基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)的設(shè)計與實(shí)現(xiàn)

肖中峰 何思熙

摘要：入侵檢測系統(tǒng)可以及時發(fā)現(xiàn)和響應(yīng)網(wǎng)絡(luò)攻擊，保護(hù)重要的數(shù)據(jù)和資源。基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)是一種利用神經(jīng)網(wǎng)絡(luò)技術(shù)來賓現(xiàn)入侵檢測的方法，通過對現(xiàn)有攻擊方法和模式的模擬仿真，利用大量數(shù)據(jù)的訓(xùn)練來學(xué)習(xí)特征和模式，并用于分類、識別和預(yù)測等任務(wù)。該方法具有一定的泛化能力和自適應(yīng)能力．可以處理大規(guī)模和復(fù)雜的數(shù)據(jù)，提高檢測的準(zhǔn)確率和魯棒性。文章基于遞歸神經(jīng)網(wǎng)絡(luò)搭建了一個入侵檢測系統(tǒng)的框架并用NSL-KDD數(shù)據(jù)集做了訓(xùn)練和測試。實(shí)驗(yàn)結(jié)果表明，入侵檢測系統(tǒng)框架中的LSTM網(wǎng)絡(luò)架構(gòu)表現(xiàn)最好，VAC，TAC，F(xiàn)IS分別達(dá)到了98.16%，84.76％，98.48%，可以滿足實(shí)際應(yīng)用需求。

關(guān)鍵詞：循環(huán)神經(jīng)網(wǎng)絡(luò)；入侵檢測系統(tǒng)；XGBoost；Softmax

中圖法分類號：TF393 文獻(xiàn)標(biāo)識碼：A

１ 概述

入侵檢測系統(tǒng)（Ｉｎｔｒｕｓｉｏｎ Ｄｅｔｅｃｔｉｏｎ Ｓｙｓｔｅｍ，ＩＤＳ）在計算機(jī)安全領(lǐng)域具有廣泛的應(yīng)用，可以幫助受保護(hù)的單位及時發(fā)現(xiàn)和響應(yīng)網(wǎng)絡(luò)攻擊，保護(hù)重要的數(shù)據(jù)和系統(tǒng)資源［１］ 。入侵檢測系統(tǒng)可以用于監(jiān)控公司網(wǎng)絡(luò)［２］ ，也可以為其他公司提供軟件服務(wù)，如電子郵件、網(wǎng)站和應(yīng)用軟件等［３］ 。雖然入侵檢測系統(tǒng)可以保護(hù)計算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全，但也存在一些挑戰(zhàn)和不足。

例如，入侵檢測系統(tǒng)可能會產(chǎn)生誤報，即將正常的操作誤判為攻擊行為，或者漏報少報，無法檢測到真正的攻擊。入侵檢測系統(tǒng)還需要不斷更新和維護(hù)，才能應(yīng)對新的攻擊技術(shù)和入侵模式。

２ 基于神經(jīng)網(wǎng)絡(luò)入侵檢測系統(tǒng)

基于簽名的入侵檢測是最常見的檢測方法之一，它使用已知的攻擊簽名庫來識別網(wǎng)絡(luò)流量中的惡意操作。這種方法主要依賴于已知的攻擊模式和特征，因此只能識別那些已知的攻擊，并且需要經(jīng)常更新簽名庫，以保持監(jiān)測的全面性。基于網(wǎng)絡(luò)行為的入侵檢測則是一種更加靈活的方法，它通過分析系統(tǒng)和網(wǎng)絡(luò)的行為來識別異常行為和攻擊。這種方法不依賴于已知的攻擊簽名，而是基于對正常系統(tǒng)和網(wǎng)絡(luò)調(diào)用行為的理解，通過檢測異常行為來識別潛在的攻擊。基于行為的入侵檢測可以識別新的未知攻擊，但也會產(chǎn)生較多誤報。除了基于簽名和基于行為的入侵檢測方法，還有一些其他的入侵檢測技術(shù)，如基于支持向量機(jī)的方法、神經(jīng)網(wǎng)絡(luò)方法等。

