魏明軍 楊桂芳

摘要：為提高網(wǎng)絡(luò)異常入侵的檢測(cè)效果，針對(duì)傳統(tǒng)BP神經(jīng)網(wǎng)絡(luò)在檢測(cè)速度、精度、復(fù)雜度等方面的缺陷，提出一種基于深度置信網(wǎng)絡(luò)的入侵檢測(cè)方法，該方法通過(guò)雙層RBM結(jié)構(gòu)降維，再用BP神經(jīng)網(wǎng)絡(luò)反向微調(diào)結(jié)構(gòu)參數(shù)，以達(dá)到簡(jiǎn)化數(shù)據(jù)復(fù)雜度的目的，減少了BP神經(jīng)網(wǎng)絡(luò)的計(jì)算量。它對(duì)傳統(tǒng)對(duì)比散度訓(xùn)練算法進(jìn)行了改進(jìn)，提出了一種改進(jìn)的對(duì)比算法，提高對(duì)最優(yōu)特征的選擇結(jié)果。仿真實(shí)驗(yàn)結(jié)果表明，新的網(wǎng)絡(luò)入侵檢測(cè)方法較傳統(tǒng)的訓(xùn)練算法，能夠獲得更好的入侵特征提取結(jié)果。因此，新的網(wǎng)絡(luò)入侵檢測(cè)方法提高了異常入侵檢測(cè)的檢測(cè)率，加強(qiáng)了網(wǎng)絡(luò)安全。

關(guān)鍵詞：異常入侵；深度置信網(wǎng)絡(luò)；對(duì)比散度算法；特征提??；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2019）04-0180-02

Abstract： In order to improve the detection effect of network intrusion， this paper proposes an intrusion detection method based on deep belief network for the defects of traditional BP neural network in terms of detection speed， accuracy and complexity. This method reduces the dimension by double-layer RBM structure. The BP neural network is used to inversely fine tune the structural parameters to simplify the data complexity and reduce the computational complexity of the BP neural network. It improves the traditional contrast divergence training algorithm. An improved contrast algorithm is proposed to improve the selection of optimal features. The simulation results show that the new network intrusion detection method can obtain better intrusion feature extraction results than the traditional training algorithm compared with DBN algorithm and BP algorithm. Therefore， the new network intrusion detection method improves the detection rate of abnormal intrusion detection and strengthens network security.

Key words： abnormal invasion； deep belief network； contrast divergence algorithm； feature extraction； network security

1 引言

雖然計(jì)算機(jī)和互聯(lián)網(wǎng)技術(shù)的發(fā)展，給人們帶來(lái)許多便利，但也帶來(lái)了多種安全威脅和挑戰(zhàn)。入侵檢測(cè)技術(shù)幫助用戶系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性[1]。

本課題分析了當(dāng)前入侵檢測(cè)系統(tǒng)的現(xiàn)狀以及存在的問(wèn)題，設(shè)計(jì)了基于深度置信網(wǎng)絡(luò)的異常檢測(cè)入侵模型，該模型的設(shè)計(jì)可以在一定程度上提高入侵檢測(cè)的效率和檢測(cè)準(zhǔn)確率，同時(shí)提高了檢測(cè)效率。本課題采用KDDCUP99-10%數(shù)據(jù)集對(duì)提出的模型進(jìn)行仿真分析，將討論訓(xùn)練算法對(duì)最后檢測(cè)率的影響。在深度學(xué)習(xí)理論高速發(fā)展的今天，基于深度置信網(wǎng)絡(luò)的入侵檢測(cè)研究是很有一定的研究?jī)r(jià)值的[2]。

