融合殘差網(wǎng)絡(luò)的CR-BiGRU入侵檢測模型

沈記全 魏坤

摘要： 針對當(dāng)前網(wǎng)絡(luò)攻擊的復(fù)雜性和多樣性，傳統(tǒng)模型提取流量特征不足且準(zhǔn)確率較低的問題，提出一種融合殘差網(wǎng)絡(luò)改進的CR-BiGRU混合模型的網(wǎng)絡(luò)入侵檢測方法. 首先將數(shù)據(jù)集進行歸一化以及獨熱編碼處理，然后利用基于殘差網(wǎng)絡(luò)的卷積神經(jīng)網(wǎng)絡(luò)提取空間特征，最后使用雙向門控神經(jīng)網(wǎng)絡(luò)提取時間特征，完成模型的訓(xùn)練并實現(xiàn)異常網(wǎng)絡(luò)的入侵檢測. 為表明模型的適用性，基于數(shù)據(jù)集NSL-KDD和UNSW-NB15進行對比分析實驗，結(jié)果表明，該方法基于上述數(shù)據(jù)集準(zhǔn)確率分別達99.40%和83.79%，明顯優(yōu)于經(jīng)典網(wǎng)絡(luò)入侵檢測算法，能有效提升檢測網(wǎng)絡(luò)入侵的精度，從而更好保證網(wǎng)絡(luò)數(shù)據(jù)的通信安全.

關(guān)鍵詞： 入侵檢測； 深度學(xué)習(xí)； 網(wǎng)絡(luò)流量； 卷積神經(jīng)網(wǎng)絡(luò)； 雙向控制循環(huán)單元

中圖分類號： TP393.08? 文獻標(biāo)志碼： A? 文章編號： 1671-5489（2023）02-0353-09

CR-BiGRU Intrusion Detection Model Based on Residual Network

SHEN Jiquan，WEI Kun

（School of Computer Science and Technology，Henan Polytechnic University，Jiaozuo 454000，Henan Province，China）

Abstract： Aiming at the complexity and diversity of current network intrusion，the traditional model was insufficient to extract traffic characteristics，and had low accuracy，

we proposed an intrusion detection method based on CR-BiGRU hybrid model improved by merging residual network. Firstly，

the dataset was normalized and one-hot encoding treatment in the model. Secondly，?? the convolutional neural network based on the residual network was used to extract the spatial features.

Finally，? the bidirectional gated neural network was used to extract the temporal features， complete the training of the model and realize the intrusion detecti

on of the abnormal network. In order to illustrate the applicability of the model，comparative analysis experiments were conducted based on NSL-KDD and UNSW-NB

15 datasets. The results show that the accuracy of the method based on the above datasets is 99.40% and 83.79% respectively，which is obviously superior to the classical n

etwork intrusion detection algorithm，and can effectively improve the accuracy of network intrusion detection，so as to? better ensure the? communication security of network data.

Keywords： intrusion detection; deep learning; network traffic; convolutional neural network （CNN）; bidirectional gated recurrent unit （BiGRU）

收稿日期： 2022-01-23.

第一作者簡介： 沈記全（1969—），男，漢族，博士，教授，從事智能系統(tǒng)和網(wǎng)格計算的研究，E-mail： shenjiquanhpu@126.com.

基金項目： 國家自然科學(xué)基金（批準(zhǔn)號： 61972134）.

隨著網(wǎng)絡(luò)入侵方式的不斷復(fù)雜化和特征多樣化，傳統(tǒng)的入侵檢測技術(shù)如模式匹配方法和深度包的入侵檢測方法均存在許多不足［1］，如誤報率高、 精度低且泛化能力差等.

