人工智能視角下網絡入侵檢測方法研究

張利軍

(蘭州資源環境職業技術大學 甘肅 蘭州 730000)

0 引言

在互聯網科技快速發展的大環境中,計算機網絡系統應用范圍也逐漸拓展[1-2]。我們在使用網絡所提供的便捷服務的同時,也深受網絡安全問題困擾。當下很多網絡安全風險事件層出不窮,結合已有的網絡安全報告內容可知,現在網絡入侵技術越發高明,對網絡環境的安全性存在嚴重影響[3]。人們的多種個人敏感信息,都在網絡環境中被黑客使用違法手段進行非法提取,對人們正常生活狀態產生惡劣影響。

網絡入侵檢測技術目前也有幾十年的使用時間,但以往的網絡入侵檢測技術,并不能解決目前網絡安全保護問題[4]。網絡入侵行為,對網絡原始信息數據的完備性、隱私性以及安全性都存在負面影響[5]。為此,研究一種有效的網絡入侵檢測方法,對保護網絡安全存在重要意義[6]。

網絡入侵行為與正常行為所用流量數據存在差異,惡意入侵、安全漏洞等行為都可結合流量數據之間的差異而被發現。為了保障網絡安全性不受到影響,當下也有很多研究人士對網絡安全保護問題進行研究,如防火墻設計、數據加密等技術,都以被動方式實現網絡安全保護,此類方法雖然可以檢測、攔截很多入侵行為,但針對一些攻擊行為的檢測問題,還不具備精準檢測能力。所以,入侵檢測技術的出現,為某些攻擊行為檢測問題提供了可用技術,此類技術能夠完成主動式防御,在復雜多變的網絡環境中使用效果顯著。

人工智能技術包含機器學習技術、深度學習技術、強化學習等多種智能化技術,人工智能技術是計算機學科中的核心分支。此技術可以分析利用人腦智能行為模式,完成問題智能分析。為此,本文在人工智能視角下,以實現網絡入侵問題的智能化主動式檢測為目的,研究了人工智能視角下網絡入侵檢測方法,以期為網絡入侵問題提供更有效的檢測工具。

1 入侵檢測存在問題分析

網絡入侵檢測技術需要與目前的網絡環境相輔相成,才能保證網絡入侵行為檢測效果能夠滿足應用需求。而隨著網絡環境的復雜化,在大規模復雜網絡數據中,想要實現高效率、高精度的入侵檢測,還是存在很大難度。結合目前已有的研究資料可知,當下入侵檢測技術存在的疑難雜癥主要內容如下。

1.1 誤報率、漏報率顯著

隨著網絡數據量的激增,網絡數據庫的更新與維護難度也隨之提升。多樣化、新型入侵行為的出現,導致已有網絡入侵檢測技術出現誤報率、漏報率較高的問題。

1.2 檢測速度慢

當下網絡數據的更新速度極快,幾秒內便會出現上億網絡數據。在此類環境中,網絡入侵檢測技術的實時性十分重要,而當下很多網絡入侵檢測技術的檢測速度,與網絡數據增長速度存在明顯差距。網絡入侵檢測時,如果網絡數據之間的關系并不明確,存在模糊性,便需要耗費很多時間處理大規模數據之間的關系,所以導致網絡入侵檢測速度慢,從而不能及時發現網絡入侵行為[7]。

2 人工智能技術使用優勢

計算機網絡技術大范圍使用時,因用戶需求逐漸增多,網絡技術也需要與時俱進,持續完善網絡性能才能保證為用戶提供較好的網絡服務。人工智能技術的使用,不僅可以智能化收集網絡信息,還可以實時檢測網絡異常行為。人工智能技術的使用不僅可以優化網絡信息處理速度,還能夠實現網絡信息的科學化診斷,此技術在計算機網絡管理問題中占據不可忽視的主導地位。查閱已有資料以及研究理論,總結人工智能技術使用優勢如下:

2.1 模糊信息處理能力顯著

人工智能技術具備顯著的模糊信息處理能力,可使用分級管理數據的模式,不需要工作人員親自篩選數據、分類數據,以及完成數據計算,人工智能技術僅在網絡環境中,便可完成模糊信息數據智能化計算與處理,可優化網絡數據的分析效果[8]。

2.2 學習能力與非線性問題處理能力顯著

目前人們使用計算機網絡進行學習、娛樂屬于普遍行為,計算機網絡信息眾多,應用過程中難免存在冗余信息數據,人工智能技術能夠以智能化數據處理方式,完成網絡數據的有效提取。人工智能技術的學習能力與非線性問題處理能力顯著,對網絡數據的處理過程中,存在較好的數據整合能力,從而提高了網絡信息處理效率。

