基于VDCNN和LSTM混合模型的入侵檢測(cè)算法

王 竹，趙建新，張宏映，李亞軍，冷 丹

（北方自動(dòng)控制技術(shù)研究所，太原 030006）

0 引言

由于云計(jì)算、大數(shù)據(jù)等新興網(wǎng)絡(luò)技術(shù)的應(yīng)用，計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境變得愈發(fā)復(fù)雜，這也造成了攻擊手段迭代速度變快這一現(xiàn)象的出現(xiàn)，維護(hù)網(wǎng)絡(luò)安全變得更加重要也更加困難。如何在大量的網(wǎng)絡(luò)流量數(shù)據(jù)中快速識(shí)別出入侵?jǐn)?shù)據(jù)是面臨的主要問題。入侵檢測(cè)系統(tǒng)（intrusion detection system，IDS）能夠?qū)K端進(jìn)行有效的主動(dòng)防護(hù)，一直受到廣泛的關(guān)注。IDS 通過獲取網(wǎng)絡(luò)流量特征對(duì)接收到的網(wǎng)絡(luò)流量包分類，判斷是否為異常流量，進(jìn)一步判斷是否受到入侵。具體步驟分為網(wǎng)絡(luò)流量獲取、特征提取、識(shí)別模塊進(jìn)行識(shí)別，針對(duì)識(shí)別結(jié)果作出響應(yīng)。IDS 核心技術(shù)就在于識(shí)別模塊根據(jù)接收的網(wǎng)絡(luò)流量特征對(duì)流量包進(jìn)行分類檢驗(yàn)。

近年來，深度學(xué)習(xí)技術(shù)的快速發(fā)展，許多專家嘗試?yán)蒙疃葘W(xué)習(xí)技術(shù)改進(jìn)入侵檢測(cè)技術(shù)并取得一定的效果。常衛(wèi)東等在2007 年就驗(yàn)證了神經(jīng)網(wǎng)絡(luò)在入侵檢測(cè)系統(tǒng)中的可行性，但引入的網(wǎng)絡(luò)模型為淺層網(wǎng)絡(luò)，識(shí)別準(zhǔn)確率有限。劉月峰等在2018年發(fā)表引入多尺度卷積模型，將CNN 模型方法應(yīng)用到網(wǎng)絡(luò)入侵檢測(cè)中，模型對(duì)特征提取進(jìn)行改進(jìn)對(duì)特征表征能力更強(qiáng)改善了識(shí)別的準(zhǔn)確率。Lirim Ashiku 等在2021 年發(fā)表論文利用DNN 網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)訓(xùn)練，在CNN 網(wǎng)絡(luò)基礎(chǔ)上進(jìn)行改進(jìn)，加深了網(wǎng)絡(luò)深度，提高了識(shí)別準(zhǔn)確率。通過觀察提取到的數(shù)據(jù)特征可以發(fā)現(xiàn)，許多特征之間是有關(guān)聯(lián)關(guān)系的。但上述模型均未考慮特征之間的關(guān)聯(lián)關(guān)系對(duì)分類識(shí)別產(chǎn)生的影響，模型仍有進(jìn)一步的改進(jìn)空間。YIN 等在2016 提出了利用RNN 構(gòu)建IDS 檢測(cè)模型進(jìn)行識(shí)別，考慮到了時(shí)序關(guān)系進(jìn)行特征提取，但針對(duì)高維特征RNN 相較于CNN 特征提取能力存在明顯不足，使模型運(yùn)行效果較差。高忠石等在2019 利用主成分分析法進(jìn)行降維，并用改進(jìn)RNN模型進(jìn)行訓(xùn)練，但對(duì)高維數(shù)據(jù)的訓(xùn)練效果較CNN 網(wǎng)絡(luò)仍有不足。

針對(duì)上述模型存在的問題，提出一種VDCNN網(wǎng)絡(luò)和LSTM 網(wǎng)絡(luò)的融合模型。模型可以從原始數(shù)據(jù)中提取更高維度的特征，并對(duì)特征間的關(guān)聯(lián)關(guān)系進(jìn)行提取。通過實(shí)驗(yàn)驗(yàn)證，模型能達(dá)到更加良好的分類效果。

