馬澤煊, 李 進, 路艷麗,*, 陳 晨

(1. 空軍工程大學防空反導學院, 陜西 西安 710051; 2. 西安衛(wèi)星測控中心, 陜西 西安 710043)

0 引 言

入侵檢測系統(tǒng)(intrusion detection system, IDS)作為一種積極主動的安全防護技術,主要通過對網(wǎng)絡進行實時監(jiān)視來對網(wǎng)絡中存在的攻擊行為進行有效的感知,以便于安全管理人員及時做出相應的決策,保證網(wǎng)絡的穩(wěn)定運行。但隨著網(wǎng)絡的飛速發(fā)展,黑客的攻擊手段也在進行著不斷的升級,再加上網(wǎng)絡數(shù)據(jù)呈現(xiàn)指數(shù)級提升,一些基于傳統(tǒng)的機器學習方法已經(jīng)不能再適應入侵檢測的大環(huán)境,入侵檢測時間過長,特征提取效果也并不理想。深度學習的出現(xiàn)很好地改變了這一局面。

作為當前熱門的研究領域,深度學習技術已經(jīng)被廣泛應用于入侵檢測領域,并取得了很好的檢測效果。文獻[1]對基于深度學習算法的入侵檢測系統(tǒng)進行了回顧,對多種神經(jīng)網(wǎng)絡模型進行分析,研究了其進行二分類和多分類的性能,但分類準確性普遍不高。文獻[2]針對數(shù)據(jù)集中少數(shù)類別難以檢測的問題,依據(jù)網(wǎng)絡入侵行為的時序特點,提出了一種基于BiLSTM的網(wǎng)絡入侵檢測方法,該方法對于網(wǎng)絡攻擊的檢測效果好于其他方法,但對于其他攻擊類型的處理效果一般。文獻[3]將長短時記憶(long short-term memory, LSTM)網(wǎng)絡和RNN進行結(jié)合,提出基于LSTM-RNNS混合模型的入侵檢測方法,模型基于KDD99數(shù)據(jù)集進行研究,檢測效果較好,但數(shù)據(jù)集說服力不強。文獻[4]結(jié)合卷積神經(jīng)網(wǎng)絡(convolutional neural networks, CNN)和LSTM對于特征提取的特點,提出基于CNN-LSTM的入侵檢測方法,其模型能夠取得較好的檢測準確率,但未對一般卷積的局限性進行考慮。文獻[5]針對網(wǎng)絡入侵數(shù)據(jù)具有時序性的特點,提出改進時序分析方法的入侵檢測方法,該方法能有效對入侵檢測系統(tǒng)缺乏主動防御能力的缺陷進行彌補,但在預測精度方面需要進一步提高。上述文獻進行二分類的準確率普遍較高,但是面對多分類問題,效果卻并不理想。為解決多分類準確率較低問題,本文將WaveNet結(jié)構首次應用于網(wǎng)絡入侵檢測領域,并與雙向門控循環(huán)單元(bi-directional gated recurrent unit, BiGRU)進行結(jié)合,從時間序列方面解決入侵檢測問題;同時使用最大、平均池化輸出并聯(lián)的融合池化作為本文模型的池化層,更加全面地對數(shù)據(jù)特征進行提取;最后分析損失函數(shù)及優(yōu)化算法,選取最適合本模型的超參數(shù),提升模型性能。

1 WaveNet和BiGRU

1.1 WaveNet

WaveNet是2016年Google DeepMind提出的一種Neural Vocoder架構,模型主體為一個基于空洞因果卷積的概率模型[6]，為序列生成模型,能夠直接對采樣值序列的映射進行學習,因此具有很大的潛力。由于網(wǎng)絡入侵有明顯的時序性,所以WaveNet同樣適用于網(wǎng)絡入侵檢測領域。

