摘? 要:網(wǎng)絡(luò)入侵是指非授權(quán)訪問和惡意攻擊網(wǎng)絡(luò)系統(tǒng)的行為,對(duì)網(wǎng)絡(luò)和數(shù)據(jù)安全構(gòu)成威脅。為了保護(hù)網(wǎng)絡(luò)系統(tǒng)免受入侵的危害,設(shè)計(jì)和實(shí)現(xiàn)一個(gè)高效準(zhǔn)確的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)至關(guān)重要。因此,提出了一個(gè)基于深度學(xué)習(xí)的端到端網(wǎng)絡(luò)入侵檢測(cè)框架,利用卷積神經(jīng)網(wǎng)絡(luò)(Convolutional NeuralNetwork,CNN)的特征提取和分類能力來識(shí)別網(wǎng)絡(luò)流量中的惡意行為。使用公開的網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)集對(duì)該框架進(jìn)行實(shí)驗(yàn)評(píng)估,并對(duì)系統(tǒng)性能進(jìn)行了分析和比較。實(shí)驗(yàn)結(jié)果表明,所提出的基于CNN 的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)在準(zhǔn)確性和效率方面取得了良好的表現(xiàn),能夠有效地檢測(cè)和分類各種網(wǎng)絡(luò)入侵行為。
內(nèi)容目錄:
1 卷積神經(jīng)網(wǎng)絡(luò)的基本原理
2 檢測(cè)模型設(shè)計(jì)與實(shí)現(xiàn)
2.1 數(shù)據(jù)預(yù)處理
2.2 數(shù)據(jù)集劃分
2.3 網(wǎng)絡(luò)模型設(shè)計(jì)
2.4 模型訓(xùn)練和優(yōu)化
2.5 模型評(píng)估和性能分析
3 檢測(cè)模型實(shí)驗(yàn)評(píng)估
4 結(jié)? 語
在數(shù)字化時(shí)代,網(wǎng)絡(luò)入侵檢測(cè)對(duì)保障網(wǎng)絡(luò)安全具有重要意義。隨著網(wǎng)絡(luò)的普及和信息的互聯(lián),網(wǎng)絡(luò)入侵事件頻發(fā),給國家、組織和個(gè)人帶來了嚴(yán)重的威脅和損失。因此,開發(fā)高效可靠的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)成為一項(xiàng)緊迫的任務(wù)。
網(wǎng)絡(luò)入侵是一種對(duì)網(wǎng)絡(luò)系統(tǒng)造成威脅和危害的行為,包括未經(jīng)授權(quán)的訪問、惡意軟件攻擊、拒絕服務(wù)攻擊等。為了保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全,網(wǎng)絡(luò)入侵檢測(cè)成為一項(xiàng)重要的任務(wù)。傳統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)方法通?;谝?guī)則和統(tǒng)計(jì)模型,但這些方法受限于規(guī)則的準(zhǔn)確性和模型的泛化能力。近年來,深度學(xué)習(xí)技術(shù)的發(fā)展為網(wǎng)絡(luò)入侵檢測(cè)提供了新的機(jī)會(huì) 。深度學(xué)習(xí)模型如卷積神經(jīng)網(wǎng)絡(luò)(Convolutional Neural Network,CNN)在圖像和語音處理領(lǐng)域取得了顯著的成果,其在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用也引起了廣泛關(guān)注。
網(wǎng)絡(luò)入侵檢測(cè)是網(wǎng)絡(luò)安全領(lǐng)域的關(guān)鍵問題,許多研究人員和學(xué)者提出了各種方法和技術(shù)來檢測(cè)和防止網(wǎng)絡(luò)入侵。在過去的幾十年里,研究人員提出了許多基于規(guī)則和特征工程的方法,這些方法主要依賴于人工定義的規(guī)則和特征來檢測(cè)入侵行為 。然而,由于網(wǎng)絡(luò)入侵的復(fù)雜性和多樣性,這些方法往往難以滿足準(zhǔn)確性和效率方面的要求。近年來,基于深度學(xué)習(xí)的方法在網(wǎng)絡(luò)入侵檢測(cè)領(lǐng)域取得了顯著的進(jìn)展。深度學(xué)習(xí)是一種機(jī)器學(xué)習(xí)的分支,它通過構(gòu)建多層神經(jīng)網(wǎng)絡(luò)來模擬人腦的學(xué)習(xí)和決策過程。相比傳統(tǒng)的方法,深度學(xué)習(xí)可以自動(dòng)從原始數(shù)據(jù)中學(xué)習(xí)特征和模式,無須依賴手工設(shè)計(jì)的規(guī)則和特征 。這使得深度學(xué)習(xí)在網(wǎng)絡(luò)入侵檢測(cè)中具有更好的適應(yīng)性和準(zhǔn)確性。
基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)方法可以分為基于異常檢測(cè)和基于分類的方法 兩類。基于異常檢測(cè)的方法通過建立正常網(wǎng)絡(luò)流量的模型,檢測(cè)和識(shí)別與正常行為不符的異常行為。這些方法主要使用自編碼器、變分自編碼器、生成對(duì)抗網(wǎng)絡(luò)等模型來學(xué)習(xí)正常網(wǎng)絡(luò)流量的分布。基于分類的方法則將網(wǎng)絡(luò)入侵檢測(cè)問題轉(zhuǎn)化為一個(gè)二分類問題,通過訓(xùn)練神經(jīng)網(wǎng)絡(luò)來區(qū)分正常流量和入侵行為 。這些方法主要使用卷積神經(jīng)網(wǎng)絡(luò)、循環(huán)神經(jīng)網(wǎng)絡(luò)、注意力機(jī)制等模型來學(xué)習(xí)特征和模式。
