基于LiCNN與BiLSTM的物聯(lián)網(wǎng)入侵檢測系統(tǒng)

摘 要：針對入侵檢測系統(tǒng)中出現(xiàn)的局部特征提取能力不足問題，提出了一種側(cè)抑制卷積神經(jīng)網(wǎng)絡(luò)模型（LiCNN），即在已有的CNN模型中加入側(cè)抑制模塊增強局部特征提取能力；針對一般卷積網(wǎng)絡(luò)難以提取高維特征的問題，在LiCNN結(jié)構(gòu)中引入逆殘差概念，進一步提高模型高維特征的提取能力；針對傳統(tǒng)入侵檢測模型存在的無法處理長距離依賴關(guān)系、難以并行化等問題，采用雙向長短期記憶網(wǎng)絡(luò)（BiLSTM）提取時序特征，通過增強上下文信息捕捉能力來處理長距離依賴關(guān)系，提高模型的預(yù)測精度。在公開數(shù)據(jù)集CICIDS2017上進行實驗，經(jīng)過對比傳統(tǒng)模型以及現(xiàn)有的入侵檢測方法表明，所提模型擁有較好的性能。模型預(yù)測準(zhǔn)確率、召回率、F1值較高，證明了其有效性和可行性。

關(guān)鍵詞：物聯(lián)網(wǎng)；網(wǎng)絡(luò)安全；入侵檢測系統(tǒng)；側(cè)抑制卷積神經(jīng)網(wǎng)絡(luò)；雙向長短期記憶網(wǎng)絡(luò)；CICIDS2017數(shù)據(jù)集

中圖分類號：TP393.0 文獻標(biāo)識碼：A 文章編號：2095-1302（2024）10-00-06

0 引 言

目前，物聯(lián)網(wǎng)設(shè)備逐漸趨于智能化，并且被廣泛應(yīng)用于家庭、教育、娛樂等領(lǐng)域，更加智能的出行和生活方式隨著物聯(lián)網(wǎng)的普及逐漸成為常態(tài)。

然而無論是學(xué)術(shù)界還是商業(yè)界都很少關(guān)注物聯(lián)網(wǎng)設(shè)備的安全性，這也使一些不法分子有機可乘，做出危及物聯(lián)網(wǎng)用戶個人隱私安全、設(shè)備安全的行為，更嚴(yán)重的甚至?xí)?dǎo)致網(wǎng)絡(luò)生態(tài)系統(tǒng)失衡[1]。隨著物聯(lián)網(wǎng)的快速發(fā)展，人們對物聯(lián)網(wǎng)系統(tǒng)的使用也愈發(fā)頻繁，這也使得物聯(lián)網(wǎng)系統(tǒng)成為了網(wǎng)絡(luò)攻擊的主要目標(biāo)，因此，增強入侵防范意識及其技術(shù)水平至關(guān)重要。入侵檢測系統(tǒng)（Intrusion Detection System， IDS）[2]旨在通過有效抵御安全威脅，從而提升物聯(lián)網(wǎng)安全水平。傳統(tǒng)的入侵檢測系統(tǒng)往往無法有效應(yīng)對物聯(lián)網(wǎng)中復(fù)雜和多樣化的安全威脅。而深度學(xué)習(xí)技術(shù)通過其強大的模式識別和學(xué)習(xí)能力，可以更好地適應(yīng)物聯(lián)網(wǎng)中不斷變化的網(wǎng)絡(luò)攻擊形式，提供更高效準(zhǔn)確的入侵檢測方法。

