基于ADASYN與改進(jìn)殘差網(wǎng)絡(luò)的入侵流量檢測(cè)識(shí)別

唐璽博, 張立民, 鐘兆根

(1. 海軍航空大學(xué)信息融合研究所, 山東 煙臺(tái) 264001; 2. 海軍航空大學(xué)航空基礎(chǔ)學(xué)院, 山東 煙臺(tái) 264001)

0 引 言

入侵檢測(cè)是指在計(jì)算機(jī)及數(shù)據(jù)網(wǎng)絡(luò)正常開(kāi)放運(yùn)行的同時(shí),對(duì)其進(jìn)行的一種安全監(jiān)測(cè)和保障。入侵檢測(cè)的目標(biāo)是實(shí)時(shí)識(shí)別系統(tǒng)內(nèi)部人員及外部入侵人員對(duì)計(jì)算機(jī)系統(tǒng)未經(jīng)授權(quán)的使用[1]。迅速發(fā)展的互聯(lián)網(wǎng)技術(shù)在給予人們便利生活的同時(shí),也使得計(jì)算機(jī)系統(tǒng)面臨著惡意攻擊、網(wǎng)絡(luò)病毒等安全威脅,這使得入侵檢測(cè)技術(shù)日益成為保證網(wǎng)絡(luò)信息安全的重要技術(shù)手段。目前,與防火墻等傳統(tǒng)網(wǎng)絡(luò)防御技術(shù)相比,網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(network intrusion detection system, NIDS)能夠更好地對(duì)網(wǎng)絡(luò)異常流量進(jìn)行檢測(cè)識(shí)別,從而防止網(wǎng)絡(luò)受到可能的入侵,以確保其機(jī)密性、完整性和可用性[2]。

隨著互聯(lián)網(wǎng)技術(shù)的巨大發(fā)展,網(wǎng)絡(luò)節(jié)點(diǎn)與規(guī)模在全球范圍內(nèi)迅速擴(kuò)張,網(wǎng)絡(luò)需處理的數(shù)據(jù)信息量呈爆炸式增長(zhǎng),同時(shí)大量新出現(xiàn)的協(xié)議均使用動(dòng)態(tài)端口分配技術(shù),端口易被重定向,這使傳統(tǒng)的流量監(jiān)測(cè)技術(shù)如基于端口的流量檢測(cè)方法[3]對(duì)于入侵流量的檢測(cè)效果較差。為了有效滿足入侵檢測(cè)技術(shù)的需求,人們廣泛嘗試采用機(jī)器學(xué)習(xí)與深度學(xué)習(xí)技術(shù)對(duì)網(wǎng)絡(luò)流量進(jìn)行處理。其中,基于機(jī)器學(xué)習(xí)的入侵檢測(cè)系統(tǒng)需依靠特征工程對(duì)網(wǎng)絡(luò)流量進(jìn)行特征的篩選與剔除,從而實(shí)現(xiàn)對(duì)入侵流量的特征學(xué)習(xí)以完成檢測(cè)識(shí)別。文獻(xiàn)[4]提出基于支持向量機(jī)的螞蟻系統(tǒng)(ant system with support vector machine, ASVM)模型,采用蟻群算法對(duì)特征進(jìn)行過(guò)濾選擇,而后利用支持向量機(jī)(support vector machine, SVM)對(duì)縮減的特征集進(jìn)行訓(xùn)練和測(cè)試,在規(guī)范化的KDD99數(shù)據(jù)集上對(duì)正常流量與入侵流量進(jìn)行二分類(lèi)的準(zhǔn)確率達(dá)到84.28%。文獻(xiàn)[5]提出一種自學(xué)習(xí)入侵檢測(cè)系統(tǒng)對(duì)數(shù)據(jù)集進(jìn)行特征學(xué)習(xí)和降維,提升了SVM對(duì)攻擊的預(yù)測(cè)精度,在NSL-KDD數(shù)據(jù)集進(jìn)行流量監(jiān)測(cè)分類(lèi)實(shí)驗(yàn)，其二分類(lèi)準(zhǔn)確率達(dá)到84.96%,五分類(lèi)準(zhǔn)確率達(dá)到80.48%。文獻(xiàn)[6]提出一種自適應(yīng)集成學(xué)習(xí)模型,通過(guò)構(gòu)造多決策樹(shù)以提升入侵檢測(cè)性能,在NSL-KDD數(shù)據(jù)集的檢測(cè)準(zhǔn)確率達(dá)到85.2%。機(jī)器學(xué)習(xí)技術(shù)在網(wǎng)絡(luò)流量監(jiān)測(cè)上的應(yīng)用廣泛,但依賴于特征降維和篩選,對(duì)于原始形式的自然數(shù)據(jù)處理能力有限,需要利用其他方法先對(duì)數(shù)據(jù)集進(jìn)行特征預(yù)處理,否則難以對(duì)入侵流量達(dá)到較好的識(shí)別效果。同時(shí),上述機(jī)器學(xué)習(xí)技術(shù)提出的模型存在識(shí)別準(zhǔn)確率較低、泛化性不強(qiáng)的問(wèn)題。

深度學(xué)習(xí)通過(guò)對(duì)非線性模塊的組合應(yīng)用,能夠?qū)W習(xí)高維數(shù)據(jù)中的復(fù)雜結(jié)構(gòu)[7],因此具備處理原始數(shù)據(jù)集的能力,無(wú)需采用其他算法構(gòu)建特征處理器。文獻(xiàn)[8]提出多卷積層的雙向長(zhǎng)短時(shí)記憶與注意機(jī)制(bi-directional long short-term memory and attention mechanism with multiple convolutional layers, BAT-MC)模型,結(jié)合了雙向長(zhǎng)短時(shí)記憶(bi-directional long short term memory, BLSTM)和注意機(jī)制,采用卷積層對(duì)數(shù)據(jù)集進(jìn)行處理,能夠自動(dòng)完成網(wǎng)絡(luò)流量層次結(jié)構(gòu)的學(xué)習(xí),在NSL-KDD數(shù)據(jù)集上進(jìn)行流量檢測(cè)分類(lèi)實(shí)驗(yàn)，其五分類(lèi)準(zhǔn)確率為84.25%。文獻(xiàn)[9]提出一種基于長(zhǎng)短時(shí)記憶(long short term memory, LSTM)與改進(jìn)殘差網(wǎng)絡(luò)優(yōu)化的異常流量檢測(cè)方法,提高了LSTM層的特征適應(yīng)性,在NSL-KDD與來(lái)自Fsecrurify開(kāi)源網(wǎng)站應(yīng)用防火墻(Web application fivewall, WAF)混合數(shù)據(jù)集上二分類(lèi)和五分類(lèi)的準(zhǔn)確率分別為92.3%和89.3%。文獻(xiàn)[10]提出一種帶邏輯回歸的稀疏自動(dòng)編碼器,通過(guò)堆疊自動(dòng)編碼器創(chuàng)建深度網(wǎng)絡(luò),在NSL-KDD數(shù)據(jù)集二分類(lèi)準(zhǔn)確率達(dá)到84.6%。文獻(xiàn)[11]提出一種基于自動(dòng)編碼器和變分自動(dòng)編碼器及單類(lèi)支持向量機(jī)(one-class support vector machine, OCSVM)的半監(jiān)督深度學(xué)習(xí)入侵檢測(cè)方法,對(duì)CICIDS2017數(shù)據(jù)集進(jìn)行檢測(cè)識(shí)別,結(jié)果顯示變分自編碼器(variational auto-encoder, VAE)的分類(lèi)效果最佳,接受者操作特性曲線(receiver operating characteristic curve, ROC)下面積值(area under the curve of ROC, AUC)達(dá)到0.759 6。