網(wǎng)絡(luò)流量的特征預(yù)處理使檢測更高效并提高了檢測準(zhǔn)確率，可提取對分類結(jié)果有較大影響的關(guān)鍵特征并有效減少計算，提高分類器的效率. 網(wǎng)絡(luò)入侵檢測系統(tǒng)中的一些經(jīng)典機器學(xué)習(xí)模型［2-12］多使用特征選擇方法提高測試精度，因為深度學(xué)習(xí)能直接從原始數(shù)據(jù)中提取高級特征，而且深度學(xué)習(xí)的應(yīng)用可降低智能決策支持系統(tǒng)的成本，增強識別攻擊的能力. 近年來，深度學(xué)習(xí)模型［13-15］由于其高效性和易實現(xiàn)性，逐漸被應(yīng)用到入侵檢測算法中，以增強分類器的性能. 孫程等［16］提出了一種遞歸神經(jīng)網(wǎng)絡(luò)入侵檢測方法，學(xué)習(xí)其時間序列特征應(yīng)用與異常檢測. 為解決反向傳播梯度消失問題，文獻［17］使用了GRU（gated recurrent units）神經(jīng)網(wǎng)絡(luò)與RNN（recurrent neural networks）相結(jié)合的算法; 舒豪等 ［18］通過分析遞歸神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)流量入侵檢測的特點，提出了一種BiLSTM（bi-directional long short-term memory）與注意力機制相結(jié)合的檢測算法模型，并對算法的準(zhǔn)確性和模型訓(xùn)練時間進行了平衡； 杭夢鑫等［19］提出了一種基于改進1D-CNN（convolutional neural network）的異常流量檢測方法； Su等［20］提出了BiLSTM與注意力機制融合模型并使用多層卷積提取局部特征； Chouhan等［21］提出了殘差網(wǎng)絡(luò)（ResNet）的概念，以解決隨著層數(shù)的增加性能下降的問題； 曾宏志等［22］針對網(wǎng)絡(luò)的多樣性提出了將半監(jiān)督技術(shù)和主動學(xué)習(xí)相結(jié)合的融合算法網(wǎng)絡(luò)模型，提升了模型的漏檢率和誤檢率; Alom等［23］通過對數(shù)據(jù)集信息采用隨機丟棄的方法解決數(shù)據(jù)類別不平衡問題，使用40%的數(shù)據(jù)信息即可得到較高的精度，但少數(shù)類別的分類精度較低. 實時網(wǎng)絡(luò)入侵流量具有高維性、 多樣性和復(fù)雜性，類不平衡問題也嚴(yán)重影響分類結(jié)果，采樣不足可能會導(dǎo)致重要信息丟失，從而影響分類性能. 因此入侵檢測的關(guān)鍵問題在于不引起性能下降的前提下構(gòu)建更深層次的網(wǎng)絡(luò)特征獲取多層次特征，以及如何解決數(shù)據(jù)集類別不平衡的問題.

基于上述分析，本文提出一種基于殘差網(wǎng)絡(luò)并融合雙向門控神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)，以進一步提升網(wǎng)絡(luò)流量入侵檢測的正確率和召回率. 首先，針對網(wǎng)絡(luò)流量入侵行為數(shù)據(jù)的時間與空間相關(guān)性，提出一種基于殘差學(xué)習(xí)的CNN網(wǎng)絡(luò)并融合雙向門控神經(jīng)網(wǎng)絡(luò)的方法; 其次，設(shè)計一種三層堆疊殘差網(wǎng)絡(luò)解決單層卷積網(wǎng)絡(luò)適應(yīng)性弱的問題，通過引入過采樣算法進行訓(xùn)練解決少數(shù)類檢測率較低的問題，從而提高入侵檢測準(zhǔn)確度; 最后，在公開數(shù)據(jù)集上進行對比實驗，實驗結(jié)果表明，本文CR-BiGRU方法在兩個數(shù)據(jù)集上均獲得了較好的結(jié)果，具有較強的魯棒性.

1 預(yù)備知識

1.1 卷積神經(jīng)網(wǎng)絡(luò)

卷積神經(jīng)網(wǎng)絡(luò)（CNN）在計算機視覺、 自然語言處理等領(lǐng)域應(yīng)用廣泛，適用于訓(xùn)練多維和局部相關(guān)性數(shù)據(jù). CNN網(wǎng)絡(luò)一般由卷積層、 匯聚層和全連接層構(gòu)成. 卷積層可提取局部區(qū)域特征，不同卷積核大小相當(dāng)于不同的特征提取器，匯聚層的作用主要是進行特征選擇，降低特征數(shù)量，從而減少參數(shù)數(shù)量. 其中1D-CNN適用于處理序列化數(shù)據(jù)等，結(jié)合權(quán)值共享與局部區(qū)域連接技術(shù)，降低了網(wǎng)絡(luò)模型的復(fù)雜度，減少了參數(shù)規(guī)模.

1.2 Resnet殘差網(wǎng)絡(luò)

研究表明，卷積神經(jīng)網(wǎng)絡(luò)濾波器的大小和個數(shù)、 激活函數(shù)與學(xué)習(xí)率等參數(shù)對CNN卷積神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)有較大影響，且訓(xùn)練深度對最終的分類結(jié)果也有較大影響，因此通常會構(gòu)建更深的網(wǎng)絡(luò). 但隨著網(wǎng)絡(luò)深度的增加，可能會出現(xiàn)梯度爆炸現(xiàn)象使網(wǎng)絡(luò)性能下降. 在網(wǎng)絡(luò)中直接添加多層卷積并不能有效提高網(wǎng)絡(luò)的準(zhǔn)確性，而且會導(dǎo)致網(wǎng)絡(luò)性能惡化. Resnet殘差網(wǎng)絡(luò)解決了上述問題［24］. 殘差是指本地輸入與輸出之間的殘差，表示為

H（x）=F（x）+x.（1）

Resnet殘差網(wǎng)絡(luò)通過數(shù)據(jù)的輸入與輸出之間的快速連接實現(xiàn)，避免了向網(wǎng)絡(luò)中添加額外的參數(shù)和計算，且有效訓(xùn)練了網(wǎng)絡(luò)中的參數(shù)，保證了網(wǎng)絡(luò)性能，同時也可以學(xué)習(xí)更深層次的特征. 基礎(chǔ)網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示.