最早的研究方法大多為基于機器學(xué)習(xí)的入侵檢測方法。文獻[3]中提出的LM-BP入侵檢測算法在更好地揭示物聯(lián)網(wǎng)本質(zhì)的同時，也實現(xiàn)了對物聯(lián)網(wǎng)入侵檢測系統(tǒng)的性能優(yōu)化。文獻[4]中將SVM算法應(yīng)用于車聯(lián)網(wǎng)數(shù)據(jù)的異常檢測方法中，得到了不錯的檢測效果。文獻[5]在時序數(shù)據(jù)的分類問題上進行了大量實驗對比，發(fā)現(xiàn)K-means算法在提取和聚合時序特征方面有更優(yōu)的效果，實現(xiàn)了在物聯(lián)網(wǎng)入侵檢測方向上的突破。文獻[6]中提出了一種結(jié)合不同機器學(xué)習(xí)算法的混合分類器模型，以提高檢測的準(zhǔn)確性和魯棒性。作者使用遺傳算法（GA）來優(yōu)化混合分類器的參數(shù)，并進行特征選擇，以降低數(shù)據(jù)集的維度和復(fù)雜度。雖然機器學(xué)習(xí)在分類檢測問題中有著不錯的研究成果，但是機器學(xué)習(xí)無法處理龐大數(shù)據(jù)、難以識別復(fù)雜入侵行為的弊端也逐漸顯現(xiàn)，這也是深度學(xué)習(xí)技術(shù)逐漸代替機器學(xué)習(xí)被廣泛應(yīng)用的一個重要原因。文獻[7]中提出了一種基于混合模型的多通道智能攻擊檢測方法，該方法將數(shù)據(jù)預(yù)處理、特征提取、多通道訓(xùn)練和檢測無縫集成到一個端到端的檢測框架中，旨在解決數(shù)據(jù)安全問題。實驗結(jié)果驗證了該方法在攻擊檢測方面大大優(yōu)于使用特征檢測和貝葉斯或SVM分類器的幾種攻擊檢測方法。文獻[8]

中提出了基于DGRU的分類器來實現(xiàn)入侵檢測，該分類器能夠有效處理時間序列數(shù)據(jù)和動態(tài)特征。作者還設(shè)計了一種基于包裝器的特征選擇算法，該算法能夠根據(jù)DGRU的性能自動選擇最優(yōu)的特征子集。文獻[9]中提出了一種基于

ID-CNN模型的分類器，該分類器能夠?qū)r間序列數(shù)據(jù)進行監(jiān)督學(xué)習(xí)，并從TCP/IP數(shù)據(jù)包中提取高層特征。作者為了解決分類器泛化能力不足的問題，還使用了歸一化技術(shù)來處理不平衡的數(shù)據(jù)集。文獻[10]中設(shè)計了一種基于流的入侵檢測模型SGM-CNN，該模型解決了不平衡類處理問題，研究了在特征提取過程中卷積核數(shù)量對模型性能的影響，作者使用UNSW-NB15和CICIDS2017公開數(shù)據(jù)集來驗證他們的方法，對比實驗的結(jié)果證明了其方法在不平衡入侵檢測方面的有效性和靈活性。文獻[11]中使用了一種類別權(quán)重優(yōu)化方法來減少不同攻擊類型在模型訓(xùn)練樣本中因樣本數(shù)量不平衡對模型性能產(chǎn)生的影響，提高了模型的魯棒性。文獻[12]中提出采用ID-RDRL模型篩選最優(yōu)的特征子集，隨后輸入神經(jīng)網(wǎng)絡(luò)提取特征信息，然后使用DRL訓(xùn)練分類器識別網(wǎng)絡(luò)入侵。文獻[13]中提出了一種基于長短期記憶自編碼器（LAE）和雙向長短期記憶網(wǎng)絡(luò)（Bidirectional Long Shortterm Memory， BiLSTM）的混合深度學(xué)習(xí)模型，該模型能夠有效提取和分析網(wǎng)絡(luò)流量數(shù)據(jù)的特征，并識別出正常和異常的流量樣本，使用BoT-IoT數(shù)據(jù)集來驗證其有效性。