上述模型相比于機(jī)器學(xué)習(xí)方法,在識(shí)別準(zhǔn)確率上均有所提升,但仍具備提升空間。大部分研究對(duì)于數(shù)據(jù)都未進(jìn)行合理的預(yù)處理,尤其對(duì)于不平衡數(shù)據(jù)集,直接采用歸一化處理,這直接導(dǎo)致神經(jīng)網(wǎng)絡(luò)忽略對(duì)小樣本的特征學(xué)習(xí),進(jìn)而導(dǎo)致小樣本的識(shí)別率低下,特征選擇出現(xiàn)偏差,泛化性不強(qiáng)?；谝陨蠁?wèn)題,本文采用了自適應(yīng)合成(adaptive synthetic, ADASYN)采樣方法在預(yù)處理階段對(duì)NSL-KDD數(shù)據(jù)集中的小樣本數(shù)據(jù)(如來(lái)自遠(yuǎn)程主機(jī)的未授權(quán)訪問(wèn)(unauthorized access from a remote machine to a local machine, R2L)、未授權(quán)的本地超級(jí)用戶特權(quán)訪問(wèn)(unauthorized access to local superuser privileges by a local unprivileged user, U2R)類(lèi)型)進(jìn)行過(guò)采樣,使經(jīng)過(guò)上采樣之后的攻擊類(lèi)型流量及正常流量在數(shù)據(jù)集中各自占比相差不大,將不平衡數(shù)據(jù)集采樣成為平衡數(shù)據(jù)集,再輸入到深度學(xué)習(xí)網(wǎng)絡(luò)中使神經(jīng)網(wǎng)絡(luò)能夠?qū)?種流量類(lèi)型都進(jìn)行充分的學(xué)習(xí),避免小樣本的數(shù)據(jù)特征被淹沒(méi)在數(shù)據(jù)集中。采用改進(jìn)的殘差網(wǎng)絡(luò)作為訓(xùn)練模型,有效地解決了常用深度學(xué)習(xí)網(wǎng)絡(luò)在訓(xùn)練過(guò)程中出現(xiàn)的過(guò)擬合以及梯度消失的問(wèn)題,并且在二分類(lèi)及多分類(lèi)的情況下,均取得了較高的分類(lèi)準(zhǔn)確率,在精確率、召回率等指標(biāo)上誤報(bào)率低,具備較強(qiáng)的泛化性,有較高的工程應(yīng)用價(jià)值。

1 入侵流量檢測(cè)模型與處理

本節(jié)介紹卷積神經(jīng)網(wǎng)絡(luò)(convolutional neural networks, CNN)等網(wǎng)絡(luò)。

1.1 CNN

CNN是由卷積層、池化層以及全連接層等通過(guò)交叉堆疊構(gòu)成的一種前饋神經(jīng)網(wǎng)絡(luò)。CNN具有局部連接、權(quán)重共享的特性,與全連接的網(wǎng)絡(luò)相比使用的參數(shù)更少,并在一定程度上具有平移、縮放和旋轉(zhuǎn)不變性[12]?；窘Y(jié)構(gòu)是包含卷積層、池化層、全連接層等。

卷積層的作用是依照卷積核的大小對(duì)圖像進(jìn)行相應(yīng)的局部特征提取。卷積層的神經(jīng)元是一維的,但是一維的卷積層難以對(duì)二維圖像進(jìn)行特征提取。為了提高圖像區(qū)域信息的利用率,卷積層的神經(jīng)元通常搭建為三維結(jié)構(gòu),其大小為高度M×寬度N×深度D,由D個(gè)M×N大小的特征映射構(gòu)成。如果特征映射的圖像為彩色圖像,則輸入層深度D=3;如果輸入為灰度圖像,則輸入層深度D=1。本文將協(xié)議數(shù)據(jù)處理成二維矩陣后,即相當(dāng)于灰度圖像輸入。卷積層的運(yùn)算過(guò)程可表示為

(1)

式中:Wp為卷積核;X為輸入特征映射;bp為標(biāo)量偏置;f(·) 為非線性激活函數(shù);Yp為輸出特征映射。卷積層通過(guò)對(duì)輸入特征進(jìn)行卷積運(yùn)算并引入非線性,從而實(shí)現(xiàn)局部特征的提取。

池化層能夠有效減少網(wǎng)絡(luò)中神經(jīng)節(jié)點(diǎn)的數(shù)量,對(duì)局部連接產(chǎn)生的大量特征信息進(jìn)行采樣,對(duì)高維數(shù)據(jù)進(jìn)行降維,方法包括進(jìn)行最大池化和平均池化,通過(guò)對(duì)特征信息進(jìn)行據(jù)合同及處理,可以降低算法運(yùn)行耗時(shí),保留重要特征信息,防止訓(xùn)練產(chǎn)生過(guò)擬合現(xiàn)象。全連接層一般處于交替堆疊的卷積層和池化層之后,一般有0～2層,作用是調(diào)整特征輸出數(shù)量,神經(jīng)元數(shù)等于分類(lèi)數(shù)。

1.2 LSTM網(wǎng)絡(luò)

循環(huán)神經(jīng)網(wǎng)絡(luò)(recurrent neural network, RNN)具備短期記憶能力,對(duì)于處理具有序列關(guān)系的信息十分有效。但是當(dāng)輸入序列比較長(zhǎng)時(shí),將出現(xiàn)梯度爆炸或梯度消失的問(wèn)題,即長(zhǎng)程依賴問(wèn)題[13]。LSTM網(wǎng)絡(luò)通過(guò)引入門(mén)控機(jī)制的方法來(lái)解決此問(wèn)題,通過(guò)信息的有用程度進(jìn)行權(quán)重確定,包括向神經(jīng)元中引入新信息、遺忘、輸出的權(quán)重,以此來(lái)控制信息的累積速度。LSTM網(wǎng)絡(luò)引入了3種門(mén),分別是輸入門(mén)it、遺忘門(mén)ft、輸出門(mén)ot。其中,ft表示上一個(gè)時(shí)刻的內(nèi)部狀態(tài)遺忘信息權(quán)重;it表示當(dāng)前時(shí)刻候選狀態(tài)保存信息權(quán)重;ot表示當(dāng)前時(shí)刻輸出給外部狀態(tài)信息權(quán)重。3個(gè)門(mén)均以一定比例允許信息通過(guò),其計(jì)算方式為