1.3 BiGRU網(wǎng)絡(luò)

門控循環(huán)單元（GRU）網(wǎng)絡(luò)是一種可解決長序列遠距離傳輸信息丟失的特殊循環(huán)神經(jīng)網(wǎng)絡(luò)（RNN），與長短期記憶（long short-term memory，LSTM）通過門控記憶重要信息不同的是選擇忘記非重要信息，所以降低了網(wǎng)絡(luò)時間復(fù)雜度，但單一的GRU只能從一個方向讀取時間序列數(shù)據(jù)，未充分考慮后續(xù)信息的影響.

雙向門控循環(huán)單元（bidirectional gated recurrent unit，BiGRU）包含兩個普通的GRU，BiGRU神經(jīng)網(wǎng)絡(luò)基本結(jié)構(gòu)分為4層，分別為輸入層、 輸出層、 正向傳輸層和反向傳輸層，如圖2所示. 輸入層對輸入數(shù)據(jù)進行序列化編碼，使輸入數(shù)據(jù)符合神經(jīng)網(wǎng)絡(luò)的規(guī)范要求； 正向傳輸層提取輸入序列從前向后的前向特征； 而反向傳輸層提取輸入序列從后向前的反向特征； 輸出層對正向傳輸層與反向傳輸層輸出的數(shù)據(jù)進行整合處理. 故BiGRU能捕捉到可能被單向GRU忽略的特征信息，從而提高長時間跨度的序列數(shù)據(jù)精度.

2 CR-BiGRU網(wǎng)絡(luò)入侵檢測模型設(shè)計

CR-BiGRU的入侵檢測算法整體架構(gòu)如圖3所示. 其訓(xùn)練過程主要分為4個階段：

1） 對原始數(shù)據(jù)進行預(yù)處理，經(jīng)K折交叉驗證算法得到規(guī)范化后的訓(xùn)練集和測試集；

2） 將預(yù)處理后的數(shù)據(jù)輸入到1D-CNN網(wǎng)絡(luò)中進行預(yù)訓(xùn)練；

3） 使用改進的殘差網(wǎng)絡(luò)并融合雙層BiGRU模型對二維數(shù)據(jù)進行分類處理，通過對比檢測的及原始的數(shù)據(jù)結(jié)果，更新網(wǎng)絡(luò)權(quán)重，優(yōu)化網(wǎng)絡(luò)參數(shù)；

4） 采用公認(rèn)的評估標(biāo)準(zhǔn)對選取最優(yōu)效果的模型參數(shù)進行測試.

2.1 數(shù)據(jù)預(yù)處理

網(wǎng)絡(luò)流量數(shù)據(jù)具有明顯的層次性結(jié)構(gòu)，基本單元是網(wǎng)絡(luò)流量字節(jié)序列，其基于特定網(wǎng)絡(luò)協(xié)議的格式，多個字節(jié)流量組合成為一個網(wǎng)絡(luò)包，多個網(wǎng)絡(luò)包進一步組合成為一個網(wǎng)絡(luò)數(shù)據(jù)流.

網(wǎng)絡(luò)入侵檢測實質(zhì)上是對網(wǎng)絡(luò)中的流量進行分類的過程. 根據(jù)其特點可經(jīng)數(shù)據(jù)預(yù)處理將原始流量數(shù)據(jù)轉(zhuǎn)化為可輸入到神經(jīng)網(wǎng)絡(luò)中的數(shù)據(jù)形式，然后根據(jù)深度學(xué)習(xí)方法完成特征提取與訓(xùn)練，最終輸入分類器完成各種異常流量分類.