1 相關(guān)理論

1.1 卷積神經(jīng)網(wǎng)絡(luò)

卷積神經(jīng)網(wǎng)絡(luò)是一種包含卷積計(jì)算且具有深度結(jié)構(gòu)的前饋神經(jīng)網(wǎng)絡(luò)，其本質(zhì)是一種能夠在訓(xùn)練過程中學(xué)習(xí)和抽象數(shù)據(jù)特征的人工神經(jīng)網(wǎng)絡(luò)模型。卷積神經(jīng)網(wǎng)絡(luò)具有按階層結(jié)構(gòu)對(duì)輸入信息進(jìn)行平移不變分類的能力。從深度學(xué)習(xí)的理論被提出后，卷積神經(jīng)網(wǎng)絡(luò)的表征學(xué)習(xí)能力被廣泛關(guān)注，在生物特征識(shí)別，自然語言處理上得到了廣泛的應(yīng)用。卷積神經(jīng)網(wǎng)絡(luò)主要包括如下幾個(gè)計(jì)算過程：卷積、池化、全連接與識(shí)別運(yùn)算?；镜哪Ｐ徒Y(jié)構(gòu)如圖1 所示。

圖1 卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)

其中，每個(gè)卷積層與相鄰的采樣層構(gòu)成一個(gè)卷積組，進(jìn)行數(shù)據(jù)特征提取，然后將提取到的特征傳入到若干全連接層中進(jìn)行分類。卷積神經(jīng)網(wǎng)絡(luò)利用池化操作和共享權(quán)值的方法減少網(wǎng)絡(luò)參數(shù)，提高網(wǎng)絡(luò)效率，完成對(duì)特征的提取，最終完成分類任務(wù)。

1.2 長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)

卷積神經(jīng)網(wǎng)絡(luò)雖然能夠很好地獲取輸入信息特征，在計(jì)算過程中可以發(fā)現(xiàn)卷積網(wǎng)絡(luò)神經(jīng)元之間是相互獨(dú)立沒有循環(huán)關(guān)系的，但是，網(wǎng)絡(luò)流量數(shù)據(jù)特征間是存在一定聯(lián)系的。為了能夠反映這種特征間的前后關(guān)聯(lián)，以提高識(shí)別的準(zhǔn)確率，在通過卷積網(wǎng)絡(luò)提取特征之后，可以增加一層LSTM 網(wǎng)絡(luò)。

長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)是在傳統(tǒng)的循環(huán)神經(jīng)網(wǎng)絡(luò)（recurrent neural network，RNN）的基礎(chǔ)上進(jìn)行改進(jìn)，加入了時(shí)序的概念得來的。LSTM 網(wǎng)絡(luò)中每一個(gè)時(shí)間時(shí)刻會(huì)執(zhí)行1 次循環(huán)計(jì)算。在每次執(zhí)行運(yùn)算時(shí)，網(wǎng)絡(luò)結(jié)構(gòu)中的節(jié)點(diǎn)會(huì)結(jié)合當(dāng)前的輸入和上一時(shí)間節(jié)點(diǎn)的狀態(tài)進(jìn)行計(jì)算，這樣的計(jì)算過程使之前時(shí)間段所保留的歷史信息能夠被后面的節(jié)點(diǎn)使用，進(jìn)而獲取到特征之間的關(guān)聯(lián)關(guān)系。LSTM 的模型單元在RNN 模型單元的基礎(chǔ)上增加記憶單元和輸出門、輸入門、遺忘門。通過門電路來控制多路輸入到本單元數(shù)據(jù)的通斷，使輸入數(shù)據(jù)變成之前的輸出數(shù)據(jù)與輸入數(shù)據(jù)的混合，達(dá)到保留訓(xùn)練歷史數(shù)據(jù)，并從中提取特征間關(guān)聯(lián)關(guān)系的目的。

2 系統(tǒng)結(jié)構(gòu)及流程

2.1 模型結(jié)構(gòu)

