基于深度學習的網絡入侵檢測技術研究

摘要：文章針對網絡入侵檢測領域的挑戰，提出了一種基于深度學習的網絡入侵檢測方法。文章研究了基于深度學習的網絡入侵檢測框架，引入了Leaky ReLU激活函數以優化卷積神經網絡的性能，并在MATLAB平臺上基于KDD Cup 1999數據集進行了實驗驗證。實驗結果表明，基于Leaky ReLU激活函數的CNN模型在準確率、召回率和F1值等指標上均優于基于ReLU激活函數的模型。

關鍵詞：深度學習；激活函數；網絡入侵；卷積神經網絡

中圖分類號：TP393.08

文獻標志碼：A

0 引言

隨著互聯網的不斷發展和普及，網絡安全問題日益突顯。網絡入侵已成為政府、企業和個人面臨的重大威脅之一，其對信息系統的安全性以及數據的隱私性都構成了嚴峻挑戰^［1-3］。為了有效應對這一挑戰，研究人員和工程師們積極探索各種網絡入侵檢測技術。其中，深度學習作為一種強大的數據驅動方法，逐漸受到廣泛關注^［4-5］。

本文旨在探討基于深度學習的網絡入侵檢測技術，針對其性能進行優化。首先，本文對網絡入侵檢測框架進行了深入研究，該框架能利用深度學習方法對網絡流量數據進行分析和分類。其次，本文引入了滲漏整流線性單元（Leakage Rectification Linear Unit，Leaky ReLU）^［6］來優化卷積神經網絡（Convolutional Neural Network，CNN）^［7-8］的性能，從而提高檢測準確率和效率。最后，本文選擇了KDD Cup 1999數據集作為實驗基準對方法進行了測試和評估，以驗證其在真實網絡環境中的有效性和可靠性。

本研究旨在為網絡安全領域提供一種新的視角和解決方案，為實際應用中的網絡入侵檢測工作提供可靠的技術支持。本研究將為網絡安全領域的進一步發展和提升提供有益的參考和借鑒。

1 基于深度學習的網絡入侵檢測框架

本文對基于深度學習的網絡入侵檢測框架進行了研究，主要由數據預處理、特征提取、深度學習模型和輸出分類4個部分組成。

首先，數據預處理負責對原始網絡流量數據進行預處理和清洗，以減少噪聲和不必要的信息。其次，特征提取模塊通過提取網絡流量數據的有效特征，將其轉化為適合深度學習模型處理的輸入形式。其次，在深度學習模型模塊中，該方法采用卷積神經網絡、循環神經網絡等深度學習模型，對經過特征提取的數據進行學習和訓練以實現對網絡入侵的檢測和分類。最后，輸出分類模塊將深度學習模型輸出的結果進行分類和標記，以識別出可能存在的網絡入侵行為。

2 引入Leaky ReLU的CNN性能優化

2.1 CNN的基本原理

在使用CNN實現網絡入侵檢測時，假設有一個輸入數據集合X。X表示一個多維數組。對于網絡入侵檢測任務，X可以是網絡流量數據集。在模型的輸出方面，本文用Y來表示對應的標簽集合，即輸入數據集合X中每個樣本所對應的分類標簽。

在CNN中，定義了一系列的卷積層（Convolutional Layers）、池化層（Pooling Layers）和全連接層（Fully Connected Layers），這些層的組合構成了完整的網絡結構。卷積層是CNN的核心組成部分之一，包含了濾波器（Filter）和卷積核（Kernel）等部分，每個濾波器可以對輸入數據進行卷積操作以提取特征。假設有N個濾波器，第i個濾波器可以表示為W_i，i=1，2，…，N。另外，對于輸入數據集合X，卷積操作可以表示為：

Z_i=f（W_i*X+b_i） ""（1）

其中，*表示卷積操作，b_i表示第i個濾波器的偏置項，f表示激活函數。

CNN中的池化層用于減少特征圖的大小并保留最重要的特征。常見的池化操作包括最大池化（Max Pooling）和平均池化（Average Pooling）。

全連接層則將卷積層或池化層輸出的特征圖展平為一維向量，通過權重矩陣和偏置項進行線性變換，然后再經過激活函數進行非線性變換。假設有一個全連接層的權重矩陣W和偏置項b，則全連接層的計算可以表示為：

