(xiàn)標(biāo)識(shí)碼：A

１ 概述

入侵檢測(cè)系統(tǒng)（Ｉｎｔｒｕｓｉｏｎ Ｄｅｔｅｃｔｉｏｎ Ｓｙｓｔｅｍ，ＩＤＳ）在計(jì)算機(jī)安全領(lǐng)域具有廣泛的應(yīng)用，可以幫助受保護(hù)的單位及時(shí)發(fā)現(xiàn)和響應(yīng)網(wǎng)絡(luò)攻擊，保護(hù)重要的數(shù)據(jù)和系統(tǒng)資源［１］ 。入侵檢測(cè)系統(tǒng)可以用于監(jiān)控公司網(wǎng)絡(luò)［２］ ，也可以為其他公司提供軟件服務(wù)，如電子郵件、網(wǎng)站和應(yīng)用軟件等［３］ 。雖然入侵檢測(cè)系統(tǒng)可以保護(hù)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全，但也存在一些挑戰(zhàn)和不足。

例如，入侵檢測(cè)系統(tǒng)可能會(huì)產(chǎn)生誤報(bào)，即將正常的操作誤判為攻擊行為，或者漏報(bào)少報(bào)，無(wú)法檢測(cè)到真正的攻擊。入侵檢測(cè)系統(tǒng)還需要不斷更新和維護(hù)，才能應(yīng)對(duì)新的攻擊技術(shù)和入侵模式。

２ 基于神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

基于簽名的入侵檢測(cè)是最常見(jiàn)的檢測(cè)方法之一，它使用已知的攻擊簽名庫(kù)來(lái)識(shí)別網(wǎng)絡(luò)流量中的惡意操作。這種方法主要依賴于已知的攻擊模式和特征，因此只能識(shí)別那些已知的攻擊，并且需要經(jīng)常更新簽名庫(kù)，以保持監(jiān)測(cè)的全面性?；诰W(wǎng)絡(luò)行為的入侵檢測(cè)則是一種更加靈活的方法，它通過(guò)分析系統(tǒng)和網(wǎng)絡(luò)的行為來(lái)識(shí)別異常行為和攻擊。這種方法不依賴于已知的攻擊簽名，而是基于對(duì)正常系統(tǒng)和網(wǎng)絡(luò)調(diào)用行為的理解，通過(guò)檢測(cè)異常行為來(lái)識(shí)別潛在的攻擊。基于行為的入侵檢測(cè)可以識(shí)別新的未知攻擊，但也會(huì)產(chǎn)生較多誤報(bào)。除了基于簽名和基于行為的入侵檢測(cè)方法，還有一些其他的入侵檢測(cè)技術(shù)，如基于支持向量機(jī)的方法、神經(jīng)網(wǎng)絡(luò)方法等。

基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)是一種利用神經(jīng)網(wǎng)絡(luò)技術(shù)來(lái)實(shí)現(xiàn)入侵檢測(cè)的方法。神經(jīng)網(wǎng)絡(luò)是一種模仿人腦神經(jīng)系統(tǒng)的計(jì)算模型，它可以通過(guò)對(duì)大量數(shù)據(jù)的訓(xùn)練來(lái)學(xué)習(xí)特征和模式，并用于分類、識(shí)別和預(yù)測(cè)等任務(wù)。與傳統(tǒng)的入侵檢測(cè)系統(tǒng)相比，基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)具有以下優(yōu)點(diǎn)：對(duì)于新的未知攻擊，具有一定的泛化能力和自適應(yīng)能力，可以識(shí)別和防范新的攻擊模式和類型；可以處理大規(guī)模和復(fù)雜的數(shù)據(jù)，可以自動(dòng)提取和學(xué)習(xí)數(shù)據(jù)中的特征和模式，減少人工干預(yù)；可以通過(guò)多層網(wǎng)絡(luò)學(xué)習(xí)數(shù)據(jù)的高層次特征和抽象表示，提高檢測(cè)的準(zhǔn)確率和魯棒性。但該系統(tǒng)也存在一些挑戰(zhàn)和限制。例如，需要大量的數(shù)據(jù)進(jìn)行訓(xùn)練和調(diào)優(yōu)，如果數(shù)據(jù)質(zhì)量不好或者數(shù)據(jù)不足，那么可能會(huì)影響檢測(cè)的準(zhǔn)確率。此外，神經(jīng)網(wǎng)絡(luò)具有一定的復(fù)雜性和計(jì)算資源需求，需要較高的計(jì)算性能和存儲(chǔ)容量。