2 理論分析

2.1 研究背景及意義

由于網(wǎng)絡(luò)用戶與網(wǎng)絡(luò)資源使用頻率逐年升高，諸如棱鏡門、Heartbleed bug等重大安全事件頻頻發(fā)生給人們的生活造成嚴(yán)重影響。然而，入侵?jǐn)?shù)據(jù)特征空間具有高維性和非線性特征，傳統(tǒng)的神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)方法和大部分機(jī)器學(xué)習(xí)方法往往在處理這方面的問(wèn)題時(shí)，極易出現(xiàn)維度爆炸等問(wèn)題。2006年，機(jī)器學(xué)習(xí)界領(lǐng)軍人物首度提出深度學(xué)習(xí)理論[3]。將深度學(xué)習(xí)理論應(yīng)用到入侵檢測(cè)領(lǐng)域還鮮有研究。因此，開展基于深度置信網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)研究具有重要的理論意義和使用價(jià)值。

2.2 入侵檢測(cè)概述

入侵檢測(cè)（Intrusion Detection）是對(duì)入侵行為的發(fā)覺(jué)，它通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象?？偟膩?lái)說(shuō)，入侵檢測(cè)的流程可以劃分為四個(gè)步驟，分別是數(shù)據(jù)收集階段、數(shù)據(jù)處理階段、數(shù)據(jù)分析階段、告警和響應(yīng)階段[4]。

2.3 深度學(xué)習(xí)概述

深度學(xué)習(xí)的實(shí)質(zhì)，就是通過(guò)構(gòu)建多個(gè)隱藏層的機(jī)器學(xué)習(xí)模型和使用大量的訓(xùn)練數(shù)據(jù)進(jìn)行訓(xùn)練，得到更有用的數(shù)據(jù)特征，最終實(shí)現(xiàn)分類高效的分類準(zhǔn)確率[5]。在深度學(xué)習(xí)中，所有特征數(shù)據(jù)共享同一個(gè)網(wǎng)絡(luò)結(jié)構(gòu)，這種方式更有利于提取深層次的特征和增強(qiáng)網(wǎng)絡(luò)的記憶能力。

2.3.1 深度置信網(wǎng)絡(luò)模型

深度置信網(wǎng)絡(luò)的結(jié)構(gòu)是基于深度學(xué)習(xí)理論，通過(guò)堆積多個(gè)受限玻爾茲曼機(jī)形成一個(gè)多層的深度學(xué)習(xí)結(jié)構(gòu)。在最上層，設(shè)置一個(gè)BP神經(jīng)網(wǎng)絡(luò)來(lái)自頂向下監(jiān)督學(xué)習(xí)，基于這個(gè)多層的結(jié)構(gòu)特點(diǎn)，可以更容易的獲得數(shù)據(jù)集的壓縮編碼，從而更好地得到優(yōu)異的特征表達(dá)。所以深度置信網(wǎng)絡(luò)從結(jié)構(gòu)上看是由多層受限玻爾茲曼機(jī)和一層有監(jiān)督的反向傳播網(wǎng)絡(luò)構(gòu)成[6]。

2.3.2 受限波爾茲曼機(jī)

深度置信網(wǎng)絡(luò)的基本組成部件是受限玻爾茲曼機(jī)（Restricted Boltzmann Machines，簡(jiǎn)稱RBM）。RBM是具有兩層對(duì)稱結(jié)構(gòu)并且無(wú)自反饋的隨機(jī)神經(jīng)網(wǎng)絡(luò)模型。v為可見層，用于觀察數(shù)據(jù)，h為隱藏層，w為可見層和隱藏層間權(quán)重，b為可見層節(jié)點(diǎn)的偏移量，c為隱藏層節(jié)點(diǎn)偏置量，RBM會(huì)使用這些參數(shù)將n維原始樣本數(shù)據(jù)編碼為一種m維的新樣本[7]。這樣就可以用下面函數(shù)來(lái)表示一個(gè)RBM的能量：

深度置信網(wǎng)絡(luò)中RBM，采用的是對(duì)比散度快速學(xué)習(xí)算法。但在實(shí)際使用過(guò)程中，因受到目標(biāo)樣本分布陡峭程度的影響，不知道轉(zhuǎn)移多少次組就足夠達(dá)到對(duì)樣本的近似。采用對(duì)比散度算法訓(xùn)練RBM模型從本質(zhì)上講已不是最大信息熵模型，所以對(duì)訓(xùn)練數(shù)據(jù)的似然度不高。因此對(duì)于使用對(duì)比散度算法進(jìn)行RBM模型訓(xùn)練必然會(huì)導(dǎo)致模型生成能力差[8]。

