馬澤煊, 李 進(jìn), 路艷麗,*, 陳 晨

(1. 空軍工程大學(xué)防空反導(dǎo)學(xué)院, 陜西 西安 710051; 2. 西安衛(wèi)星測控中心, 陜西 西安 710043)

0 引 言

入侵檢測系統(tǒng)(intrusion detection system, IDS)作為一種積極主動的安全防護(hù)技術(shù),主要通過對網(wǎng)絡(luò)進(jìn)行實(shí)時監(jiān)視來對網(wǎng)絡(luò)中存在的攻擊行為進(jìn)行有效的感知,以便于安全管理人員及時做出相應(yīng)的決策,保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。但隨著網(wǎng)絡(luò)的飛速發(fā)展,黑客的攻擊手段也在進(jìn)行著不斷的升級,再加上網(wǎng)絡(luò)數(shù)據(jù)呈現(xiàn)指數(shù)級提升,一些基于傳統(tǒng)的機(jī)器學(xué)習(xí)方法已經(jīng)不能再適應(yīng)入侵檢測的大環(huán)境,入侵檢測時間過長,特征提取效果也并不理想。深度學(xué)習(xí)的出現(xiàn)很好地改變了這一局面。

作為當(dāng)前熱門的研究領(lǐng)域,深度學(xué)習(xí)技術(shù)已經(jīng)被廣泛應(yīng)用于入侵檢測領(lǐng)域,并取得了很好的檢測效果。文獻(xiàn)[1]對基于深度學(xué)習(xí)算法的入侵檢測系統(tǒng)進(jìn)行了回顧,對多種神經(jīng)網(wǎng)絡(luò)模型進(jìn)行分析,研究了其進(jìn)行二分類和多分類的性能,但分類準(zhǔn)確性普遍不高。文獻(xiàn)[2]針對數(shù)據(jù)集中少數(shù)類別難以檢測的問題,依據(jù)網(wǎng)絡(luò)入侵行為的時序特點(diǎn),提出了一種基于BiLSTM的網(wǎng)絡(luò)入侵檢測方法,該方法對于網(wǎng)絡(luò)攻擊的檢測效果好于其他方法,但對于其他攻擊類型的處理效果一般。文獻(xiàn)[3]將長短時記憶(long short-term memory, LSTM)網(wǎng)絡(luò)和RNN進(jìn)行結(jié)合,提出基于LSTM-RNNS混合模型的入侵檢測方法,模型基于KDD99數(shù)據(jù)集進(jìn)行研究,檢測效果較好,但數(shù)據(jù)集說服力不強(qiáng)。文獻(xiàn)[4]結(jié)合卷積神經(jīng)網(wǎng)絡(luò)(convolutional neural networks, CNN)和LSTM對于特征提取的特點(diǎn),提出基于CNN-LSTM的入侵檢測方法,其模型能夠取得較好的檢測準(zhǔn)確率,但未對一般卷積的局限性進(jìn)行考慮。文獻(xiàn)[5]針對網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)具有時序性的特點(diǎn),提出改進(jìn)時序分析方法的入侵檢測方法,該方法能有效對入侵檢測系統(tǒng)缺乏主動防御能力的缺陷進(jìn)行彌補(bǔ),但在預(yù)測精度方面需要進(jìn)一步提高。上述文獻(xiàn)進(jìn)行二分類的準(zhǔn)確率普遍較高,但是面對多分類問題,效果卻并不理想。為解決多分類準(zhǔn)確率較低問題,本文將WaveNet結(jié)構(gòu)首次應(yīng)用于網(wǎng)絡(luò)入侵檢測領(lǐng)域,并與雙向門控循環(huán)單元(bi-directional gated recurrent unit, BiGRU)進(jìn)行結(jié)合,從時間序列方面解決入侵檢測問題;同時使用最大、平均池化輸出并聯(lián)的融合池化作為本文模型的池化層,更加全面地對數(shù)據(jù)特征進(jìn)行提取;最后分析損失函數(shù)及優(yōu)化算法,選取最適合本模型的超參數(shù),提升模型性能。

