融合改進(jìn)自編碼器和殘差網(wǎng)絡(luò)的入侵檢測模型

陳虹，王瀚文，金海波

（遼寧工程技術(shù)大學(xué)軟件學(xué)院，遼寧 葫蘆島 125000）

0 引言

隨著網(wǎng)絡(luò)成為人們生活中的重要工具，人們將大量數(shù)據(jù)儲(chǔ)存在網(wǎng)絡(luò)云主機(jī)中，文獻(xiàn)［1-2］介紹了目前個(gè)人或企業(yè)的網(wǎng)絡(luò)云主機(jī)中存在大量敏感的或隱私數(shù)據(jù)，導(dǎo)致網(wǎng)絡(luò)云主機(jī)容易受到攻擊的情況，而入侵檢測技術(shù)是當(dāng)前云主機(jī)有效的防御手段。

目前入侵檢測模型主要基于機(jī)器學(xué)習(xí)、深度學(xué)習(xí)構(gòu)建。文獻(xiàn)［3-4］主要是基于機(jī)器學(xué)習(xí)算法的入侵檢測模型的綜述，比較了不同機(jī)器學(xué)習(xí)算法的優(yōu)劣。文獻(xiàn)［5-6］介紹了兩種入侵檢測技術(shù)：即以主動(dòng)學(xué)習(xí)及基于K 近鄰的直推式信度機(jī)方法為依據(jù)的有指導(dǎo)入侵檢測技術(shù)；以粗糙集和人工免疫為依據(jù)的集成入侵檢測模型，該模型雖然準(zhǔn)確率較高，但面對(duì)海量數(shù)據(jù)時(shí)易出現(xiàn)過擬合問題。對(duì)比傳統(tǒng)的學(xué)習(xí)算法，基于深度學(xué)習(xí)算法構(gòu)建的入侵檢測模型，更側(cè)重于海量數(shù)據(jù)學(xué)習(xí)及處理方面，主要是為了解決海量數(shù)據(jù)內(nèi)高維、冗雜以及高噪等傳統(tǒng)機(jī)器學(xué)習(xí)算法難以處理的問題。文獻(xiàn)［7-8］介紹的兩種傳統(tǒng)機(jī)器學(xué)習(xí)算法雖然準(zhǔn)確率較高，但需要復(fù)雜的特征工程，所有特征通常需要由行業(yè)專家確定，然后通過編碼實(shí)現(xiàn)特征提取等操作。文獻(xiàn)［9-10］介紹了兩種改進(jìn)的機(jī)器學(xué)習(xí)算法，即基于遺傳規(guī)劃網(wǎng)絡(luò)的模糊類關(guān)聯(lián)規(guī)則挖掘的入侵檢測算法和基于自適應(yīng)提升算法的網(wǎng)絡(luò)入侵檢測算法，這兩種算法的收斂速度和準(zhǔn)確率均優(yōu)于前文提到的機(jī)器學(xué)習(xí)算法，但依然不能從數(shù)據(jù)中挖掘特征。深度學(xué)習(xí)算法不僅可以主動(dòng)從數(shù)據(jù)內(nèi)對(duì)特征進(jìn)行學(xué)習(xí)，還可以在數(shù)據(jù)量較高的時(shí)候保持良好的性能。文獻(xiàn)［11］使用卷積神經(jīng)網(wǎng)絡(luò)構(gòu)建入侵檢測模型，模型準(zhǔn)確率較高，但收斂速度較慢。文獻(xiàn)［12］基于長短期記憶（LSTM）與改進(jìn)殘差網(wǎng)絡(luò)構(gòu)建入侵檢測模型對(duì)LSTM 進(jìn)行優(yōu)化，設(shè)計(jì)方案是在改進(jìn)殘差神經(jīng)網(wǎng)絡(luò)內(nèi)融入一種帶跳躍的連接線，從而對(duì)深度神經(jīng)網(wǎng)絡(luò)內(nèi)梯度消失及擬合過渡等缺陷進(jìn)行優(yōu)化，但檢測準(zhǔn)確率較低。文獻(xiàn)［13］提出了雙重路由深層膠囊網(wǎng)絡(luò)的入侵檢測系統(tǒng)，該方法采用雙重路由算法對(duì)基于向量表示的特征進(jìn)行多方位識(shí)別捕捉，以減輕噪音特征的干擾，但模型的泛化程度較低。文獻(xiàn)［14］提出了基于深度神經(jīng)網(wǎng)絡(luò)（DNN）和聯(lián)邦學(xué)習(xí)網(wǎng)絡(luò)入侵檢測方法，通過自動(dòng)編碼器對(duì)DNN實(shí)現(xiàn)特征降維，并利用聯(lián)邦學(xué)習(xí)特性使得多個(gè)參與方使用通用模型參與訓(xùn)練，該模型訓(xùn)練速度較快，但識(shí)別部分攻擊準(zhǔn)確率較高，模型整體準(zhǔn)確率較低。文獻(xiàn)［15］提出了以深度學(xué)習(xí)為依據(jù)的混淆惡意請求檢測方式，通過注意力機(jī)制突出關(guān)鍵特征來檢測隱蔽程度較高的入侵?jǐn)?shù)據(jù)，但在數(shù)據(jù)過大的情況下易出現(xiàn)過擬合。文獻(xiàn)［16］使用堆疊自編碼器和卷積神經(jīng)網(wǎng)絡(luò)（CNN）對(duì)加密流量進(jìn)行分類，實(shí)現(xiàn)了流量特征的類型識(shí)別，但檢測速度較慢。文獻(xiàn)［17-19］介紹了高維數(shù)據(jù)的降維操作，由于入侵檢測數(shù)據(jù)多為高維數(shù)據(jù)，數(shù)據(jù)在高維空間難以處理，計(jì)算這些數(shù)據(jù)的成本過高，因此在入侵檢測模型中引入自編碼器來進(jìn)行數(shù)據(jù)降維。文獻(xiàn)［20-22］介紹自編碼器在入侵檢測技術(shù)中的研究，該方法對(duì)高維數(shù)據(jù)檢測效果較好，但處理高噪聲的海量數(shù)據(jù)效果較差。文獻(xiàn)［23］介紹了稀疏自編碼器和支持向量機(jī)結(jié)合的入侵檢測模型，采用稀疏自編碼器直接識(shí)別提取數(shù)據(jù)特征，然后使用支持向量機(jī)分類，該模型準(zhǔn)確率較高，但收斂速度較慢。

