◆王思敏 王恒

基于深度学习的入侵检测技术

◆王思敏 王恒通讯作者

（宁夏大学 信息工程学院 宁夏 750000）

传统的以防护为主的网络安全技术已经很难解决当前存在的复杂的网络安全问题，基于深度学习的入侵检测技术能够通过收集计算机网络或者主机上的若干关键点信息并对其进行分析，实时监测网络中是否有违反安全策略的行为或网络遭到袭击的现象。本文主要围绕基于深度学习的入侵检测的关键技术和流程进行阐述，介绍了基于深度学习的入侵检测算法的评价指标，并对基于深度学习的入侵检测方法进行了总结和展望。

网络安全；入侵检测；深度学习

1 引言

由于攻击类型日益增多，攻击方法日益复杂，导致网络中产生的安全问题越来越严重。传统的以防火墙为主体的安全防护措施已经显得越来越力不从心，所以怎样能够更好地解决日益复杂的网络安全问题成为亟待解决的问题。

入侵检测[1]是解决网络安全问题的重要工具，其目的是检测出网络是否存在潜在或恶意的攻击。1980年，James Anderson[2]提出了审计记录可以用于识别计算机误用操作，监测入侵检测行为。1986年，SRI的Dorothy E.Denning[3]在论文中首次将入侵检测的概念作为一种计算机系统安全防御措施提出，并且建立了一个独立于系统、程序应用环境的通用入侵检测系统模型。

直至20世纪九十年代，关于机器学习的入侵检测方法逐渐兴起，数据通过特征提取[4]，在得到特征向量后，将其输入分类器，最终通过模型输出的分类结果判定是正常或入侵。但是传统的机器学习方法不能对网络环境下海量的入侵数据进行分类。而深度学习能够从数据中自动提取更好的特征，基于深度学习的入侵检测模型[5]成为解决当前网络安全问题主流的研究思想。

2 基于深度学习的入侵检测概述

基于深度学习的入侵检测的判别行为指的是按照一定的分类标准对入侵检测的数据集进行分类标记。比如KDDCUP99[6]数据集，它共有42项特征，前41项分为4类：TCP连接的基本特征、TCP连接的内容特征、基于时间的网络流量统计特征和基于主机的网络流量统计特征。最后一位是标记特征，将攻击类型分为4类：DoS拒绝服务攻击、R2L攻击、U2R攻击和PROBEL攻击。通过基于深度学习的入侵检测模型学习对KDDCUP99数据集进行分类。

基于深度学习的入侵检测从流程上可分为数据预处理、词向量化和模型的训练等过程。

3 基于深度学习的入侵检测关键技术

3.1 数据预处理

3.2 词向量

获取到的入侵检测预处理后的数据不能直接作为计算机的输入，需要转化为词向量。基于神经网络的词向量训练有两种模型，分别是连续词袋模型（Continuous Bag-of-Word Model：CBOW）和跳字模型（Continuous skip-gram Model：Skip-Gram）。CBOW是通过周围的词去预测中心词，预处理后的数据通过词向量的模型训练会得到与每个特征和标签对应的词向量，然后进行模型的训练。

3.3 基于深度学习的入侵检测模型

3.3.1循环神经网络与入侵检测

where Rg was the resistance associated with the gate metallization.

循环神经网络（Recurrent Neural Networks：RNN）是一类用于处理序列数据的神经网络，由输入层、隐藏层、输出层组成。它的训练方式分为前向传播和反向传播。

（1）前向传播公式为：

T时刻输出为：

其中（）为激活函数，一般选择tanh函数，为偏置，是输入，是隐层单元，、、是权值，为激活函数，在入侵检测中一般用softmax函数进行二分类。

（2）反向传播采用随时间反向传播（Back-propagation Through Time：BPTT）算法计算各个参数的梯度。

由于RNN对于较长的序列无法记住以前的状态，因此引入了门控单元，它是通过设置门结构来选择性的决定是否记忆或遗忘。门控单元包括长短期记忆神经网络[7]、双向长短期记忆神经网络[8]等。

3.3.2长短期记忆神经网络与入侵检测

遗忘门是决定记忆细胞丢弃什么东西，采用sigmoid激活函数，它介于（0，1）之间，输出用于遗忘权重的更新。公式为：

输入门决定了需要新增的内容，采用sigmod激活函数。

输出门决定输出什么内容，表示当前时刻，若O=0则表示不输出，若O=1则表示输出。计算O的公式为：

待输出的内容公式为：

由于LSTM网络不能记住未来时刻的内容，只能记忆过去和当前，所以为了更好记忆，引入了双向长短期记忆的概念。

3.3.3双向长短期记忆网络和入侵检测

通过双向长短时记忆网络可以把整个句子学习完整并且记忆，因此能更好提高模型的学习精度和准确率。

4 入侵检测的其他方法

4.1 迁移学习与入侵检测

迁移学习[9]在对时间序列进行分类时，首先在源数据集上训练网络，然后将学习到的特征即网络的权重转移到目标数据集上训练的第二个网络的过程。对预先训练好的模型进行微调，减小了对标注数据的依赖，模型性能预标注数据量可以不成正比。通过迁移学习能够提高深度神经网络的泛化能力。在检测网络是否被入侵时通过迁移学习的方法，可以得到更精确的结果。

5 评价指标

各评价指标可计算如下：

其中为被系统正确识别的正常样本；为被系统正确识别的攻击样本；为被系统错误识别为正常的攻击样本；为被系统错误识别为攻击的正常样本。

6 结论

本文首先对获取到的入侵检测数据进行预处理，然后通过基于词嵌入技术的深度神经网络入侵检测模型对预处理后的特征和标签进行自主学习，更高效准确地判别出网络是否存在攻击，同时减少了误报率。

[1]薛传东. 网络入侵检测技术分析[J]. 网络安全技术与应用，2020（11）：37-38.

[2]Anup K. Ghos，Anderson J. P.. Computer security threat monitoring and surveillance [P]. PA 19304，USA，1980.4.

[3]陆坤，姜厚云. 基于SMF的大型主机DB2数据库分析工具[J]. 实验技术与管理，2017，34（08）：141-145.

[4]宋勇，侯冰楠，蔡志平. 基于深度学习特征提取的网络入侵检测方法[J]. 华中科技大学学报（自然科学版），2021，49（02）：115-120.

[5]崔建京. 基于复杂结构深度神经网络的入侵检测技术研究[D]. 国防科技大学，2018.

[6]吴建胜，张文鹏，马垣. KDDCUP99数据集的数据分析研究[J]. 计算机应用与软件，2014，31（11）：321-325.

[7]丁亚雷. 基于长短期记忆模型的入侵检测系统的设计与实现[D]. 东南大学，2019.

[8]周航，凌捷. 改进的基于BiLSTM的网络入侵检测方法[J]. 计算机工程与设计，2020，41（07）：1809-1814.

[9]卢明星，杜国真，季泽旭. 基于深度迁移学习的网络入侵检测[J]. 计算机应用研究，2020，37（09）：2811-2814.

结合注意力机制基于深度学习的网络入侵检测研究（2021AAC03114）