Y=f（WX+b） """（2）

其中，X表示輸入數據的展平向量，f表示激活函數。通過多次堆疊卷積層、池化層和全連接層，CNN能夠逐漸提取并學習到輸入數據中的抽象特征，從而實現對網絡流量數據的有效分類和檢測。

在該過程中，激活函數起著至關重要的作用。在傳統的CNN中，常用的激活函數包括ReLU、Sigmoid和Tanh等^［9-13］。其中，ReLU是最常用的激活函數之一。ReLU的優點是計算簡單，在訓練過程中能夠加速收斂。然而，當輸入值為負數時，ReLU激活函數的導數為0，可能會導致神經元的“死亡”，即在訓練過程中某些神經元永遠不會被激活。為了解決這個問題，本文研究了基于Leaky ReLU的CNN網絡。

2.2 基于Leaky ReLU的CNN

Leaky ReLU是一種修正線性單元激活函數的變體，它在解決ReLU函數存在的“神經元死亡”問題時發揮了重要作用，其定義為：

其中，α是一個小于1的參數，通常取1個很小的值，比如0.01。這就意味著當輸入值x小于等于0時，Leaky ReLU函數的輸出不再是0，而是乘以1個小的斜率α。這使得Leaky ReLU在負數區域仍然有一定的梯度，從而避免了ReLU函數存在的“神經元死亡”問題。Leaky ReLU函數的主要特點包括以下幾點。

（1）線性增長區域：當輸入x大于0時，Leaky ReLU函數與ReLU函數完全相同，輸出等于輸入，即f（x）=x，保持線性增長特性。

（2）斜率衰減區域：當輸入x小于等于0時，Leaky ReLU函數引入了一個小的斜率α，使得在負數區域也有一定的梯度，避免了神經元的“死亡”現象。

（3）參數調節：通過調節參數α，可以控制Leaky ReLU函數在負數區域的斜率，從而影響其對負數輸入的處理方式。

在卷積神經網絡中，Leaky ReLU被用作激活函數，該函數引入非線性并促進特征的提取和學習。通過在CNN的各個層中應用Leaky ReLU激活函數，可以幫助神經網絡更好地適應復雜的數據模式，從而提高網絡的性能和準確率。

3 實驗與分析

3.1 數據集與實驗方法

KDD Cup 1999數據集是一個經典的用于網絡入侵檢測研究的數據集，廣泛用于評估和比較不同網絡入侵檢測方法的性能。數據集包括模擬的網絡流量數據。正常的網絡流量以及多種類型的網絡入侵行為包括諸如拒絕服務攻擊、遠程登錄入侵等多種類型。

本文選擇使用KDD Cup 1999數據集作為實驗基準，以評估基于深度學習的網絡入侵檢測方法的效果。本文所采用的實驗方法如下。

（1）數據預處理：下載KDD Cup 1999數據集，進行預處理。

（2）搭建模型：在MATLAB平臺上搭建CNN模型。

（3）實驗設計：設定實驗組和對照組，實驗組使用Leaky ReLU作為激活函數，對照組使用ReLU作為激活函數；在訓練集上訓練CNN模型，在驗證集上進行模型調優。

（4）模型評估：使用測試集對訓練好的CNN模型進行評估。

3.2 結果與分析

本文通過計算實驗結果的準確率、精確率、召回率和F1值等指標來對比網絡入侵檢測性能，如表1所示。

通過分析表1數據可得，本文采用的方法在網絡入侵檢測任務中具有顯著的效果。從實驗結果可以觀察到，基于Leaky ReLU激活函數的CNN模型相比于基于ReLU激活函數的模型在準確率、召回率和F1值等指標上都表現出更好的性能。