為了解決入侵檢測模型易過擬合、收斂速度慢和準(zhǔn)確率低的問題，本文在殘差網(wǎng)絡(luò)（ResNet）基礎(chǔ)上結(jié)合棧式自編碼器構(gòu)建新的入侵檢測方法。該方法將處理好的數(shù)據(jù)輸入改進(jìn)的棧式自編碼器進(jìn)行特征降維，再將降維后的特征輸入到ResNet 網(wǎng)絡(luò)中進(jìn)行分類，最后使用CIC-IDS-2017 作為測試集對(duì)訓(xùn)練好的模型進(jìn)行測試。

1 相關(guān)理論

1.1 棧式自編碼器

棧式自編碼器是可進(jìn)行自我監(jiān)督的一種學(xué)習(xí)算法，文獻(xiàn)［24］將其作為深度學(xué)習(xí)模型預(yù)訓(xùn)練中的特征檢測器。棧式自編碼器主要由兩部分組成，分別為多個(gè)編碼器及解碼器，其本質(zhì)為對(duì)輸入的數(shù)據(jù)進(jìn)行某種轉(zhuǎn)換。編碼器把輸入的數(shù)據(jù)x轉(zhuǎn)變?yōu)榫幋a數(shù)據(jù)f（x），而解碼器將編碼f（x）重構(gòu)成輸出數(shù)據(jù)?，即：