1 WaveNet和BiGRU

1.1 WaveNet

WaveNet是2016年Google DeepMind提出的一種Neural Vocoder架構(gòu),模型主體為一個基于空洞因果卷積的概率模型[6]，為序列生成模型,能夠直接對采樣值序列的映射進(jìn)行學(xué)習(xí),因此具有很大的潛力。由于網(wǎng)絡(luò)入侵有明顯的時序性,所以WaveNet同樣適用于網(wǎng)絡(luò)入侵檢測領(lǐng)域。

一維卷積層能夠縮短輸入的序列[7],增強(qiáng)模型學(xué)習(xí)長時間序列數(shù)據(jù)的能力[8],但由于普通卷積層可能會在提取當(dāng)前時刻數(shù)據(jù)特征的同時提取到未來的數(shù)據(jù),從而產(chǎn)生過擬合。所以WaveNet采用因果卷積的方法,使卷積層的感受野只能感受到過去的數(shù)據(jù),而感受不到未來的數(shù)據(jù),能有效地消除過擬合[9]。同時，WaveNet還對一維卷積層進(jìn)行了堆疊,采用擴(kuò)大卷積的方式,使每一層的擴(kuò)散率得到了加倍。WaveNet中每個一維卷積層都對前一層進(jìn)行卷積,卷積核越大,層數(shù)越多,時域上的感知能力也就越強(qiáng)。基于這一原理,網(wǎng)絡(luò)中較低的一維卷積層對短期模式進(jìn)行學(xué)習(xí),而較高的一維卷積層對長期模式進(jìn)行學(xué)習(xí),由于擴(kuò)散率的加倍,即使是在堆疊層數(shù)不多的情況下,網(wǎng)絡(luò)也能夠擁有較大的感受野,從而可以有效地對長時間序列數(shù)據(jù)進(jìn)行處理,加快采樣速率[10]。本文使用了簡化的WaveNet來對網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)進(jìn)行處理，WaveNet架構(gòu)如圖1所示。

圖1 WaveNet架構(gòu)示意圖Fig.1 WaveNet schematic diagram

WaveNet模型能夠根據(jù)一個序列的前t-1個點(diǎn)對該序列第t個點(diǎn)的結(jié)果進(jìn)行預(yù)測,基本公式為

(1)

式中:xt為網(wǎng)絡(luò)中t時刻對應(yīng)的點(diǎn);x1,x2,…,xt-1為t時刻之前的點(diǎn)對應(yīng)的信息。以上參數(shù)隨著t值的增大而不斷進(jìn)行更新。

1.2 BiGRU

如圖2所示,網(wǎng)絡(luò)流量數(shù)據(jù)具有明顯的層次結(jié)構(gòu)[11],其中最底層代表了網(wǎng)絡(luò)流量的字節(jié)序列?；谔囟ňW(wǎng)絡(luò)協(xié)議的格式,多個流量字節(jié)組合成為一個網(wǎng)絡(luò)數(shù)據(jù)包,多個網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)一步組合成為一個網(wǎng)絡(luò)數(shù)據(jù)流[12]。研究發(fā)現(xiàn),這些流量字節(jié)、網(wǎng)絡(luò)數(shù)據(jù)包和網(wǎng)絡(luò)數(shù)據(jù)流與自然語言處理領(lǐng)域中的字符、句子和段落極為類似[13]。此外,將網(wǎng)絡(luò)流量分類為正?；蛘邜阂饬髁康娜蝿?wù)與將段落分類為肯定或者否定的任務(wù)也非常相似,而后者便是自然語言處理領(lǐng)域中的一項(xiàng)常見的任務(wù),即情感分析[14]。在當(dāng)前的研究中,循環(huán)神經(jīng)網(wǎng)絡(luò)在情感分析領(lǐng)域的應(yīng)用最多,效果也最好,因此使用RNN類方法對網(wǎng)絡(luò)入侵進(jìn)行檢測具有特定的優(yōu)勢。