雖然基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)方法在一定程度上提高了檢測(cè)準(zhǔn)確性和效率,但仍然存在一些挑戰(zhàn)和問題。首先,深度學(xué)習(xí)模型需要大量的標(biāo)記數(shù)據(jù)進(jìn)行訓(xùn)練,但網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)往往是稀缺的和不平衡的。其次,深度學(xué)習(xí)模型的復(fù)雜性和計(jì)算需求較高,限制了其在實(shí)時(shí)入侵檢測(cè)中的應(yīng)用。此外,模型的可解釋性和對(duì)抗攻擊的魯棒性也是當(dāng)前研究的熱點(diǎn)問題。針對(duì)以上問題,研究人員提出了一些改進(jìn)和優(yōu)化方法。例如,使用生成對(duì)抗網(wǎng)絡(luò)生成合成的入侵?jǐn)?shù)據(jù)來增加訓(xùn)練數(shù)據(jù)的數(shù)量和多樣性,采用遷移學(xué)習(xí)和預(yù)訓(xùn)練模型來減少標(biāo)記數(shù)據(jù)的需求,引入注意力機(jī)制和解釋性方法來提高模型的可解釋性等。這些方法為進(jìn)一步提高基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的性能和效果提供了有益的思路和方向。
本文旨在設(shè)計(jì)和實(shí)現(xiàn)基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),以提高入侵檢測(cè)的準(zhǔn)確性和效率。主要的貢獻(xiàn)包括以下幾個(gè)方面:
(1)通過回顧和分析現(xiàn)有的網(wǎng)絡(luò)入侵檢測(cè)方法,特別是基于深度學(xué)習(xí)的方法,總結(jié)了它們的優(yōu)點(diǎn)和缺點(diǎn)。
(2)詳細(xì)介紹了深度學(xué)習(xí)的基本原理,包括神經(jīng)網(wǎng)絡(luò)、反向傳播、卷積神經(jīng)網(wǎng)絡(luò)、遞歸神經(jīng)網(wǎng)絡(luò)等,并闡述了深度學(xué)習(xí)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用,包括特征學(xué)習(xí)、異常檢測(cè)和分類等方面。
(3)設(shè)計(jì)了一個(gè)完整的系統(tǒng)架構(gòu),并詳細(xì)描述了每個(gè)組件的設(shè)計(jì)和實(shí)現(xiàn)。其中,數(shù)據(jù)預(yù)處理模塊用于對(duì)原始數(shù)據(jù)進(jìn)行清洗、標(biāo)準(zhǔn)化和轉(zhuǎn)換,特征提取模塊利用深度學(xué)習(xí)模型從數(shù)據(jù)中學(xué)習(xí)有用的特征,模型訓(xùn)練模塊采用監(jiān)督學(xué)習(xí)方法對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行建模和訓(xùn)練,入侵檢測(cè)模塊用于實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)流量并識(shí)別可能的入侵行為。
(4)通過實(shí)驗(yàn)和評(píng)估驗(yàn)證了系統(tǒng)的性能和效果。本文選擇了合適的數(shù)據(jù)集,并進(jìn)行了系統(tǒng)性能測(cè)試。實(shí)驗(yàn)結(jié)果顯示,基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)在準(zhǔn)確性和效率方面表現(xiàn)出色。
(5)對(duì)系統(tǒng)的優(yōu)點(diǎn)和缺點(diǎn)進(jìn)行了討論,并提出了一些可能的改進(jìn)方法。此外,展望未來的研究方向,如進(jìn)一步優(yōu)化模型、應(yīng)對(duì)新型入侵攻擊、提高系統(tǒng)的實(shí)時(shí)性等。
本論文的工作為深度學(xué)習(xí)在網(wǎng)絡(luò)入侵檢測(cè)領(lǐng)域的應(yīng)用提供了有益的經(jīng)驗(yàn)和參考,對(duì)于改進(jìn)網(wǎng)絡(luò)安全和保護(hù)網(wǎng)絡(luò)環(huán)境具有一定的實(shí)際意義。
1、卷積神經(jīng)網(wǎng)絡(luò)的基本原理
深度學(xué)習(xí)是一種機(jī)器學(xué)習(xí)的方法,它模擬了人腦神經(jīng)系統(tǒng)的工作原理,通過構(gòu)建多層神經(jīng)網(wǎng)絡(luò)來學(xué)習(xí)和表示數(shù)據(jù)的復(fù)雜模式和關(guān)系。在網(wǎng)絡(luò)入侵檢測(cè)中,深度學(xué)習(xí)被廣泛應(yīng)用于特征提取、模式識(shí)別和異常檢測(cè)等任務(wù),以提高入侵檢測(cè)的準(zhǔn)確性和效果。
