吳戀 趙晨潔 左羽 于國龍 韋萍萍

摘 要：隨著網(wǎng)絡技術高速發(fā)展，無疑帶來了很多網(wǎng)絡安全隱患問題。面對復雜、高維的網(wǎng)絡數(shù)據(jù)特征時，K-Nearest Neighbour，Navie Bayes等傳統(tǒng)的一些方法無法達到高性能、高準精度和實時性的要求。為此，提出利用深度學習可視化方式進行入侵檢測。對數(shù)據(jù)進行可視化處理，并采用卷積神經(jīng)網(wǎng)絡（CNN）進行入侵檢測。主要采用不同數(shù)量樣本進行對比，結(jié)果顯示，卷積神經(jīng)網(wǎng)絡效果與樣本量的多少相關性不大;并和傳統(tǒng)沒有可視化處理數(shù)據(jù)的方式進行對比，結(jié)果顯示，可視化處理后的檢測效果相對較好。

關鍵詞：深度學習;網(wǎng)絡安全;入侵檢測;卷積神經(jīng)網(wǎng)絡;可視化處理;KDD CUP99

中圖分類號：TP391.4文獻標識碼：A文章編號：2095-1302（2020）06-0-03

0 引 言

在信息更新迭代快速的時代，病毒、攻擊等網(wǎng)絡入侵隨之而來，增強入侵防范意識及其技術至關重要。根據(jù)一些相關技術獲取本主機中關鍵信息，主動檢測關鍵信息，保障計算機不被內(nèi)、外部攻擊和誤操作的技術，稱為入侵檢測。入侵檢測[1]在網(wǎng)絡安全保護中起著至關重要的作用。

目前，國內(nèi)外學者對入侵檢測提出多種算法，如K-means聚類[2]、Random Forest（隨機森林）[3]、模糊神經(jīng)網(wǎng)絡[4]等。網(wǎng)絡快速發(fā)展使得網(wǎng)絡數(shù)據(jù)表現(xiàn)為更加龐雜、多維等特點，傳統(tǒng)的機器學習方法無法滿足處理當前復雜、多維的數(shù)據(jù)。

深度學習在圖像及其處理高維、多量數(shù)據(jù)時，仍然能從中提取出有效的表示特征，并且速度較快。深度學習在圖像、音頻中都有較好的發(fā)展?；诖?，本文將數(shù)據(jù)進行可視化處理，再利用深度學習對其進行入侵研究。

1 入侵檢測數(shù)據(jù)可視化處理

1.1 數(shù)據(jù)集簡介

入侵檢測是國際一直關注的話題，KDD CUP99[5]數(shù)據(jù)集是國際公認的入侵檢測數(shù)據(jù)集，且測試集與訓練集的標簽類型不是完全一致，測試集標簽包含更廣。每個樣本記錄有

42個參數(shù)，其中一個為標簽數(shù)據(jù)，其余為樣本特征。下面展示一個樣本數(shù)據(jù)：

“0，tcp，http，SF，164，4460，0，0，0，0，0，1，0，0，0，0，0，0，0，0，0，0，17，18，0，0，0，0，1，0，0.11，161，255，1，0，0.01，0.02，0，0，0，0，normal.”

特征值中有9個參數(shù)類型是離散型數(shù)據(jù)[6]。數(shù)據(jù)類型共有5類數(shù)據(jù)，其中包含Probe，Dos，U2R，R2L四類異常數(shù)據(jù)和一類正常數(shù)據(jù)。

1.2 數(shù)據(jù)預處理

對于KDD CUP99數(shù)據(jù)集，為了方便數(shù)據(jù)的統(tǒng)一處理，將字符型數(shù)據(jù)轉(zhuǎn)化為數(shù)值型數(shù)據(jù)。轉(zhuǎn)化數(shù)值型數(shù)據(jù)時，采用映射[7]方法，將每一種的類型都對應唯一確定的二進制編碼，如下：