當(dāng)前入侵檢測模型面臨著因堆疊網(wǎng)絡(luò)結(jié)構(gòu)導(dǎo)致模型復(fù)雜度過大的問題，雖然已有人在特征降維方面進行了模型優(yōu)化，以此來達(dá)到降低模型復(fù)雜度的目的，但是也存在由于特征降維導(dǎo)致特征提取不全、模型預(yù)測準(zhǔn)確率降低的問題。為了使預(yù)測模型在提高特征提取能力的同時不會出現(xiàn)參數(shù)過多、計算開銷過大的情況，本文采用基于LiCNN（Lateral Inhibition Convolution Neural Network）與BiLSTM的入侵檢測方法。使用改進的輕量級LiCNN進行特征提取和特征增強操作；然后將得到的特征向量傳入BiLSTM網(wǎng)絡(luò)中進行時序特征的提取以及預(yù)測模型的訓(xùn)練；訓(xùn)練結(jié)束后使用訓(xùn)練好的模型來檢測異常數(shù)據(jù)并觀察其準(zhǔn)確率；最后通過對比實驗驗證模型的有效性，與不同的檢測方法比較后，證明該方法的準(zhǔn)確性較高，誤報率較低。

1 相關(guān)工作

1.1 檢測原理

入侵檢測系統(tǒng)能夠分析捕獲的數(shù)據(jù)包，以此判斷是否發(fā)生入侵檢測事件，其工作原理是系統(tǒng)首先在正常的網(wǎng)絡(luò)流量數(shù)據(jù)基礎(chǔ)上，學(xué)習(xí)和建立一個正常模式下的模型或基準(zhǔn)。異常的網(wǎng)絡(luò)流量與正常的網(wǎng)絡(luò)流量存在差異，以此來判斷入侵情況。同時，檢測系統(tǒng)還能根據(jù)不同攻擊產(chǎn)生的流量的差異性來建立異常模式下的模型或基準(zhǔn)，以此來判斷攻擊的具體類型。

1.2 卷積神經(jīng)網(wǎng)絡(luò)

卷積神經(jīng)網(wǎng)絡(luò)（Convolutional Neural Network， CNN）是一種深度學(xué)習(xí)算法，被普遍應(yīng)用于數(shù)據(jù)的特征提取過程，例如圖像分割、語音識別和文本提取等。CNN結(jié)構(gòu)圖如圖1所示。

1.3 雙向長短期記憶網(wǎng)絡(luò)

文獻[16]在1997年提出遞歸網(wǎng)絡(luò)體系結(jié)構(gòu)LSTM神經(jīng)網(wǎng)絡(luò)，BiLSTM由LSTM發(fā)展而來。BiLSTM門控結(jié)構(gòu)如圖2所示。

BiLSTM將輸入序列分別輸入到2個LSTM層中，并將它們的輸出拼接起來，從而實現(xiàn)雙向信息傳遞。通過捕捉當(dāng)前時刻的上下文信息，增強模型對序列數(shù)據(jù)的理解能力。各層的計算公式如式（3）～式（5）所示：

2 基于LiCNN-BiLSTM的網(wǎng)絡(luò)入侵檢測模型

2.1 改進的卷積神經(jīng)網(wǎng)絡(luò)

本文使用了具有側(cè)抑制模塊的改進卷積神經(jīng)網(wǎng)絡(luò)，側(cè)抑制是神經(jīng)系統(tǒng)中一種重要的信息處理機制。它指當(dāng)一個神經(jīng)元被激活時，會抑制周圍鄰近神經(jīng)元的活動，從而產(chǎn)生對比增強的效果。在基礎(chǔ)的CNN網(wǎng)絡(luò)模型中加入側(cè)抑制模塊，通過抑制不重要的特征來突出重要特征，以此達(dá)到特征增強的效果。側(cè)抑制模塊由3個卷積網(wǎng)絡(luò)單元組成，每個單元由一維卷積層、Batch Normalization層和ReLU層組成。LiCNN結(jié)構(gòu)圖如圖3所示。

本文所提模型中引入了逆殘差結(jié)構(gòu)，使得模型在特征提取過程中能夠提取不同維度的特征，同時還通過分組卷積技術(shù)降低了模型參數(shù)，減少了模型計算開銷，達(dá)到了降低模型復(fù)雜度的目的。

數(shù)據(jù)傳入LiCNN后進行的處理如下：

（1）將輸入數(shù)據(jù)使用分組卷積技術(shù)等分為xf1和xf2兩組，xf1做同等映射，將xf2傳入側(cè)抑制模塊進行特征增強；

（2）將特征圖xf2逐點卷積后，使其特征維度從低維映射到高維，得到特征圖xf2_h；

（3）借助卷積層對特征圖xf2_h進行特征提取后，經(jīng)BN層加快收斂速度，最后由ReLU層進行非線性化特征處理，使模型有更好的表達(dá)能力，得到特征圖xf2_h2；