本文將數(shù)據(jù)特征中屬于字符型特征的類別用one-hot編碼將字符型屬性特征轉(zhuǎn)化為數(shù)值型的屬性特征. 數(shù)據(jù)標(biāo)準(zhǔn)化是將數(shù)據(jù)重新縮放到一個特定的范圍，以減少冗余并縮短模型的訓(xùn)練時間. 經(jīng)數(shù)值化算法處理后，判斷有無空值，若無空值即采用最小-最大歸一化方法，將數(shù)據(jù)范圍重新調(diào)整到［0，1］，用公式表示為xnormal=x-xminxmax-xmin.（2）

為驗證最佳數(shù)據(jù)集的訓(xùn)練集與驗證集劃分，引入K折交叉驗證算法，將數(shù)據(jù)集劃分為相等的K部分，每個子集數(shù)據(jù)分別做一次驗證集，其余的（K-1）個子集數(shù)據(jù)作為訓(xùn)練集. 模型使用（K-1）個子集進行訓(xùn)練，并在第K個子集上進行驗證，遍歷所有子集后將平均準(zhǔn)確率作為最終的模型準(zhǔn)確率. 經(jīng)過數(shù)據(jù)預(yù)處理后，數(shù)據(jù)集NSL-KDD和數(shù)據(jù)集UNSW-NB15的特征維數(shù)分別是122維和196維.

2.2 一維卷積網(wǎng)絡(luò)

一維卷積網(wǎng)絡(luò)能對數(shù)據(jù)的局部信息進行學(xué)習(xí)，縮短長時間序列，有助于高層神經(jīng)網(wǎng)絡(luò)合并這些局部特征獲取高級抽象特征并增強長時間序列數(shù)據(jù)的學(xué)習(xí)能力. 該卷積層提取數(shù)據(jù)集的空間特征，并生成特征圖作為輸出.

卷積網(wǎng)絡(luò)隨前一層參數(shù)的變化，下一層輸入分布也會相應(yīng)變化，使訓(xùn)練更深層次的神經(jīng)網(wǎng)絡(luò)更困難. 批量歸一化（batch-normal，BN）函數(shù)將神經(jīng)網(wǎng)絡(luò)每層中的神經(jīng)元輸入值分布調(diào)整成均值為0、 方差為1的標(biāo)準(zhǔn)正態(tài)分布，可解決網(wǎng)絡(luò)訓(xùn)練的困難，從而有效提高網(wǎng)絡(luò)的訓(xùn)練速度，避免梯度消失，提高泛化能力. 批量歸一化的輸出表示為yi=λx′i+η，（3）

其中： λ和η是系數(shù); x′i由

μβ=1m∑mi=1xi，σ2β=1m

∑mi=1（xi-μβ）2，x′i=xi-μβσ2β+ε（4）

計算得出，式中m為批處理大小，xi為時間序列.

2.3 殘差網(wǎng)絡(luò)融合雙向BiGRU

由于網(wǎng)絡(luò)入侵具有多維度和時間依賴性的特點，卷積殘差融合BiGRU網(wǎng)絡(luò)可提取時空特征，因此將二者結(jié)合能對二者的優(yōu)缺點進行互補，使特征提取更全面，即以較小的時間增長為代價，取得更高的準(zhǔn)確率，從而獲得更優(yōu)的效果.

為能獲得更多目標(biāo)的高級細(xì)節(jié)特征并加快訓(xùn)練速度，本文引入Resnet卷積殘差網(wǎng)絡(luò)結(jié)構(gòu)并進行有針對性的優(yōu)化. 將原始卷積核替換成3×3卷積核提升計算速度，同時縮減殘差網(wǎng)絡(luò)中每層的數(shù)量特征，最終輸出保持特征總和與原殘差神經(jīng)網(wǎng)絡(luò)的外層特征總數(shù)一致，均為64維. 引入空洞卷積，空洞卷積是一種擴展卷積核感受野的方法，其使感受野更大并捕獲多尺度上下文信息，從而改善下采樣導(dǎo)致的特征信息丟失問題.

最后輸出數(shù)據(jù)經(jīng)Reshape層處理后輸入兩層BiGRU訓(xùn)練單元完成對模型的訓(xùn)練，每個BiGRU層分別從正向和反向處理該段序列向量，以確保算法不僅能由正序獲得積累依賴信息，而且也能從逆序獲得來自未來的積聚依賴信息，保持對時間特征的敏感性，并進一步剔除冗余信息，達到豐富特征信息的目的. 為獲得對網(wǎng)絡(luò)入侵流量具有判別性的關(guān)鍵特征以提高檢測精度，將第二層BiGRU迭代中的內(nèi)核加倍，第一層BiGRU有64個卷積核，第二層BiGRU有128個卷積核，這種處理可有效提升算法的特征提取能力，從而實現(xiàn)處理粒度上更精細(xì)化，同時加快算法的收斂速度. 最終得到的特征信息包含原始圖像的空間特征與時間特征.

2.4 池化層與損失函數(shù)

由于全連接層中的每個節(jié)點都相互連接，因此參數(shù)過多可能會導(dǎo)致過擬合. 采用全局平均池化（GAP）可減少計算參數(shù)的數(shù)量，從而減少過度擬合的可能性，如圖4所示.