圖2 網(wǎng)絡(luò)流量層次圖Fig.2 Hierarchy structure of network traffic

遞歸神經(jīng)網(wǎng)絡(luò)(RNN)是人工神經(jīng)網(wǎng)絡(luò)的擴(kuò)展,主要用于對時間序列數(shù)據(jù)進(jìn)行分析從而對遠(yuǎn)程時域特征進(jìn)行學(xué)習(xí)[15]。由于循環(huán)神經(jīng)網(wǎng)絡(luò)(RNN)在學(xué)習(xí)過程中存在著梯度消失和梯度爆炸的問題,導(dǎo)致RNN難以對時間間隔較長狀態(tài)的依賴關(guān)系進(jìn)行建模[16]。為了解決這個問題,研究者們提出了LSTM網(wǎng)絡(luò)[17]和門控循環(huán)單元(gate recurrent unit, GRU)[18]。

GRU神經(jīng)網(wǎng)絡(luò)對LSTM神經(jīng)網(wǎng)絡(luò)進(jìn)行了改進(jìn),對LSTM的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行了精簡,使GRU不僅能夠繼承LSTM的時序處理能力,而且降低了整個網(wǎng)絡(luò)的時間復(fù)雜度[19]。GRU的網(wǎng)絡(luò)結(jié)構(gòu)主體為更新門和重置門,其中,更新門用來決定當(dāng)前狀態(tài)對前一狀態(tài)信息的接收程度,重置門用于決定當(dāng)前狀態(tài)對前一狀態(tài)信息的忽略程度[20]。GRU結(jié)構(gòu)如圖3所示。

圖3 GRU結(jié)構(gòu)示意圖Fig.3 GRU structure diagram

GRU結(jié)構(gòu)對應(yīng)的公式為

(2)

式中:σ為sigmoid函數(shù);xi為神經(jīng)網(wǎng)絡(luò)的輸入信息;Wr、Wz、Wh分別對應(yīng)重置門、更新門以及本神經(jīng)元隱狀態(tài)對輸入數(shù)據(jù)所賦權(quán)重值;br、bz、bh為對應(yīng)的偏置;Ur、Uz分別對應(yīng)重置門、更新門對上一神經(jīng)元傳遞隱狀態(tài)數(shù)據(jù)所賦權(quán)重值;Uh為本神經(jīng)元輸出隱狀態(tài)對本神經(jīng)元內(nèi)隱狀態(tài)數(shù)據(jù)ht與上一神經(jīng)元傳遞隱狀態(tài)數(shù)據(jù)的Hadamard乘積所賦的權(quán)重值。以上參數(shù)均隨著模型的訓(xùn)練而不斷進(jìn)行更新[21]。

由于單向的GRU只能從一個方向讀取序列數(shù)據(jù),沒有充分考慮之后信息的影響,所以本文使用BiGRU代替GRU對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理。

BiGRU由前向GRU與反向GRU結(jié)合生成,用于從正向和反向時間序列數(shù)據(jù)中學(xué)習(xí),隱藏層包含著兩個具有相同輸入并連接至相同輸出的單元[22]。其中,一個處理前向時間序列,另一個處理后向時間序列,通過更好地學(xué)習(xí)特征來增加參與訓(xùn)練的時間序列,從而為較長的時間序列數(shù)據(jù)提供更高的精度。

本文模型中的兩個BiGRU層的排列方式使每次迭代的內(nèi)核大小加倍。根據(jù)模型的設(shè)計,第一個BiGRU層以64個單位開始,下一個BiGRU層以128個單位開始。這種選擇的原因是為了提升模型的特征提取能力,同時加快模型的訓(xùn)練速度。

2 融合WaveNet和BiGRU的網(wǎng)絡(luò)入侵檢測模型

傳統(tǒng)的入侵檢測算法,只能對當(dāng)前時刻的攻擊行為進(jìn)行檢測,對于持續(xù)時間較長的攻擊行為則束手無策,導(dǎo)致在迭代學(xué)習(xí)的進(jìn)程中,會出現(xiàn)遺忘現(xiàn)象。