綜上所述,將人工智能技術使用于網絡入侵檢測問題中十分必要。為此,本文在人工智能視角下,為網絡入侵檢測問題,研究一種高效、高精度的網絡入侵檢測方法。

3 基于主成分分析的網絡數據篩選方法

機器學習相關算法屬于人工智能技術的一部分,而人工智能視角下,機器人學習主要分為分類技術、回歸技術、聚類技術。主成分分析方法屬于經典機器學習算法的其中一種,屬于多變量統計式方法,網絡數據維度存在多樣化特征,若不進行有效處理,會導致網絡數據樣本中存在大量冗余數據,從而不能保證網絡入侵檢測效率。考慮到網絡數據的規模性、復雜性特征,會影響網絡入侵檢測效率,為此,本文使用基于主成分分析的網絡數據篩選方法,在網絡入侵檢測之前,將網絡數據執行篩選處理。

主成分分析方法的操作內容主要分為以下幾個步驟:

(1)網絡數據集標準化處理;

(2)將標準化之后的網絡數據集轉換為矩陣模式,并運算矩陣相關系數矩陣R;

(1)

式(1)中,q、yi依次是網絡數據矩陣的總行數、第i行網絡數據矩陣向量;j、右上標T分別是網絡數據矩陣的列、轉置處理標志。

(3)提取網絡數據相關系數矩陣特征值εj,以及此特征值的數據特征向量;

(4)提取網絡數據主成分見式(2):

(2)

主成分分析時,會獲取m個主成分,每個主成分方差存在遞減性。結合主成分累積貢獻率,在m個成分里提取m個貢獻率顯著的主成分。貢獻率主要表示某主成分方差在所有方差中的占比,其數值較大,表示此主成分涵蓋的原始網絡數據特征較多。

(5)運算主成分矩陣:把步驟(1)處理后網絡數據,和主成分相乘,便能獲取包含主成分的最具代表性的網絡數據。

4 基于改進卷積神經網絡的入侵檢測模型

4.1 網絡入侵檢測流程

基于改進卷積神經網絡的入侵檢測模型運行時,操作步驟簡單,將2.3小節篩選的網絡數據,輸入改進的卷積神經網絡模型,執行網絡入侵檢測,輸出網絡入侵檢測的診斷結果。由于網絡入侵問題屬于分類問題,所以網絡入侵檢測問題,主要由人工智能技術中的卷積神經網絡完成。在診斷檢測之前需要使用粒子群算法對模型進行訓練,調節模型超參數,保證模型結構合理,從而提高網絡入侵檢測精度。

4.2 改進卷積神經網絡模型

如圖1所示,改進卷積神經網絡模型運行時,網絡入侵檢測任務會被分解為訓練環節、入侵檢測環節。

圖1 改進卷積神經網絡模型的運行結構示意圖

基于改進卷積神經網絡的入侵檢測模型訓練時,主要使用粒子群算法,尋優設置卷積神經網絡模型的連接權重。在訓練過程中,訓練數據的診斷誤差最小化,即為粒子群算尋優設置的目標函數。

基于改進卷積神經網絡的入侵檢測模型中,核心層為卷積層,此層的作用是提取網絡數據特征。提取方法如式(3)所示:

(3)

基于改進卷積神經網絡的入侵檢測模型結構中,除了卷積層還有池化層、全連接層。

池化層屬于特殊的卷積處理,可滑動運算網絡數據特征,和卷積處理之間的差值是,池化操作不存在“核”。池化層能夠濾除網絡數據噪聲,優化卷積神經網絡的泛化性,且此層能夠增加卷積核,優化網絡數據特征的表達性能。池化層會把網絡特征中的上限值作為池化輸出結果。

全連接層結構分為神經元、分類器,其作用即為網絡數據異常診斷,完成網絡入侵檢測。全連接層分為2層,首層神經元數目和網絡數據數目一致,各網絡數據樣本和神經元存在對應性。末層的神經元數目與網絡入侵識別類型數目一致。

分類器設置在末層,文章使用Softmax分類器,其應用時,對網絡入侵檢測結果如式(4)所示:

(4)