基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)是一種利用神經(jīng)網(wǎng)絡(luò)技術(shù)來實(shí)現(xiàn)入侵檢測的方法。神經(jīng)網(wǎng)絡(luò)是一種模仿人腦神經(jīng)系統(tǒng)的計算模型，它可以通過對大量數(shù)據(jù)的訓(xùn)練來學(xué)習(xí)特征和模式，并用于分類、識別和預(yù)測等任務(wù)。與傳統(tǒng)的入侵檢測系統(tǒng)相比，基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)具有以下優(yōu)點(diǎn)：對于新的未知攻擊，具有一定的泛化能力和自適應(yīng)能力，可以識別和防范新的攻擊模式和類型；可以處理大規(guī)模和復(fù)雜的數(shù)據(jù)，可以自動提取和學(xué)習(xí)數(shù)據(jù)中的特征和模式，減少人工干預(yù)；可以通過多層網(wǎng)絡(luò)學(xué)習(xí)數(shù)據(jù)的高層次特征和抽象表示，提高檢測的準(zhǔn)確率和魯棒性。但該系統(tǒng)也存在一些挑戰(zhàn)和限制。例如，需要大量的數(shù)據(jù)進(jìn)行訓(xùn)練和調(diào)優(yōu)，如果數(shù)據(jù)質(zhì)量不好或者數(shù)據(jù)不足，那么可能會影響檢測的準(zhǔn)確率。此外，神經(jīng)網(wǎng)絡(luò)具有一定的復(fù)雜性和計算資源需求，需要較高的計算性能和存儲容量。

基于上述問題，本文實(shí)現(xiàn)了一個使用機(jī)器學(xué)習(xí)技術(shù)的ＩＤＳ 框架， 該框架使用多種遞歸神經(jīng)網(wǎng)絡(luò)（Ｒｅｃｕｒｒｅｎｔ Ｎｅｕｒａｌ Ｎｅｔｗｏｒｋ，ＲＮＮ） 和基于ＸＧＢｏｏｓｔ 的特征選擇方法進(jìn)行對比。為了評估所提出的ＩＤＳ 框架的性能，本文采用了ＮＳＬ?ＫＤＤ 基準(zhǔn)數(shù)據(jù)集。實(shí)驗(yàn)表明，與現(xiàn)有方法相比，本文提出的ＩＤＳ 框架中的ＬＳＴＭ 網(wǎng)絡(luò)架構(gòu)表現(xiàn)最好。

３ 檢測系統(tǒng)基本流程及系統(tǒng)架構(gòu)設(shè)計

３．１ 實(shí)驗(yàn)數(shù)據(jù)及預(yù)處理

在基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)中，通常會采用深度學(xué)習(xí)技術(shù)，使用多層神經(jīng)網(wǎng)絡(luò)對數(shù)據(jù)進(jìn)行處理和學(xué)習(xí)。一般而言，基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)主要包含２ 個部分：訓(xùn)練和測試。為保障入侵檢測系統(tǒng)的普遍適用性和穩(wěn)定性，實(shí)驗(yàn)數(shù)據(jù)需要選取具有代表性的數(shù)據(jù)集，實(shí)驗(yàn)數(shù)據(jù)集應(yīng)具有數(shù)據(jù)量大、攻擊類別全面、模擬性強(qiáng)以及能夠代表現(xiàn)實(shí)網(wǎng)絡(luò)攻擊行為的特點(diǎn)。本研究采用ＫＤＤ’９９ 數(shù)據(jù)集的修訂版本ＮＳＬ?ＫＤＤ，利用該數(shù)據(jù)集模擬網(wǎng)絡(luò)環(huán)境，對不同類型的網(wǎng)絡(luò)攻擊行為進(jìn)行仿真。數(shù)據(jù)預(yù)處理主要包含２ 方面：一是將數(shù)據(jù)集中的符號特征轉(zhuǎn)換成計算機(jī)能識別的數(shù)值型；二是經(jīng)變換后的數(shù)據(jù)特征差別性較大，不利于模型訓(xùn)練，在不破壞數(shù)據(jù)映射的情況下，需進(jìn)行歸一化處理。