數(shù)據(jù)經(jīng)過棧式自編碼器處理后獲得新的特征并降低維度。

1.2 ResNet 網(wǎng)絡(luò)

文獻(xiàn)［25］提出一種殘差網(wǎng)絡(luò)，該網(wǎng)絡(luò)結(jié)構(gòu)基于CNN 結(jié)構(gòu)通過跳躍連接加入殘差模塊，并將全連接層替換為全局平均池化層。如圖1 所示，殘差單元保留了之前網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)的輸入x，將輸入x與卷積后的輸出相加，最終獲得期望輸出K（x），并將K（x）轉(zhuǎn)換為殘差網(wǎng)絡(luò)的函數(shù)B（x），其中，K(x)=B(x) -x。

圖1 殘差模塊Fig.1 Residual module

2 模型分析

2.1 ISAE-ResNet 入侵檢測模型

本文將棧式自編碼器和ResNet 相融合，提出改進(jìn)的堆疊的自動(dòng)編碼器和殘差網(wǎng)絡(luò)（ISAE-ResNet）入侵檢測模型，如圖2 所示。該入侵檢測模型首先將預(yù)處理后的數(shù)據(jù)輸入改進(jìn)的棧式自編碼器進(jìn)行處理，利用降低數(shù)據(jù)維度的方式來增加模型的收斂速度。然后將處理后的數(shù)據(jù)輸入改進(jìn)ResNet 網(wǎng)絡(luò)進(jìn)行分類，并通過軟閾值函數(shù)降低數(shù)據(jù)中的噪聲來提高準(zhǔn)確率。最后測試模型并判斷當(dāng)前模型是否為最優(yōu)，若不是則調(diào)優(yōu)模型重新訓(xùn)練，若是則得到分類結(jié)果。

圖2 ISAE-ResNet 入侵檢測模型Fig.2 ISAE-ResNet intrusion detection model

2.2 改進(jìn)的棧式自編碼器

普通自編碼器一次只能訓(xùn)練一個(gè)淺層自編碼器，由于層數(shù)過淺，在訓(xùn)練過程中容易發(fā)生過擬合風(fēng)險(xiǎn)。為了解決傳統(tǒng)自編碼器易過擬合的問題，本文提出改進(jìn)的棧式自編碼器。改進(jìn)的棧式自編碼器如圖3 所示。

圖3 改進(jìn)的棧式自編碼器Fig.3 Improved stack self-encoder

改進(jìn)的棧式自編碼器通過主副編碼器重構(gòu)數(shù)據(jù)并使用權(quán)重捆綁，使得過擬合風(fēng)險(xiǎn)性有所下降，并提升了模型收斂速度。

改進(jìn)的棧式自編碼器由主編碼器、副編碼器A、副編碼器B 組成。副編碼器由3 個(gè)維度逐步遞減的自編碼器組成，輸入數(shù)據(jù)首先進(jìn)入2 個(gè)副編碼器同時(shí)進(jìn)行訓(xùn)練，使得數(shù)據(jù)重構(gòu)為新的特征。然后輸出的數(shù)據(jù)和原始數(shù)據(jù)共同進(jìn)入主編碼器進(jìn)行訓(xùn)練。主編碼器由4 個(gè)維度逐步遞減的自編碼器組成，并通過捆綁權(quán)重使模型參數(shù)減少1/2，即將解碼層的權(quán)重捆綁到編碼層，增強(qiáng)降維的效果，此時(shí)編碼層和解碼層的權(quán)重為：

其中：N為自編碼器總層數(shù)，第N/2 層是編碼層，第N層是輸出層，L=1，2，…，N/2。

新的特征和原始數(shù)據(jù)通過主編碼器訓(xùn)練后得到重構(gòu)后的數(shù)據(jù)。重構(gòu)后數(shù)據(jù)擁有新的特征并且降低了維度，模型使用這些數(shù)據(jù)將加快收斂速度并降低過擬合風(fēng)險(xiǎn)。

2.3 改進(jìn)的ResNet 網(wǎng)絡(luò)結(jié)構(gòu)