首先，Leaky ReLU激活函數的模型準確率達到了0.94，略高于ReLU激活函數的模型準確率（0.92），表明Leaky ReLU激活函數能夠更準確地對網絡流量進行分類和檢測。其次，Leaky ReLU激活函數的模型召回率為0.95，顯著高于ReLU激活函數的模型召回率（0.89），說明Leaky ReLU激活函數能夠更好地識別出網絡流量中的真正入侵行為，減少漏報率。此外，F1值綜合考慮了精確率和召回率，Leaky ReLU激活函數的模型F1值為0.94，優于ReLU激活函數的模型F1值（0.91），進一步驗證了Leaky ReLU激活函數在網絡入侵檢測任務中的有效性和穩定性。

綜上所述，實驗表明了本文研究的基于Leaky ReLU激活函數的CNN模型在網絡入侵檢測任務中具有更優秀的性能表現，為網絡安全領域的進一步研究和應用提供了有力支持。

4 結語

本文研究了一種基于深度學習的網絡入侵檢測方法，通過實驗驗證了其有效性。本文分析了網絡入侵檢測的背景和挑戰，詳細探討了基于深度學習的網絡入侵檢測框架及Leaky ReLU激活函數的原理和改進方法。在實驗部分，本文通過對KDD Cup 1999數據集的實驗驗證，比較了基于ReLU和Leaky ReLU激活函數的CNN模型在網絡入侵檢測任務上的性能表現。結果表明，Leaky ReLU激活函數能夠有效提高模型的準確率、召回率和F1值，具有更好的網絡入侵檢測效果。因此，本文提出的方法對于提高網絡安全性和保護網絡環境具有重要意義，對未來的網絡安全研究和應用具有一定的指導意義。

參考文獻

［1］湯志偉.電子政府的信息網絡安全及防范對策［J］.電子科技大學學報（社會科學版），2002（1）：12-17.

［2］任江紅.企業網絡安全的重要性及防護策略［J］.電子通信與計算機科學，2023（7）：168-170.

［3］王雯萱.大數據時代下的網絡安全與隱私保護［J］.電子通信與計算機科學，2023（8）：129-131.

［4］蹇詩婕，盧志剛，杜丹，等.網絡入侵檢測技術綜述［J］.信息安全學報，2020（4）：96-122.

［5］李俊，夏松竹，蘭海燕，等.基于GRU-RNN的網絡入侵檢測方法［J］.哈爾濱工程大學學報，2021（6）：879-884.

［6］劉帥奇，雷鈺，龐姣，等.基于生成對抗網絡的SAR圖像去噪［J］.河北大學學報（自然科學版），2022（3）：306.

［7］周飛燕，金林鵬，董軍.卷積神經網絡研究綜述［J］.計算機學報，2017（6）：1229-1251.

［8］王明，李劍.基于卷積神經網絡的網絡入侵檢測系統［J］.信息安全研究，2017（11）：990-994.

［9］蔣昂波，王維維.ReLU激活函數優化研究［J］.傳感器與微系統，2018（2）：50-52.

［10］王雙印，滕國文.卷積神經網絡中ReLU激活函數優化設計［J］.信息通信，2018（1）：42-43.

［11］張煥，張慶，于紀言.激活函數的發展綜述及其性質分析［J］.西華大學學報（自然科學版），2021（4）：1-10.

［12］張有健，陳晨，王再見.深度學習算法的激活函數研究［J］.無線電通信技術，2021（1）：115-120.

［13］王攀杰，郭紹忠，侯明，等.激活函數的對比測試與分析［J］.信息工程大學學報，2021（5）：551-557.

（編輯 王永超）

Research on network intrusion detection technology based on deep learning

Liu" Fan

（Hunan College of Information， Changsha 410203， China）

Abstract：This article proposes a deep learning based network intrusion detection method to address the challenges in the field of network intrusion detection. A deep learning based network intrusion detection framework was studied， and the Leaky ReLU activation function was introduced to optimize the performance of convolutional neural networks. Experimental verification was conducted on the KDD Cup 1999 dataset on the MATLAB platform. The experimental results show that the CNN model based on Leaky ReLU activation function outperforms the model based on ReLU activation function in terms of accuracy， recall and F1 value.

Key words：deep learning; activation function; network intrusion; convolutional neural network