３．２ ＬＳＴＭ 網(wǎng)絡(luò)架構(gòu)

ＲＮＮ 能夠在不同的層之間循環(huán)，并且還能夠臨時存儲信息以供以后使用。標(biāo)準(zhǔn)ＲＮＮ 的結(jié)構(gòu)如圖１ 所示。ＮＮ 表示標(biāo)準(zhǔn)神經(jīng)網(wǎng)絡(luò)，ｘｐ 表示輸入和ｈｐ 是輸出。根據(jù)定義，ＲＮＮ 被認(rèn)為是深度神經(jīng)網(wǎng)絡(luò)，因?yàn)橛胁煌膶觼硖幚硇畔ⅰＨ鐖D１ 等號右側(cè)所示，展開的標(biāo)準(zhǔn)ＲＮＮ 說明ＲＮＮ 構(gòu)造的深度。盡管標(biāo)準(zhǔn)ＲＮＮ 在執(zhí)行各種預(yù)測任務(wù)時有效，但它們確實(shí)存在梯度消失的問題。

為解決上述問題，本研究提出了一種新的ＩＤＳ 框架。初始階段包括收集模型構(gòu)建所需的數(shù)據(jù)。所提出的體系結(jié)構(gòu)的第二層是數(shù)據(jù)處理和特征提取階段。

在這一步驟中，對特定數(shù)據(jù)集進(jìn)行標(biāo)準(zhǔn)化，以確保所有分類屬性都正確編碼，所有數(shù)字特征都標(biāo)準(zhǔn)化。一旦數(shù)據(jù)集被清理和規(guī)范化，就應(yīng)用ＸＧＢｏｏｓｔ 算法。該過程生成包含特征重要性（Ｆｅａｔｕｒｅ Ｉｍｐｏｒｔａｎｃｅ，ＦＩ）值的向量，并且基于經(jīng)驗(yàn)選擇的ＦＩ 閾值來選擇最佳特征子集。架構(gòu)的第三層是模型構(gòu)建階段。在這一階段，有３ 個主要的獨(dú)立操作，即訓(xùn)練、驗(yàn)證和測試。

標(biāo)準(zhǔn)ＲＮＮ、長短期記憶遞歸網(wǎng)絡(luò)（Ｌｏｎｇ Ｓｈｏｒｔ ＴｅｒｍＭｅｍｏｒｙ，ＬＳＴＭ）和門控循環(huán)單元（Ｇａｔｅ Ｒｅｃｕｒｒｅｎｔ Ｕｎｉｔ，ＧＲＵ）的配置如圖２ 所示。第一層是輸入層，它輸入到ＲＮＮ／ ＬＳＴＭ／ ＧＲ 深層的構(gòu)造中。然后通過密集的ＮＮ 層（可以是單層人工神經(jīng)網(wǎng)絡(luò)（Ａｒｔｉｆｉｃｉａｌ ＮｅｕｒａｌＮｅｔｗｏｒｋ，ＡＮＮ）或多層感知器（Ｍｕｌｔｉ?Ｌａｙｅｒ Ｐｅｒｃｅｐｔｒｏｎ，ＭＬＰ））計算來自深層的信息。最后，通過Ｓｏｆｔｍａｘ（式１）用于多類分類配置，該Ｓｏｆｔｍａｘ 激活函數(shù)返回一個向量，該向量包含相加為１ 的值，最高值表示預(yù)測的結(jié)果，表達(dá)式為：