改進(jìn)的ResNet 網(wǎng)絡(luò)通過批標(biāo)準(zhǔn)化層使每個(gè)神經(jīng)元內(nèi)的激活值做如下變換：

通過上述操作使梯度變大，避免梯度消失，梯度變大也使得學(xué)習(xí)收斂速度變快，對(duì)訓(xùn)練速度有很大提升，并且可以簡化調(diào)參過程，使得模型對(duì)于初始化敏感度降低，將使用較大學(xué)習(xí)率變?yōu)榭赡?。同時(shí)，批標(biāo)準(zhǔn)化層的添加加快了訓(xùn)練速度，使收斂速度加快。模型中全局平均池化操作使得將特征圖全局平均后只輸出一個(gè)數(shù)值，并通過Softmax 函數(shù)，極大地縮短了訓(xùn)練的時(shí)間。

Softmax 函數(shù)為：

Softmax 損失值函數(shù)為：

在殘差網(wǎng)絡(luò)的跳躍連接之前加入軟閾值函數(shù)，將數(shù)據(jù)通過軟閾值函數(shù)處理，將絕對(duì)值低于閾值的特征置為0，其他特征也向0 收縮，以此降低噪聲，提高模型的準(zhǔn)確率。

軟閾值函數(shù)為：

本文改進(jìn)的ResNet 網(wǎng)絡(luò)結(jié)構(gòu)如圖4 所示。

圖4 改進(jìn)的ResNet 網(wǎng)絡(luò)結(jié)構(gòu)Fig.4 Improved ResNet network structure

該網(wǎng)絡(luò)結(jié)構(gòu)中包括3個(gè)殘差模塊、1個(gè)批標(biāo)準(zhǔn)化層、1個(gè)全局平均池化層、2個(gè)全連接層和1個(gè)Dropout層。

3 實(shí)驗(yàn)結(jié)果與分析

3.1 實(shí)驗(yàn)數(shù)據(jù)

本文模型使用CIC-IDS-2017 入侵檢測評(píng)估數(shù)據(jù)集進(jìn)行驗(yàn)證。文獻(xiàn)［26］對(duì)1998 年以來現(xiàn)有 11 個(gè)數(shù)據(jù)集的評(píng)估表明，大部分?jǐn)?shù)據(jù)集已過時(shí)且可靠性低，此外其中部分?jǐn)?shù)據(jù)集還存在欠缺流量多樣性等特點(diǎn)，一些沒有涵蓋已知攻擊的種類，另一些則對(duì)數(shù)據(jù)包有效載荷數(shù)據(jù)展開匿名處理，因此難以體現(xiàn)出當(dāng)前的趨勢。其中，還有部分?jǐn)?shù)據(jù)集缺少特征集和元數(shù)據(jù)，故本次實(shí)驗(yàn)沒有選用KDD Cup 99、NSL-KDD等數(shù)據(jù)集。

CIS-IDS-2017 數(shù)據(jù)集中存在非惡性及最新的常見攻擊，在數(shù)據(jù)集的評(píng)估框架中，初次建立了相關(guān)標(biāo)準(zhǔn)對(duì)可靠基準(zhǔn)數(shù)據(jù)集構(gòu)建的正確性進(jìn)行驗(yàn)證。

CIS-IDS-2017 的數(shù)據(jù)分為1 個(gè)正常數(shù)據(jù)（BENIGN）和14 個(gè)攻擊類，分別是暴力破解FTP（FTP-Parator）、暴力破解SSH（SSH-patator）、心臟出血漏洞（Heartbleed）、Brute Force Web 攻擊（WebAttack）、XSS Web 攻 擊、SQL 注入Web攻擊、滲透（Infiltration）、僵尸網(wǎng)絡(luò)（Botnet）、端口掃描 攻擊（PortScans）、DDoS、DoS Hulk、DOS 黃金眼攻擊（DoS GoldenEye）、DOS 懶猴攻擊（DoS slowloris）、DoS Slowhttptest，每一種攻擊均有78 個(gè)特征值表示。選取訓(xùn)練集和測試集按照7∶3 的比例進(jìn)行劃分，具體實(shí)驗(yàn)數(shù)據(jù)如表1 所示。

表1 實(shí)驗(yàn)數(shù)據(jù)Table 1 Experimental datas 單位：個(gè)

3.2 實(shí)驗(yàn)環(huán)境和評(píng)價(jià)標(biāo)準(zhǔn)