(2)

圖1 LSTM網(wǎng)絡(luò)的循環(huán)單元結(jié)構(gòu)圖

LSTM單元可以使網(wǎng)絡(luò)建立一種長(zhǎng)時(shí)序依賴關(guān)系,各計(jì)算狀態(tài)為

(3)

(4)

ht=ot⊙tanh(ct)

(5)

式中:⊙表示向量元素相乘。

1.3 殘差神經(jīng)網(wǎng)絡(luò)

在深度學(xué)習(xí)網(wǎng)絡(luò)中,層數(shù)越多,對(duì)數(shù)據(jù)特征的提取就會(huì)越細(xì)致全面,但當(dāng)深層次的網(wǎng)絡(luò)收斂時(shí)再增加網(wǎng)絡(luò)層數(shù),神經(jīng)網(wǎng)絡(luò)將會(huì)出現(xiàn)退化現(xiàn)象:隨著網(wǎng)絡(luò)的深度不斷增加,網(wǎng)絡(luò)訓(xùn)練的精度先上升達(dá)到飽和,然后出現(xiàn)下降。這種現(xiàn)象不是由過(guò)擬合產(chǎn)生,而是因?yàn)槎嘤嗟木W(wǎng)絡(luò)對(duì)非恒等映射的參數(shù)進(jìn)行學(xué)習(xí)造成的。而殘差神經(jīng)網(wǎng)絡(luò)通過(guò)在深層網(wǎng)絡(luò)中增加跳躍連接,構(gòu)成殘差塊,能夠起到優(yōu)化訓(xùn)練、解決退化問(wèn)題的效果。殘差塊的結(jié)構(gòu)如圖2所示。

圖2 殘差塊結(jié)構(gòu)

將期望的底層映射設(shè)為H(x),將堆疊的非線性層擬合的映射表示為F(x)。此時(shí)映射關(guān)系為

H(x)=F(x)+x

(6)

式中:x為輸入;F(x)為殘差函數(shù)。由文獻(xiàn)[14]可知,當(dāng)H(x)為恒等映射時(shí),信號(hào)可由一個(gè)單元直接傳遞到其他任何單元,此時(shí)模型的訓(xùn)練損失和測(cè)試誤差達(dá)到最小。在恒等映射為算法參數(shù)最優(yōu)的情況下,相比于用堆疊非線性層來(lái)擬合恒等映射,令殘差函數(shù)F(x)為0來(lái)構(gòu)造恒等映射更加容易,算法難度更低[15]。

殘差網(wǎng)絡(luò)采用恒等變換和跳躍連接的方式解決了深度學(xué)習(xí)網(wǎng)絡(luò)的層數(shù)退化問(wèn)題,跳躍連接保護(hù)了信息的完整性,網(wǎng)絡(luò)只需學(xué)習(xí)輸入與輸出的差別部分,復(fù)雜度降低;恒等變換有效拓展了網(wǎng)絡(luò)深度,能夠避免因?yàn)樯疃仍黾訉?dǎo)致的梯度消失和訓(xùn)練難度提升,隨著層數(shù)增加,殘差網(wǎng)絡(luò)的性能不會(huì)下降,而是會(huì)有一定程度的提升[16],這提升了網(wǎng)絡(luò)的性能與可遷移性。

1.4 不平衡數(shù)據(jù)集及處理方法

不平衡數(shù)據(jù)集指各個(gè)類(lèi)別數(shù)據(jù)的樣本數(shù)目相差巨大的數(shù)據(jù)集。以二分類(lèi)問(wèn)題為例,假設(shè)數(shù)據(jù)集為Q,S1和S2為數(shù)據(jù)子集,且S1∪S2=Q、S1∩S2=?,此時(shí)可通過(guò)不平衡比率IBR=S1/S2的取值來(lái)界定數(shù)據(jù)集的不平衡程度。IBR的取值越接近1,則不平衡程度越小;IBR的取值越接近0和∞,則不平衡程度越大[17]。

訓(xùn)練集數(shù)據(jù)不平衡是實(shí)際應(yīng)用問(wèn)題中的常見(jiàn)情況,例如在信用欺詐交易識(shí)別中,所收集的數(shù)據(jù)絕大部分是正常交易,只有極少數(shù)交易是不正常的。在二分類(lèi)數(shù)據(jù)集中,若樣本比例大于10∶1,則很難建立起有效的深度學(xué)習(xí)分類(lèi)器,大部分算法將忽略少數(shù)數(shù)據(jù)集的特征數(shù)據(jù),而大多數(shù)的不平衡數(shù)據(jù)集的少數(shù)樣本才是數(shù)據(jù)集的關(guān)鍵樣本,此時(shí)準(zhǔn)確率這一評(píng)價(jià)指標(biāo)將失效。

對(duì)于不平衡數(shù)據(jù)集的處理方法,可以采用擴(kuò)充數(shù)據(jù)集、重采樣、屬性值隨機(jī)采樣等手段對(duì)數(shù)據(jù)集進(jìn)行改善。在固定使用NSL-KDD數(shù)據(jù)集的情況下,難以在相同情況下進(jìn)行數(shù)據(jù)集的擴(kuò)充;重采樣可以分為過(guò)采樣與欠采樣,過(guò)采樣即對(duì)小類(lèi)樣本進(jìn)行上采樣,使采樣個(gè)數(shù)大于樣本個(gè)數(shù),欠采樣則是減少大類(lèi)樣本的個(gè)數(shù),采樣算法容易實(shí)現(xiàn),但可能會(huì)增大模型偏差,并對(duì)于不同類(lèi)別的數(shù)據(jù)需要采用不同的比例;屬性值隨機(jī)采樣在樣本的每個(gè)屬性空間都隨機(jī)取值組合成為一個(gè)新樣本,能夠有效增加小樣本的數(shù)量,但引入隨機(jī)性易打破樣本原有的線性關(guān)系,并且需要增設(shè)限定條件以防產(chǎn)生現(xiàn)實(shí)中不存在的數(shù)據(jù)。

2 基于ADASYN與改進(jìn)殘差網(wǎng)絡(luò)(residual network, ResNet)的入侵流量檢測(cè)模型

2.1 數(shù)據(jù)集分析與采樣

1999年舉辦的KDD杯數(shù)據(jù)挖掘工具競(jìng)賽以收集流量記錄為目的,以建立一個(gè)可區(qū)分攻擊流量和正常流量的網(wǎng)絡(luò)入侵檢測(cè)模型,大量互聯(lián)網(wǎng)流量記錄被KDD99數(shù)據(jù)集收錄,該數(shù)據(jù)集包括了41個(gè)特征指標(biāo),共5類(lèi)數(shù)據(jù)[18],而后經(jīng)過(guò)新布倫瑞克大學(xué)進(jìn)行修訂和清理產(chǎn)生了NSL-KDD數(shù)據(jù)集[19]。相比于KDD99數(shù)據(jù)集,NSL-KDD數(shù)據(jù)集訓(xùn)練集中不含冗余記錄,測(cè)試集中無(wú)重復(fù)數(shù)據(jù)[20],對(duì)于算法性能的檢測(cè)更加準(zhǔn)確,訓(xùn)練集和測(cè)試集的數(shù)據(jù)量設(shè)置合理,無(wú)需進(jìn)行篩選和選擇,更適合作為入侵流量檢測(cè)模型的訓(xùn)練數(shù)據(jù)集。