CNN 是專門處理網(wǎng)格結(jié)構(gòu)數(shù)據(jù)的一種神經(jīng)網(wǎng)絡(luò)。它通過卷積層和池化層的引入,能夠有效地捕捉輸入數(shù)據(jù)中的空間和位置信息。在網(wǎng)絡(luò)入侵檢測(cè)中,卷積神經(jīng)網(wǎng)絡(luò)被廣泛應(yīng)用于處理網(wǎng)絡(luò)流量數(shù)據(jù),以及提取流量數(shù)據(jù)的局部特征和模式。CNN具有局部感知和權(quán)值共享的特點(diǎn)。卷積神經(jīng)網(wǎng)絡(luò)的局部感知特性使其能夠自動(dòng)學(xué)習(xí)不同尺寸的特征,有效地捕捉輸入數(shù)據(jù)中的空間局部結(jié)構(gòu)。通過卷積操作,網(wǎng)絡(luò)利用滑動(dòng)窗口在輸入數(shù)據(jù)上進(jìn)行計(jì)算,每個(gè)窗口與一組可學(xué)習(xí)的卷積核進(jìn)行卷積操作,并生成對(duì)應(yīng)的特征圖。這種操作可以保留輸入數(shù)據(jù)的空間結(jié)構(gòu)信息,并且減少網(wǎng)絡(luò)的參數(shù)數(shù)量。同時(shí),卷積神經(jīng)網(wǎng)絡(luò)采用權(quán)值共享的機(jī)制,即每個(gè)卷積核在整個(gè)輸入數(shù)據(jù)上進(jìn)行滑動(dòng),共享相同的權(quán)值參數(shù)。這種共享能夠大大減小網(wǎng)絡(luò)的計(jì)算復(fù)雜度,提高網(wǎng)絡(luò)的訓(xùn)練效率和泛化能力。
池化層用于減少特征圖的維度,減小模型的復(fù)雜性,并提取特征的主要信息。常見的池化操作包括最大池化和平均池化,它們通過對(duì)每個(gè)特征圖的局部區(qū)域進(jìn)行池化操作,生成尺寸更小的特征圖。如圖 1 所示,卷積神經(jīng)網(wǎng)絡(luò)通常由多個(gè)卷積層、池化層和全連接層組成。卷積層和池化層負(fù)責(zé)提取和壓縮特征,而全連接層則將提取的特征映射到輸出類別上。具體來說,卷積層通過卷積操作對(duì)輸入數(shù)據(jù)進(jìn)行特征提取,利用卷積核的滑動(dòng)窗口計(jì)算得到特征圖。這些特征圖捕捉了輸入數(shù)據(jù)的局部結(jié)構(gòu)和模式。池化層緊隨卷積層,對(duì)特征圖進(jìn)行降采樣。最大池化選擇每個(gè)局部區(qū)域的最大值作為池化結(jié)果,平均池化取局部區(qū)域的平均值。這樣可以減小特征圖的尺寸,保留主要信息,同時(shí)降低計(jì)算量。全連接層位于網(wǎng)絡(luò)的最后一層,將池化層輸出的特征映射到輸出類別上。它通過學(xué)習(xí)權(quán)重參數(shù)來進(jìn)行分類和判別。
卷積神經(jīng)網(wǎng)絡(luò)的輸入通常是一個(gè)二維(圖像)或三維(視頻)的數(shù)據(jù),表示為輸入張量(inputtensor)。
卷積層是卷積神經(jīng)網(wǎng)絡(luò)的核心組件,用于提取輸入數(shù)據(jù)的局部特征和模式。卷積操作通過滑動(dòng)一個(gè)可學(xué)習(xí)的卷積核(filter/kernel)在輸入數(shù)據(jù)上進(jìn)行局部區(qū)域的計(jì)算,從而生成特征圖(feature map)。卷積操作可以表示為:
式中:I是輸入特征圖,K是卷積核,F(xiàn)是輸出特征圖,(i, j) 是輸出特征圖上的坐標(biāo),(m,n) 是卷積核上的坐標(biāo)。
卷積層通常在卷積操作后應(yīng)用非線性激活函數(shù),以引入非線性變換和增強(qiáng)網(wǎng)絡(luò)的表達(dá)能力。常用的激活函數(shù)包括線性整流函數(shù)(Rectified Linea rUnit,ReLU)、Sigmoid 和 Tanh 等。
池化層用于減少特征圖的空間維度,從而減少參數(shù)數(shù)量和計(jì)算量,并增強(qiáng)模型對(duì)平移和縮放的不變性。
全連接層用于將卷積層和池化層提取的特征進(jìn)行組合和映射,以進(jìn)行最終的分類或回歸。
卷積神經(jīng)網(wǎng)絡(luò)通過堆疊多個(gè)卷積層、池化層和全連接層來構(gòu)建復(fù)雜的深度網(wǎng)絡(luò)。網(wǎng)絡(luò)的最后一層通常是輸出層,用于表示模型的最終預(yù)測(cè)結(jié)果。通過反向傳播算法和優(yōu)化方法(如梯度下降),卷積神經(jīng)網(wǎng)絡(luò)可以自動(dòng)學(xué)習(xí)輸入數(shù)據(jù)中的特征和模式,并進(jìn)行準(zhǔn)確的分類或預(yù)測(cè)。
在網(wǎng)絡(luò)入侵檢測(cè)中,卷積神經(jīng)網(wǎng)絡(luò)可以直接處理網(wǎng)絡(luò)流量數(shù)據(jù)的原始形式,無須進(jìn)行手工特征提取,使得模型更具靈活性和適應(yīng)性。卷積神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用主要包括流量分類、異常檢測(cè)和攻擊識(shí)別等任務(wù)。通過訓(xùn)練網(wǎng)絡(luò)模型,它可以學(xué)習(xí)到網(wǎng)絡(luò)流量數(shù)據(jù)中的正常模式和異常模式,從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)入侵行為的準(zhǔn)確檢測(cè)和分類??傊?,卷積神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測(cè)中具有較好的特征提取和分類能力,能夠有效地處理網(wǎng)絡(luò)流量數(shù)據(jù),提高網(wǎng)絡(luò)安全性能。它已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的重要研究方向,且研究者們也取得了一定的研究成果和應(yīng)用效果。