ISAE-ResNet 的模型在Windows 系統(tǒng)環(huán)境下進(jìn)行實(shí)驗(yàn)和測試，使用Python 中的Keras 庫編寫模型并采用TensorFlow-CPU 進(jìn)行計(jì)算，具體實(shí)驗(yàn)環(huán)境如表2 所示。

表2 實(shí)驗(yàn)環(huán)境 Table 2 Experimental environment

本文實(shí)驗(yàn)評(píng)價(jià)指標(biāo)由準(zhǔn)確率（AC）、真正例率（TPR）、誤報(bào)率（FPR）作為評(píng)估模型的指標(biāo)。

獲得其他3 個(gè)指標(biāo)的基礎(chǔ)指標(biāo)，由表3 的4 個(gè)基礎(chǔ)指標(biāo)組成，其中，TP 表示真正類，F(xiàn)N 表示假負(fù)類，F(xiàn)P 表示假正類，TN 表示真負(fù)類。

表3 基礎(chǔ)指標(biāo) Table 3 Basic indicators

由上述4 個(gè)基本指標(biāo)可得：

1）準(zhǔn)確率（AC）：

2）真正例率（TPR）：

3）誤報(bào)率（FPR）：

本文采取與改進(jìn)前的ResNet 網(wǎng)絡(luò)和棧式自編碼器交叉對(duì)比，以及與近期其他文獻(xiàn)模型的準(zhǔn)確率進(jìn)行橫向?qū)Ρ葋眚?yàn)證ISAE-ResNet 模型的可行性。

3.3 結(jié)果分析

3.3.1 超參數(shù)選擇

模型展開多次超參數(shù)調(diào)整，最終選用以下最優(yōu)參數(shù)：

1）batch_size

若batch_size 過小，則在均方誤差代價(jià)函數(shù)的錯(cuò)誤面及橫截面，線性神經(jīng)元分別是一個(gè)拋物面及橢圓，由于修正方向每次均以各個(gè)樣本的梯度方向進(jìn)行修正，難以達(dá)到收斂。batch_size 過大，各個(gè) Batch 之間的采樣差異、各次梯度修正值相互抵消，無法修正。經(jīng)過超參數(shù)調(diào)整，本文batch_size 選取為100 時(shí)為最優(yōu)。

2）學(xué)習(xí)率

在深度學(xué)習(xí)中，學(xué)習(xí)率作為一個(gè)核心的超參數(shù)，其控制了網(wǎng)絡(luò)模型的學(xué)習(xí)進(jìn)度，并對(duì)該網(wǎng)絡(luò)成功找到全局最小值從而獲得全局最優(yōu)解的成功幾率及成功時(shí)間起決定性作用。學(xué)習(xí)率設(shè)置的大小會(huì)對(duì)網(wǎng)絡(luò)模型造成一定影響，當(dāng)其設(shè)置過大時(shí)會(huì)使得網(wǎng)絡(luò)不能成功收斂，只能在最優(yōu)值附近震蕩；當(dāng)其設(shè)置過小時(shí)會(huì)極大地降低網(wǎng)絡(luò)收斂速度。經(jīng)過超參數(shù)調(diào)整，本文學(xué)習(xí)率選取為0.01 時(shí)為最優(yōu)學(xué)習(xí)率。

3）實(shí)驗(yàn)迭代次數(shù)

實(shí)驗(yàn)迭代一次的過程稱為一個(gè)epoch，即一個(gè)完整的數(shù)據(jù)集在神經(jīng)網(wǎng)絡(luò)中的一個(gè)來回。epoch 設(shè)置過小，會(huì)使網(wǎng)絡(luò)學(xué)習(xí)時(shí)間過小，導(dǎo)致其不能收斂，epoch 數(shù)量則與神經(jīng)網(wǎng)絡(luò)內(nèi)權(quán)重的更新次數(shù)呈正向關(guān)系，當(dāng)前者數(shù)量過大時(shí)后者更新次數(shù)也會(huì)較大，從而使得曲線從欠擬合轉(zhuǎn)變?yōu)檫^擬合。經(jīng)過超參數(shù)調(diào)整，本文最優(yōu)epoch 為50。