一維卷積層能夠縮短輸入的序列[7],增強模型學習長時間序列數(shù)據(jù)的能力[8],但由于普通卷積層可能會在提取當前時刻數(shù)據(jù)特征的同時提取到未來的數(shù)據(jù),從而產(chǎn)生過擬合。所以WaveNet采用因果卷積的方法,使卷積層的感受野只能感受到過去的數(shù)據(jù),而感受不到未來的數(shù)據(jù),能有效地消除過擬合[9]。同時，WaveNet還對一維卷積層進行了堆疊,采用擴大卷積的方式,使每一層的擴散率得到了加倍。WaveNet中每個一維卷積層都對前一層進行卷積,卷積核越大,層數(shù)越多,時域上的感知能力也就越強。基于這一原理,網(wǎng)絡中較低的一維卷積層對短期模式進行學習,而較高的一維卷積層對長期模式進行學習,由于擴散率的加倍,即使是在堆疊層數(shù)不多的情況下,網(wǎng)絡也能夠擁有較大的感受野,從而可以有效地對長時間序列數(shù)據(jù)進行處理,加快采樣速率[10]。本文使用了簡化的WaveNet來對網(wǎng)絡入侵數(shù)據(jù)進行處理，WaveNet架構如圖1所示。

圖1 WaveNet架構示意圖Fig.1 WaveNet schematic diagram

WaveNet模型能夠根據(jù)一個序列的前t-1個點對該序列第t個點的結(jié)果進行預測,基本公式為

(1)

式中:xt為網(wǎng)絡中t時刻對應的點;x1,x2,…,xt-1為t時刻之前的點對應的信息。以上參數(shù)隨著t值的增大而不斷進行更新。

1.2 BiGRU

如圖2所示,網(wǎng)絡流量數(shù)據(jù)具有明顯的層次結(jié)構[11],其中最底層代表了網(wǎng)絡流量的字節(jié)序列?；谔囟ňW(wǎng)絡協(xié)議的格式,多個流量字節(jié)組合成為一個網(wǎng)絡數(shù)據(jù)包,多個網(wǎng)絡數(shù)據(jù)包進一步組合成為一個網(wǎng)絡數(shù)據(jù)流[12]。研究發(fā)現(xiàn),這些流量字節(jié)、網(wǎng)絡數(shù)據(jù)包和網(wǎng)絡數(shù)據(jù)流與自然語言處理領域中的字符、句子和段落極為類似[13]。此外,將網(wǎng)絡流量分類為正?；蛘邜阂饬髁康娜蝿张c將段落分類為肯定或者否定的任務也非常相似,而后者便是自然語言處理領域中的一項常見的任務,即情感分析[14]。在當前的研究中,循環(huán)神經(jīng)網(wǎng)絡在情感分析領域的應用最多,效果也最好,因此使用RNN類方法對網(wǎng)絡入侵進行檢測具有特定的優(yōu)勢。

圖2 網(wǎng)絡流量層次圖Fig.2 Hierarchy structure of network traffic

遞歸神經(jīng)網(wǎng)絡(RNN)是人工神經(jīng)網(wǎng)絡的擴展,主要用于對時間序列數(shù)據(jù)進行分析從而對遠程時域特征進行學習[15]。由于循環(huán)神經(jīng)網(wǎng)絡(RNN)在學習過程中存在著梯度消失和梯度爆炸的問題,導致RNN難以對時間間隔較長狀態(tài)的依賴關系進行建模[16]。為了解決這個問題,研究者們提出了LSTM網(wǎng)絡[17]和門控循環(huán)單元(gate recurrent unit, GRU)[18]。

GRU神經(jīng)網(wǎng)絡對LSTM神經(jīng)網(wǎng)絡進行了改進,對LSTM的網(wǎng)絡結(jié)構進行了精簡,使GRU不僅能夠繼承LSTM的時序處理能力,而且降低了整個網(wǎng)絡的時間復雜度[19]。GRU的網(wǎng)絡結(jié)構主體為更新門和重置門,其中,更新門用來決定當前狀態(tài)對前一狀態(tài)信息的接收程度,重置門用于決定當前狀態(tài)對前一狀態(tài)信息的忽略程度[20]。GRU結(jié)構如圖3所示。

圖3 GRU結(jié)構示意圖Fig.3 GRU structure diagram

GRU結(jié)構對應的公式為

(2)