2、檢測(cè)模型設(shè)計(jì)與實(shí)現(xiàn)
網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是一個(gè)復(fù)雜的系統(tǒng),需要設(shè)計(jì)合適的架構(gòu)和流程來實(shí)現(xiàn)高效準(zhǔn)確的入侵檢測(cè)。本節(jié)主要介紹基于卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測(cè)模型的設(shè)計(jì)與實(shí)現(xiàn)要點(diǎn)。
2.1 數(shù)據(jù)預(yù)處理
數(shù)據(jù)預(yù)處理是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中的重要步驟,它包括數(shù)據(jù)導(dǎo)入、特征選擇、特征轉(zhuǎn)換、數(shù)據(jù)標(biāo)準(zhǔn)化等操作。
(1)數(shù)據(jù)導(dǎo)入。使用 pandas 庫讀取數(shù)據(jù),導(dǎo)入數(shù)據(jù)后進(jìn)行數(shù)據(jù)的基本查看和探索性分析,以了解數(shù)據(jù)的特點(diǎn)和結(jié)構(gòu)。
(2)特征選擇。根據(jù)任務(wù)需求和數(shù)據(jù)集特點(diǎn),選擇合適的特征列用于訓(xùn)練和測(cè)試。特征選擇是一種從原始特征中選擇最相關(guān)和最有信息量的特征的過程,可以通過領(lǐng)域知識(shí)、特征相關(guān)性分析或特征重要性評(píng)估等方法進(jìn)行。
(3)特征轉(zhuǎn)換。將字符型特征進(jìn)行數(shù)值化,使用編碼器(如 LabelEncoder)將字符型特征轉(zhuǎn)換為數(shù)值型特征。由于大部分機(jī)器學(xué)習(xí)算法只能處理數(shù)值型數(shù)據(jù),因此需要將字符型特征轉(zhuǎn)換為數(shù)值型特征。LabelEncoder 將每個(gè)不同的字符映射到一個(gè)整數(shù),從 0 開始遞增,以表示不同的類別。
(4)數(shù)據(jù)標(biāo)準(zhǔn)化。對(duì)數(shù)值型特征進(jìn)行標(biāo)準(zhǔn)化處理,使得數(shù)據(jù)在相同的尺度范圍內(nèi),常用的方法有 Z-score 標(biāo)準(zhǔn)化或 MinMax 標(biāo)準(zhǔn)化。Z-score 標(biāo)準(zhǔn)化,也稱為標(biāo)準(zhǔn)差標(biāo)準(zhǔn)化,通過減去均值并除以標(biāo)準(zhǔn)差,將數(shù)據(jù)轉(zhuǎn)換為均值為 0、標(biāo)準(zhǔn)差為 1 的標(biāo)準(zhǔn)正態(tài)分布,公式如下:
式中:表示標(biāo)準(zhǔn)化后的數(shù)據(jù),x 表示原始數(shù)據(jù),μ 表示數(shù)據(jù)的均值,σ 表示數(shù)據(jù)的標(biāo)準(zhǔn)差。
MinMax 標(biāo)準(zhǔn)化,也稱為區(qū)間縮放法,將數(shù)據(jù)線性縮放到指定的區(qū)間范圍(通常是 [0, 1])。公式如下:
式中:表示縮放后的數(shù)據(jù),x 表示原始數(shù)據(jù),表示數(shù)據(jù)的最小值,表示數(shù)據(jù)的最大值。
本文數(shù)據(jù)預(yù)處理過 程 為:讀 取 NSL-KDD 數(shù)據(jù) 集 文 件(“KDDTrain+.txt”), 將 特 征 列 和 標(biāo)簽列分離,對(duì)字符型特征進(jìn)行數(shù)值化處理,使用LabelEncoder 將其轉(zhuǎn)換為數(shù)值類型,對(duì)數(shù)值化后的特征進(jìn)行標(biāo)準(zhǔn)化處理,使用 StandardScaler 將其進(jìn)行標(biāo)準(zhǔn)化,對(duì)標(biāo)簽列進(jìn)行獨(dú)熱編碼處理,使用pd.get_dummies 將其轉(zhuǎn)換為獨(dú)熱向量形式。下面為NSL-KDD 數(shù)據(jù)集預(yù)處理示例代碼:
data = pd.read_csv(‘KDD.txt’)
def preprocess_data(data):
features = data.iloc[:, :-2]
labels = data.iloc[:, -2]
encoder = LabelEncoder()
features = features.apply(encoder.fit_transform)
scaler = StandardScaler()
features = scaler.fit_transform(features)
labels = pd.get_dummies(labels)
return features, labels
2.2 數(shù)據(jù)集劃分
為了評(píng)估模型的性能和進(jìn)行最終的網(wǎng)絡(luò)入侵檢測(cè),需要將預(yù)處理后的數(shù)據(jù)集劃分為訓(xùn)練集、驗(yàn)證集和測(cè)試集。常見的劃分方式是按照一定比例(如80% 訓(xùn)練集、10% 驗(yàn)證集、10% 測(cè)試集)進(jìn)行劃分,確保訓(xùn)練集用于模型訓(xùn)練和參數(shù)調(diào)整,驗(yàn)證集用于模型驗(yàn)證和超參數(shù)調(diào)整,測(cè)試集用于最終的性能評(píng)估。