NSL-KDD數(shù)據(jù)集由正常流量及4種攻擊流量組成,攻擊流量類(lèi)型分別為:DoS、Probing、R2L、U2R。每種攻擊類(lèi)型下又細(xì)分有若干小類(lèi)別的攻擊流量,為了統(tǒng)計(jì)識(shí)別便利,采用數(shù)據(jù)集給出的5個(gè)大類(lèi)進(jìn)行分類(lèi)識(shí)別。測(cè)試集的部分流量屬于未在訓(xùn)練集中出現(xiàn)的小類(lèi)別,將這一部分流量進(jìn)行剔除。本文采用數(shù)據(jù)集的KDDTrain+作為訓(xùn)練集,KDDTest+作為測(cè)試集,各數(shù)據(jù)類(lèi)型的分布如表1所示[21]。

表1 各類(lèi)型數(shù)據(jù)分布

由表1可知,訓(xùn)練集和測(cè)試集都存在明顯的數(shù)據(jù)不平衡現(xiàn)象,最小的樣本僅占比0.04%,樣本比例高達(dá)1 336.5∶1,需要對(duì)數(shù)據(jù)集進(jìn)行平衡化的處理。R2L數(shù)據(jù)的特點(diǎn)在于,測(cè)試集的數(shù)量大于訓(xùn)練集數(shù)量,這說(shuō)明檢測(cè)模型在訓(xùn)練集上將難以充分學(xué)習(xí)R2L的特征并在測(cè)試集中準(zhǔn)確分類(lèi)?；谝陨蠁?wèn)題,本文采用ADASYN方法進(jìn)行升采樣,對(duì)訓(xùn)練集中的小樣本數(shù)據(jù)進(jìn)行擴(kuò)充。ADASYN算法步驟如下[22]。

步驟 1數(shù)據(jù)集小樣本選擇,對(duì)Normal、DoS、Probing、R2L、U2R進(jìn)行樣本編號(hào),將小樣本數(shù)據(jù)相加得到總數(shù)ms,大樣本數(shù)據(jù)數(shù)量為ml。

步驟 2計(jì)算樣本間的不平衡程度d=ms/ml,其中d

步驟 3計(jì)算待合成的樣本Q=β(ml-ms),其中參數(shù)β∈(0,1],表示新樣本的不平衡程度。

步驟 6合成新樣本,對(duì)于小樣本的n維向量xi的k個(gè)鄰近樣本中隨機(jī)選取一個(gè)小樣本xzi,新合成樣本為:Li=xi+λ(xzi-xi),其中λ∈(0,1]為隨機(jī)數(shù)。

2.2 殘差網(wǎng)絡(luò)構(gòu)建

和CNN一次僅進(jìn)行一種尺寸的卷積核運(yùn)算相比,Inception模塊使用多尺寸卷積,有1×1,3×3和5×5共3種卷積核[23],能夠同時(shí)進(jìn)行多個(gè)卷積路徑,增加了網(wǎng)絡(luò)的寬度,可以使網(wǎng)絡(luò)同時(shí)對(duì)稀疏和非稀疏特征進(jìn)行學(xué)習(xí),獲得一個(gè)強(qiáng)相關(guān)的特征集合。而添加了殘差網(wǎng)絡(luò)的Inception網(wǎng)絡(luò),通過(guò)跳躍連接使Inception塊得到簡(jiǎn)化,并加深了網(wǎng)絡(luò)層數(shù)[24],獲得了更好的泛化性和準(zhǔn)確度。文章引入Inception-ResNet的部分模塊,并針對(duì)NSL-KDD數(shù)據(jù)集對(duì)參數(shù)進(jìn)行優(yōu)化改進(jìn),構(gòu)建進(jìn)行分類(lèi)識(shí)別的殘差網(wǎng)絡(luò)模型,圖3為模型結(jié)構(gòu)示意圖。

圖3 改進(jìn)殘差網(wǎng)絡(luò)結(jié)構(gòu)

Stem模塊由卷積層和池化層堆疊構(gòu)成,在Inception模塊之前引入,能夠加深網(wǎng)絡(luò)結(jié)構(gòu),擴(kuò)充數(shù)據(jù)維數(shù)。卷積層采用padding=same形式,濾波器數(shù)量標(biāo)注在卷積層的括號(hào)中。Stem結(jié)構(gòu)如圖4所示。

圖4 Stem模塊結(jié)構(gòu)

Inception-ResNet-A模塊的主要作用是提取淺層特征信息,輸入特征尺寸為11×11,所有卷積核都采用padding=same形式,1×1卷積核的作用為調(diào)整濾波器輸出維數(shù),以減少計(jì)算復(fù)雜度、匹配輸入和輸出維度。Inception-ResNet-A結(jié)構(gòu)如圖5所示。

圖5 Inception-ResNet-A模塊結(jié)構(gòu)

特征降維Reduction模塊也是由Inception模塊修改而來(lái),在其基礎(chǔ)上減少了卷積運(yùn)算,增加池化運(yùn)算。相比于單獨(dú)的池化層,并行的卷積運(yùn)算能夠引入額外的特征以彌補(bǔ)池化壓縮維度的過(guò)程中丟失的特征信息。Reduction-A模塊的輸入尺寸為11×11,輸出尺寸為5×5,運(yùn)算模塊中標(biāo)注“V”的表示padding=valid,否則表示padding=same。Reduction-A的結(jié)構(gòu)如圖6所示。

圖6 Reduction-A模塊結(jié)構(gòu)

Inception-ResNet-B模塊可以提取數(shù)據(jù)深層的特征信息,輸入、輸出尺寸均為5×5,所有卷積核都采用padding=same形式,模塊結(jié)構(gòu)如圖7所示。

圖7 Inception-ResNet-B模塊結(jié)構(gòu)

Reduction-B模塊的輸入尺寸為5×5,輸出尺寸為2×2,對(duì)特征進(jìn)行了進(jìn)一步壓縮,模塊結(jié)構(gòu)如圖8所示。經(jīng)過(guò)以上處理后,對(duì)數(shù)據(jù)進(jìn)行全局池化處理,將特征向量壓縮為1×1的尺寸輸出,相比于直接添加全連接能夠減少計(jì)算量,避免過(guò)擬合的發(fā)生。在經(jīng)過(guò)全局池化后添加參數(shù)為0.25的Dropout層,降低神經(jīng)元之間的相互耦合,減少過(guò)擬合情況的發(fā)生。之后,將數(shù)據(jù)輸入到全連接層,利用Softmax函數(shù)完成對(duì)分類(lèi)類(lèi)別的輸出。