式中：A為原始字符型數(shù)據(jù);B為二進制數(shù)據(jù);f為其映射

關系。

該數(shù)據(jù)的范圍在[0，58 329]分布不均衡，在網(wǎng)絡中出現(xiàn)收斂速度慢和精度不準確等問題，為了解決該問題，將數(shù)據(jù)進行歸一化處理[8]。本文將采用極差變換法[9]對數(shù)據(jù)進

行[0，1]標準化，如下：

式中：Xik∈[0，1]，表示歸一化后的值;Xij∈KDD CUP99，

表示原始數(shù)據(jù)集中的值;Min，Max分別為原始數(shù)據(jù)集中需要歸一化的最小值、最大值。

1.3 可視化處理

經(jīng)過預處理后的數(shù)據(jù)集，每條數(shù)據(jù)的特征為127維，其中后5維的數(shù)據(jù)為該數(shù)據(jù)的標簽，其他為該數(shù)據(jù)的特征。該數(shù)據(jù)維數(shù)較大，若直接使用深度學習模型進行訓練將會降低其訓練和測試速度。

因此，本文提出將數(shù)據(jù)轉(zhuǎn)化為可視化圖像進行訓練。將5維標簽單獨列出，剩余的數(shù)據(jù)維度變?yōu)?22，為了保證數(shù)據(jù)集的有效性，在122維中刪除1維冗余的零數(shù)據(jù)，將121維

數(shù)據(jù)按數(shù)組轉(zhuǎn)化圖像的方式，轉(zhuǎn)化成11×11大小的圖像集。

2 基于CNN的入侵檢測方法

2.1 CNN網(wǎng)絡結(jié)構

卷積神經(jīng)網(wǎng)絡（CNN）[10]處理圖像能力強，核心層包括全連接層、池化層、卷積層。其中，卷積層是由若干卷積核組成，特征值提取需要經(jīng)過多層卷積。圖像m×n的卷積

運算[11]為：

式中：z （x， y）表示卷積后的圖像;f代表輸入的2維圖像;

g代表卷積核;m和n分別代表卷積核的尺寸。

通過卷積運算后，需要進行非線性激活去除冗余信息，保存原始數(shù)據(jù)特征的映射信息。“梯度消失”可用非飽和激活函數(shù)來緩和，即ReLu函數(shù)[12]。

式中：當矩陣x的值為非負時，經(jīng)激活后變?yōu)?;當矩陣x的值為負時，此時激活仍為它本身。

Pooling layers（池化層）通過Max pooling或Average Pooling來減少參數(shù)、降低維度，使訓練能快速提取特征。

全連接層[13]主要是將前兩層訓練的高維特征分布與低維樣本進行標記。

2.2 CNN入侵檢測模型

由于將KDD CUP99數(shù)據(jù)集變?yōu)?1×11可視化圖像集，因此對CNN模型設計采用一個10層模型結(jié)構：一個輸入層;三個卷積層，每次卷積后都經(jīng)過池化層;兩個全連接層并在其全連接層中都加入Dropout，避免過渡擬合;一個輸出層。模型如圖1所示。

3 實驗與分析

3.1 實驗評價標準

秉承客觀評價原則，本文從訓練數(shù)據(jù)集大小方面對CNN模型進行對比。采用F1-score[14]作為實驗效果的評判標準，公式如下：

F1-score公式中，各指標的評判標準參數(shù)含義解釋見表1所列。

3.2 結(jié)果分析

3.2.1 數(shù)據(jù)集樣本

數(shù)據(jù)集樣本大小是影響深度模型訓練效果的一方面，為了驗證本文的模型將在幾組不同數(shù)據(jù)集大小下進行分析。

實驗數(shù)據(jù)來自kddcup.data_10%_corrected的數(shù)據(jù)集[15]，正常97 278條，異常396 743條，共494 021條數(shù)據(jù)。在其中隨機抽取5 000，10 000，20 000，40 000個樣本，構成4組訓練集數(shù)據(jù)，詳細信息見表2所列。