３．３ 模型訓(xùn)練及測試

在訓(xùn)練階段，系統(tǒng)使用已知的攻擊數(shù)據(jù)和正常數(shù)據(jù)來訓(xùn)練神經(jīng)網(wǎng)絡(luò)，使其能夠?qū)W習(xí)到攻擊的特征和模式。這個過程需要使用大量的數(shù)據(jù)進(jìn)行訓(xùn)練，并對神經(jīng)網(wǎng)絡(luò)進(jìn)行多輪迭代訓(xùn)練，以提高其準(zhǔn)確率和魯棒性。在測試階段，系統(tǒng)使用已經(jīng)訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)對新的數(shù)據(jù)進(jìn)行分類和預(yù)測。對于入侵檢測系統(tǒng)而言，新的數(shù)據(jù)就是系統(tǒng)中檢測到的網(wǎng)絡(luò)流量、日志數(shù)據(jù)和系統(tǒng)行為等。當(dāng)新的數(shù)據(jù)經(jīng)過神經(jīng)網(wǎng)絡(luò)處理后，系統(tǒng)會根據(jù)輸出結(jié)果判斷數(shù)據(jù)是否屬于正常的行為或者是否存在入侵行為。

４ 實(shí)驗(yàn)分析

４．１ 實(shí)驗(yàn)環(huán)境和數(shù)據(jù)集介紹

本文使用Ｐｙｔｈｏｎ 工具包Ｓｃｉｋｉｔ?Ｌｅａｒｎ 和Ｋｅｒａｓ ＭＬ及ＤＬ 進(jìn)行實(shí)驗(yàn)，采用網(wǎng)絡(luò)安全數(shù)據(jù)集ＮＳＬ?ＫＤＤ 訓(xùn)練并測試網(wǎng)絡(luò)。

在硬件系統(tǒng)方面，所有模擬實(shí)驗(yàn)均在Ｗｉｎｄｏｗｓ １０操作系統(tǒng)的ＤＥＬＬ?１５３０００ 上運(yùn)行， 處理器為： Ｉｎｔｅｌ（Ｒ）?Ｃｏｒｅ（ＴＭ）ｉ７?８５６８Ｕ。

ＮＳＬ?ＫＤＤ 數(shù)據(jù)集包含大量的網(wǎng)絡(luò)流量數(shù)據(jù)和入侵攻擊數(shù)據(jù)，這些數(shù)據(jù)來自一個基于模擬的網(wǎng)絡(luò)環(huán)境。數(shù)據(jù)集中的網(wǎng)絡(luò)流量數(shù)據(jù)包括ＴＣＰ 和ＵＤＰ 協(xié)議的連接記錄和特征，入侵攻擊數(shù)據(jù)包括２２ 種不同類型的攻擊，如ＤｏＳ，Ｒ２Ｌ，Ｕ２Ｒ 和ｐｒｏｂｅ 等。同時，ＮＳＬ?ＫＤＤ 數(shù)據(jù)集還包含大量的正常數(shù)據(jù)，可以用于建立入侵檢測模型的基準(zhǔn)。ＮＳＬ?ＫＤＤ 數(shù)據(jù)集共包含４ 個子集，分別是訓(xùn)練集、測試集、２０％交叉驗(yàn)證集和完整數(shù)據(jù)集。其中，訓(xùn)練集包含１２５ ９７３ 個數(shù)據(jù)樣本，測試集包含２２ ５４４ 個數(shù)據(jù)樣本，２０％交叉驗(yàn)證集包含２５ １９２個數(shù)據(jù)樣本，完整數(shù)據(jù)集包含１４８ ５１７ 個數(shù)據(jù)樣本。

數(shù)據(jù)集中的特征包括４１ 個基本特征和１４ 個附加特征，涵蓋網(wǎng)絡(luò)連接的各個方面，如協(xié)議類型、源地址、目標(biāo)地址、源端口、目標(biāo)端口等。