圖8 Reduction-B模塊結(jié)構(gòu)

3 實(shí)驗(yàn)分析

3.1 數(shù)據(jù)預(yù)處理

NSL-KDD數(shù)據(jù)集中每個(gè)樣本均有42維特征和一個(gè)標(biāo)簽class組成,其中accuracy特征表示21種機(jī)器學(xué)習(xí)模型中能成功識(shí)別該樣本的個(gè)數(shù),對(duì)于模型的訓(xùn)練無(wú)實(shí)際意義,因此舍去。數(shù)據(jù)集預(yù)處理的步驟如圖9所示。

圖9 數(shù)據(jù)預(yù)處理

在剩余的41維特征中有3類(lèi)非數(shù)據(jù)類(lèi)型的特征,分別是protocol_type、service、flag。針對(duì)非數(shù)據(jù)類(lèi)型的特征,應(yīng)當(dāng)按照每種特征的類(lèi)型數(shù)設(shè)置one-hot編碼,將非數(shù)據(jù)特征轉(zhuǎn)換為數(shù)據(jù)特征。同時(shí),對(duì)數(shù)據(jù)類(lèi)型的特征需要進(jìn)行歸一化處理以減少不同維度特征的數(shù)據(jù)差異,文章采用min-max歸一化,其表達(dá)式為

(7)

數(shù)據(jù)經(jīng)過(guò)ADASYN升采樣后,新產(chǎn)生的小樣本數(shù)據(jù)其One-hot編碼部分為連續(xù)型小數(shù),需要進(jìn)行取整以獲取貼近實(shí)際的數(shù)據(jù)。采樣完畢后訓(xùn)練集的數(shù)據(jù)分布如表2所示,觀察可知升采樣后攻擊流量及正常流量的占比基本相同,數(shù)據(jù)集各樣本達(dá)到平衡。為保證數(shù)據(jù)的隨機(jī)性,需要對(duì)數(shù)據(jù)進(jìn)行隨機(jī)亂序排列。經(jīng)統(tǒng)計(jì)發(fā)現(xiàn),數(shù)據(jù)中特征num_file_creations在訓(xùn)練集、測(cè)試集的所有樣本中的取值均為0,為無(wú)效特征,故將其剔除。3種非數(shù)據(jù)類(lèi)型的特征protocol_type、service、flag分別轉(zhuǎn)化為3、70、11位的One-hot編碼,與數(shù)據(jù)特征進(jìn)行組合得到121維的特征向量,為了更好發(fā)揮卷積層的運(yùn)算效果,將其轉(zhuǎn)換成尺寸為11×11的二維特征向量。

表2 升采樣后的訓(xùn)練集數(shù)據(jù)

3.2 模型參數(shù)與評(píng)估指標(biāo)

模型架構(gòu)采用圖3的結(jié)構(gòu),為確定模型最佳訓(xùn)練輪數(shù),從訓(xùn)練集中按數(shù)據(jù)類(lèi)型隨機(jī)抽取20%的數(shù)據(jù)作為驗(yàn)證集,進(jìn)行輪數(shù)epoch=50次的訓(xùn)練,得到的準(zhǔn)確率及損失函數(shù)如圖10所示。由變化曲線可知,在訓(xùn)練輪數(shù)為0～30輪時(shí),驗(yàn)證集的分類(lèi)準(zhǔn)確率先升高,后保持穩(wěn)定;當(dāng)訓(xùn)練輪數(shù)epoch>30時(shí),驗(yàn)證集的分類(lèi)準(zhǔn)確率開(kāi)始下降并在epoch>45輪后出現(xiàn)明顯振蕩,相應(yīng)的損失函數(shù)取值上升并且在epoch>45輪后出現(xiàn)明顯振蕩,這說(shuō)明模型在訓(xùn)練后期出現(xiàn)了過(guò)擬合現(xiàn)象,算法性能開(kāi)始下降。因此,本文將實(shí)驗(yàn)?zāi)Ｐ偷挠?xùn)練輪數(shù)設(shè)置為30輪。

圖10 驗(yàn)證集準(zhǔn)確率及損失函數(shù)變化曲線

此外,模型采用的優(yōu)化器類(lèi)型為Adam優(yōu)化器,具備快速收斂、自適應(yīng)學(xué)習(xí)率的能力,參數(shù)設(shè)置為β1=0.9,β2=0.99。批處理大小設(shè)置為64,算法使用categorical-crossentropy作為損失函數(shù)。

實(shí)驗(yàn)采用準(zhǔn)確率Accuracy、精確率Precision、召回率Recall、調(diào)和平均值F1對(duì)多分類(lèi)中各算法的性能進(jìn)行評(píng)價(jià),各性能指標(biāo)的計(jì)算公式[25]為

(8)

式中:TP表示被正確分類(lèi)的正例數(shù)量;FN表示被錯(cuò)分為負(fù)例的正例數(shù)量;TN表示被正確分類(lèi)的負(fù)例數(shù)量;FP表示被錯(cuò)分為正例的負(fù)例數(shù)量。

在二分類(lèi)的評(píng)估中,還使用AUC值及ROC曲線作為評(píng)價(jià)指標(biāo)。其中準(zhǔn)確率值越高,算法的總體性能就越好;精確率和召回率值高,算法的誤報(bào)率越低。AUC值是ROC曲線下的面積大小,對(duì)于二分類(lèi)問(wèn)題而言,AUC取值越大,模型預(yù)測(cè)的準(zhǔn)確率越高。

3.3 模型性能對(duì)比驗(yàn)證

為了與實(shí)驗(yàn)?zāi)Ｐ彤a(chǎn)生對(duì)照,本文還設(shè)計(jì)了3種由經(jīng)典深度學(xué)習(xí)方法構(gòu)成的算法進(jìn)行對(duì)比實(shí)驗(yàn),各網(wǎng)絡(luò)結(jié)構(gòu)如表3所示。

結(jié)構(gòu)表中各層命名及變量說(shuō)明如下:FC(X)中X表示全連接層中包含的節(jié)點(diǎn)數(shù)目,取值為m表示該值等于分類(lèi)數(shù);DR(X)中X表示dropout層中隨機(jī)將神經(jīng)元輸出置零的比例;LSTM(X)中X表示輸出空間的維數(shù);Conv(X,Y,Z,N,M)中各個(gè)參數(shù)的含義為:X表示該卷積層中用到的過(guò)濾器個(gè)數(shù),Y、Z分別表示卷積核的寬度和高度,N表示步長(zhǎng),M表示padding的狀態(tài),如果寫(xiě)成“V”則表示設(shè)置為“Valid”,如果寫(xiě)成“S”則表示設(shè)置為“Same”;MaxPool(X,Y,N,M)中各個(gè)參數(shù)的含義為:X、Y分別表示池化層的寬度和高度,N表示步長(zhǎng),M表示padding的狀態(tài),命名規(guī)則同上。