3.2.2 與傳統(tǒng)方式對比

將本文采用三層卷積層的卷積神經(jīng)網(wǎng)絡用不同數(shù)據(jù)量的樣本進行處理，準確率結(jié)果見表3所列。結(jié)果顯示精確度與訓練集的大小相關性不大。傳統(tǒng)的入侵檢測，對未經(jīng)過圖像處理的數(shù)據(jù)直接進行訓練，而本文先把數(shù)據(jù)映射成可視化圖像，而后對其進行訓練，對比結(jié)果見表4所列。結(jié)果顯示，相對于傳統(tǒng)方式，本文方法的精確度較高。

4 結(jié) 語

本文提出關于深度學習的入侵檢測流程，將處理后的可視化數(shù)據(jù)經(jīng)過CNN進行入侵檢測，并從多方面進行分析。實驗結(jié)果顯示，CNN對于圖像數(shù)據(jù)的入侵檢測有著明顯優(yōu)異的效果。但是目前研究的是將數(shù)據(jù)預先經(jīng)過數(shù)值化、歸一化處理后再進行可視化處理，才能達到效果。

參考文獻

[1]賈凡，孔令智.基于卷積神經(jīng)網(wǎng)絡的入侵檢測算法[J].北京理工大學學報，2017，37（12）：1271-1275.

[2] TZELEPIS C，MEZARIS V，PATRAS I. Linear maximum margin classifier for learning from uncertain data [J]. IEEE transactions on pattern analysis & machine intelligence，2017，40（12）：2948-2962.

[3] MENG X M，WU S，ZHU J. A unified Bayesian inference framework for generalized linear models [J]. IEEE signal processing letters，2018，25（3）：398-402.

[4]周飛燕，金林鵬，董軍.卷積神經(jīng)網(wǎng)絡研究綜述[J].計算機學報，2017，40（6）：1229-1251.

[5] SIDDIQUE K，AKHTAR Z，KHAN F A，et al. KDD cup 99 data sets：a perspective on the role of data sets in network intrusion detection research [J]. Computer，2019，52（2）：41-51.

[6] TAVALLAEE M，BAGHERI E，LU W，et al. A detailed analysis of the KDD CUP 99 data set [C]// 2009 IEEE Symposium on Computational Intelligence for Security and Defense Applications. Ottawa：IEEE，2009：53-58.

[7] CORT?S V，DIETERICH P S，MOHAUPT T. ASK/PSK-correspondence and the r-map [J]. Letters in mathematical physics，2018，108：1279-1306.

[8] RUOTI S，HEIDBRINK S，ONEILL M，et al. Intrusion detection with unsupervised heterogeneous ensembles using cluster-based normalization [C]// 24th IEEE International Conference on Web Services. Honolulu：IEEE，2017：862-865.

[9]薛瀟，劉以安，闞媛，等.基于FCM-GRNN聚類的入侵檢測算法研究[J].計算機仿真，2010，27（6）：151-154.

[10] SCH?LKOPF B，PLATT J，HOFMANN T. Greedy layer-wise training of deep networks [J]. Advances in neural information processing systems，2007，19：153-160.

[11]盧強，游榮義，葉曉紅.基于自適應卷積濾波的網(wǎng)絡近鄰入侵檢測算法[J].計算機科學，2018，45（7）：160-163.

[12]佚名.關于改進的激活函數(shù)TReLU的研究[J].小型微型計算機系統(tǒng)，2019，40（1）：60-65.

[13] CHEN T，LU S J，F(xiàn)AN J Y. SS-HCNN：semi-supervised hierarchical convolutional neural network for image classification [J]. IEEE transactions on image processing，2019，28（5）：2389-2398.

[14] HAO H，XU H，WANG X，et al. Maximum F1-score discriminative training criterion for automatic mispronunciation detection [J]. IEEE/ACM transactions on audio speech & language processing，2015，23（4）：787-797.

[15]張新有，曾華燊，賈磊，等.入侵檢測數(shù)據(jù)集KDDCUP99研究

[J].計算機工程與設計，2010，31（22）：4809-4812.