式中:σ為sigmoid函數(shù);xi為神經(jīng)網(wǎng)絡的輸入信息;Wr、Wz、Wh分別對應重置門、更新門以及本神經(jīng)元隱狀態(tài)對輸入數(shù)據(jù)所賦權重值;br、bz、bh為對應的偏置;Ur、Uz分別對應重置門、更新門對上一神經(jīng)元傳遞隱狀態(tài)數(shù)據(jù)所賦權重值;Uh為本神經(jīng)元輸出隱狀態(tài)對本神經(jīng)元內(nèi)隱狀態(tài)數(shù)據(jù)ht與上一神經(jīng)元傳遞隱狀態(tài)數(shù)據(jù)的Hadamard乘積所賦的權重值。以上參數(shù)均隨著模型的訓練而不斷進行更新[21]。

由于單向的GRU只能從一個方向讀取序列數(shù)據(jù),沒有充分考慮之后信息的影響,所以本文使用BiGRU代替GRU對網(wǎng)絡數(shù)據(jù)進行處理。

BiGRU由前向GRU與反向GRU結(jié)合生成,用于從正向和反向時間序列數(shù)據(jù)中學習,隱藏層包含著兩個具有相同輸入并連接至相同輸出的單元[22]。其中,一個處理前向時間序列,另一個處理后向時間序列,通過更好地學習特征來增加參與訓練的時間序列,從而為較長的時間序列數(shù)據(jù)提供更高的精度。

本文模型中的兩個BiGRU層的排列方式使每次迭代的內(nèi)核大小加倍。根據(jù)模型的設計,第一個BiGRU層以64個單位開始,下一個BiGRU層以128個單位開始。這種選擇的原因是為了提升模型的特征提取能力,同時加快模型的訓練速度。

2 融合WaveNet和BiGRU的網(wǎng)絡入侵檢測模型

傳統(tǒng)的入侵檢測算法,只能對當前時刻的攻擊行為進行檢測,對于持續(xù)時間較長的攻擊行為則束手無策,導致在迭代學習的進程中,會出現(xiàn)遺忘現(xiàn)象。

WaveNet與BiGRU對上述問題進行了解決,在時間序列處理方面取得了不錯的效果,但對兩者進行較為深入的分析,會發(fā)現(xiàn)其各自的弊端也相當明顯。其中,WaveNet的核心為擴大因果卷積,結(jié)構簡單,同時具有卷積核共享的特性,內(nèi)存占用量低,計算速度更快且易于疊加。但由于是單向結(jié)構,對于信息的提取不夠全面;同時作為CNN的變體,雖然對擴散率進行了加倍,感受野得到了擴張,但仍然受到限制,與LSTM和GRU還是相差不少[23]。BiGRU具有內(nèi)存,對于長時間序列數(shù)據(jù)的處理能力極強,但是結(jié)構較為復雜[24],計算量大,計算時間長。

將兩者進行結(jié)合,能夠?qū)烧叩膬?yōu)缺點進行互補,同時特征提取更為全面,即以較小的時間增長為代價,取得更高的準確率,從而獲得更優(yōu)化的效果。所以,本文采用WaveNet和BiGRU對時序性流量信息進行處理。

首先進行數(shù)據(jù)獨熱編碼和標準歸一化,之后使用WaveNet進行卷積操作,縮短長時間序列,提取網(wǎng)絡深層特征;同時進行最大池化和平均池化操作,并將提取到的不同特征進行融合作為池化輸出;經(jīng)過歸一化以及重構后傳入BiGRU網(wǎng)絡進行時間特征的深層提取,完成入侵檢測分類;最后選擇最適合本模型的超參數(shù),提升檢測性能。入侵檢測過程共包括預處理、特征提取與訓練、測試3個階段,模型結(jié)構如圖4所示。

圖4 融合WaveNet和BiGRU的模型結(jié)構示意圖Fig.4 Structure diagram of model integrating WaveNet and BiGRU

2.1 數(shù)據(jù)預處理

首先,采用one-hot編碼將NSL-KDD、UNSW-NB15以及CIC-IDS2017數(shù)據(jù)集中的字符串型的特征轉(zhuǎn)換成數(shù)值型[25]。經(jīng)過數(shù)值化處理之后,NSL-KDD數(shù)據(jù)集的特征維數(shù)增加到122維;UNSW-NB15數(shù)據(jù)集的特征維數(shù)增加到196維;CIC-IDS2017數(shù)據(jù)集無需轉(zhuǎn)換,仍為78維。最終,經(jīng)過處理之后的每一條網(wǎng)絡數(shù)據(jù)包分別包含122維、196維和78維特征屬性以及一維種類標簽。