為了進(jìn)一步確定經(jīng)典深度學(xué)習(xí)算法及本文實(shí)驗(yàn)算法對(duì)測(cè)試集進(jìn)行分類(lèi)識(shí)別的最佳訓(xùn)練輪數(shù),本文利用KDDTrain+對(duì)4種算法進(jìn)行訓(xùn)練,然后使用4種算法對(duì)測(cè)試集KDDTest+內(nèi)的數(shù)據(jù)進(jìn)行分類(lèi)識(shí)別,觀察不同訓(xùn)練輪數(shù)下各算法的識(shí)別準(zhǔn)確率和損失函數(shù),以研究每種算法取得最佳效果時(shí)對(duì)應(yīng)的訓(xùn)練輪數(shù)。訓(xùn)練總輪數(shù)設(shè)為50輪,圖11和圖12分別為4種算法在不同訓(xùn)練輪數(shù)下對(duì)測(cè)試集數(shù)據(jù)識(shí)別的準(zhǔn)確率及損失函數(shù)曲線。

圖11 各算法準(zhǔn)確率變化曲線(測(cè)試集)

圖12 各算法損失函數(shù)變化曲線(測(cè)試集)

從圖11和圖12的變化曲線可以發(fā)現(xiàn),4種算法對(duì)測(cè)試集的識(shí)別準(zhǔn)確率呈現(xiàn)快速收斂的特點(diǎn),在5輪以內(nèi)的訓(xùn)練輪數(shù)就能夠達(dá)到較高的性能指標(biāo),并且隨著訓(xùn)練輪數(shù)增加,準(zhǔn)確率和損失函數(shù)呈現(xiàn)振蕩的特點(diǎn),這與算法采用的Adam優(yōu)化器特征相一致,即Adam優(yōu)化器采用自適應(yīng)學(xué)習(xí)率設(shè)置,在優(yōu)化后期對(duì)于學(xué)習(xí)率的調(diào)節(jié)會(huì)導(dǎo)致模型收斂結(jié)果的振蕩。由圖11可知,4種算法均在30輪內(nèi)取到了準(zhǔn)確率最大值,即Resnet算法在第23輪、CNN算法在第4輪、DNN算法在第18輪、LSTM算法在第10輪實(shí)現(xiàn)了模型的最佳分類(lèi)效果。在訓(xùn)練輪數(shù)epoch>30輪后,4種算法準(zhǔn)確率處于較低水平,損失函數(shù)振蕩幅度加大且取值逐步上升,這說(shuō)明訓(xùn)練輪數(shù)大于30輪后,算法均出現(xiàn)了不同程度的過(guò)擬合狀態(tài),這與模型在驗(yàn)證集上的表現(xiàn)相吻合。

在這種情況下,為了取到經(jīng)典深度學(xué)習(xí)算法及改進(jìn)Resnet模型的最佳識(shí)別效果,文章采用Keras框架中的callbacks.EarlyStopping進(jìn)行訓(xùn)練的提前終止,以保證在節(jié)約內(nèi)存的條件下輸出模型不會(huì)錯(cuò)過(guò)最佳訓(xùn)練效果。以圖11和圖12各算法的振蕩情況為參考,將提前終止的耐心度設(shè)置為8,即當(dāng)模型輸出的準(zhǔn)確率連續(xù)8輪都小于之前能達(dá)到的最大值時(shí),模型將終止訓(xùn)練并輸出之前訓(xùn)練的最佳模型。同時(shí)為了避免各算法出現(xiàn)過(guò)擬合現(xiàn)象,將訓(xùn)練輪數(shù)上限設(shè)置為30輪。為了對(duì)比模型的性能差異,經(jīng)典深度學(xué)習(xí)模型的訓(xùn)練輪數(shù)、優(yōu)化器、損失函數(shù)類(lèi)型與改進(jìn)的Resnet模型保持一致。

3.3.1 多分類(lèi)性能對(duì)比分析

本節(jié)分別使用CNN、LSTM、DNN、改進(jìn)Resnet模型對(duì)原數(shù)據(jù)訓(xùn)練集KDDTrain+和經(jīng)過(guò)ADASYN采樣的新訓(xùn)練集進(jìn)行學(xué)習(xí),以測(cè)試集KDDTest+作為兩次學(xué)習(xí)的測(cè)試集,分別在有重采樣和無(wú)重采樣的情況下對(duì)比各模型對(duì)攻擊流量的分類(lèi)識(shí)別性能,并對(duì)重采樣前后各模型自身的性能變化進(jìn)行比較以驗(yàn)證ADASYN重采樣的有效性。圖13和圖14分別為各模型在原訓(xùn)練集和重采樣訓(xùn)練集下學(xué)習(xí)后的性能評(píng)估圖。可以看出,各模型的性能指標(biāo)均是精確率最高、準(zhǔn)確率和召回率次之,調(diào)和平均值最小。無(wú)論是否進(jìn)行ADASYN采樣,改進(jìn)的Resnet網(wǎng)絡(luò)的4項(xiàng)性能指標(biāo)均高于經(jīng)典的深度學(xué)習(xí)網(wǎng)絡(luò),并且在新訓(xùn)練集上兩者的差異更加明顯。

圖13 各模型性能評(píng)估(原訓(xùn)練集)

圖14 各模型性能評(píng)估(新訓(xùn)練集)

由于實(shí)驗(yàn)中測(cè)試集不變,因此該組實(shí)驗(yàn)結(jié)果說(shuō)明了在多分類(lèi)問(wèn)題的情況下,改進(jìn)Resnet模型的各性能均優(yōu)于CNN、DNN、LSTM等經(jīng)典深度學(xué)習(xí)網(wǎng)絡(luò),驗(yàn)證了模型解決多分類(lèi)問(wèn)題的有效性和泛化性。殘差網(wǎng)絡(luò)的設(shè)計(jì)是基于堆疊卷積池化層并添加跳躍連接,提升了網(wǎng)絡(luò)深度,本文的模型又向其中添加Inception模塊使模型網(wǎng)絡(luò)寬度變寬,最終使得改進(jìn)的Resnet網(wǎng)絡(luò)在特征提取、分類(lèi)識(shí)別方面性能獲得提升。

為了驗(yàn)證多分類(lèi)情況下ADASYN采樣的有效性,將基于原訓(xùn)練集和新訓(xùn)練集得到的模型性能指標(biāo)進(jìn)行對(duì)比,如表4所示。由表4可知,除了LSTM模型的精確率、召回率在過(guò)采樣后出現(xiàn)了極小的下降,其余的模型在采樣后的新訓(xùn)練集下得到的所有性能指標(biāo)均高于原訓(xùn)練集,這驗(yàn)證了ADASYN過(guò)采樣的有效性。其中改進(jìn)的Resnet網(wǎng)絡(luò)在采樣前后性能提升的最大,采樣前后的混淆矩陣如表5所示。

表4 各模型性能指標(biāo)對(duì)比

表5 無(wú)上采樣的改進(jìn)Resnet混淆矩陣(多分類(lèi))