綜上所述，深度置信網(wǎng)絡(luò)雖然具有較強(qiáng)的學(xué)習(xí)能力，但是用于訓(xùn)練RBM的對(duì)比散度算法存在缺陷。

3 實(shí)驗(yàn)方案

實(shí)驗(yàn)環(huán)境：Linux--ubuntu16.04系統(tǒng)、tensorflow深度學(xué)習(xí)平臺(tái)、pandas數(shù)據(jù)分析庫(kù)。

實(shí)驗(yàn)實(shí)現(xiàn)過(guò)程主要分為三個(gè)階段：首先是數(shù)據(jù)的預(yù)處理階段，涉及對(duì)數(shù)據(jù)集數(shù)據(jù)的數(shù)字化標(biāo)準(zhǔn)化歸一化；然后是特征提取階段，利用自適應(yīng)深度置信網(wǎng)絡(luò)算法來(lái)逐層訓(xùn)練RBM及BP微調(diào)，求出優(yōu)化參數(shù)，最大概率的產(chǎn)生訓(xùn)練樣本分布。最后階段是利用集成學(xué)習(xí)中的XGBoost算法進(jìn)行分類，從而達(dá)到提高檢測(cè)率、降低誤報(bào)率的目的。

本次實(shí)驗(yàn)是在RBM迭代次數(shù)為3，隱藏層數(shù)為3，隱藏層節(jié)點(diǎn)數(shù)為（80，60，30）的網(wǎng)絡(luò)結(jié)構(gòu)下，進(jìn)行對(duì)比仿真實(shí)驗(yàn)：

4 結(jié)論

從上圖檢測(cè)率趨勢(shì)圖中可以觀察到，在數(shù)據(jù)量不斷增加的情況下，ADBN算法和DBN算法的檢測(cè)率呈現(xiàn)上升趨勢(shì)，BP算法的檢測(cè)率雖然也在增加，但增加趨勢(shì)比較緩慢，造成這種原因主要是由于BP算法采用的是淺層結(jié)構(gòu)，而ADBN算法采用的是深層結(jié)構(gòu)。ADBN算法較DBN在檢測(cè)率方面上年均提高4%，這是由于ADBN采用改進(jìn)后的采樣算法，使得對(duì)網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)的采樣跳出局部最優(yōu)，實(shí)現(xiàn)全局最優(yōu)，從而提高算法的檢測(cè)率。

參考文獻(xiàn)：

[1] 羅守山.入侵檢測(cè)[M].北京：北京郵電大學(xué)出版社，2004.

[2] 李春林，黃月江，王宏，等.一種基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)方法[J].信息安全與通信保密，2014（10）：68-71.

[3] 許戈靜.基于機(jī)器學(xué)習(xí)方法的入侵檢測(cè)技術(shù)[J].信息通信，2015（12）：127-128.

[4] 趙海陽(yáng)，鄧京京.基于入侵檢測(cè)概念、過(guò)程分析和布署的探討[J].內(nèi)江科技，2007（10）.

[5] 鄢華.模糊深度學(xué)習(xí)網(wǎng)絡(luò)算法的研究[D].哈爾濱： 哈爾濱工業(yè)大學(xué)，2012：14-25.

[6] 安琪.基于深度置信網(wǎng)絡(luò)的入侵檢測(cè)研究[D].蘭州：蘭州大學(xué)，2016：32-36.

[7] 陳達(dá).基于深度學(xué)習(xí)的推薦系統(tǒng)研究[D].北京：北京郵電大學(xué)，2014：17-22.

[8] 張春霞，姬楠楠，王冠偉.受限波爾茲曼機(jī)[J].工程數(shù)學(xué)學(xué)報(bào)，2015，1（2）：159-173.

【通聯(lián)編輯：代影】