本文所提出模型整體框架如下頁圖2 所示。

圖2 模型整體框圖

模型整體流程包括：數(shù)據(jù)預(yù)處理、基礎(chǔ)模型訓(xùn)練、特征融合、分類識(shí)別4 個(gè)部分。

2.2 數(shù)據(jù)集選用與預(yù)處理

由于入侵檢測(cè)需要實(shí)際的網(wǎng)絡(luò)流量數(shù)據(jù)做檢測(cè)，而且數(shù)據(jù)集的好壞會(huì)明顯的影響。通過對(duì)比，選用了CES-CIC-IDS2018 數(shù)據(jù)集作為模型的訓(xùn)練集對(duì)模型進(jìn)行訓(xùn)練和檢測(cè)。

該入侵檢測(cè)數(shù)據(jù)由加拿大通信安全機(jī)構(gòu)提供，包含了更多新型攻擊手段用于對(duì)模型的檢測(cè)訓(xùn)練。所提供的模擬網(wǎng)絡(luò)流量包含7 類攻擊場(chǎng)景在7 天的固定時(shí)間運(yùn)行產(chǎn)生真實(shí)流量數(shù)據(jù)。數(shù)據(jù)集以pcap文件和csv 文件的方式提供。這里利用csv 文件進(jìn)行人工智能相關(guān)分析，利用CICFlowMeter-V3 工具提取獲得流量的83 個(gè)統(tǒng)計(jì)特征。經(jīng)過統(tǒng)計(jì)包含有14 類攻擊流量標(biāo)簽和一類正常標(biāo)簽，具體標(biāo)簽名稱和占比如表1 所示。

表1 數(shù)據(jù)標(biāo)簽及占比

由于文件數(shù)據(jù)集過大，這里要對(duì)數(shù)據(jù)進(jìn)行預(yù)處理，分為：數(shù)據(jù)清洗、數(shù)據(jù)集平衡、特征篩選、數(shù)據(jù)歸一化和分割等步驟。通過分析數(shù)據(jù)發(fā)現(xiàn)數(shù)據(jù)集具有10 個(gè)全0 特征全部刪掉，剩下68 個(gè)特征進(jìn)行進(jìn)一步處理。由于數(shù)據(jù)報(bào)文已經(jīng)被人為標(biāo)注出標(biāo)簽，而且數(shù)據(jù)集模擬是由一段時(shí)間正常運(yùn)行，然后持續(xù)進(jìn)行攻擊，再正常運(yùn)行的模式進(jìn)行模擬，所以，同類標(biāo)簽相對(duì)集中，先對(duì)數(shù)據(jù)依據(jù)各標(biāo)簽進(jìn)行分離。分離后的每一類標(biāo)簽下的數(shù)據(jù)均為同類網(wǎng)絡(luò)報(bào)文，且分布相對(duì)均勻，再用分層抽樣的方式對(duì)每一類進(jìn)行等量抽樣獲取需要處理的基礎(chǔ)數(shù)據(jù)集。在抽樣結(jié)束后，檢查數(shù)據(jù)發(fā)現(xiàn)存在一部分特征為空值或無窮值的數(shù)據(jù)，經(jīng)過檢驗(yàn)這類數(shù)據(jù)只占數(shù)據(jù)集極小一部分，且均為正常數(shù)據(jù)。這部分?jǐn)?shù)據(jù)在進(jìn)行歸一化處理時(shí)會(huì)產(chǎn)生異常，將這部分?jǐn)?shù)據(jù)剔除對(duì)剩下的數(shù)據(jù)進(jìn)行進(jìn)一步處理。

先對(duì)port，協(xié)議類別等數(shù)字大小無數(shù)量意義的特征進(jìn)行自然序號(hào)編碼，這樣可以減少取值域，便于對(duì)數(shù)據(jù)進(jìn)行歸一化。歸一化處理就是將每一維特征的值映射到［0，1］之間?；驹砜杀硎緸椋?/p>