入侵檢測樣本中存在樣本類別不平衡的情況，通常采用調(diào)整樣本的權(quán)重，即更關(guān)注在訓(xùn)練中難分類的樣本，可有效減輕數(shù)據(jù)分布不均衡的問題，而重采樣是解決不平衡數(shù)據(jù)最常用的算法之一. 重采樣包括欠采樣和過采樣，但欠采樣可能會導(dǎo)致丟失重要信息，而過采樣可能會添加新的信息破壞數(shù)據(jù)，并增加訓(xùn)練時間. 與交叉熵?fù)p失函數(shù)相比，焦點損失函數(shù)廣泛用于目標(biāo)檢測等少樣本數(shù)據(jù)挖掘，可解決類不平衡問題，所以本文采用焦點損失作為損失函數(shù)，用公式表示為

Lfl=-α（1-y′）γlg y′，y=1，-（1-α）y′γlg（1-y′），y=0，（5）

其中： y′表示模型預(yù)測概率； y表示真實樣本； γ為調(diào)節(jié)正負(fù)樣本的因子，取值為2; α根據(jù)

α=1-numttotal（6）

計算，式中numt表示屬于類別t的樣本數(shù)量，total表示訓(xùn)練數(shù)據(jù)中的樣本總數(shù).

最終分類結(jié)果采用Softmax激活函數(shù)處理分類輸出，利用Softmax函數(shù)將多分類輸出值轉(zhuǎn)換為范圍［0，1］和1的概率分布，用公式表示為

S（zi）=ezi∑Cc=1ezc，（7）

其中： zi為i個節(jié)點的輸出值； C為輸出節(jié)點的個數(shù)，即分類的類別個數(shù).

3 實 驗

3.1 實驗環(huán)境與數(shù)據(jù)來源

實驗仿真環(huán)境為Windows10操作系統(tǒng)，處理器為Intel（R） Core （TM） i5-11400H處理器，內(nèi)存為16 GB. 在Python 2.7中的Tensorflow平臺環(huán)境下進行仿真實驗. 數(shù)據(jù)集UNSW-NB15和NSL-KDD是網(wǎng)絡(luò)入侵檢測系統(tǒng)中常用的網(wǎng)絡(luò)入侵檢測數(shù)據(jù)集，通過收集不同類型的網(wǎng)絡(luò)連接數(shù)據(jù)進行處理和構(gòu)建. 數(shù)據(jù)集UNSW-NB15包含9種攻擊類型，共49個特征屬性. 數(shù)據(jù)集NSL-KDD攻擊類別可根據(jù)正常流量和攻擊類型進行劃分； 攻擊類型分為拒絕服務(wù)攻擊（DoS）、 探測攻擊（probe attacks）、 R2L（root-to-local attacks）和U2R（user-to-root attack）4類攻擊. 表1和表2分別列出了上述兩種數(shù)據(jù)集中攻擊類別的分類以及訓(xùn)練集和測試集的劃分情況.

3.2 實驗評估標(biāo)準(zhǔn)

異常入侵流量檢測的性能指標(biāo)依賴于混淆矩陣. 混淆矩陣將準(zhǔn)確率（accuracy）、 精準(zhǔn)率（precision）、 召回率（DR）和誤報率（FPR）作為評價指標(biāo)，分別表示為ACC=TP+TNTP+TN+FP+FN，（8）Precision=TPTP+FP，（9）

DR=TPTP+FN，（10）FPR=FPFP+TN，（11）

其中： TP表示檢測出具有攻擊流量的數(shù)目并且檢測結(jié)果正確； FN表示檢測出攻擊流量的數(shù)目但其檢測結(jié)果錯誤，實際上流量是正常流量； TN表示檢測出為正常流量的數(shù)目，且檢測結(jié)果正確； FP表示檢測出為正常流量的數(shù)目，但其檢測結(jié)果錯誤，實際該流量是攻擊流量.

3.3 模型參數(shù)設(shè)置

CR-BiGRU模型算法需通過設(shè)置合適的參數(shù)使模型達到可控的擬合效果，本文為獲取一組較優(yōu)結(jié)果進行了多輪調(diào)參，使最終的實驗結(jié)果達到較優(yōu)水平. CR-BiGRU模型參數(shù)設(shè)置列于表3.