基于上述問(wèn)題，本文實(shí)現(xiàn)了一個(gè)使用機(jī)器學(xué)習(xí)技術(shù)的ＩＤＳ 框架， 該框架使用多種遞歸神經(jīng)網(wǎng)絡(luò)（Ｒｅｃｕｒｒｅｎｔ Ｎｅｕｒａｌ Ｎｅｔｗｏｒｋ，ＲＮＮ） 和基于ＸＧＢｏｏｓｔ 的特征選擇方法進(jìn)行對(duì)比。為了評(píng)估所提出的ＩＤＳ 框架的性能，本文采用了ＮＳＬ?ＫＤＤ 基準(zhǔn)數(shù)據(jù)集。實(shí)驗(yàn)表明，與現(xiàn)有方法相比，本文提出的ＩＤＳ 框架中的ＬＳＴＭ 網(wǎng)絡(luò)架構(gòu)表現(xiàn)最好。

３ 檢測(cè)系統(tǒng)基本流程及系統(tǒng)架構(gòu)設(shè)計(jì)

３．１ 實(shí)驗(yàn)數(shù)據(jù)及預(yù)處理

在基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)中，通常會(huì)采用深度學(xué)習(xí)技術(shù)，使用多層神經(jīng)網(wǎng)絡(luò)對(duì)數(shù)據(jù)進(jìn)行處理和學(xué)習(xí)。一般而言，基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)主要包含２ 個(gè)部分：訓(xùn)練和測(cè)試。為保障入侵檢測(cè)系統(tǒng)的普遍適用性和穩(wěn)定性，實(shí)驗(yàn)數(shù)據(jù)需要選取具有代表性的數(shù)據(jù)集，實(shí)驗(yàn)數(shù)據(jù)集應(yīng)具有數(shù)據(jù)量大、攻擊類別全面、模擬性強(qiáng)以及能夠代表現(xiàn)實(shí)網(wǎng)絡(luò)攻擊行為的特點(diǎn)。本研究采用ＫＤＤ’９９ 數(shù)據(jù)集的修訂版本ＮＳＬ?ＫＤＤ，利用該數(shù)據(jù)集模擬網(wǎng)絡(luò)環(huán)境，對(duì)不同類型的網(wǎng)絡(luò)攻擊行為進(jìn)行仿真。數(shù)據(jù)預(yù)處理主要包含２ 方面：一是將數(shù)據(jù)集中的符號(hào)特征轉(zhuǎn)換成計(jì)算機(jī)能識(shí)別的數(shù)值型；二是經(jīng)變換后的數(shù)據(jù)特征差別性較大，不利于模型訓(xùn)練，在不破壞數(shù)據(jù)映射的情況下，需進(jìn)行歸一化處理。

３．２ ＬＳＴＭ 網(wǎng)絡(luò)架構(gòu)

ＲＮＮ 能夠在不同的層之間循環(huán)，并且還能夠臨時(shí)存儲(chǔ)信息以供以后使用。標(biāo)準(zhǔn)ＲＮＮ 的結(jié)構(gòu)如圖１ 所示。ＮＮ 表示標(biāo)準(zhǔn)神經(jīng)網(wǎng)絡(luò)，ｘｐ 表示輸入和ｈｐ 是輸出。根據(jù)定義，ＲＮＮ 被認(rèn)為是深度神經(jīng)網(wǎng)絡(luò)，因?yàn)橛胁煌膶觼?lái)處理信息。如圖１ 等號(hào)右側(cè)所示，展開的標(biāo)準(zhǔn)ＲＮＮ 說(shuō)明ＲＮＮ 構(gòu)造的深度。盡管標(biāo)準(zhǔn)ＲＮＮ 在執(zhí)行各種預(yù)測(cè)任務(wù)時(shí)有效，但它們確實(shí)存在梯度消失的問(wèn)題。

為解決上述問(wèn)題，本研究提出了一種新的ＩＤＳ 框架。初始階段包括收集模型構(gòu)建所需的數(shù)據(jù)。所提出的體系結(jié)構(gòu)的第二層是數(shù)據(jù)處理和特征提取階段。

在這一步驟中，對(duì)特定數(shù)據(jù)集進(jìn)行標(biāo)準(zhǔn)化，以確保所有分類屬性都正確編碼，所有數(shù)字特征都標(biāo)準(zhǔn)化。一旦數(shù)據(jù)集被清理和規(guī)范化，就應(yīng)用ＸＧＢｏｏｓｔ 算法。該過(guò)程生成包含特征重要性（Ｆｅａｔｕｒｅ Ｉｍｐｏｒｔａｎｃｅ，ＦＩ）值的向量，并且基于經(jīng)驗(yàn)選擇的ＦＩ 閾值來(lái)選擇最佳特征子集。架構(gòu)的第三層是模型構(gòu)建階段。在這一階段，有３ 個(gè)主要的獨(dú)立操作，即訓(xùn)練、驗(yàn)證和測(cè)試。