數(shù)值化處理之后,判斷有無空值,若不存在空值,就對數(shù)據(jù)進行標準歸一化處理。本文所采用的歸一化方法為min-max歸一化,公式為

(3)

式中:x為將要歸一化的數(shù)值;Mmin為該維的最小數(shù)值;Mmax為該維的最大數(shù)值。

2.2 特征提取與訓練階段

在特征提取階段,本文模型使用將最大池化和平均池化進行并聯(lián)得到的融合池化層對深層特征進行提取,該層允許對參數(shù)進行基于樣本的離散化,以便識別相關特征,從而減少了訓練時間并防止了過擬合。同時，使用WaveNet對數(shù)據(jù)集的高層次特征進行學習,一維卷積池化操作使得模型能夠?qū)?shù)據(jù)的局部特征進行學習,并在高層網(wǎng)絡合并這些局部信息得到高級抽象特征,縮短長時間序列。之后使用雙向GRU層對數(shù)據(jù)集中長時間范圍的時間特征進行學習,采用Nadam優(yōu)化算法對網(wǎng)絡進行優(yōu)化,設置Dropout層緩解過擬合問題,并將這些結(jié)合起來傳給Softmax分類器對網(wǎng)絡中的攻擊進行分類。

本階段具體步驟如下。

步驟 1WaveNet特征處理

將經(jīng)過預處理的數(shù)據(jù)傳入WaveNet中,擴大卷積階段流程為

(4)

標準卷積處理流程為

(5)

式中:擴大卷積用符號l表示。對比式(4)和式(5),可以發(fā)現(xiàn),擴大卷積與標準卷積之間的區(qū)別是表示擴大因子的符號l,這會導致濾波器在卷積過程中跳過一個或多個點。

為優(yōu)化擴大卷積的使用,將殘差技術應用于模型。殘差塊輸出為

H(x)=f(x,{Wi})+x

(6)

式中:x為擴大卷積的輸入;f(x,{Wi})為殘差塊內(nèi)部單元的輸出。

殘差塊內(nèi)部單元為門控激活單元,分別使用tanh和sigmoid作為過濾門和學習門,用作激活函數(shù)。門控激活擴大卷積的輸出為

z=tanh(wf*x)⊙σ(wg*x)

(7)

式中:wf和wg分別表示tanh和sigmoid內(nèi)部與x相對應的權重系數(shù)。

對殘差塊進行堆疊,得到的輸出為

(8)

步驟 2池化融合與批量標準化處理

融合池化階段過程為

(9)

式中:h為上層網(wǎng)絡傳入融合池化層的輸入；hmax為最大池化輸出；havg為平均池化輸出；hfuse為將最大池化與平均池化并聯(lián)得到的輸出。

批量標準化計算過程如下所示。

批處理輸入:

B={x1,x2,…,xm}

(10)

計算批處理數(shù)據(jù)均值:

(11)

計算批處理數(shù)據(jù)方差:

(12)

規(guī)范化:

(13)

尺度變化和偏移:

(14)

步驟 3BiGRU特征處理

BiGRU處理過程如圖5所示。

圖5 BiGRU處理過程圖Fig.5 Processing diagram of BiGRU

相關公式為

(15)

步驟 4重復步驟2與步驟3。

最后,將上述網(wǎng)絡模型的輸出發(fā)送到分類器,用于網(wǎng)絡數(shù)據(jù)種類的劃分。

2.3 測試階段

模型訓練完成后,利用訓練好的模型對測試集進行分類得到預測類型。為了確保測試結(jié)果的可信度,本文使用k折交叉驗證方法對模型進行測試。

本文使用softmax函數(shù)來計算分類的結(jié)果概率,并將其與原始標簽進行比較。softmax的計算為

(16)

本文重點對多分類問題進行研究,softmax多分類計算公式為

(17)

3 實驗及結(jié)果分析

3.1 實驗設置

為了測試融合WaveNet和BiGRU的網(wǎng)絡入侵檢測方法的性能,本文設計以下實驗。

實驗 1模型的性能分析實驗。

實驗 2不同編碼方式對入侵檢測方法性能的影響實驗。

實驗 3不同池化方式對入侵檢測方法性能的影響實驗。

實驗 4性能對比實驗。

本實驗環(huán)境為64位Windows10操作系統(tǒng)的TensorFlow學習框架,計算機配置為AMD Ryzen 9 5900HX with Radeon Graphics 3.30 GHz,32 GB RAM。