4.3 粒子群算法

此算法屬于進化計算類的群智能算法,能夠模擬鳥類覓食行為,分析個體和群體之間的協作關系、信息共享關系,結合此類關系在問題解域中尋優,提取問題最優解。

粒子群算法的操作難度小,收斂效率快,在卷積神經網絡訓練時,會在解域中以初始化的方式構建隨機解,此類解即為粒子個體,粒子狀態分為速度與位置。為了分析粒子位置是否最優,會設置2個變量φ、φ代表粒子尋優的局部最優位置、全局最優位置。針對各個粒子而言,其適應值即為局部最優解、全局最優解的判斷依據。適應度即為卷積神經網絡訓練時,對訓練樣本的診斷誤差最小化。在尋優過程中,粒子速度vj與位置ζj的更新方法如式(5)、式(6)所示:

ζj+1=ζj+vj+1

(6)

式(5)中,v是權重;d1、d2是學習因子;rand是隨機數。

若粒子速度、位置超出最大速度、邊界位置,便可停止尋優,將適應度最小的粒子作為最優解,將此粒子代表的卷積神經網絡連接權重,作為卷積神經網絡模型的各層連接權重,構建改進的卷積神經網絡模型,將網絡數據樣本輸入此模型,完成網絡入侵檢測。

5 實驗分析

5.1 實驗數據詳情

為了測試人工智能視角下網絡入侵檢測方法的使用效果,實驗將某企業運營網絡數據作為檢測數據樣本,此網絡數據樣本中存在多種網絡數據類型,如無入侵數據樣本、DOS入侵數據樣本、R2L入侵數據樣本、Probe入侵數據樣本、U2R入侵數據樣本、Total入侵數據樣本。具體詳情如表1所示。

表1 實驗數據詳情

實驗之前,把表1中的網絡數據進行預處理,處理內容是:

5.1.1 網絡數據歸一化

因很多網絡數據的某些字段取值范圍存在很大差異,所以,需要將網絡數據執行歸一化處理,避免出現過擬合,將字段數據約束于[-1,1]內。

5.1.2 網絡數據冗余屬性濾除

很多網絡數據部分屬性取值存在重復性,為此,將此類重復的屬性值濾除,避免出現無用功,保證網絡數據后續處理效率。

5.2 網絡入侵檢測效率分析

本文方法使用前后,網絡入侵檢測時延對比結果如表2所示。

表2 本文方法對網絡入侵檢測時延測試結果

分析表2數據可知,多種入侵行為下,本文方法使用前網絡入侵檢測時延最大值為1.7 s,本文方法使用后,網絡入侵檢測時延最大值為0.3,網絡入侵檢測時延明顯縮短,說明網絡入侵檢測效率提升。

5.3 網絡入侵檢測精度分析

本文方法使用粒子群算法訓練卷積神經網絡模型后,將表1中測試樣本輸入改進卷積神經網絡,則本文方法對表1中的無入侵數據樣本、DOS入侵數據樣本、R2L入侵數據樣本、Probe入侵數據樣本、U2R入侵數據樣本、Total入侵數據樣本中測試集檢測結果如表3所示。

表3 本文方法對網絡入侵檢測精度的測試結果

分析表3數據可知,無入侵以及多種入侵行為下,本文方法的網絡入侵檢測結果無誤,網絡入侵檢測結果與實際樣本數目匹配,說明網絡入侵檢測結果精準。

6 結語

網絡安全問題是當下計算機網絡技術體系的核心組分,網絡入侵檢測時,需要結合網絡數據特征,分類診斷數據是否屬于異常數據,此問題本質是一種數據分類問題。但網絡數據不可避免地存在很多冗余數據,此類數據會對入侵檢測結果起“反作用”,若不合理解決,便會影響入侵檢測精度。為此,本文通過研究人工智能視角下網絡入侵檢測方法證明,把人工智能技術使用在網絡入侵檢測中是可行的,且能夠提升網絡入侵檢測效率與精度。人工智能技術使用下,網絡入侵檢測行為屬于主動防御行為,和以往的被動防御相比,此技術更具智能性,可在入侵行為產生嚴重后果之前便可發掘異常,從而削弱入侵行為帶來的負面影響。此技術能夠有效利用人工智能技術中主成分分析方法、改進的卷積神經網絡,完成網絡數據的智能化篩選、分類檢測。在實驗中,本文方法被驗證的可用價值如下:(1)多種入侵行為下,本文方法使用前網絡入侵檢測時延最大值為1.7 s,本文方法使用后,網絡入侵檢測時延最大值為0.3,網絡入侵檢測效率明顯提升;(2)無入侵以及多種入侵行為下,本文方法的網絡入侵檢測結果準確,不存在誤識、漏識問題。

綜上所述,本文方法研究內容,在網絡入侵檢測問題中具備可用價值。因篇幅有限,本文研究僅停留于網絡數據預篩選、入侵檢測范圍,在后續的研究工作中,會將人工智能技術與防火墻等技術相結合,全方位提高網絡安全。