標(biāo)準(zhǔn)ＲＮＮ、長(zhǎng)短期記憶遞歸網(wǎng)絡(luò)（Ｌｏｎｇ Ｓｈｏｒｔ ＴｅｒｍＭｅｍｏｒｙ，ＬＳＴＭ）和門控循環(huán)單元（Ｇａｔｅ Ｒｅｃｕｒｒｅｎｔ Ｕｎｉｔ，ＧＲＵ）的配置如圖２ 所示。第一層是輸入層，它輸入到ＲＮＮ／ ＬＳＴＭ／ ＧＲ 深層的構(gòu)造中。然后通過(guò)密集的ＮＮ 層（可以是單層人工神經(jīng)網(wǎng)絡(luò)（Ａｒｔｉｆｉｃｉａｌ ＮｅｕｒａｌＮｅｔｗｏｒｋ，ＡＮＮ）或多層感知器（Ｍｕｌｔｉ?Ｌａｙｅｒ Ｐｅｒｃｅｐｔｒｏｎ，ＭＬＰ））計(jì)算來(lái)自深層的信息。最后，通過(guò)Ｓｏｆｔｍａｘ（式１）用于多類分類配置，該Ｓｏｆｔｍａｘ 激活函數(shù)返回一個(gè)向量，該向量包含相加為１ 的值，最高值表示預(yù)測(cè)的結(jié)果，表達(dá)式為：

３．３ 模型訓(xùn)練及測(cè)試

在訓(xùn)練階段，系統(tǒng)使用已知的攻擊數(shù)據(jù)和正常數(shù)據(jù)來(lái)訓(xùn)練神經(jīng)網(wǎng)絡(luò)，使其能夠?qū)W習(xí)到攻擊的特征和模式。這個(gè)過(guò)程需要使用大量的數(shù)據(jù)進(jìn)行訓(xùn)練，并對(duì)神經(jīng)網(wǎng)絡(luò)進(jìn)行多輪迭代訓(xùn)練，以提高其準(zhǔn)確率和魯棒性。在測(cè)試階段，系統(tǒng)使用已經(jīng)訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)對(duì)新的數(shù)據(jù)進(jìn)行分類和預(yù)測(cè)。對(duì)于入侵檢測(cè)系統(tǒng)而言，新的數(shù)據(jù)就是系統(tǒng)中檢測(cè)到的網(wǎng)絡(luò)流量、日志數(shù)據(jù)和系統(tǒng)行為等。當(dāng)新的數(shù)據(jù)經(jīng)過(guò)神經(jīng)網(wǎng)絡(luò)處理后，系統(tǒng)會(huì)根據(jù)輸出結(jié)果判斷數(shù)據(jù)是否屬于正常的行為或者是否存在入侵行為。

４ 實(shí)驗(yàn)分析

４．１ 實(shí)驗(yàn)環(huán)境和數(shù)據(jù)集介紹

本文使用Ｐｙｔｈｏｎ 工具包Ｓｃｉｋｉｔ?Ｌｅａｒｎ 和Ｋｅｒａｓ ＭＬ及ＤＬ 進(jìn)行實(shí)驗(yàn)，采用網(wǎng)絡(luò)安全數(shù)據(jù)集ＮＳＬ?ＫＤＤ 訓(xùn)練并測(cè)試網(wǎng)絡(luò)。

在硬件系統(tǒng)方面，所有模擬實(shí)驗(yàn)均在Ｗｉｎｄｏｗｓ １０操作系統(tǒng)的ＤＥＬＬ?１５３０００ 上運(yùn)行， 處理器為： Ｉｎｔｅｌ（Ｒ）?Ｃｏｒｅ（ＴＭ）ｉ７?８５６８Ｕ。

ＮＳＬ?ＫＤＤ 數(shù)據(jù)集包含大量的網(wǎng)絡(luò)流量數(shù)據(jù)和入侵攻擊數(shù)據(jù)，這些數(shù)據(jù)來(lái)自一個(gè)基于模擬的網(wǎng)絡(luò)環(huán)境。數(shù)據(jù)集中的網(wǎng)絡(luò)流量數(shù)據(jù)包括ＴＣＰ 和ＵＤＰ 協(xié)議的連接記錄和特征，入侵攻擊數(shù)據(jù)包括２２ 種不同類型的攻擊，如ＤｏＳ，Ｒ２Ｌ，Ｕ２Ｒ 和ｐｒｏｂｅ 等。同時(shí)，ＮＳＬ?ＫＤＤ 數(shù)據(jù)集還包含大量的正常數(shù)據(jù)，可以用于建立入侵檢測(cè)模型的基準(zhǔn)。ＮＳＬ?ＫＤＤ 數(shù)據(jù)集共包含４ 個(gè)子集，分別是訓(xùn)練集、測(cè)試集、２０％交叉驗(yàn)證集和完整數(shù)據(jù)集。其中，訓(xùn)練集包含１２５ ９７３ 個(gè)數(shù)據(jù)樣本，測(cè)試集包含２２ ５４４ 個(gè)數(shù)據(jù)樣本，２０％交叉驗(yàn)證集包含２５ １９２個(gè)數(shù)據(jù)樣本，完整數(shù)據(jù)集包含１４８ ５１７ 個(gè)數(shù)據(jù)樣本。