表5數(shù)據(jù)由兩部分構(gòu)成,第一部分是由預(yù)測(cè)類(lèi)型與實(shí)際類(lèi)型相構(gòu)成的混淆矩陣,為表格內(nèi)容前5行,其中行表頭表示將測(cè)試集樣本預(yù)測(cè)為該類(lèi)型流量,列表頭表示測(cè)試集樣本的實(shí)際類(lèi)型;第二部分是5種類(lèi)型流量在測(cè)試集預(yù)測(cè)的精確率與召回率,為表格內(nèi)容的后2行。表5是模型在無(wú)ADASYN上采樣的原訓(xùn)練集下訓(xùn)練,并在測(cè)試集上得到的預(yù)測(cè)結(jié)果,表6是在新訓(xùn)練集上得到的相應(yīng)測(cè)試結(jié)果。

表6 含上采樣的改進(jìn)Resnet混淆矩陣(多分類(lèi))

對(duì)比表5和表6可得出以下結(jié)論:

(1) 在新訓(xùn)練集上得到的模型,對(duì)測(cè)試集正確預(yù)測(cè)分類(lèi)的結(jié)果更好。除Normal流量的預(yù)測(cè)數(shù)量有極小的減少外,其余4種攻擊流量在新訓(xùn)練集的模型下正確預(yù)測(cè)的數(shù)量都得到了較大提升,其中R2L的正確預(yù)測(cè)數(shù)量增加的最明顯,數(shù)量由541增加至850,增加了36.35%。

(2) U2R類(lèi)型流量在不進(jìn)行上采樣時(shí)的模型上正確分類(lèi)的個(gè)數(shù)為0,精確率和召回率值都為0,因?yàn)樵谠?xùn)練集中U2R的樣本數(shù)量極少,不平衡的數(shù)據(jù)分布導(dǎo)致算法在學(xué)習(xí)過(guò)程中直接忽略了U2R的特征信息,導(dǎo)致模型不具備檢測(cè)U2R類(lèi)型流量的能力,這說(shuō)明了采用殘差網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)時(shí),解決數(shù)據(jù)集不平衡問(wèn)題的必要性。在進(jìn)行了上采樣后,各類(lèi)數(shù)據(jù)分布變得平衡,算法在學(xué)習(xí)過(guò)程中所有類(lèi)型的特征信息都可學(xué)習(xí)提取,因此對(duì)于5種流量類(lèi)型都可進(jìn)行有效的分類(lèi),算法的泛化性和可靠性得以提升。其中U2R的召回率的上升最明顯,增加了51.35%。

(3) 兩種情況下算法都將大部分R2L類(lèi)型的流量誤判為Normal類(lèi)型,其原因在于R2L流量在訓(xùn)練集中的數(shù)量少于在測(cè)試集的數(shù)量,因此算法在學(xué)習(xí)中無(wú)法完全掌握測(cè)試集中R2L的特征信息。這說(shuō)明NSL-KDD數(shù)據(jù)集存在一定的數(shù)據(jù)劃分不合理性。

3.3.2 二分類(lèi)性能對(duì)比分析

在入侵流量檢測(cè)的實(shí)際應(yīng)用中,通常也使用二分類(lèi)的手段對(duì)流量進(jìn)行劃分,從而方便快捷地篩選找出入侵流量并進(jìn)行處理。為了檢驗(yàn)在二分類(lèi)情況下ADASYN采樣及改進(jìn)Resnet網(wǎng)絡(luò)的分類(lèi)性能,將4種攻擊流量標(biāo)簽進(jìn)行合并,統(tǒng)一改寫(xiě)為“Attack”類(lèi)型,便得到了用于二分類(lèi)檢測(cè)識(shí)別的訓(xùn)練集和測(cè)試集。圖15和圖16為4種算法模型在二分類(lèi)情況下的,分別在沒(méi)有ADASYN采樣的原訓(xùn)練集和有上采樣的新訓(xùn)練集下訓(xùn)練的測(cè)試集評(píng)估結(jié)果。

圖15 二分類(lèi)模型性能評(píng)估(原訓(xùn)練集)

圖16 二分類(lèi)模型性能評(píng)估(新訓(xùn)練集)

由圖可知,在原訓(xùn)練集下得到的模型中,CNN在測(cè)試集中的性能最優(yōu),準(zhǔn)確率為88.01%,精確率達(dá)到89.30%,改進(jìn)Resnet網(wǎng)絡(luò)的性能其次;而在新訓(xùn)練集下得到的模型中,改進(jìn)Resnet網(wǎng)絡(luò)的性能得到了明顯提高,性能為4種模型中最優(yōu),性能的提高程度比多分類(lèi)情況下的上采樣還要大,其中準(zhǔn)確率達(dá)到91.88%,提升了4.47%,精確率達(dá)到91.94%,提升了2.92%。

經(jīng)過(guò)上采樣后,4種模型在測(cè)試集的性能均得到不同程度的提高,這說(shuō)明了在二分類(lèi)情況下,ADASYN上采樣的方法依舊能夠有效改善數(shù)據(jù)的不平衡性,使算法對(duì)特征信息的提取更加全面,提升了算法的分類(lèi)準(zhǔn)確率和泛化性。而改進(jìn)的Resnet網(wǎng)絡(luò)在各項(xiàng)指標(biāo)上都優(yōu)于其他模型,這體現(xiàn)出改進(jìn)殘差網(wǎng)絡(luò)對(duì)于二分類(lèi)的流量檢測(cè)識(shí)別具有更好的適應(yīng)性,算法結(jié)構(gòu)和參數(shù)設(shè)計(jì)合理。

表7和表8給出了在二分類(lèi)的情況下改進(jìn)Resnet網(wǎng)絡(luò)在原訓(xùn)練集和新訓(xùn)練集下的測(cè)試集預(yù)測(cè)混淆矩陣。表格數(shù)據(jù)由兩部分組成,第1部分是由預(yù)測(cè)類(lèi)型與實(shí)際類(lèi)型相構(gòu)成的混淆矩陣,其中行表頭表示將測(cè)試集樣本預(yù)測(cè)為該類(lèi)型流量,列表頭表示測(cè)試集樣本的實(shí)際類(lèi)型;第2部分為Normal流量與Attack流量在測(cè)試集上預(yù)測(cè)的精確率和召回率。由表可知,在新訓(xùn)練集下得到的改進(jìn)Resnet模型對(duì)Attack流量的正確分類(lèi)數(shù)量明顯提升,Attack流量的TN樣本數(shù)量上升、FN樣本數(shù)量下降也使得Normal流量的精確率及Attack流量的召回率提升,這充分說(shuō)明了在經(jīng)過(guò)ADASYN采樣后,模型對(duì)于Attack流量的特征信息學(xué)習(xí)更加充分,算法的總體分類(lèi)能力得到提升。

表7 無(wú)上采樣的改進(jìn)Resnet混淆矩陣(二分類(lèi))

表8 含上采樣的改進(jìn)Resnet混淆矩陣(二分類(lèi))