本文數(shù)據(jù)集劃分過程為:將預(yù)處理后的特征和標(biāo)簽劃分為訓(xùn)練集和測(cè)試集,使用 train_test_split函數(shù)進(jìn)行劃分,其中測(cè)試集占比為 20%。下面為數(shù)據(jù)集劃分處理示例代碼:
def split_data(features, labels):
X_train, X_val_test, y_train, y_val_test = train_
test_split(features, labels, test_size=0.3, random_
state=42)
X_val, X_test, y_val, y_test = train_test_split(X_
val_test, y_val_test, test_size=0.5, random_state=42)
return X_train, X_val, X_test, y_train, y_val, y_test
2.3 網(wǎng)絡(luò)模型設(shè)計(jì)
基于卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)需要設(shè)計(jì)合適的模型架構(gòu)??梢允褂酶鞣N深度學(xué)習(xí)框架(如TensorFlow、Keras)構(gòu)建模型。常見的網(wǎng)絡(luò)模型設(shè)計(jì)包括的部分如下文所述。
(1)卷積層:用于提取輸入數(shù)據(jù)中的局部特征和模式,可以通過調(diào)整卷積核的大小和數(shù)量來控制特征提取的效果。
(2)池化層:用于減小特征圖的維度,并保留重要的特征信息,常用的池化操作有最大池化和平均池化。
(3)全連接層:將提取的特征映射到輸出類別上,通過激活函數(shù)進(jìn)行非線性變換。
(4)Dropout 層:為了避免過擬合,可以添加Dropout 層來隨機(jī)丟棄部分神經(jīng)元的輸出。
(5)輸出層:通常是一個(gè) Softmax 層,用于表示模型的最終預(yù)測(cè)結(jié)果。
本文構(gòu)建卷積神經(jīng)網(wǎng)絡(luò)模型的過程為:使用tf.keras.Sequential 順序模型構(gòu)建 CNN 模型;模型包含卷積層、池化層和全連接層,用于提取特征和進(jìn)行分類;模型最后使用 Softmax 激活函數(shù)進(jìn)行多類別分類,并計(jì)算損失函數(shù)和準(zhǔn)確率。下面為構(gòu)建卷積神經(jīng)網(wǎng)絡(luò)模型的示例代碼:
def build_model(input_shape, num_classes):
model = tf.keras.models.Sequential([
tf.keras.layers.Conv1D(64, 3, activation=’relu’,
input_shape=input_shape),
tf.keras.layers.MaxPooling1D(2),
tf.keras.layers.Conv1D(128, 3, activation=’relu’),
tf.keras.layers.MaxPooling1D(2),
tf.keras.layers.Flatten(),
tf.keras.layers.Dense(128, activation=’relu’),
tf.keras.layers.Dropout(0.5),
tf.keras.layers.Dense(num_classes, activation=’
softmax’)])
return model
2.4 模型訓(xùn)練和優(yōu)化
在設(shè)計(jì)好網(wǎng)絡(luò)模型后,需要使用訓(xùn)練集對(duì)模型進(jìn)行訓(xùn)練。訓(xùn)練過程中需要選擇適當(dāng)?shù)膿p失函數(shù)(如交叉熵?fù)p失)和優(yōu)化算法(如 Adam 優(yōu)化器)來優(yōu)化模型。同時(shí),可以迭代調(diào)整模型的超參數(shù),如學(xué)習(xí)率、批量大小等,以提高模型性能和收斂速度。訓(xùn)練過程中可以監(jiān)控模型在訓(xùn)練集和驗(yàn)證集上的性能指標(biāo),并根據(jù)需要進(jìn)行調(diào)整和優(yōu)化。
本文訓(xùn)練模型的過程為:對(duì)構(gòu)建的 CNN 模型進(jìn)行編譯,指定損失函數(shù)為 categorical_crossentropy、優(yōu)化器為 adam,并指定評(píng)估指標(biāo)為準(zhǔn)確率;使用訓(xùn)練集數(shù)據(jù)進(jìn)行模型的訓(xùn)練,設(shè)置批量大小為 64,迭代 10 個(gè) epochs,并在驗(yàn)證集上進(jìn)行驗(yàn)證。下面為模型訓(xùn)練示例代碼:
def train_model(X_train, y_train, X_val, y_val,
num_classes):
input_shape = (X_train.shape[1], 1)
X_train = np.reshape(X_train, (X_train.shape[0],
X_train.shape[1], 1))
X_val = np.reshape(X_val, (X_val.shape[0], X_val.