WaveNet與BiGRU對上述問題進(jìn)行了解決,在時間序列處理方面取得了不錯的效果,但對兩者進(jìn)行較為深入的分析,會發(fā)現(xiàn)其各自的弊端也相當(dāng)明顯。其中,WaveNet的核心為擴(kuò)大因果卷積,結(jié)構(gòu)簡單,同時具有卷積核共享的特性,內(nèi)存占用量低,計算速度更快且易于疊加。但由于是單向結(jié)構(gòu),對于信息的提取不夠全面;同時作為CNN的變體,雖然對擴(kuò)散率進(jìn)行了加倍,感受野得到了擴(kuò)張,但仍然受到限制,與LSTM和GRU還是相差不少[23]。BiGRU具有內(nèi)存,對于長時間序列數(shù)據(jù)的處理能力極強(qiáng),但是結(jié)構(gòu)較為復(fù)雜[24],計算量大,計算時間長。

將兩者進(jìn)行結(jié)合,能夠?qū)烧叩膬?yōu)缺點(diǎn)進(jìn)行互補(bǔ),同時特征提取更為全面,即以較小的時間增長為代價,取得更高的準(zhǔn)確率,從而獲得更優(yōu)化的效果。所以,本文采用WaveNet和BiGRU對時序性流量信息進(jìn)行處理。

首先進(jìn)行數(shù)據(jù)獨(dú)熱編碼和標(biāo)準(zhǔn)歸一化,之后使用WaveNet進(jìn)行卷積操作,縮短長時間序列,提取網(wǎng)絡(luò)深層特征;同時進(jìn)行最大池化和平均池化操作,并將提取到的不同特征進(jìn)行融合作為池化輸出;經(jīng)過歸一化以及重構(gòu)后傳入BiGRU網(wǎng)絡(luò)進(jìn)行時間特征的深層提取,完成入侵檢測分類;最后選擇最適合本模型的超參數(shù),提升檢測性能。入侵檢測過程共包括預(yù)處理、特征提取與訓(xùn)練、測試3個階段,模型結(jié)構(gòu)如圖4所示。

圖4 融合WaveNet和BiGRU的模型結(jié)構(gòu)示意圖Fig.4 Structure diagram of model integrating WaveNet and BiGRU

2.1 數(shù)據(jù)預(yù)處理

首先,采用one-hot編碼將NSL-KDD、UNSW-NB15以及CIC-IDS2017數(shù)據(jù)集中的字符串型的特征轉(zhuǎn)換成數(shù)值型[25]。經(jīng)過數(shù)值化處理之后,NSL-KDD數(shù)據(jù)集的特征維數(shù)增加到122維;UNSW-NB15數(shù)據(jù)集的特征維數(shù)增加到196維;CIC-IDS2017數(shù)據(jù)集無需轉(zhuǎn)換,仍為78維。最終,經(jīng)過處理之后的每一條網(wǎng)絡(luò)數(shù)據(jù)包分別包含122維、196維和78維特征屬性以及一維種類標(biāo)簽。

數(shù)值化處理之后,判斷有無空值,若不存在空值,就對數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)歸一化處理。本文所采用的歸一化方法為min-max歸一化,公式為

(3)

式中:x為將要?dú)w一化的數(shù)值;Mmin為該維的最小數(shù)值;Mmax為該維的最大數(shù)值。

2.2 特征提取與訓(xùn)練階段

在特征提取階段,本文模型使用將最大池化和平均池化進(jìn)行并聯(lián)得到的融合池化層對深層特征進(jìn)行提取,該層允許對參數(shù)進(jìn)行基于樣本的離散化,以便識別相關(guān)特征,從而減少了訓(xùn)練時間并防止了過擬合。同時，使用WaveNet對數(shù)據(jù)集的高層次特征進(jìn)行學(xué)習(xí),一維卷積池化操作使得模型能夠?qū)?shù)據(jù)的局部特征進(jìn)行學(xué)習(xí),并在高層網(wǎng)絡(luò)合并這些局部信息得到高級抽象特征,縮短長時間序列。之后使用雙向GRU層對數(shù)據(jù)集中長時間范圍的時間特征進(jìn)行學(xué)習(xí),采用Nadam優(yōu)化算法對網(wǎng)絡(luò)進(jìn)行優(yōu)化,設(shè)置Dropout層緩解過擬合問題,并將這些結(jié)合起來傳給Softmax分類器對網(wǎng)絡(luò)中的攻擊進(jìn)行分類。

