深度置信網絡結合遞歸特征添加的網絡入侵檢測方法

趙 荷 蓋 玲

1(成都東軟學院計算機科學與工程系 四川 成都 611844) 2(上海大學管理學院 上海 200444)

0 引 言

在高速發(fā)展的信息時代中，網絡安全是一個關鍵性的問題。網絡入侵檢測系統(tǒng)(Network Intrusion Detection Systems,NIDS)是解決網絡安全問題的方案之一。針對不斷出現的網絡攻擊，所有互聯(lián)網參與者必須考慮構建安全可靠的防御系統(tǒng)。數據挖掘是一種可以與入侵檢測一起使用的技術，在描述系統(tǒng)和用戶行為的數據特征中用于檢測特征模式，以及理想的惡意活動示例[1-3]。由于互聯(lián)網每天都會產生稱為“零日攻擊”的新的攻擊方式，且事先沒有供應商發(fā)現或開發(fā)出有效的解決方案以應對該威脅。因此，傳統(tǒng)的防御手段難以減輕零日攻擊帶來的損害，需要在零日攻擊對網絡造成巨大破壞之前抵御這些零日攻擊。顯然，研究網絡入侵檢測系統(tǒng)具有很好的現實意義和實用價值[4-5]。

國內外許多專家及學者圍繞網絡入侵檢測系統(tǒng)進行了深入的研究。文獻[6]采用類內相關系數和類間相關系數來獲得特征的類特定子集，使用類內和類內相關系數分別測量特征的有效性和可靠性，但該方法并沒有處理數據稀缺和相互依賴的特征。文獻[7]使用基于簽名的異常檢測方案來檢查包頭，更準確地提取行為模式。將基于特征的檢測系統(tǒng)和基于異常的檢測系統(tǒng)相結合，克服前者因無法檢測新型攻擊而受到的限制以及由此產生的高誤報率。但該方法沒有考慮使用特征選擇去除不相關和冗余的特征。文獻[8]設計了一種新的多目標優(yōu)化方法用于高效的入侵檢測。該方法涉及編碼提供最佳特征子集的染色體。這些特征可以在以后用于訓練組合分類器的各種實例。然而，該模型的缺點是，在計算不同代中的適應度函數時計算成本非常高。文獻[9]提出了一種將流量記錄作為圖像來處理，以使用計算機視覺技術檢測拒絕服務攻擊的方法。該方法涉及利用多變量相關分析來描述網絡流量記錄并將其轉換為圖像，但沒有考慮圖像可能有一些噪聲來自不同的來源，這反過來會產生噪聲特征，那些嘈雜的特征可能導致不符合需要的分類結果。

針對上述問題，本文提出深度學習結合遞歸特征添加的網絡入侵檢測系統(tǒng)以提升網絡對零日攻擊的抵抗性，主要創(chuàng)新點為：

(1) 現有的大多數檢測系統(tǒng)中，網絡入侵攻擊特征由于長字符串特性無法直接采用機器學習。本文方法通過采用深度置信網絡與二元組編碼技術對網絡攻擊特征進行有效提取與二進制編碼，從而提升入侵檢測準確率。

(2) 現有大多數檢測方法中，網絡入侵攻擊決策依據的特征存在相互依賴的問題。本文利用遞歸特征添加法(Recursive Feature Addition，RFA)進行特征選擇，并綜合考慮入侵檢測的準確率、檢出率和誤報率，從而提升檢測效率與精準率。

1 方法設計

1.1 基于DBN與二元組編碼的網絡攻擊特征提取

圖1為基于DBN的網絡攻擊特征提取算法的架構，其中：輸入數據為I；輸出數據為O(即為網絡攻擊特征)。為避免深度學習網絡函數表達能力過強出現的過擬合情形，采用非監(jiān)督預訓練方式對深度學習網絡進行訓練，通過逐層學習獲取輸入數據的主要驅動變量，并利用多層映射單元提取出網絡攻擊中主要的結構信息。

圖1 深度學習算法結構

對隸屬于相鄰兩層(Si,Sj),i≠j的一組神經元(sli,smj)，Si表示第i層特征，Sj表示第j層特征，sli和smj分別為Si和Sj的神經元，定義其能量函數為:

(1)

式中：δij、σl、υm為權重參數；θ表示3個權重參數的集合，即θ={δij,σl,υm}。

兩層神經元間的聯(lián)合概率分布為:

(2)

(3)

最優(yōu)的模型參數θ，可通過最大化訓練集上的對數似然函數得到[10]。

進一步地，選擇使用二元組技術對這些特征進行編碼。其優(yōu)點在于避免了特征量因字符串過長而不利于在機器學習中直接使用的缺陷。二元組特征編碼以構造字典的方式完成對所有特征的編碼。