４．２ 實(shí)驗(yàn)結(jié)果分析

本文通過ＮＳＬ?ＫＤＤ 數(shù)據(jù)集中的５ 個類來進(jìn)行實(shí)驗(yàn)驗(yàn)證，使用Ｓｏｆｔｍａｘ 激活函數(shù)的標(biāo)準(zhǔn)ＲＮＮ，ＬＳＴＭ 和ＧＲＵ 的分類方案的結(jié)果對比如表１ 所列。結(jié)果表明，３ 種網(wǎng)絡(luò)都是大約在隱藏層中使用１５０ 個ＲＮＮ 單元時效果最佳，此時簡單ＲＮＮ 網(wǎng)絡(luò)ＶＡＣ 為９７．６４％，ＴＡＣ 為８３．９４％，Ｆ１Ｓ 為９７．９６％，并在１０８．３２ ｓ 內(nèi)完成了訓(xùn)練。關(guān)于ＬＳＴＭ 方法ＶＡＣ 為９８．６１％，ＴＡＣ 為８４．７６％，Ｆ１Ｓ 為９８．４８％，。在ＧＲＵ 算法的實(shí)例中，ＶＡＣ 為９８．４２％，ＴＡＣ 為８４．６４％，Ｆ１Ｓ 為９８．４５％，訓(xùn)練時間為１４１．４４ ｓ。通過對比可以看出，基于ＸＧＢｏｏｓｔ的ＬＳＴＭ 分類器具有最好的效果。

５ 結(jié)束語

入侵檢測是一種重要的計算機(jī)安全技術(shù)，它是為了保護(hù)計算機(jī)系統(tǒng)和網(wǎng)絡(luò)免受惡意攻擊和未經(jīng)授權(quán)的訪問而設(shè)計的，可以監(jiān)控網(wǎng)絡(luò)和系統(tǒng)的活動，并檢測出不正常的行為和攻擊，幫助管理員及時發(fā)現(xiàn)和響應(yīng)安全問題。本研究提出了一種ＩＤＳ 框架的實(shí)現(xiàn)方案，該框架使用不同類型的ＲＮＮ 技術(shù)以及基于ＸＧＢｏｏｓｔ 的特征選擇方法做對比，并使用ＮＳＬ?ＫＤＤ 數(shù)據(jù)集評估分類器的性能。實(shí)驗(yàn)結(jié)果表明， 在標(biāo)準(zhǔn)ＲＮＮ，ＬＳＴＭ 和ＧＲＵ 的分類方案的結(jié)果中，ＬＳＴＭ 的效果最好，指標(biāo)ＶＡＣ，ＴＡＣ，Ｆ１Ｓ 分別達(dá)到了９８．１６％，８４．７６％，９８．４８％。在未來的研究中，我們還可能對多種網(wǎng)絡(luò)的混合方法進(jìn)行研究。

參考文獻(xiàn)：

［１］ 劉海燕，張鈺，畢建權(quán)．基于分布式及協(xié)同式網(wǎng)絡(luò)入侵檢測技術(shù)綜述［Ｊ］．計算機(jī)工程與應(yīng)用，２０１８，５４（８）：１?６＋２０．

［２］ 劉奇旭，王君楠，陳艷輝，等．對抗機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)入侵檢測領(lǐng)域的應(yīng)用［Ｊ］．通信學(xué)報，２０２１，４２（１１）：１?１２．

［３］ 古險峰．一種基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計與實(shí)現(xiàn)［Ｊ］．河南科技學(xué)院學(xué)報（自然科學(xué)版），２０２０，４８（６）：５４?５８＋６７．

作者簡介：

肖中峰（１９９３—），碩士，助教，研究方向：計算機(jī)軟件、網(wǎng)絡(luò)安全、智慧城市。

何思熙（１９９５—），碩士，助教，研究方向：群體安全智能、人工智能。