譚璨 梁祖紅

摘要：為了解決基于傳統(tǒng)機器學(xué)習(xí)入侵檢測算法準(zhǔn)確率較低和泛化能力較弱的現(xiàn)象，提出了一種基于BiGRU結(jié)合Batch Normalization機制、DropOut算法的網(wǎng)絡(luò)入侵檢測方法。該方法采用BiGRU網(wǎng)絡(luò)提取數(shù)據(jù)特征，利用Batch Normalization機制和DropOut算法的優(yōu)點對數(shù)據(jù)進行歸一化，并對神經(jīng)元進行隨機失活，增強模型泛化能力，最后使用softmax對結(jié)果進行分類。在公開數(shù)據(jù)集NSL-KDD上的結(jié)果顯示，與RNN及CNN入侵檢測方法相比，在二分類檢測與五分類檢測兩個實驗中準(zhǔn)確率和召回率更高。

關(guān)鍵詞：入侵檢測;雙向門控循環(huán)神經(jīng)網(wǎng)絡(luò);深度學(xué)習(xí);數(shù)據(jù)特征

中圖分類號：TP393? ? ? 文獻標(biāo)識碼：A

文章編號：1009-3044（2021）26-0146-05

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

Intrusion Detection Model Based on Bigru

TAN Can， LIANG Zu-hong

（Computer College of Guangdong University of Technology， Guangzhou 510006，China）

Abstract： In order to solve the problem of low accuracy and weak generalization of traditional intrusion detection algorithm based on machine learning， a network intrusion detection method based on bigru， batch normalization mechanism and dropout algorithm is proposed. This method uses bigru network to extract data features， uses the advantages of batch normalization mechanism and dropout algorithm to normalize the data， and randomly inactivates the neurons to enhance the generalization ability of the model. Finally， softmax is used to classify the results. The results on the public data set nsl-kdd show that， compared with RNN and CNN intrusion detection methods， the accuracy and recall rate are higher in the two classification detection and five classification detection experiments.

Key words：intrusion detection;BiGRU;deep learning;characteristics of data

隨著互聯(lián)網(wǎng)技術(shù)高速發(fā)展以及互聯(lián)網(wǎng)與人類生活融合的不斷加深，網(wǎng)絡(luò)在給人們帶來各種便利的同時，也使得人們所面臨的網(wǎng)絡(luò)安全問題也越來越多樣。如何實時有效地檢測出各種網(wǎng)絡(luò)攻擊，是目前必須面對的問題。入侵檢測系統(tǒng)（IDS）作為檢測異常流量的重要方式，它理所當(dāng)然地成為安全領(lǐng)域的重點研究對象。

關(guān)于入侵檢測這一熱點話題，國內(nèi)外研究者對其都做了許多研究。研究人員總結(jié)了現(xiàn)有的傳統(tǒng)入侵檢測方法的優(yōu)勢與局限性，同時對機器學(xué)習(xí)以及深度學(xué)習(xí)在入侵檢測領(lǐng)域的研究趨勢進行了總結(jié)[1]。越來越多研究人員將機器學(xué)習(xí)算法應(yīng)用于入侵檢測領(lǐng)域中。如樸素貝葉斯，決策樹，隨機森林[2-3]，SVM[4-5]等進行入侵檢測研究。Sarker I H[6] 提出了一種基于入侵檢測樹（intrustree）機器學(xué)習(xí)的安全模型，該模型首先考慮了安全特征的重要性排序，然后根據(jù)選擇的重要特征構(gòu)建了一個基于樹的廣義入侵檢測模型。它不僅能有效地預(yù)測未知測試用例，而且能通過降低特征維數(shù)來降低模型的計算復(fù)雜度。以上研究的核心都是基于傳統(tǒng)機器學(xué)習(xí)方法，雖然樣本分類能力都有一定提高，但是因為傳統(tǒng)機器學(xué)習(xí)算法對復(fù)雜函數(shù)學(xué)習(xí)能力較弱，因此，依然存在準(zhǔn)確率較低及泛化能力有限的問題。

本文設(shè)計了一種基于BiGRU的入侵檢測模型，首先通過BiGRU對數(shù)據(jù)特征流進行過濾與保留，使用Batch Normalization（BN）算法和DropOut算法對網(wǎng)絡(luò)層中的數(shù)據(jù)進行歸一化以及對神經(jīng)元進行隨機失活，以緩解模型訓(xùn)練中梯度消失和梯度爆炸現(xiàn)象，加快神經(jīng)網(wǎng)絡(luò)收斂同時增強模型泛化能力。然后使用NSL-KDD數(shù)據(jù)集訓(xùn)練與評估模型性能。最后將該基于BiGRU的入侵檢測模型與CNN，RNN以及多種機器學(xué)習(xí)算法進行對比。實驗結(jié)果表明，該方法準(zhǔn)確率更高，泛化能力更好。

1 相關(guān)工作

網(wǎng)絡(luò)入侵檢測的本質(zhì)就是發(fā)現(xiàn)未經(jīng)許可的、惡意的、有風(fēng)險的網(wǎng)絡(luò)行為，機器學(xué)習(xí)算法曾被許多研究者認(rèn)為適用于入侵檢測領(lǐng)域，同時也在入侵檢測中被廣泛應(yīng)用。如Landress A D[7]等人提出了一種降低無監(jiān)督機器學(xué)習(xí)入侵檢測誤報率的混合方法，使該方法采用簡單的K-means算法進行數(shù)據(jù)聚類，采用J48決策樹算法進行特征選擇，利用KDD-cup99數(shù)據(jù)集進行自組織映射，有效地減少了誤報。Al-Yaseen W L[8]等人提出一種多等級混合入侵的檢測模型，采用支持向量機與極端學(xué)習(xí)機融合，從而提高對已知和未知攻擊的檢測準(zhǔn)確率，還提出了一種改進的K-means算法來構(gòu)建高質(zhì)量的訓(xùn)練數(shù)據(jù)集，該數(shù)據(jù)集有助于提高分類器的性能，從而可以降低模型的誤報率以及提高其準(zhǔn)確率。但上述工作在識別復(fù)雜的分類上不夠靈活，缺乏約束，容易過擬合，泛化能力有限。