3.4 實驗結(jié)果與分析

仿真實驗構(gòu)建了CR-BiGRU移動網(wǎng)絡(luò)入侵檢測系統(tǒng)，包括一維卷積網(wǎng)絡(luò)和改進的殘差網(wǎng)絡(luò)融合雙層BiGRU，為驗證殘差網(wǎng)絡(luò)層數(shù)以及訓(xùn)練集劃分比例對檢測系統(tǒng)的影響，仿真實驗根據(jù)搭建的模型對數(shù)據(jù)樣本進行訓(xùn)練. 通過計算模型準(zhǔn)確度、 精確度和召回率，對3個模型的性能進行評估. 在數(shù)據(jù)集NSL-KDD上根據(jù)是否發(fā)生攻擊進行二元分類驗證上述問題，結(jié)果列于表4，其中Pn（n=1，2，3）表示具有幾層殘差塊. 由表4可見，利用殘差網(wǎng)絡(luò)可構(gòu)建更深層次的深度學(xué)習(xí)網(wǎng)絡(luò)，并且隨著網(wǎng)絡(luò)層數(shù)的增加分類效果越來越好，但在當(dāng)前模型中具有3個殘差塊的模型總體分類準(zhǔn)確度最高.

圖5為CR-BiGRU特征融合算法損失值與迭代次數(shù)之間的關(guān)系. 由圖5可見，隨著迭代次數(shù)的增加，訓(xùn)練損失逐漸減少，并在第10輪趨于穩(wěn)定. 表明該模型的結(jié)構(gòu)設(shè)計和超參數(shù)設(shè)置合理，并且具有良好的收斂能力.

為驗證最佳數(shù)據(jù)集劃分，對提出的模型進行5次交叉驗證實驗，二分類的實驗結(jié)果列于表5. 由表5可見，在5次交叉驗證實驗中，該模型的平均準(zhǔn)確率（ACC）為99.22%，最佳準(zhǔn)確率為99.40%; 平均召回率（DR）為98.072%，最佳結(jié)果為99.86%; 平均誤報率（FPR）為0.43%，最優(yōu)值為0.36%.

圖6為多元分類檢測結(jié)果. 由圖6可見，DoS和Probe的DR值都較高，但R2L和U2R的DR值較低. 這是因為它們的訓(xùn)練集樣本數(shù)量較少. DoS攻擊和探測攻擊的準(zhǔn)確率較高，分別為98.31%和92.61%，但U2R和R2L的準(zhǔn)確率很低，這是因為R2L和U2R攻擊中的數(shù)據(jù)量很小，易形成誤判.

為更充分比較并分析少量樣本特征的檢測性能以及算法網(wǎng)絡(luò)的實用性，引入數(shù)據(jù)集UNSW-NB15測試混淆矩陣. 圖7為在數(shù)據(jù)集UNSW-NB15上前10種數(shù)據(jù)流類型的混淆矩陣. 由圖7可見，Normal，Reconnaissance，Exploits和Generic等類型的大多數(shù)樣本都在矩陣對角線上，而Analysis，Backdoor和Worms類型因為樣本數(shù)量太少未體現(xiàn)出很好的檢測率. 圖8為在數(shù)據(jù)集UNSW-NB15上對Worms類應(yīng)用了過采樣算法的實驗結(jié)果. 由圖8可見，該模型的檢測率顯著提高.

在相同參數(shù)實驗條件下，對決策樹（decision tree）、 隨機森林（random forest）、 最近鄰（k-nearest neighbor，KNN）等機器學(xué)習(xí)方法以及神經(jīng)網(wǎng)絡(luò)改進算法GRU-RNN［10］和CNN-LSTM進行對比實驗. 表6和表7分別列出了在不同數(shù)據(jù)集上各模型的分類對比結(jié)果.

由表6和表7可見，隨機森林、 決策樹等傳統(tǒng)機器學(xué)習(xí)方法準(zhǔn)確率都較低，這是由數(shù)據(jù)集龐大且算法本身存在過擬合問題導(dǎo)致的，由于神經(jīng)網(wǎng)絡(luò)具有很強的非線性擬合能力，可對任意復(fù)雜非線性關(guān)系進行映射，所以對模型提取特征的能力進行了很大程度的提升. 與GRU_RNN和CNN-LSTM相比，本文模型采用Resnet與BiGRU的方法進行特征提取，提取到的特征信息更全面，且Resnet克服了普通卷積操作的局限性，對當(dāng)前時刻數(shù)據(jù)特征進行提取時并不會受將來數(shù)據(jù)的影響，從而準(zhǔn)確率更高，分類效果更好.

綜上所述，針對當(dāng)前網(wǎng)絡(luò)攻擊的復(fù)雜性和多樣性，傳統(tǒng)模型提取流量特征不足且準(zhǔn)確率較低的問題，本文提出了一種基于多層次特征融合CR-BiGRU的入侵檢測模型. 該模型利用Resnet卷積網(wǎng)絡(luò)和BiGRU網(wǎng)絡(luò)模塊分別提取入侵?jǐn)?shù)據(jù)的局部特征和長時間依賴的周期特征，并采用K折交叉驗證算法選擇最優(yōu)特征子集，以減少數(shù)據(jù)多維問題并結(jié)合過采樣算法解決少樣本問題. 實驗結(jié)果表明，本文模型由于提取空間與時間雙層特征更易于模型擬合訓(xùn)練，獲得了更高的準(zhǔn)確率，且泛化性能更好.