shape[1], 1))
model = build_model(input_shape, num_classes)
model.compile(loss=’categorical_crossentropy’,
optimizer=’adam’, metrics=[‘a(chǎn)ccuracy’])
history = model.fit(X_train, y_train, batch_size=64,
epochs=10, validation_data=(X_val, y_val))
return model, history
2.5 模型評(píng)估和性能分析
訓(xùn)練完成后,使用驗(yàn)證集評(píng)估模型的性能,包括準(zhǔn)確率、精確率、召回率、F1 分?jǐn)?shù)等指標(biāo),可以繪制學(xué)習(xí)曲線和驗(yàn)證曲線來觀察模型的訓(xùn)練過程和驗(yàn)證結(jié)果。進(jìn)一步分析模型在不同類別上的表現(xiàn),查看誤分類樣本,并根據(jù)需要進(jìn)一步改進(jìn)模型。最終,使用測(cè)試集對(duì)最優(yōu)模型進(jìn)行性能評(píng)估和比較。計(jì)算模型在測(cè)試集上的準(zhǔn)確率、精確率、召回率、F1 分?jǐn)?shù)等指標(biāo),并繪制混淆矩陣等圖表進(jìn)行可視化。根據(jù)實(shí)際需求,可以調(diào)整模型的閾值和參數(shù),進(jìn)一步優(yōu)化模型的性能。本文對(duì)測(cè)試集數(shù)據(jù)進(jìn)行模型的評(píng)估,計(jì)算測(cè)試集的準(zhǔn)確率。
3、檢測(cè)模型實(shí)驗(yàn)評(píng)估
本 文 使 用 的 程 序 運(yùn) 行 結(jié) 果 為 Test Accuracy:0.995 792 806 148 529。圖 2 顯示了基于 CNN 的模型在訓(xùn)練集和驗(yàn)證集上的準(zhǔn)確率隨著訓(xùn)練輪數(shù)的變化情況。橫軸表示訓(xùn)練輪數(shù)(Epoch),縱軸表示準(zhǔn)確率。在訓(xùn)練集和驗(yàn)證集上,模型的準(zhǔn)確率隨著訓(xùn)練輪數(shù)的增加逐漸提高。這表明模型在訓(xùn)練過程中逐漸學(xué)習(xí)到了數(shù)據(jù)的特征,并在驗(yàn)證集上表現(xiàn)出良好的泛化能力。最終,模型在驗(yàn)證集上的準(zhǔn)確率穩(wěn)定在一個(gè)較高水平。
圖 2 基于 CNN 的模型的準(zhǔn)確率
實(shí) 驗(yàn) 結(jié) 果 表 明, 使 用 基 于 NSL-KDD 數(shù) 據(jù) 集的卷積神經(jīng)網(wǎng)絡(luò)模型進(jìn)行網(wǎng)絡(luò)入侵檢測(cè),在測(cè)試集上獲得了高達(dá) 99.58% 的準(zhǔn)確率(Test Accuracy:0.995 792 806 148 529)。表明該模型具有很好的性能,在網(wǎng)絡(luò)入侵檢測(cè)任務(wù)中能夠有效地進(jìn)行分類和預(yù)測(cè),該模型在識(shí)別網(wǎng)絡(luò)流量是否為入侵行為方面表現(xiàn)出色。高準(zhǔn)確率意味著模型能夠準(zhǔn)確地將正常流量和惡意入侵流量區(qū)分開來,從而提供了一個(gè)可靠的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。這對(duì)于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)研究具有重要意義,因?yàn)闇?zhǔn)確率是評(píng)估模型性能和有效性的重要指標(biāo)之一。此結(jié)果表明,基于卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)在 NSLKDD 數(shù)據(jù)集上取得了很好的性能,并有望在實(shí)際應(yīng)用中發(fā)揮重要作用。
圖 3 基于 CNN 模型的損失情況