（4）通過逐點卷積特征圖調(diào)整xf2_h2的維度，使其與xf1相同，得到特征圖xf2_out；

（5）使用Concat（）函數(shù)對特征圖xf1和xf2_out進行特征融合來增強模型的表達(dá)能力和靈活性，接著使用View（）函數(shù)調(diào)整特征圖形狀得到最終的輸出xc_s，將其傳入BiLSTM網(wǎng)絡(luò)。

2.2 入侵檢測流程設(shè)計思路

為了使預(yù)測模型在保證預(yù)測精度的前提下還能提高特征提取能力，同時不會出現(xiàn)參數(shù)過大、模型復(fù)雜度變大的情況，本文采用基于LiCNN與BiLSTM網(wǎng)絡(luò)的入侵檢測方法，該方法主要包含數(shù)據(jù)預(yù)處理、模型訓(xùn)練與數(shù)據(jù)預(yù)測。入侵檢測框架如圖4所示。

（1）數(shù)據(jù)預(yù)處理。數(shù)據(jù)預(yù)處理包括數(shù)據(jù)清洗、均值填充、數(shù)據(jù)標(biāo)準(zhǔn)化以及生成訓(xùn)練集和測試集4個部分。數(shù)據(jù)預(yù)處理的步驟：首先對數(shù)據(jù)集中的空值、缺失值或者inf值進行剔除、空缺數(shù)據(jù)填充操作；隨后對數(shù)據(jù)進行標(biāo)準(zhǔn)化處理；最后將數(shù)據(jù)集劃分成為訓(xùn)練集和測試集，劃分系數(shù)設(shè)置為0.3。標(biāo)準(zhǔn)化的公式可以表示為：

3 實 驗

3.1 實驗環(huán)境

實驗運行環(huán)境為Windows 11操作系統(tǒng)，CPU為AMD Ryzen 7 5800H with Radeon Graphics，顯卡為Intel Iris Xe Graphics，固態(tài)硬盤為512 GB。

實驗程序的編寫環(huán)境為PyCharm集成開發(fā)環(huán)境，編程語言為Python 3.9。

3.2 數(shù)據(jù)集選取

本文使用公共數(shù)據(jù)集CICIDS2017作為實驗數(shù)據(jù)。CICIDS2017是基于真實網(wǎng)絡(luò)通信數(shù)據(jù)產(chǎn)生的數(shù)據(jù)集，共有80多個網(wǎng)絡(luò)流特征，包括6個基本特征和70多個功能特征，用于評估入侵檢測系統(tǒng)的性能。數(shù)據(jù)集中包含了正常網(wǎng)絡(luò)流量以及各種類型的網(wǎng)絡(luò)攻擊行為，有FTP-Patator、SSH-Patator、DoS、Heartbleed、Port Scan、Infiltration、Bot和DDoS共8種攻擊類型。

原始數(shù)據(jù)分布見表1所列。

由表1可知，有些攻擊類型如Infiltration、Heartbleed等數(shù)據(jù)量過小，導(dǎo)致數(shù)據(jù)分布不平衡，在模型預(yù)測中容易影響模型的預(yù)測精度，同時由于數(shù)據(jù)不平衡和噪聲的影響，會導(dǎo)致模型的泛化能力和魯棒性降低，因此數(shù)據(jù)集中僅保留數(shù)據(jù)量較大的幾種攻擊類型，將較少數(shù)據(jù)量的攻擊類型剔除。數(shù)據(jù)通過預(yù)處理后劃分為測試集和訓(xùn)練集，劃分系數(shù)為0.7，分布見表2所列。

3.3 評價指標(biāo)