1.2 基于RFA的特征選擇方法

1.2.1特征選擇方法

相較于傳統(tǒng)神經網絡特征提取方法，深度學習網絡中特征數量往往從數十個增加到數百個。這些特征往往具有高度的冗余性，從而導致最終入侵檢測精度的下降[11-13]。針對這一問題，本文提出根據預定標準查找網絡攻擊特征的一個或多個信息子集的搜索算法，如圖2所示。

圖2 利用二元組技術提取ISCX數據集特征時的字典構建階段

不妨設F={F1,F2,…,Fn}是整個特征集；S={Fτ(1),Fτ(2),…,Fτ(m)}(S?F)是整個集合中特征的選定子集，其中m

此外，由于額外噪聲特征的存在，通常會增加訓練分類器的難度，故識別噪聲特征也是一個關鍵的預處理步驟，因為在這種噪聲數據上構建的分類器的性能將高度依賴于訓練數據的質量。換言之，噪聲背景下需要確定最優(yōu)的特征決策邊界值，這直接導致特征提取難度更大，當前針對含噪聲的特征提取問題而言，可以分為如圖3所示的三種類型：過濾方法、包裝方法和嵌入方法，其中FS表示所有特征的集合空間。

(a) 過濾方法 (b) 包裝方法

(c) 嵌入方法圖3 不同特征選擇方法

1) 過濾方法：如圖3(a)所示，特征選擇與分類過程相互獨立，通過檢查數據的內在屬性來確定特征重要性。一般計算所有特征的相關性得分，去除低評分對應的特征后即為所選擇的特征。

2) 包裝方法：如圖3(b)所示，該方法采用機器學習確定特征子集的空間范圍，且分類器的構造過程與特征選擇過程緊密結合，但機器學習過程與后續(xù)的分類器構造與特征選擇過程獨立。

3) 嵌入方法：如圖3(c)所示，該方法在機器學習過程中執(zhí)行特征選擇步驟，其優(yōu)勢在于提升算法執(zhí)行效率，且機器學習和特征選擇部分不能分開。

1.2.2遞歸特征添加方法(RFA)

考慮到嵌入式特征選擇方法存在的明顯優(yōu)勢，本文提出基于遞歸特征添加方法的特征選擇算法。其基本原理為，通過根據計算出的剩余特征的排序系數(Ranking Coefficient,RC)，一次性地向該集合添加一個特征，來初始化要用于所選特征的一組空特征。

將針對支持向量(其基本上代表訓練示例的小子集)計算決策函數D(x)的權重wi。支持向量是最接近決策邊界的訓練示例，并提供類之間的最大間隔。對RFA中的特征進行排序取決于權重大小作為排序系數，通過在成本函數的最大變化時添加一個特征來執(zhí)行。

需要最小化的SVM的成本函數為：

J=(1/2)αTHα-α1

(4)

式中：α1是n維向量；H是可以計算的矩陣：

H=yhykK(xh,xk)

(5)

式中：xh和xk是訓練樣例；K是用于測量訓練樣例xh和xk之間的相似性的核函數，且有h，k=1,2,…,N，N為需要選擇的特征數量；y是類標簽的向量。此算法中使用RBF核函數，可以計算為：

(6)

式中：γ是常數，通常選擇為總特征數量的倒數；為了計算由于添加一個特征i而導致的成本函數的變化，需要重新計算H矩陣，不妨記為H(+i)，其中符號(+i)對應于添加特征i。這一過程中需要同步更新計算K(xh(+i),xk(+i))。最終的排序系數RC計算為：

RC=(1/2)αTHα-(1/2)αTH(+i)α

(7)

算法第一次迭代時，由于還沒有選擇特征，此時的排名系數RC僅有第一項。隨后迭代地執(zhí)行該算法以執(zhí)行遞歸特征加法(RFA)，從而對應于取最大值的RC(i)的特征被不斷添加到排序特征列表，算法的結果將是從最重要到最不重要的特征的排序列表。

以圖4所示的4特征排序問題對所提算法進行詳細闡述，嵌入式前向特征選擇有四個特征，選擇順序為實線(2，4，3，1)，其中：1表示存在特征；0表示缺失。

圖4 4特征排序圖

圖4中，每個特征位都表示為二進制值(0或1)。選擇此特征后，其位置將為1，否則為0。RFA方法以空特征集(0 0 0 0)開始。示例中，特征2被選擇為其他特征中最相關的特征，因此首先選擇它。算法繼續(xù)進行，直到它根據排名系數對所有特征進行排名。實線表示方法遵循的路徑，而虛線表示當前案例中的所有可能情況。該示例的最終排名分別為(2,4,3,1)。