其中，'是歸一化之后的特征值，是歸一化之前特征值，和分別表示當(dāng)前維度特征的最小值和最大值。

將處理后的數(shù)據(jù)進(jìn)行隨機(jī)排序，數(shù)據(jù)集的分割比例為7∶3，分別用于模型的訓(xùn)練和測(cè)試。

2.3 VDCNN 網(wǎng)絡(luò)

2.3.1 VDCNN 網(wǎng)絡(luò)模型

相較于應(yīng)用在圖像處理等領(lǐng)域的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，純文本數(shù)據(jù)分類的模型深度較淺，較淺層的網(wǎng)絡(luò)特征提取能力較差。受啟發(fā)于VDCNN 在自然語言處理上的良好表現(xiàn)，嘗試將VDCNN 引入到入侵檢測(cè)模型中，對(duì)真實(shí)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行特征提取，達(dá)到更準(zhǔn)確地分類。

傳統(tǒng)神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)中會(huì)出現(xiàn)隨著深度增大造成難以確定卷積核大小的問題。VDCNN 的結(jié)構(gòu)可以有效解決這一問題。VDCNN 由VGG 以及ResNets（殘差神經(jīng)網(wǎng)絡(luò)）模型演化過來，在運(yùn)行深度網(wǎng)絡(luò)模型時(shí)，內(nèi)存的占用情況有明顯地改善。VDCNN 在設(shè)置時(shí)定義兩條規(guī)則：

1）若卷積之后輸出的向量不變，則卷積核數(shù)目和特征圖像的大小與上一層相同；

2）若卷積之后輸出向量減半，則卷積核數(shù)目和特征圖像的大小是上一層的兩倍。

這樣能夠保證網(wǎng)絡(luò)的復(fù)雜程度，同時(shí)通過對(duì)層數(shù)和池化層的設(shè)計(jì)，模型的卷積塊之間由池化層連接，兩次池化操作間卷積塊的卷積層數(shù)可以人為設(shè)置，提高卷積網(wǎng)絡(luò)的深度。

該模型為了進(jìn)行特征降維、盡可能對(duì)內(nèi)存占用進(jìn)行優(yōu)化，同時(shí)避免模型訓(xùn)練過擬合，每一個(gè)卷積組后進(jìn)行平均值池化處理。本文在模型每層進(jìn)行池化操作時(shí)的下采樣因子設(shè)置為2，同時(shí)把輸出向量進(jìn)行減半處理。模型中每個(gè)卷積塊的卷積核數(shù)目和特征圖像的大小會(huì)增加，為了剔除冗余特征，在模型末尾的卷積塊之后進(jìn)行k-max 下采樣策略，對(duì)采樣區(qū)選取個(gè)局部最優(yōu)值，保證生成的特征向量維度不變。

2.3.2 VDCNN 模型中的Shortcut

在實(shí)際的模型實(shí)踐中觀察到這樣一種現(xiàn)象，隨著層數(shù)的增加，系統(tǒng)精度會(huì)快速下滑，而且，應(yīng)用隨機(jī)失活等消除過擬合現(xiàn)象的改進(jìn)方法模型性能沒有明顯改善。這里參考了Resnet 的處理方式，增加了Shortcut 的結(jié)構(gòu)。由圖3 中結(jié)構(gòu)可以看出，每個(gè)卷積塊之間的輸出變?yōu)樵驾斎牒推鋵?duì)應(yīng)映射的疊加，即（）（）。

圖3 ResNets 基本結(jié)構(gòu)

其中，（）是輸出這種設(shè)計(jì)使網(wǎng)絡(luò)本身不需要全連接層（FC 層）和Dropout 層即可完成訓(xùn)練。這有利于實(shí)現(xiàn)更深的網(wǎng)絡(luò)結(jié)構(gòu)，能明顯降低模型訓(xùn)練誤差和測(cè)試誤差。

2.4 LSTM 網(wǎng)絡(luò)對(duì)入侵?jǐn)?shù)據(jù)的特征間關(guān)聯(lián)關(guān)系進(jìn)行提取

模型基于網(wǎng)絡(luò)流量數(shù)據(jù)序列特征，改變LSTM中每個(gè)門的參數(shù)，對(duì)輸出結(jié)果進(jìn)行調(diào)整，從中提取特征間關(guān)聯(lián)關(guān)系。單個(gè)神經(jīng)元結(jié)構(gòu)如圖4 所示，其中，c表示記憶單元狀態(tài)；i表示輸入門，用于控制記憶單元更新的信息量，即當(dāng)前時(shí)刻網(wǎng)絡(luò)的狀態(tài)有多少信息需要保存到內(nèi)部狀態(tài)中；f表示遺忘門，用于控制前一時(shí)刻記憶單元c有多少被保存到時(shí)刻記憶單元c；O表示輸出門，用于控制c輸出多少到下一隱藏狀態(tài)h。h為在-1 時(shí)刻向下輸出的“隱層”狀態(tài)。