參考文獻

［1］ LIAO H J，LIN C H R，LIN Y C，et al. Intrusion Detection System： A Comprehensive Review ［J］. Journal of Network and Computer Applications，2013，36（1）： 16-24.

［2］ 翟繼強，馬文亭，肖亞軍. Apriori-KNN算法的警報過濾機制的入侵檢測系統(tǒng) ［J］. 小型微型計算機系統(tǒng)，2018，39（12）： 2632-2635. （

ZHAI J Q，MA W T，XIAO Y J. Intrusion Detection System Based on Apriori-KNN Algorithm Alarm Filtering Mechanism? ［J］. Journal of Microcomputers，2018，39（12）： 2632-2635.）

［3］ AHMAD I，BASHERI M，IQBAL M J，et al. Performance Comp

arison of Support Vector Machine，Random Forest，and Extreme Learning Machine for Intrusion Detection ［J］. IEEE Access，2018，6： 33789-33795.

［4］ 芶繼軍，李均華，陳晨，等. 基于隨機森林的網(wǎng)絡(luò)入侵檢測方法 ［J］. 計算機工程與應(yīng)用，2020，56（2）： 82-88. （GOU J J，LI J H，CHEN C，et al.

Network Intrusion Detection Method Based on Random Forest ［J］. Computer Engineering and Applications，2020，56（2）： 82-88.）

［5］ 張陽，姚原崗. 基于Xgboost算法的網(wǎng)絡(luò)入侵檢測研究 ［J］. 信息網(wǎng)絡(luò)安全，2018（9）： 102-105. （ZHANG Y，YAO Y G. Research on Network Intrusi

on Detection Based on Xgboost Algorithm ［J］. Information Network Security，2018（9）： 102-105.）

［6］ MOORE A W，ZUEV D. Internet Traffic Classification Using Bayesian Analysis Techniques ［C］//The 2005 ACM SIGMETRICS Internationa

l Conference on Measurement and Modeling of Computer Systems. New York： ACM，2005： 50-60.

［7］ NASEER S，SALEEM Y，KHALID S，et al. Enhanced Network Anomaly Detection Based on Deep Neural Networks ［J］. IEEE Access，2018，6（8）： 48231-48246.

［8］ KASONGO M，SUN Y X. Performance Analysis of Intrusion Det

ection Systems Using a Feature Selection Method on the UNSW-NB15 Dataset ［J］. Journal of Big Data，2020，7： 105-1-105-20.

［9］ 張賽男，孫彪. 基于機器學(xué)習(xí)的網(wǎng)絡(luò)異常檢測方法綜述 ［J］. 吉林大學(xué)學(xué)報（信息科學(xué)版），2021，39（6）： 732-742.

（ZHANG S N，SUN B. Overview of Network Anomaly Detection Methods Based on Machine Learning ［J］. Journal of Jilin University

（Information Science Edition），2021，39（6）： 732-742.）

［10］ 張玲，張建偉，桑永宣，等. 基于隨機森林與人工免疫的入侵檢測算法 ［J］. 計算機工程，2020，46（8）： 146-152.

（ZHANG L，ZHANG J W，SANG Y X，et al. An Intrusion Detection Algorithm Based on Random Forests and Artificial Immunity ［J］. Computer Engineering，2020，46（8）： 146-152.）

［11］ 劉洲洲，尹文曉，張倩昀，等. 基于離散優(yōu)化算法和機器學(xué)習(xí)的傳感云入侵檢測 ［J］. 吉林大學(xué)學(xué)報（工學(xué)版），2020，50（2）： 692-702.

（LIU Z Z，YIN W X，ZHANG Q Y，et al. Sensor Cloud Intrusion Detection Based on Discrete Optimization Algorithm and Machine Learning ［J］.

Journal of Jilin University （Engineering and Technology Edition），2020，50（2）： 692-702.）

［12］ 袁琴琴，呂林濤. 基于改進蟻群算法與遺傳算法組合的網(wǎng)絡(luò)入侵檢測 ［J］. 重慶郵電大學(xué)學(xué)報（自然科學(xué)版），2017，29（1）： 84-89.

（YUAN Q Q，Lü L T. Network Intrusion Detection Based on the Combination of Improved Ant Colony Algorithm and Genetic Algorithm ［J］. Journal of Chongqing University

of Posts and Telecommunications （Natural Science Edition），2017，29（1）： 84-89.）

［13］ 李威，楊忠明. 入侵檢測系統(tǒng)的研究綜述 ［J］. 吉林大學(xué)學(xué)報（信息科學(xué)版），2016，34（5）： 657-662.