3.3.2 數(shù)據(jù)預(yù)處理

數(shù)據(jù)預(yù)處理包括獨(dú)熱編碼和Z-Score 標(biāo)準(zhǔn)化。

1）獨(dú)熱編碼

獨(dú)熱編碼又被稱為One-Hot 編碼，其使用N位狀態(tài)寄存器展開對(duì)N個(gè)狀態(tài)的編碼，各個(gè)狀態(tài)均具備各自單獨(dú)的寄存器位，在任意時(shí)刻的有效狀態(tài)僅有一位。One-Hot 編碼把二進(jìn)制向量表示為分類變量，并把分類值映射到整數(shù)值，并且可將離散特征的取值擴(kuò)展到了歐氏空間，離散特征的某個(gè)取值與歐氏空間的某個(gè)點(diǎn)相互對(duì)應(yīng)。

使用TensorFlow 的One-Hot 函數(shù)將15 個(gè)標(biāo)簽轉(zhuǎn)化為二進(jìn)制標(biāo)簽，以便神經(jīng)網(wǎng)絡(luò)的訓(xùn)練。

2）Z-Score 標(biāo)準(zhǔn)化

Z-Score 將不同量級(jí)的數(shù)據(jù)轉(zhuǎn)化為同一個(gè)量級(jí)，統(tǒng)一用計(jì)算出的Z-Score 值衡量，以保證數(shù)據(jù)之間的可比性。下面給出Z-Score 的標(biāo)準(zhǔn)差公式和標(biāo)準(zhǔn)化轉(zhuǎn)換公式：

在所使用的CIC-IDS-2017 數(shù)據(jù)集中，不同的特征數(shù)據(jù)之間的大小有著巨大差異，具有不同的數(shù)量級(jí)，因此本文采用Z-Score 方法對(duì)數(shù)據(jù)集展開標(biāo)準(zhǔn)化處理，通過numpy 中的mean 和std 函數(shù)進(jìn)行實(shí)現(xiàn)。

3.3.3 ISAE-ResNet 交叉對(duì)比

將ISAE-ResNet 分別與基于未改進(jìn)的ResNet 的入侵檢測模型和未改進(jìn)的棧式自編碼器的入侵檢測模型進(jìn)行交叉對(duì)比實(shí)驗(yàn)，3 個(gè)實(shí)驗(yàn)?zāi)Ｐ途捎孟嗤某瑓?shù)和數(shù)據(jù)預(yù)處理方式。在模型訓(xùn)練的過程中，由圖5 可見損失函數(shù)值的變化狀態(tài)。ISAE-ResNet迭代次數(shù)與損失函數(shù)值呈負(fù)性關(guān)系，后者隨前者的增加逐漸減小，且下降速率表現(xiàn)為先快后慢，在前10 次迭代中損失函數(shù)值快速下降，到第25 次左右loss 值逐漸趨于平緩。未改進(jìn)的ResNet 網(wǎng)絡(luò)的loss值的變化和未改進(jìn)的棧式自編碼器loss 值變化速度在25 次迭代時(shí)僅有緩慢下降趨勢，且在30 次左右才趨于平穩(wěn)，說明本文模型收斂速度較快。

圖5 損失函數(shù)值對(duì)比Fig.5 Comparison of loss function values

ISAE-ResNet 準(zhǔn)確率為98.67%、真正例率為95.93%、誤報(bào)率為0.37%，優(yōu)于基于未改進(jìn)ResNet 的入侵檢測模型準(zhǔn)確率96.25%、真正例率91.24%、誤報(bào)率0.59%和未改進(jìn)的棧式自編碼器的入侵檢測模型準(zhǔn)確率97.17%、真正例率92.31%、誤報(bào)率0.46%，這表明ISAE-ResNet 模型性能高于未改進(jìn)之前的ResNet 和棧式自編碼器入侵檢測模型。不同模型的準(zhǔn)確率對(duì)比如圖6 所示。