選取準(zhǔn)確率、召回率、F1值作為評價本次實驗的重要指標(biāo)，以此來衡量本文提出模型的有效性。各項評估指標(biāo)的計算公式如下所示：

3.4 實驗結(jié)果分析

消融實驗是一種重要的研究方法，用于驗證不同模塊對模型性能的影響。在模型訓(xùn)練過程中，由圖5可知，LSTM、BiLSTM網(wǎng)絡(luò)變化趨于平穩(wěn)后的loss值比LiCNN-BiLSTM、CNN-BiLSTM網(wǎng)絡(luò)的值高，說明混合網(wǎng)絡(luò)模型的預(yù)測精確度更高，模型的訓(xùn)練效果比單一網(wǎng)絡(luò)好。同時，根據(jù)圖中曲線可知，損失值函數(shù)loss與迭代次數(shù)呈負(fù)相關(guān)，隨著迭代次數(shù)的增加，loss值逐漸減小，而且下降速率表現(xiàn)為先快后慢。LiCNN-BiLSTM網(wǎng)絡(luò)在前5次迭代過程中l(wèi)oss值快速下降，到第9次后loss值逐漸趨于平緩；而基于CNN-BiLSTM網(wǎng)絡(luò)的loss值在前6次迭代中快速下降，但是在第12次后才逐漸趨于平緩，說明本文模型收斂速度更快，收斂效果更好。

圖6分別為LSTM網(wǎng)絡(luò)、BiLSTM網(wǎng)絡(luò)、CNN-BiLSTM網(wǎng)絡(luò)以及LiCNN-BiLSTM網(wǎng)絡(luò)的預(yù)測精度曲線。由圖中數(shù)據(jù)可知，加入了反向時序信息的雙向神經(jīng)網(wǎng)絡(luò)比單向神經(jīng)網(wǎng)絡(luò)的效果好，同時相較于單一的網(wǎng)絡(luò)模型，混合模型的預(yù)測精度更高。這是由于在混合模型中CNN網(wǎng)絡(luò)能夠先行提取到局部的重要特征，抑制了不必要特征傳入BiLSTM網(wǎng)絡(luò)，減少了BiLSTM網(wǎng)絡(luò)進行時序特征提取的計算開銷，也提高了BiLSTM網(wǎng)絡(luò)的訓(xùn)練精度。而本文所提網(wǎng)絡(luò)模型在CNN結(jié)構(gòu)中加入了側(cè)抑制模塊進行特征增強，進一步提高了模型的特征提取能力。

表3是各種當(dāng)前較為流行的入侵檢測模型的評價指標(biāo)對比表，由表3可知，在對比實驗中，本文所提模型各項評價指標(biāo)均較高，這進一步證明了本文所提模型的有效性和優(yōu)越性。

4 結(jié) 語

基于LiCNN-BiLSTM網(wǎng)絡(luò)的入侵檢測模型是當(dāng)前物聯(lián)網(wǎng)網(wǎng)絡(luò)安全領(lǐng)域的一個重要研究方向。本研究構(gòu)建的混合網(wǎng)絡(luò)框架的實驗?zāi)Ｐ徒?jīng)過多次實驗對比，結(jié)果表明，該模型可以有效捕捉網(wǎng)絡(luò)流量數(shù)據(jù)，并在多種環(huán)境中表現(xiàn)出良好的性能和穩(wěn)健的特征。

首先，本文通過卷積神經(jīng)網(wǎng)絡(luò)對網(wǎng)絡(luò)流量數(shù)據(jù)進行特征提取，提取出了數(shù)據(jù)中的空間特征，能夠更好地捕捉到入侵行為中的關(guān)鍵信息，同時減少了模型的參數(shù)，避免了計算開銷的增加，提高了模型的訓(xùn)練速度和性能。

其次，本文通過引入雙向長短期記憶網(wǎng)絡(luò)建立時間序列模型來研究網(wǎng)絡(luò)流量數(shù)據(jù)，BiLSTM能夠有效捕捉數(shù)據(jù)中的時序依賴關(guān)系，通過將歷史信息與當(dāng)前信息相結(jié)合，更好地預(yù)測未來可能發(fā)生的入侵行為。