圖 3 顯示了模型在訓(xùn)練集和驗(yàn)證集上的損失函數(shù)值隨著訓(xùn)練輪數(shù)的變化情況。在訓(xùn)練集和驗(yàn)證集上,模型的損失隨著訓(xùn)練輪數(shù)的增加逐漸降低。這表明模型在訓(xùn)練過程中逐漸學(xué)習(xí)到了數(shù)據(jù)的特征,并逐漸減小了預(yù)測(cè)結(jié)果與真實(shí)結(jié)果之間的差距。具體而言,在訓(xùn)練過程中,模型的訓(xùn)練集損失逐漸降低。這意味著模型可以通過優(yōu)化算法逐漸調(diào)整參數(shù),使得預(yù)測(cè)結(jié)果與訓(xùn)練集標(biāo)簽之間的差距減小。較低的訓(xùn)練集損失表明模型在訓(xùn)練集上能夠較好地?cái)M合數(shù)據(jù)。在訓(xùn)練過程中,模型的驗(yàn)證集損失也逐漸降低。驗(yàn)證集損失是衡量模型在未見過的數(shù)據(jù)上的預(yù)測(cè)性能,較低的驗(yàn)證集損失表明模型具有良好的泛化能力,能夠在未知數(shù)據(jù)上進(jìn)行準(zhǔn)確預(yù)測(cè)。觀察訓(xùn)練集損失和驗(yàn)證集損失的差距可以幫助判斷模型是否存在過擬合或欠擬合。如果訓(xùn)練集損失較低而驗(yàn)證集損失較高,說明模型可能出現(xiàn)過擬合,即在訓(xùn)練集上表現(xiàn)良好但在驗(yàn)證集上泛化能力較差。相反,如果訓(xùn)練集損失和驗(yàn)證集損失都較高,則可能存在欠擬合,模型未能很好地?cái)M合訓(xùn)練數(shù)據(jù)。通過觀察損失曲線的趨勢(shì)可以判斷模型的收斂情況和學(xué)習(xí)速度。如果損失曲線在訓(xùn)練過程中逐漸平穩(wěn)下降,且訓(xùn)練集損失和驗(yàn)證集損失收斂到一個(gè)較低的水平,則表示模型具有較好的學(xué)習(xí)能力和穩(wěn)定性。
圖 4 顯示了模型在測(cè)試集上的分類結(jié)果與真實(shí)標(biāo)簽之間的對(duì)應(yīng)關(guān)系。
圖 4 基于 CNN 模型的混淆矩陣
混 淆 矩 陣 是 一 個(gè) 矩 陣, 橫 軸 表 示 預(yù) 測(cè) 標(biāo) 簽(Predicted Labels), 縱 軸 表 示 真 實(shí) 標(biāo) 簽(True Labels),矩陣中的每個(gè)元素表示對(duì)應(yīng)標(biāo)簽對(duì)的樣本數(shù)。通過熱力圖的顏色深淺可以反映出不同類別的分類情況,顏色越淺表示分類正確的樣本越多,顏色越深表示分類錯(cuò)誤的樣本越多。每個(gè)單元格表示預(yù)測(cè)為某個(gè)類別的樣本在真實(shí)類別下的計(jì)數(shù)。混淆矩陣的對(duì)角線元素表示模型預(yù)測(cè)正確的樣本數(shù),即真正例(True Positives)。對(duì)角線上的值越大,表示模型在該類別上的預(yù)測(cè)準(zhǔn)確率越高?;煜仃嚨姆菍?duì)角線元素表示模型將某個(gè)類別錯(cuò)誤地預(yù)測(cè)為其他類別的樣本數(shù),即假正例(False Positives)和假負(fù)例(False Negatives)。非對(duì)角線上的值越大,表示模型在該類別上的錯(cuò)誤分類數(shù)量越多。精確率表示模型預(yù)測(cè)為某個(gè)類別的樣本中真實(shí)屬于該類別的比例,召回率表示模型正確預(yù)測(cè)某個(gè)類別的樣本占該類別所有樣本的比例。F1 分?jǐn)?shù)是綜合考慮精確率和召回率的指標(biāo),可以衡量模型的綜合性能。F1分?jǐn)?shù)是精確率和召回率的調(diào)和均值,當(dāng)精確率和召回率都較高時(shí),F(xiàn)1 分?jǐn)?shù)也會(huì)較高。
通過以上設(shè)計(jì)和實(shí)現(xiàn),基于卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠有效地檢測(cè)和分類各種網(wǎng)絡(luò)入侵行為,提高網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。模型在訓(xùn)練過程中逐漸學(xué)習(xí)到了數(shù)據(jù)的特征,并在驗(yàn)證集上表現(xiàn)出了良好的準(zhǔn)確率和較低的損失。模型在測(cè)試集上的準(zhǔn)確率為 0.995 8,表示模型在未見過的數(shù)據(jù)上仍能保持較高的準(zhǔn)確性?;煜仃嚳梢蕴峁└敿?xì)的模型性能信息,可以用于分析模型在不同類別上的分類情況和錯(cuò)誤樣本的分布。綜上所述,該模型在網(wǎng)絡(luò)入侵檢測(cè)任務(wù)中表現(xiàn)出了很高的準(zhǔn)確率和較低的損失,具備較好的分類能力和泛化能力,可以用于有效檢測(cè)和分類各種網(wǎng)絡(luò)入侵行為,提高網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。同時(shí),可以根據(jù)實(shí)際需求和數(shù)據(jù)特點(diǎn)進(jìn)行進(jìn)一步的優(yōu)化和改進(jìn),以提升系統(tǒng)性能和應(yīng)用效果。