2 實 驗

2.1 評估指標

為衡量特征添加前后對網絡入侵檢測效果的影響，采用檢測精度和F度量值作為指標。其中檢測精度計算公式為：

(8)

式中：TP、TN、FP和FN分別為True Positive、True Negative、False Positive和False Negative值。可知分類器檢測精度是正確分類的示例與示例總數的百分比。另一方面，F度量值是檢測精度和召回率的調和平均值，公式為：

(9)

此外，引入額外三個指標以評估所提入侵檢測方法的有效性：

(1) 檢測率(Detection Rate,DR)。任何入侵檢測系統(tǒng)的檢測率根據以下公式得到，表示正確檢測到的攻擊占攻擊總數的百分比：

(10)

(2) 誤報率(False Alarm Rate,FAR)。FAR表示根據以下公式將正確實例的百分比錯誤地分類為對正常實例總數的攻擊：

(11)

(3) 綜合性能。除了前面提到的指標之外，提出了一個綜合指標，以便將三個指標(準確度、檢測率和FAR)合并在一起來比較：

(12)

該度量的結果將是-1和1之間的實數值，即Combined∈[-1,1]，其中：-1對應于最差的整體系統(tǒng)性能；1對應于最佳的整體系統(tǒng)性能；而0對應于50%的整體系統(tǒng)性能。在目前的形式中，該公式給予所有三個指標(準確度、檢測率和誤報率)相等的權重。但在其他場景下，可通過賦予不同權重值以實現對不同性能的側重關注程度。

2.2 評估指標不同對入侵檢測方法性能的影響

為了闡明所提出的組合度量的重要性，假設有一個數據集，其中200個實例分為100個普通實例和100個攻擊實例。現在討論具有相同精度50%的三種不同場景。

對于上述三種不同的混淆矩陣，可以計算出性能指標，如表1所示。

表1 具有相同準確性的三種不同方案的性能指標

所有上述場景具有相同的準確度值。但是，這三種情況具有不同的檢測率和誤報率。這使得很難確定哪個系統(tǒng)在產生三種情景的三個系統(tǒng)中表現最佳。但是，如果計算提出的組合度量，可以得出結論，生成第三個場景的系統(tǒng)是其他系統(tǒng)中最好的系統(tǒng)。

同樣，可能存在具有相同檢測率、不同精度和誤報率的不同系統(tǒng)，如下面三種情況所示，它們都具有相同的檢測率50%。表2為腳本4-腳本6所對應的性能指標。

表2 具有相同檢測率的三種不同方案的性能指標

從表2可得，具有最大組合度量的最佳系統(tǒng)是生成第二個場景的系統(tǒng)。同樣地，可能存在不同的系統(tǒng)，這些系統(tǒng)產生具有不同精度和檢測率的相等誤報率，如下面三種情況所示，它們都具有相同的誤報率50%。表3為對應的性能指標。通過考慮組合性能可以得出結論，與第一個場景相對應的系統(tǒng)是最好的系統(tǒng)，因為它的組合度量是0.3，這是其他系統(tǒng)中最高的。

表3 具有相同誤報率的三種不同場景的性能指標

綜上，當單獨拍攝時，在測量入侵檢測系統(tǒng)的性能時，準確度、檢測率和誤報率都不足以表達。但是提出的組合指標可以整合上述三個指標給出的信息，以便更加徹底地衡量入侵檢測效果，正如從上述情景中注意到的那樣。通過使用所提出的組合度量，可以選擇具有最佳的最大準確度、最大檢測率和最小誤報率的系統(tǒng)。如前所述，可以根據應用修改提出的組合公式以測量其性能。這可以通過根據它們對該應用的重要性給予三個分量(準確度、檢測率和誤報率)不同的權重來執(zhí)行。

2.3 特征提取和數據集準備

為進一步評估不同入侵檢測方法的檢測性能，采用基準數據集ISCX進行評估，其由不同類型的特征組成：數字，分類，日期時間和字符串。通常，網絡流量信息由上述類型混合表示，但是蘊含的特征通常由長字符串值表示，這使得在機器學習中難以處理，為此采用二元組編碼技術進行問題化簡。

不失一般性，考慮將網絡入侵特征轉換為雙字節(jié)表示的示例。三個網絡特征具有不同的長字符串：“B7z2”，“Vud3j”和“z2nB7”。依據圖2所示的字典生成過程，得到由9個單詞組成的字典(即二元組)：B7|7z|z2|Vu|ud|d3|3j|2n|nB。如表4所示，三個網絡特征的二元組表示轉化為具有“0”和“1”的二進制編碼。