最后，本文對模型進行了大量的實驗驗證。實驗結(jié)果表明，基于LiCNN與BiLSTM網(wǎng)絡(luò)的入侵檢測模型在各項指標(biāo)上均獲得了較好的表現(xiàn)。與傳統(tǒng)方法相比，該模型能夠更準(zhǔn)確地檢測出網(wǎng)絡(luò)中的入侵行為，并且具有較低的誤報率和漏報率。實驗結(jié)果的穩(wěn)定性和一致性也驗證了該模型的有效性和可行性。

綜上所述，基于LiCNN與BiLSTM網(wǎng)絡(luò)的入侵檢測模型在網(wǎng)絡(luò)安全領(lǐng)域具有重要的應(yīng)用價值。但該模型仍有優(yōu)化的空間，可以通過繼續(xù)優(yōu)化來提高其在復(fù)雜網(wǎng)絡(luò)環(huán)境下的可擴展性和魯棒性，以更好地應(yīng)對網(wǎng)絡(luò)安全威脅。

參考文獻

[1]王振東，張林，李大海.基于機器學(xué)習(xí)的物聯(lián)網(wǎng)入侵檢測系統(tǒng)綜述[J].計算機工程與應(yīng)用，2021，57（4）：18-27.

[2] DEBAR H，BECKER M，SIBONI D. A neural network component for an intrusion detection system [J]. Communications in computer and information science，2009（31）：232-243.

[3] YANG A，ZHUANSUN Y，LIU C，et al. Design of intrusion detection system for Internet of Things based on improved BP neural network [J]. IEEE access，2019，7：106043-106052.

[4] GARG S，KAUR K，KADDOUM G，et al.（2019）Sec-IoV：a multi-stage anomaly detection scheme for internet of vehicles [Z]. PERSIST-IoT 19.

[5] KISS I，GENGE B，HALLER P，et al. Data clustering-based anomaly detection in industrial control systems [C]// 2014 10th International Conference on Intelligent Computer Communication and Processing（ICCP）.Cluj-Napoca，Cluj，Romania：IEEE，2014：275-281.

[6] KUNHARE N，TIWARI R，DHAR J. Intrusion detection systemusing hybrid classifiers with meta-heuristic algorithms for the optimization and feature selection by genetic algorithm [J]. Computers and electrical engineering，2022，103：108383.

[7] JIANG F，F(xiàn)U Y S，GUPTA B B，et al. Deep learning based multi-channel intelligent attack detection for data security [J]. IEEE transactions on sustainable computing，2020，5（2）：204-212.

[8] KASONGO S M，SUN Y X. A deep gated recurrent unit basedmodel for wireless intrusion detection system [J]. ICT express，2021，7（1）：81-87.

[9] AZIZJON M，JUMABEK A，KIM W. ID CNN based network intrusion detection with normalization on imbalanced data [C]// Proceedings of 2020 International Conference on Artificial Intelligence in Information and Communication. Fukuoka：IEEE，2020：218-224.

[10] ZHANG H P，HUANG L L，WU C Q，et al. An effective convolutional neural network based on SMOTE and Giaussian mixture detectionin model for intrusion imbalanced dataset [J]. Computer networks，2020，177：107315.

[11] SUN P F，LIU P I，LI Q，et al. DL-IDS：Extracting feature susing CNN-LSTM hybrid network for intrusion detection system [J]. Security and communication networks，2020：8890306.

[12] REN K Z，ZENG Y F，CAO Q，et al. ID-RDRL：A deep reinforcement learning-based feature selection intrusion detection model [J]. Scientific reports，2022，12（1）：15370.

[13] POPOOLA S L，ADEBISI B，HAMMOUDEH M，et al. Hybrid deep learning for botnet attack detection in the Internet-of-Things networks [J]. Internet of things journal，2021，8（6）：4944-4956.

[14]丁承君，劉強，馮玉伯，等.基于物聯(lián)網(wǎng)和邊緣計算的高校機房在線監(jiān)測[J].計算機工程與應(yīng)用，2018，54（21）：257-264.

[15]袁新雅.面向智能電網(wǎng)的入侵檢測關(guān)鍵技術(shù)研究[D].南京：南京郵電大學(xué)，2022.

[16] HOCHREITER S，SCHMIDHUBER J. LSTM can solve hard long time lag problems [J]. Advances in neural information processing systems，1997（9）：473-479.