圖4 LSTM 神經(jīng)元圖結(jié)構(gòu)

LSTM 的具體計(jì)算過程為：

其中，W 表示參數(shù)矩陣，（·）表示sigmoid（）函數(shù)，i、f、o分別為L(zhǎng)STM 網(wǎng)絡(luò)的輸入門、遺忘門、輸出門。c為記憶單元的狀態(tài)，h為網(wǎng)絡(luò)的隱藏狀態(tài)，x為在時(shí)刻輸入序列的元素。從結(jié)構(gòu)可以看出，由于每個(gè)神經(jīng)元的權(quán)重更新是前一時(shí)刻的結(jié)果和當(dāng)前時(shí)刻的特征混合經(jīng)過激活函數(shù)進(jìn)行激活產(chǎn)生的。這個(gè)過程中，歷史數(shù)據(jù)被保存了下來。通過訓(xùn)練，模型能自發(fā)地學(xué)習(xí)到各個(gè)門最佳的權(quán)值，，和偏置項(xiàng)，單元在時(shí)間維度上能主動(dòng)地調(diào)節(jié)記憶時(shí)常。LSTM 可以較好地聯(lián)系上下文特征，使對(duì)數(shù)據(jù)特征識(shí)別更準(zhǔn)確。

2.5 VDCNN 與LSTM 在特定維度上進(jìn)行拼接組成混合模型

VDCNN 網(wǎng)絡(luò)僅對(duì)數(shù)據(jù)在每一特征上的進(jìn)行特征表征，并沒有關(guān)注特征之間的關(guān)聯(lián)關(guān)系。網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)的特征大多與流量行為有關(guān)，在訪問次數(shù)，訪問持續(xù)時(shí)間等特征間是存在一定的關(guān)聯(lián)關(guān)系的，獲取這種關(guān)聯(lián)關(guān)系有利于提高對(duì)數(shù)據(jù)進(jìn)行分類識(shí)別的準(zhǔn)確率。所以，引入LSTM 模型與VDCNN 進(jìn)行混合構(gòu)成混合網(wǎng)絡(luò)。由前文LSTM 網(wǎng)絡(luò)可以很好地保存模型訓(xùn)練的歷史信息，保留特征之間的關(guān)聯(lián)關(guān)系。設(shè)計(jì)將兩類網(wǎng)絡(luò)模型所提取的特征進(jìn)行融合，形成嵌套式的復(fù)合網(wǎng)絡(luò)結(jié)構(gòu)對(duì)數(shù)據(jù)特征進(jìn)行提取后再分類。

通過分別建立兩類模型，利用keras 提供的融合層（merge）對(duì)兩類特征在第一維度上進(jìn)行拼接，形成新的特征向量用于模型分類。這樣組層的模型為嵌套式模型，模型可分類，基礎(chǔ)模型層和融合層兩大層結(jié)構(gòu)。在基礎(chǔ)模型層左邊為VDCNN 模型，右邊為L(zhǎng)STM 模型，在數(shù)據(jù)預(yù)處理后需要根據(jù)模型本身特定的結(jié)構(gòu)設(shè)置編碼層傳入訓(xùn)練，所以，模型為多輸入單輸出模型。融合層進(jìn)行融合需要數(shù)據(jù)滿足在除了拼接維度上其他維度的對(duì)齊。所以，在基礎(chǔ)模型層的最后增加FC 層進(jìn)行數(shù)據(jù)維度的對(duì)齊，進(jìn)行數(shù)據(jù)形式的轉(zhuǎn)換，再傳入merge 層進(jìn)行拼接。利用這種結(jié)構(gòu)能夠既通過深度網(wǎng)絡(luò)對(duì)數(shù)據(jù)的邊緣特征進(jìn)行有效提取，又能兼顧特征間關(guān)聯(lián)關(guān)系，從而有效提高模型識(shí)別的準(zhǔn)確率。