通過(guò)比較表7和表8,發(fā)現(xiàn)在二分類(lèi)的情況下,測(cè)試集的TN樣本數(shù)量更多,FP、FN樣本數(shù)量更少,整體的分類(lèi)性能也是二分類(lèi)情況優(yōu)于多分類(lèi)情況,這說(shuō)明在二分類(lèi)情況下,改進(jìn)Resnet網(wǎng)絡(luò)的分類(lèi)效果更好,對(duì)入侵流量有更準(zhǔn)確的檢測(cè)能力,缺點(diǎn)在于二分類(lèi)無(wú)法對(duì)入侵流量的類(lèi)型進(jìn)行細(xì)化區(qū)分。

二分類(lèi)問(wèn)題中,ROC曲線及其下面積AUC值可以用作衡量分類(lèi)器的分類(lèi)效率及平衡性,因?yàn)锳UC不受先驗(yàn)概率及閾值的影響[26],AUC取值為[0,1],取值越大,算法的預(yù)測(cè)準(zhǔn)確率越高;ROC曲線的變化不受正負(fù)樣本數(shù)據(jù)分布的影響,能夠客觀反映出模型的分類(lèi)性能。圖17、圖18分別給出了4種算法在原訓(xùn)練集、新訓(xùn)練集下得到的模型在測(cè)試集中的ROC曲線圖,其中實(shí)線代表將Normal流量作為正例繪制的ROC曲線,虛線代表將Attack流量作為正例繪制的ROC曲線。

圖17 模型測(cè)試集ROC曲線(原訓(xùn)練集)

圖18 模型測(cè)試集ROC曲線(新訓(xùn)練集)

表9表示使用ADASYN采樣前后的各模型測(cè)試集預(yù)測(cè)的AUC值。

表9 模型測(cè)試集AUC值

結(jié)合觀察圖17、圖18和表9,可以得出如下結(jié)論:

(1) 4種算法在經(jīng)過(guò)上采樣的訓(xùn)練集中得到的模型AUC值均大于在原訓(xùn)練集中得到的模型,而ROC曲線基本不受測(cè)試集數(shù)據(jù)不平衡的影響,導(dǎo)致AUC值提高的根本原因就是模型的分類(lèi)能力提高,因?yàn)樵诮?jīng)過(guò)ADASYN采樣的訓(xùn)練集上,大幅提高了小樣本數(shù)量,使模型在訓(xùn)練過(guò)程中不會(huì)忽略小樣本的特征信息,提高了模型識(shí)別的泛化性和準(zhǔn)確性。

(2) 在上采樣后的ROC曲線中,改進(jìn)的Resnet模型AUC值高于其他3種模型,ROC曲線更加飽滿,貼近左上角。這表明改進(jìn)Resnet模型的分類(lèi)效果優(yōu)于其他模型,這一結(jié)論與圖15、圖16和表7的結(jié)果相一致,充分說(shuō)明了本文提出的算法在二分類(lèi)的情況下能夠獲得最高的準(zhǔn)確率和AUC,并且誤報(bào)率低,具備良好的入侵流量檢測(cè)能力。

3.4 算法性能驗(yàn)證

本節(jié)為驗(yàn)證算法模型的實(shí)際性能和應(yīng)用價(jià)值,采用文獻(xiàn)[5,9]提出的算法與本文算法進(jìn)行性能對(duì)比,分別在多分類(lèi)和二分類(lèi)的情況下針對(duì)準(zhǔn)確率、精確率、召回率和F1值進(jìn)行評(píng)估。其中，文獻(xiàn)[5,9]采用NSL-KDD的原始KDDTrain+作為訓(xùn)練集,本文提出的改進(jìn)Resnet算法采用經(jīng)ADASYN采樣后的數(shù)據(jù)集作為訓(xùn)練集進(jìn)行訓(xùn)練。結(jié)果如圖19和圖20所示。

圖19 算法性能比較(多分類(lèi))

圖20 算法性能比較(二分類(lèi))

由圖可知,文獻(xiàn)[5]采用的STL-IDS進(jìn)行特征降維,并使用SVM進(jìn)行分類(lèi)識(shí)別,雖然具備較高的精確率,但是在多分類(lèi)和二分類(lèi)情況下均存在準(zhǔn)確率、召回率低下的問(wèn)題,尤其是多分類(lèi)情況下算法的召回率只有68.29%,這表明算法在查全率上存在較大缺陷,各性能指標(biāo)效果差異大。文獻(xiàn)[9]算法采用堆疊LSTM和空洞殘差網(wǎng)絡(luò)進(jìn)行構(gòu)建,和本文的改進(jìn)殘差網(wǎng)絡(luò)具備一定相似性,在多分類(lèi)情況下F1值取值較低,整體各個(gè)性能指標(biāo)表現(xiàn)均衡,在查準(zhǔn)率和查全率上都具備較好的性能。

相比于兩種文獻(xiàn)算法,本文提出的改進(jìn)Resnet算法在經(jīng)ADASYN上采樣的訓(xùn)練集上得到的模型在多分類(lèi)和二分類(lèi)情況上都具備最高的準(zhǔn)確率和最低的誤報(bào)率。這充分說(shuō)明了算法設(shè)計(jì)的合理性,模型分類(lèi)識(shí)別具備較高的準(zhǔn)確性和泛化性,可靠性良好。

4 結(jié)束語(yǔ)

本文提出了一種基于Inception-ResNet模塊改進(jìn)的殘差神經(jīng)網(wǎng)絡(luò)模型,算法通過(guò)添加跳躍連接的方式增加了網(wǎng)絡(luò)深度,解決了網(wǎng)絡(luò)過(guò)深導(dǎo)致性能下降的問(wèn)題,同時(shí)使用Inception-ResNet模塊拓寬了網(wǎng)絡(luò)寬度,利用特征降維模塊有效減少了池化過(guò)程中的特征丟失。通過(guò)ADASYN對(duì)數(shù)據(jù)訓(xùn)練集進(jìn)行上采樣,改善小樣本在不平衡數(shù)據(jù)集中的分布,解決了深度學(xué)習(xí)網(wǎng)絡(luò)在不平衡數(shù)據(jù)集的學(xué)習(xí)中易忽略小樣本特征信息的問(wèn)題,通過(guò)采樣前后的對(duì)比說(shuō)明了自適應(yīng)合成采樣對(duì)于算法性能提高的重要作用。

文章最后在多分類(lèi)、二分類(lèi)情況下分別對(duì)經(jīng)典深度學(xué)習(xí)算法和改進(jìn)Resnet算法進(jìn)行性能評(píng)估,并進(jìn)行算法的效能對(duì)比,使用的指標(biāo)包括準(zhǔn)確率、精確率、召回率、調(diào)和平均值、ROC曲線和AUC值。實(shí)驗(yàn)結(jié)果表明,在多分類(lèi)的情況下,改進(jìn)的Resnet算法在上采樣訓(xùn)練集下得到的模型準(zhǔn)確率可達(dá)到89.40%,二分類(lèi)時(shí)為91.88%,均在所有算法中達(dá)到最高,同時(shí)算法的誤報(bào)率低、泛化性好,具備較高的可靠性和工程應(yīng)用價(jià)值。