圖6 不同模型的準(zhǔn)確率對(duì)比Fig.6 Accuracy comparison of different models

3.3.4 ISAE-ResNet 與相關(guān)模型的對(duì)比

將本文模型與其他算法的入侵檢測模型做對(duì)比實(shí)驗(yàn)，并通過準(zhǔn)確率、真正例率、誤報(bào)率等方式對(duì)本文模型的性能進(jìn)行驗(yàn)證。本文模型準(zhǔn)確率為98.67%、真正例率為95.93%、誤報(bào)率為0.37%。文獻(xiàn)［7］針對(duì)網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)檢測，使用梯度提升決策樹模型進(jìn)行分類，丟棄無關(guān)特征加快收斂速度，但準(zhǔn)確率均低于本文模型，說明本文改進(jìn)自編碼器可以在訓(xùn)練中通過重構(gòu)生成新的數(shù)據(jù)來增加分類準(zhǔn)確率。文獻(xiàn)［12］設(shè)計(jì)了一種三層堆疊LSTM 網(wǎng)絡(luò)，對(duì)存在差異的流量特征進(jìn)行提取，從而提升收斂速度，但準(zhǔn)確率和真正例率低于本文模型，說明本文改進(jìn)ResNet 網(wǎng)絡(luò)分 類效果較好。文獻(xiàn)［14］基于AutoEncoder和ResNet 的網(wǎng)絡(luò)融合了一種新的入侵檢測模型，通過自編碼器進(jìn)行數(shù)據(jù)降維，但是并未對(duì)自編碼器進(jìn)行改進(jìn)，輸出的參數(shù)降維程度不高、分類效果較差，準(zhǔn)確率、真正例率、誤報(bào)率均低于本文模型。文獻(xiàn)［17］采用變分自編碼器對(duì)特征進(jìn)行提取，并生成新的特征來加快模型收斂速度，但準(zhǔn)確率低于本文模型。文獻(xiàn)［20］使用動(dòng)態(tài)自編碼器的網(wǎng)絡(luò)異常數(shù)據(jù)進(jìn)行分類，將數(shù)據(jù)集中不平衡的數(shù)據(jù)進(jìn)行處理來提高分類準(zhǔn)確率，但準(zhǔn)確率、誤報(bào)率低于本文模型。具體分類結(jié)果表4 所示。

表4 模型分類結(jié)果Table 4 Model classification results %

實(shí)驗(yàn)結(jié)果表明，ISAE-ResNet 通過對(duì)棧式自編碼器進(jìn)行改進(jìn)，使用副編碼器重構(gòu)數(shù)據(jù)得到新的特征并使用主編碼器進(jìn)行降維，再對(duì)ResNet 進(jìn)行改進(jìn)，使用軟閾值函數(shù)清除噪聲，提高了對(duì)網(wǎng)絡(luò)中入侵?jǐn)?shù)據(jù)的識(shí)別能力，并加快模型的收斂速度。同時(shí)，該模型準(zhǔn)確率較高，誤報(bào)率較低，收斂速度較快，表明本文模型檢測能力較優(yōu)。

4 結(jié)束語

隨著云端儲(chǔ)存時(shí)代的到來，大量用戶將隱私敏感信息儲(chǔ)存在網(wǎng)絡(luò)云主機(jī)中，針對(duì)用戶信息竊取的網(wǎng)絡(luò)攻擊也層出不窮。傳統(tǒng)基于機(jī)器學(xué)習(xí)與深度學(xué)習(xí)算法構(gòu)建的入侵檢測模型已經(jīng)較為成熟，但模型準(zhǔn)確率及收斂速度有待提高。本文提出融合改進(jìn)的棧式自編碼器和ResNet 的入侵檢測模型ISAEResNet，將預(yù)處理后的數(shù)據(jù)輸入改進(jìn)的棧式自編碼器中，利用棧式自編碼器對(duì)數(shù)據(jù)急性降維并通過改進(jìn)的ResNet 模型對(duì)數(shù)據(jù)進(jìn)行分類。實(shí)驗(yàn)結(jié)果表明，該模型存在收斂速度快、準(zhǔn)確率高以及誤報(bào)率較低等特點(diǎn)。下一步將通過調(diào)整模型結(jié)構(gòu)提高模型運(yùn)算性能，以縮短模型計(jì)算時(shí)間。