（LI W，YANG Z M. Research Overview of Intrusion Detection System ［J］. Journal of Jilin University （Information Science Edition），2016，34（5）： 657-662.）

［14］ 胡向東，盛順利. 融合DBN和BiLSTM的工業(yè)互聯(lián)網(wǎng)入侵檢測方法 ［J］. 重慶郵電大學(xué)學(xué)報（自然科學(xué)版），2022，34（1）： 134-146.

（HU X D，SHENG S L. Industrial Internet Intrusion Detection Method Integrating DBN and BiLSTM ［J］. Journal of Chongqing University of Posts and Telecommunications

（Natural Science Edition），2022，34（1）： 134-146.）

［15］ 劉月峰，蔡爽，楊涵晰，等. 融合CNN與BiLSTM的網(wǎng)絡(luò)入侵檢測方法 ［J］. 計算機工程，2019，45（12）： 127-133.

（LIU Y F，CAI S，YANG H X，et al. Network Intrusion Detection Method Integrating CNN and BiLSTM ［J］. Computer Engineering，2019，45（12）： 127-133.）

［16］ 孫程，刑建春，楊啟亮，等. 基于改進樸素貝葉斯的入侵檢測方法 ［J］. 微型機及應(yīng)用，2017，36（1）： 8-10. （SUN C，XING J C，YANG Q L，et al.

Intrusion Detection Methods Based on Improved Naive Bayesian ［J］. Microcomputer and Its Applications，2017，36（1）： 8-10.）

［17］ 李俊，夏松竹，蘭海燕，等. 基于GRU-RNN的網(wǎng)絡(luò)入侵檢測方法 ［J］. 哈爾濱工程大學(xué)學(xué)報，2021，42（6）： 879-884.

（LI J，XIA S Z，LAN H Y，et al. Network Intrusion Detection Method Based on GRU-RNN ［J］. Journal of Harbin Engineering University，2021，42（6）： 879-884.）

［18］ 舒豪，王晨，史崯. 基于BiLSTM和注意力機制的入侵檢測 ［J］. 計算機工程與設(shè)計，2020，41（11）： 3042-3046.

（SHU H，WANG C，SHI N. Intrusion Detection Based on BiLSTM and Attention Mechanism ［J］. Computer Engineering and Design，2020，41（11）： 3042-3046.）

［19］ 杭夢鑫，陳偉，張仁杰. 基于改進的一維卷積神經(jīng)網(wǎng)絡(luò)的異常流量檢測 ［J］. 計算機應(yīng)用，2021，41（2）： 433-440.

（HANG M X，CHEN W，ZHANG R J. Abnormal Traffic Detection Based on Improved One-Dimensional Convolutional Neural Network ［J］. Journal of Computer Applications，2021，41（2）： 433-440.）

［20］ SU T T，SUN H Z，ZHU J Q，et al. BAT： Deep Learning Methods

on Network Intrusion Detection Using NSL-KDD Dataset ［J］. IEEE Access，2020，8： 29575-29585.

［21］ CHOUHAN N，KHAN A，HAROON-UR-RASHEED K. Network Anoma

ly Detection Using Channel Boosted and Residual Learning Based Deep Convolutional Neural Network ［J］. Applied Soft Computing，2019，83： 105612-1-105612-18.

［22］ 曾宏志，史洪松. 半監(jiān)督技術(shù)和主動學(xué)習(xí)相結(jié)合的網(wǎng)絡(luò)入侵檢測方法 ［J］. 吉林大學(xué)學(xué)報（理學(xué)版），2021，59（4）： 936-942. （ZENG H Z，SHI H S.

Network Intrusion Detection Method Combining Semi-supervised Technology and Active Learning ［J］. Journal of Jilin University （Science Edition），2021，59（4）： 936-942.）

［23］ ALOM M Z，TAHA T M. Network Intrusion Detection for Cyber Security Using Unsupervised Deep Learning Approaches ［C］//National Aerosp

ace and Electronics Conference. Piscataway，NJ： IEEE，2017： 63-69.

［24］ 王進，李穎，蔣曉翠，等. 基于層級殘差連接LSTM的命名實體識別 ［J］. 江蘇大學(xué)學(xué)報（自然科學(xué)版），2022，43（4）： 446-452.

（WANG J，LI Y，JIANG X C，et al. Named Entity Recognition Based on Hierarchical Residual Connection LSTM ［J］. Journal of Jiangsu University （Natural Science Edition），

2022，43（4）： 446-452.）

（責(zé)任編輯： 韓 嘯）