表4 示例中三個網絡入侵特征的二元組表示

為了準備用于特征選擇的結果數據集，使用快速過濾器選擇算法對特征進行預排序步驟。由于當前的特征數量很大，并且在這種情況下特征選擇可能非常耗費時間，因此從原始特征中獲取350個特征的子集。產生的350個特征分別用于生成大小為25、50、100和500的數據集。為了模擬“零日攻擊”，使用不同數量的示例來監(jiān)視每種數據集大小的特征選擇行為，從特征提取到使用特征選擇算法對特征進行排名的所有步驟如圖5所示。

圖5 利用二元組技術提取ISCX數據集的特征向量

2.4 在ISCX數據集上應用RFA的結果

為了觀察包含網絡入侵特征添加對提高檢測精度的影響，在所有ISCX數據集上測量網絡入侵特征添加前后的分類精度和F-度量值，如表5所示。

表5 在ISCX數據集上應用RFA前后的性能指標 %

表5的第2列和第3列表示不添加網絡入侵特征時的檢測性能；第4列和第5列表示在利用二元組編碼技術添加網絡入侵特征之后，從分類器獲得的最大性能。可以看出，與沒有二元組特征的相同數據集上分類器的性能相比，本文算法的檢測精度提升8%以上。

表6為采用RFA方法后相關評估指標隨數據集規(guī)模的變化情形。

表6 在ISCX數據集上應用RFA后的所有性能指標 %

可以看出，大多數單一指標隨著數據集大小的增加而提高，而FAR指標則不嚴格遵守隨數據集規(guī)模擴大而下降的趨勢。然而，對于組合評估指標而言，由初始25個樣本所對應的指標62.5%逐步提升至500個樣本所對應的指標(86.5%)，與大部分單一性指標的變化趨勢相同。這表明采用組合性能指標能夠較好地反映入侵檢測的性能，且隨著數據集樣本規(guī)模的擴大，其評估結果越好。

需要指出的是，文獻[12]提出的檢測方法未使用RFA添加網絡入侵特征，故在此作為本文算法的對比算法，表7為相應的評估性能。為直觀分析本文方法的優(yōu)異性，相比文獻[12]方法，在不同樣本數情況下，本文方法的評估指標提升情況如圖6所示。

表7 在ISCX數據集上的所有性能指標(文獻[12]) %

圖6 與文獻[12]相比本文方法評估指標提升百分比

根據圖6，相比于傳統(tǒng)的未考慮特征選擇的方法(文獻[12])，在不同數據集樣本規(guī)模下，本文方法的檢測準確率、F-度量值、檢出率和綜合性能指標均有所提升，而誤報率低于未考慮特征選擇的方法。例如，當數據樣本數量為25時，與文獻[12]方法相比，本文方法的準確率、F-度量值、檢出率和綜合性能指標分別提升了16.5%、7.2%、9.8%、7.4%，而誤報率則下降了12.6%；而其余數據樣本規(guī)模下，本文方法的準確率、F-度量值、檢出率和綜合性能指標則至少提升了3.6%、7.7%、6.4%和5.5%。因此，算例結果表明，本文方法在提升檢測精度的同時，由于綜合考慮了網絡入侵的特征，進一步降低了將正常情形分類為入侵事件以及將入侵事件誤判為正常情形的風險，因而所提方法的檢測性能更優(yōu)。

2.5 方法對比結果分析

為驗證所提深度置信網絡結合遞歸特征添加的網絡入侵檢測方法的有效性，采用KNN算法[14]、決策樹算法[15]、Adaboost算法[16]、K-means算法[17]、SVM算法[18]等主流入侵檢測算法進行對比。對比指標為檢測精度，如式(8)所示。相應的檢測結果如圖7所示。

圖7 幾種算法對網絡入侵準確率檢測結果

可以看出，相較于傳統(tǒng)入侵檢測算法，本文算法的準確度最高，且準確度最多提升7.89%。這是因為本文算法首先采用深度置信網絡對網絡入侵特征進行提取，并基于二元組編碼與RFA算法相結合的方法對主要特征量進行選擇，因此對未知網絡入侵攻擊的檢測準確率更高，網絡安全防御能力更強。

3 結 語

為實現對網絡“零日攻擊”的有效判別，在綜合考慮檢測準確率、檢出率和誤報率的基礎上，提出一種深度學習結合遞歸特征添加的網絡入侵檢測方法。同一數據集下的算例實驗表明，相較于傳統(tǒng)不考慮網絡入侵特征的方法，本文算法的檢測精度得到有效提升。此外，與傳統(tǒng)入侵檢測方法相比，本文算法同樣展現出更高的檢測能力，從而保證對未知網絡攻擊手段的檢出能力，保障互聯(lián)網安全。

未來的研究方向是使用集成分類器方法進行入侵檢測，以提高檢測性能，并利用Android僵尸網絡數據集，來研究這些技術在檢測Android系統(tǒng)惡意軟件中的行為。