3 實(shí)驗(yàn)及結(jié)果分析

3.1 實(shí)驗(yàn)環(huán)境和模型設(shè)置

本實(shí)驗(yàn)在Windows10 系統(tǒng)下進(jìn)行，利用Nvidia RTX2060 6 G 的GPU 輔助計(jì)算，系統(tǒng)內(nèi)存為DDR4，16 G。本文模型的神經(jīng)網(wǎng)絡(luò)搭建使用Keras 框架，使用python 編程實(shí)現(xiàn)。

本實(shí)驗(yàn)損失函數(shù)為categorical_crossentropy，優(yōu)化器設(shè)置為RMSProp。該方法設(shè)置了一個(gè)衰減系數(shù)，使每回合按照一定比例進(jìn)行衰減，參數(shù)更新規(guī)則如下所示：

其中，代表的是迭代次數(shù)，梯度平方的向量用表示，每個(gè)元素為對(duì)應(yīng)參數(shù)的梯度平方，設(shè)置可調(diào)參數(shù)為0.9，兩個(gè)矩陣或向量對(duì)應(yīng)位置的元素相乘用⊙表示。diag（）是根據(jù)向量生成對(duì)角矩陣函數(shù)，Σ是一極小整數(shù)，I 是單位陣。

為減少學(xué)習(xí)周期的同時(shí)能使模型快速收斂，選擇使用ReLU 作為卷積層和全連接層的激活函數(shù)，具體公式如下：

3.2 評(píng)價(jià)標(biāo)準(zhǔn)

為了評(píng)價(jià)混合模型對(duì)入侵?jǐn)?shù)據(jù)識(shí)別的質(zhì)量，在實(shí)驗(yàn)中采用精確率、對(duì)準(zhǔn)率和錯(cuò)誤率作為度量標(biāo)準(zhǔn)對(duì)模型進(jìn)行檢驗(yàn)。

精確率是指正確識(shí)別的數(shù)據(jù)與總數(shù)據(jù)之比。精確度是分類性能評(píng)價(jià)的主要度量指標(biāo)。公式如下：其中，為正確預(yù)測(cè)正樣本，為未正確預(yù)測(cè)負(fù)樣本，為未正確預(yù)測(cè)正樣本，為未正確預(yù)測(cè)負(fù)樣本：

以模型的精確率為主要對(duì)比指標(biāo)，同時(shí)結(jié)合模型的對(duì)準(zhǔn)率和錯(cuò)誤率進(jìn)行輔助分析判斷模型的運(yùn)行效果。

3.3 不同深度VDCNN 模型結(jié)果比較

目前，許多神經(jīng)網(wǎng)絡(luò)采用的反向傳播算法，梯度會(huì)在反傳過程中逐層衰減，隨著網(wǎng)絡(luò)層數(shù)的加深，傳播的內(nèi)容會(huì)衰減到非常小甚至消失，導(dǎo)致訓(xùn)練困難。VDCNN 利用Shortcut 結(jié)構(gòu)解決了這一問題，這里設(shè)置了不同深度的VDCNN 模型，其運(yùn)行的分類效果如表2 所示。

表2 不同深度VDCNN 模型運(yùn)行效果對(duì)比

從表2 中可以看出本模型隨著深度的增加，準(zhǔn)確率得到了有效提高。這表明本文引入的Shortcut的模型結(jié)構(gòu)能夠可以處理隨著網(wǎng)絡(luò)深度增加而導(dǎo)致梯度消減的問題，從而提高數(shù)據(jù)集識(shí)別的精確率。

3.4 其他模型與VDCNN和LSTM混合模型結(jié)果比較

本文以精確度作為主要的評(píng)價(jià)指標(biāo)與其他模型方法進(jìn)行比較。模型運(yùn)行結(jié)果與傳統(tǒng)分類算法、LSTM 模型、VDCNN 模型的分類結(jié)果進(jìn)行比對(duì)。模型訓(xùn)練均使用CES-CIC-IDS2018 數(shù)據(jù)集。具體的實(shí)驗(yàn)結(jié)果對(duì)比如表3 所示。