經(jīng)過多輪對比實驗,確定模型參數(shù)設置如表1所示。

表1 模型參數(shù)設置

表1中,categorical_crossentropy損失函數(shù)為

(18)

3.2 數(shù)據(jù)集與實驗評價標準

本文提出的模型在3個數(shù)據(jù)集上進行了評估:NSL-KDD、UNSW-NB15以及CIC-IDS2017數(shù)據(jù)集。

NSL-KDD數(shù)據(jù)集對KDD99數(shù)據(jù)集進行了改進,在KDD99數(shù)據(jù)集的基礎上清除了訓練集和測試集中的冗余及重復數(shù)據(jù),使訓練集和測試集的設置更加合理,能夠得到更為準確的檢測率[26]。UNSW-NB15數(shù)據(jù)集發(fā)布于2015年,在一定程度上克服了KDD99數(shù)據(jù)集的局限性,是一種綜合性的網(wǎng)絡攻擊流量數(shù)據(jù)集,被廣泛應用于異常入侵檢測領域[27]。CIC-IDS2017數(shù)據(jù)集來源于2017年7月3日～7日加拿大網(wǎng)絡安全研究所對于網(wǎng)絡數(shù)據(jù)的采集[28],包含網(wǎng)絡入侵領域中良性以及最新的常見攻擊,填補了UNSW-NB15數(shù)據(jù)集中沒有基于網(wǎng)絡攻擊的空白。

本文主要對上述3個數(shù)據(jù)集進行多類別攻擊預測。在NSL-KDD數(shù)據(jù)集中,分別為正常流量、拒絕服務攻擊、端口攻擊、提權攻擊、遠程用戶攻擊5種類型。在UNSW-NB15數(shù)據(jù)集中,分別為正常normal、dos、exploits、generic、conservation、worms、shellcode、analysis、backdoor和fuzzer 10種類型。在CIC-IDS2017數(shù)據(jù)集中共存在15種類型,將其中異常攻擊性質(zhì)相近的進行合并,比如將數(shù)據(jù)集中的3種網(wǎng)絡攻擊合并為網(wǎng)絡攻擊類型,最終數(shù)據(jù)集共擁有BENIGN(正常流量)、DoS、portscan、ddos、patator、bot、web attack、infiltration和heartbleed 9種流量類型。

對比實驗采用分類準確率(Accuracy)、精確率(Precision)、召回率(Recall)和F1-score判斷模型分類效果。令TP表示預測正確的樣本數(shù),FP表示錯誤將其他種類識別為本類的樣本數(shù),TN表示正確將其他類預測為其他種類的樣本數(shù),FN表示錯誤將本類預測為其他種類的樣本數(shù)。

Accuracy表示分類器對整個樣本判斷正確的比重,計算公式如下:

(19)

Precision表示被分類器判定為正例中的正樣本的比重,計算公式如下:

(20)

Recall表示被預測為正例的樣本數(shù)占總的正例樣本的比重,計算公式如下:

(21)

F1-score是Precision和Recall加權平均,用于綜合Precision和Recall的評分,計算公式如下:

(22)

3.3 實驗結(jié)果與分析

3.3.1 模型性能分析實驗

為驗證本文提出的模型對于網(wǎng)絡入侵行為的檢測效果,本節(jié)對融合WaveNet和BiGRU的網(wǎng)絡入侵檢測方法設置性能分析實驗:使用k折交叉驗證的方法對本文模型在3個數(shù)據(jù)集上的多項指標進行測試,得到本文模型在NSL-KDD、UNSW-NB15和CIC-IDS2017數(shù)據(jù)集上的多分類準確率、F1-score值以及數(shù)據(jù)集中每種類型的檢測精確率隨k值變化產(chǎn)生的變化趨勢如圖6～圖10所示。