數(shù)據(jù)集中的特征包括４１ 個(gè)基本特征和１４ 個(gè)附加特征，涵蓋網(wǎng)絡(luò)連接的各個(gè)方面，如協(xié)議類型、源地址、目標(biāo)地址、源端口、目標(biāo)端口等。

４．２ 實(shí)驗(yàn)結(jié)果分析

本文通過(guò)ＮＳＬ?ＫＤＤ 數(shù)據(jù)集中的５ 個(gè)類來(lái)進(jìn)行實(shí)驗(yàn)驗(yàn)證，使用Ｓｏｆｔｍａｘ 激活函數(shù)的標(biāo)準(zhǔn)ＲＮＮ，ＬＳＴＭ 和ＧＲＵ 的分類方案的結(jié)果對(duì)比如表１ 所列。結(jié)果表明，３ 種網(wǎng)絡(luò)都是大約在隱藏層中使用１５０ 個(gè)ＲＮＮ 單元時(shí)效果最佳，此時(shí)簡(jiǎn)單ＲＮＮ 網(wǎng)絡(luò)ＶＡＣ 為９７．６４％，ＴＡＣ 為８３．９４％，Ｆ１Ｓ 為９７．９６％，并在１０８．３２ ｓ 內(nèi)完成了訓(xùn)練。關(guān)于ＬＳＴＭ 方法ＶＡＣ 為９８．６１％，ＴＡＣ 為８４．７６％，Ｆ１Ｓ 為９８．４８％，。在ＧＲＵ 算法的實(shí)例中，ＶＡＣ 為９８．４２％，ＴＡＣ 為８４．６４％，Ｆ１Ｓ 為９８．４５％，訓(xùn)練時(shí)間為１４１．４４ ｓ。通過(guò)對(duì)比可以看出，基于ＸＧＢｏｏｓｔ的ＬＳＴＭ 分類器具有最好的效果。

５ 結(jié)束語(yǔ)

入侵檢測(cè)是一種重要的計(jì)算機(jī)安全技術(shù)，它是為了保護(hù)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)免受惡意攻擊和未經(jīng)授權(quán)的訪問(wèn)而設(shè)計(jì)的，可以監(jiān)控網(wǎng)絡(luò)和系統(tǒng)的活動(dòng)，并檢測(cè)出不正常的行為和攻擊，幫助管理員及時(shí)發(fā)現(xiàn)和響應(yīng)安全問(wèn)題。本研究提出了一種ＩＤＳ 框架的實(shí)現(xiàn)方案，該框架使用不同類型的ＲＮＮ 技術(shù)以及基于ＸＧＢｏｏｓｔ 的特征選擇方法做對(duì)比，并使用ＮＳＬ?ＫＤＤ 數(shù)據(jù)集評(píng)估分類器的性能。實(shí)驗(yàn)結(jié)果表明， 在標(biāo)準(zhǔn)ＲＮＮ，ＬＳＴＭ 和ＧＲＵ 的分類方案的結(jié)果中，ＬＳＴＭ 的效果最好，指標(biāo)ＶＡＣ，ＴＡＣ，Ｆ１Ｓ 分別達(dá)到了９８．１６％，８４．７６％，９８．４８％。在未來(lái)的研究中，我們還可能對(duì)多種網(wǎng)絡(luò)的混合方法進(jìn)行研究。

參考文獻(xiàn)：

［１］ 劉海燕，張鈺，畢建權(quán)．基于分布式及協(xié)同式網(wǎng)絡(luò)入侵檢測(cè)技術(shù)綜述［Ｊ］．計(jì)算機(jī)工程與應(yīng)用，２０１８，５４（８）：１?６＋２０．

［２］ 劉奇旭，王君楠，陳艷輝，等．對(duì)抗機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)入侵檢測(cè)領(lǐng)域的應(yīng)用［Ｊ］．通信學(xué)報(bào)，２０２１，４２（１１）：１?１２．

［３］ 古險(xiǎn)峰．一種基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)［Ｊ］．河南科技學(xué)院學(xué)報(bào)（自然科學(xué)版），２０２０，４８（６）：５４?５８＋６７．

作者簡(jiǎn)介：

肖中峰（１９９３—），碩士，助教，研究方向：計(jì)算機(jī)軟件、網(wǎng)絡(luò)安全、智慧城市。

何思熙（１９９５—），碩士，助教，研究方向：群體安全智能、人工智能。