表3 不同模型運(yùn)行效果對(duì)比

對(duì)實(shí)驗(yàn)結(jié)果分析可以得出，本文提出的VDCNN 與LSTM混合模型的識(shí)別準(zhǔn)確率為96.74%。與一般機(jī)器學(xué)習(xí)算法相比，神經(jīng)網(wǎng)絡(luò)的引入可以有效地提高模型的識(shí)別準(zhǔn)確率，模型識(shí)別的準(zhǔn)確率能提升2%～4%。

由于VDCNN 是基于殘差神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)的深層網(wǎng)絡(luò)，因此，訓(xùn)練效果明顯優(yōu)于一般卷積神經(jīng)網(wǎng)絡(luò)，能夠獲取到更多特征信息，同時(shí)利用LSTM 對(duì)模型的歷史信息進(jìn)行了有效保留，使數(shù)據(jù)特征之間關(guān)聯(lián)關(guān)系反映到提取的特征中。本模型將兩類提取出的特征進(jìn)行拼接，進(jìn)行數(shù)據(jù)分類，使得模型運(yùn)算時(shí)兼顧了兩種模型的特點(diǎn)。結(jié)果顯示該模型與LSTM 模型相比模型準(zhǔn)確率提升約為3%，對(duì)VDCNN 網(wǎng)絡(luò)模型相比性能提升了約為1%，說明數(shù)據(jù)間關(guān)聯(lián)關(guān)系對(duì)模型的分類識(shí)別有一定影響。

通過實(shí)驗(yàn)結(jié)果可以看出，該模型在處理入侵檢測(cè)信息識(shí)別問題有一定優(yōu)勢(shì)。本文所構(gòu)建的網(wǎng)絡(luò)結(jié)構(gòu)組成的混合神經(jīng)網(wǎng)絡(luò)模型，由于其兼顧了數(shù)據(jù)的本身特征和特征間的關(guān)聯(lián)關(guān)系，實(shí)現(xiàn)了多維度的特征標(biāo)識(shí)，識(shí)別性能明顯強(qiáng)于單一模型的識(shí)別性能。同時(shí)利用結(jié)構(gòu)上的優(yōu)化，利用殘差網(wǎng)絡(luò)的短接結(jié)構(gòu)有效避免了數(shù)據(jù)過擬合的問題。相較現(xiàn)有的利用神經(jīng)網(wǎng)絡(luò)處理入侵檢測(cè)問題的方法有一定改善。

4 結(jié)論

為了解決傳統(tǒng)入侵檢測(cè)算法對(duì)高維復(fù)雜數(shù)據(jù)集特征解析不完善的問題，提出了一種由VDCNN與LSTM 構(gòu)成的混合模型。該模型通過VDCNN 的深層網(wǎng)絡(luò)結(jié)構(gòu)對(duì)數(shù)據(jù)邊緣特征進(jìn)行提取，同時(shí)利用LSTM 提取數(shù)據(jù)在時(shí)序上的關(guān)聯(lián)特征，將兩類特征拼接形成新的時(shí)空特征進(jìn)行分類檢測(cè)，從而對(duì)具有復(fù)雜特征的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行準(zhǔn)確地識(shí)別。

從實(shí)驗(yàn)分析中可以看出，通過在CES-CICIDS2018 數(shù)據(jù)集上訓(xùn)練并測(cè)試本模型，對(duì)異常數(shù)據(jù)的識(shí)別準(zhǔn)確率達(dá)到96.74%，與已有模型對(duì)比，本文模型表現(xiàn)出了更好的性能，說明模型能夠更準(zhǔn)確地識(shí)別各類新型網(wǎng)絡(luò)攻擊手段，對(duì)進(jìn)一步改進(jìn)入侵檢測(cè)技術(shù)有一定參考價(jià)值。下一步工作主要是優(yōu)化模型結(jié)構(gòu)，通過人為標(biāo)定或者在此基礎(chǔ)上增加無添加學(xué)習(xí)的方式，對(duì)未知類別的網(wǎng)絡(luò)攻擊進(jìn)行記錄，并據(jù)此更新模型，提升模型的自主學(xué)習(xí)能力，使模型具備自主更新功能。