圖6 準確率變化圖Fig.6 Change diagram of accuracy

圖7 F1-score變化圖Fig.7 Change diagram of F1-score

圖8 NSL-KDD各種類檢出率變化圖Fig.8 NSL-KDD variable class detection rate map

圖9 UNSW-NB15各種類檢出率變化圖Fig.9 UNSW-NB15 variable class detection rate map

圖10 CIC-IDS2017各種類檢出率變化圖Fig.10 CIC-IDS2017 variable class detection rate map

由圖6和圖7可知,經(jīng)過k值由2～10的檢驗,NSL-KDD、UNSW-NB15以及CIC-IDS2017數(shù)據(jù)集的準確率、F1-score值均隨著k值的增大而增大。這是由于隨著k值的增大,數(shù)據(jù)集的劃分會越來越多,作為訓練集的數(shù)據(jù)也就隨著增多。參與訓練的數(shù)據(jù)越多,最終得到的測試準確率等評價指標也就隨之得到提升。

NSL-KDD數(shù)據(jù)集多分類的最佳準確率為k=10時的99.62%,最佳F1分數(shù)為k=10時的99.4%;而UNSW-NB15數(shù)據(jù)集多分類的最佳準確率及最佳F1分數(shù)同樣在k=10時取得,分別為83.98%和83.80%。同樣,CIC-IDS2017數(shù)據(jù)集多分類的最優(yōu)效果也在k=10時取得,均為99.86%?？梢缘贸鼋Y(jié)論,在k=10時,本文模型就已取得較好的多分類效果,而隨著折疊次數(shù)的增加,每個攻擊或正常種類的樣本數(shù)也將增多,因此模型將能夠更好地對其進行分類。

由圖8～圖10可知,本文提出的模型能夠準確地對數(shù)據(jù)集中的正常及大多數(shù)攻擊種類進行識別,檢出率均大于80%,但對于NSL-KDD數(shù)據(jù)集中的遠程用戶攻擊以及UNSW-NB15和CIC-IDS2017數(shù)據(jù)集中的個別攻擊種類檢出率較低,分析其原因為數(shù)據(jù)集分布不均,部分攻擊種類數(shù)據(jù)量過少,導致訓練不充分,從而檢出率較低,之后可通過對數(shù)據(jù)集進行處理或者使用效果更好的分類器的方法進行解決。

本文模型能夠在3個數(shù)據(jù)集上取得上述實驗結(jié)果,是由于模型將WaveNet和BiGRU進行結(jié)合,能夠最大程度上對數(shù)據(jù)的時間序列特征進行提取。同時，使用最大、平均池化輸出并聯(lián)的融合池化,將提取出的不同特征進行融合作為池化層的輸出。相較于單一池化層,能夠更加全面的提取特征。最后，使用Nadam優(yōu)化器以及Categorical_crossentropy損失函數(shù)對模型的超參數(shù)進行優(yōu)化,達到模型的最佳檢測性能。

3.3.2 不同編碼方式對入侵檢測方法性能的影響實驗

由于深度學習只能對數(shù)值型數(shù)據(jù)進行處理,所以需要將數(shù)據(jù)集中的字符串型數(shù)據(jù)轉(zhuǎn)化成數(shù)值型數(shù)據(jù)。目前，常見的數(shù)值化方法共有兩種,分別為獨熱編碼和標簽編碼。為驗證選用獨熱編碼對數(shù)據(jù)進行預處理的科學性與優(yōu)越性,本節(jié)設置了不同編碼方式對入侵檢測性能影響的對比實驗。在相同實驗條件下,分別對數(shù)據(jù)集使用不同編碼方式進行數(shù)值化處理,傳入本文模型中,得到的檢測準確率如表2所示。

表2 不同編碼方式下的準確率

由表2可知,采用獨熱編碼方式對數(shù)據(jù)集中的字符串型特征進行數(shù)值化,檢測的準確率要稍高于采用標簽編碼方式。原因在于,標簽編碼將特征轉(zhuǎn)化成了連續(xù)的數(shù)值,即對不連續(xù)的特征進行了編號,這就導致特征之間出現(xiàn)了大小關系,也就產(chǎn)生了偏序性,對分類效果產(chǎn)生了一定的影響,而獨熱編碼將離散特征的取值擴展到了歐式空間,使特征之間的距離都保持一致,解決了上述存在的問題,提高了檢測的準確率,所以本文使用獨熱編碼方式對數(shù)據(jù)進行預處理。