4、結(jié) 語
本文基于卷積神經(jīng)網(wǎng)絡(luò)設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)網(wǎng)絡(luò)入侵檢測(cè)模型,并使用 NSL-KDD 數(shù)據(jù)集對(duì)其進(jìn)行評(píng)估。實(shí)驗(yàn)結(jié)果表明,該模型在測(cè)試集上取得了高準(zhǔn)確率(99.58%)的表現(xiàn),能夠有效地檢測(cè)和分類網(wǎng)絡(luò)入侵行為。這為網(wǎng)絡(luò)安全領(lǐng)域提供了一個(gè)可靠的防護(hù)工具,有助于提高網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。
然而,網(wǎng)絡(luò)入侵檢測(cè)是一個(gè)充滿挑戰(zhàn)的領(lǐng)域,仍然存在許多值得進(jìn)一步探索和改進(jìn)的方向:
(1)數(shù)據(jù)集的多樣性。雖然 NSL-KDD 數(shù)據(jù)集在本文中被用作評(píng)估網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的基準(zhǔn)數(shù)據(jù)集,但實(shí)際應(yīng)用中的網(wǎng)絡(luò)流量數(shù)據(jù)可能更加多樣化。因此,將系統(tǒng)應(yīng)用于真實(shí)世界的網(wǎng)絡(luò)流量數(shù)據(jù)集,并在不同的數(shù)據(jù)集上進(jìn)行測(cè)試和驗(yàn)證,將有助于更全面地了解系統(tǒng)的性能和可靠性。
(2)異常檢測(cè)和未知攻擊。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通常通過學(xué)習(xí)已知的入侵模式來識(shí)別入侵行為。然而,新型的入侵攻擊和未知的異常行為可能無法被系統(tǒng)準(zhǔn)確識(shí)別。因此,需要進(jìn)一步研究和開發(fā)針對(duì)未知攻擊和異常行為的檢測(cè)方法,以提高系統(tǒng)的魯棒性和適應(yīng)性。
(3)模型解釋性和可解釋性。深度學(xué)習(xí)模型在網(wǎng)絡(luò)入侵檢測(cè)中取得了顯著的性能提升,但其黑盒性質(zhì)限制了對(duì)模型決策過程的理解。為了提高系統(tǒng)的可解釋性和可信度,需要研究解釋深度學(xué)習(xí)模型的方法,并提供對(duì)預(yù)測(cè)結(jié)果的合理解釋。
(4)對(duì)抗攻擊和魯棒性。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可能成為惡意攻擊的目標(biāo),攻擊者可能試圖欺騙系統(tǒng)或規(guī)避檢測(cè)。因此,需要研究和開發(fā)對(duì)抗攻擊的方法,以增強(qiáng)系統(tǒng)的魯棒性和抵抗能力。
總之,設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是一個(gè)復(fù)雜而關(guān)鍵的任務(wù)。需要綜合考慮數(shù)據(jù)集選擇、模型選擇、特征工程、模型解釋性、實(shí)時(shí)性和可擴(kuò)展性等因素,以實(shí)現(xiàn)高效準(zhǔn)確的入侵檢測(cè)。同時(shí),還需要注意模型的泛化能力和穩(wěn)定性,在實(shí)際場(chǎng)景中進(jìn)行充分測(cè)試和驗(yàn)證,以確保系統(tǒng)的性能和可用性。未來的研究可以進(jìn)一步探索網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的優(yōu)化和改進(jìn)方法,以適應(yīng)不斷變化的網(wǎng)絡(luò)安全威脅和攻擊手段。
引用格式:盧達(dá) , 馮中華 . 基于卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究 [J]. 通信技術(shù) ,2024,57(5):529-536.
作者簡(jiǎn)介 >>>
盧? 達(dá),男,碩士,工程師,主要研究方向?yàn)樾畔踩?
馮中華,男,碩士,高級(jí)工程師,主要研究方向?yàn)樾畔踩?/span>
選自《通信技術(shù)》2024年第5期(為便于排版,已省去原文參考文獻(xiàn)
來源:信息安全與通信保密雜志社