3.3.3 不同池化方式對入侵檢測方法性能的影響實驗

為解決模型提取特征能力不足的問題,本文提出一種同時對數(shù)據(jù)進行平均池化與最大池化并進行并聯(lián)的池化融合方法。為驗證本文提出的池化融合方法的有效性,本節(jié)設置了不同池化方式對入侵檢測性能影響的對比實驗:模型分別采用平均池化、最大池化、池化融合3種不同的方案,在3種方案情況下,NSL-KDD數(shù)據(jù)集、UNSW-NB15數(shù)據(jù)集和CIC-IDS2017數(shù)據(jù)集的多分類檢測準確率如表3所示。

表3 不同池化方式下的準確率

由表3可知,與單獨進行平均池化或最大池化的方案相比,采用池化融合的方法能夠更高地檢測準確率。原因在于,平均池化能夠?qū)Π忠饬x的特征進行提取,而最大池化提取到的特征帶有一定的局部意義的特征,使用這兩種方式提取到的特征具有很大的區(qū)別。通過采用池化融合的方法將兩種不同的特征進行結(jié)合,互相進行補充,就能夠更好地對網(wǎng)絡攻擊數(shù)據(jù)的本質(zhì)進行反映,從而得到更高的識別準確率。本實驗證明了本文所設計的池化融合方法能夠在很大程度上對模型提取特征的能力進行提升。

3.3.4 性能對比實驗

為進一步驗證融合WaveNet和BiGRU的網(wǎng)絡入侵檢測方法的綜合性能,設置性能對比實驗。

在相同實驗條件下,對決策樹[29]、隨機森林[30]、K均值聚類算法等常用的機器學習方法,以及近期提出的神經(jīng)網(wǎng)絡改進算法GRU-RNN[31]和CNN-BiLSTM[32]根據(jù)其論文描述及參數(shù)設置進行模型復現(xiàn),并分別應用到3個數(shù)據(jù)集上進行實驗,其性能表現(xiàn)如表4～表6所示。

表4 NSL-KDD多分類比較

表5 UNSW-NB15多分類比較

表6 CIC-IDS2017多分類比較

由表4～表6可知,本文所提出的模型幾乎在所有指標上都能夠取得更好的性能,包括準確率、精確率、召回率以及綜合評價指標。其原因在于,與隨機森林、決策樹等機器學習方法相比,本文模型使用深度神經(jīng)網(wǎng)絡對數(shù)據(jù)集進行學習。由于神經(jīng)網(wǎng)絡具有很強的非線性擬合能力,可對任意復雜的非線性關系進行映射,所以本模型的特征提取能力更強,識別準確率更高;與GRU_RNN和CNN-BiLSTM相比,本文模型采用WaveNet與池化融合的方法進行特征提取,提取到的特征信息更全面,且WaveNet克服了一般卷積操作的局限性,對當前時刻數(shù)據(jù)特征進行提取時不會受到未來數(shù)據(jù)的影響,從而可信度更高,多分類效果更好。

在上述比較中,與本文模型的性能最為接近的模型為CNN-BiLSTM以及GRU_RNN模型,均為LSTM或者GRU網(wǎng)絡的改進型,說明該類型算法在網(wǎng)絡入侵檢測領域具有較好的應用前景,有進行深入研究的價值。

4 結(jié) 論

為解決一般入侵檢測算法特征提取效果不好以及多分類準確率不高的問題,本文提出了一種融合WaveNet和BiGRU的網(wǎng)絡入侵檢測方法。該方法將WaveNet和BiGRU進行了結(jié)合,同時對池化層進行了改進。最后通過在數(shù)據(jù)集上進行的性能分析實驗、編碼方式影響實驗、池化方式影響實驗以及對比實驗證明了模型在處理大規(guī)模高維網(wǎng)絡數(shù)據(jù)時具有較強的特征提取能力、較高的檢測準確率以及較低的誤報率,為IDS提供了有希望的前瞻性實時應用。但是,本模型并沒有很好地解決數(shù)據(jù)集中數(shù)據(jù)不平衡的問題,對于數(shù)據(jù)集中數(shù)量較少的一些攻擊種類不能準確地進行檢出。下一步將重點針對這一問題,在數(shù)據(jù)集的處理方式以及分類器的搭建上進行研究,尋求解決問題的方法。