本階段具體步驟如下。

步驟 1WaveNet特征處理

將經(jīng)過預(yù)處理的數(shù)據(jù)傳入WaveNet中,擴(kuò)大卷積階段流程為

(4)

標(biāo)準(zhǔn)卷積處理流程為

(5)

式中:擴(kuò)大卷積用符號l表示。對比式(4)和式(5),可以發(fā)現(xiàn),擴(kuò)大卷積與標(biāo)準(zhǔn)卷積之間的區(qū)別是表示擴(kuò)大因子的符號l,這會導(dǎo)致濾波器在卷積過程中跳過一個或多個點(diǎn)。

為優(yōu)化擴(kuò)大卷積的使用,將殘差技術(shù)應(yīng)用于模型。殘差塊輸出為

H(x)=f(x,{Wi})+x

(6)

式中:x為擴(kuò)大卷積的輸入;f(x,{Wi})為殘差塊內(nèi)部單元的輸出。

殘差塊內(nèi)部單元為門控激活單元,分別使用tanh和sigmoid作為過濾門和學(xué)習(xí)門,用作激活函數(shù)。門控激活擴(kuò)大卷積的輸出為

z=tanh(wf*x)⊙σ(wg*x)

(7)

式中:wf和wg分別表示tanh和sigmoid內(nèi)部與x相對應(yīng)的權(quán)重系數(shù)。

對殘差塊進(jìn)行堆疊,得到的輸出為

(8)

步驟 2池化融合與批量標(biāo)準(zhǔn)化處理

融合池化階段過程為

(9)

式中:h為上層網(wǎng)絡(luò)傳入融合池化層的輸入；hmax為最大池化輸出；havg為平均池化輸出；hfuse為將最大池化與平均池化并聯(lián)得到的輸出。

批量標(biāo)準(zhǔn)化計算過程如下所示。

批處理輸入:

B={x1,x2,…,xm}

(10)

計算批處理數(shù)據(jù)均值:

(11)

計算批處理數(shù)據(jù)方差:

(12)

規(guī)范化:

(13)

尺度變化和偏移:

(14)

步驟 3BiGRU特征處理

BiGRU處理過程如圖5所示。

圖5 BiGRU處理過程圖Fig.5 Processing diagram of BiGRU

相關(guān)公式為

(15)

步驟 4重復(fù)步驟2與步驟3。

最后,將上述網(wǎng)絡(luò)模型的輸出發(fā)送到分類器,用于網(wǎng)絡(luò)數(shù)據(jù)種類的劃分。

2.3 測試階段

模型訓(xùn)練完成后,利用訓(xùn)練好的模型對測試集進(jìn)行分類得到預(yù)測類型。為了確保測試結(jié)果的可信度,本文使用k折交叉驗(yàn)證方法對模型進(jìn)行測試。

本文使用softmax函數(shù)來計算分類的結(jié)果概率,并將其與原始標(biāo)簽進(jìn)行比較。softmax的計算為

(16)

本文重點(diǎn)對多分類問題進(jìn)行研究,softmax多分類計算公式為

(17)

3 實(shí)驗(yàn)及結(jié)果分析

3.1 實(shí)驗(yàn)設(shè)置

為了測試融合WaveNet和BiGRU的網(wǎng)絡(luò)入侵檢測方法的性能,本文設(shè)計以下實(shí)驗(yàn)。

實(shí)驗(yàn) 1模型的性能分析實(shí)驗(yàn)。

實(shí)驗(yàn) 2不同編碼方式對入侵檢測方法性能的影響實(shí)驗(yàn)。

實(shí)驗(yàn) 3不同池化方式對入侵檢測方法性能的影響實(shí)驗(yàn)。

實(shí)驗(yàn) 4性能對比實(shí)驗(yàn)。

本實(shí)驗(yàn)環(huán)境為64位Windows10操作系統(tǒng)的TensorFlow學(xué)習(xí)框架,計算機(jī)配置為AMD Ryzen 9 5900HX with Radeon Graphics 3.30 GHz,32 GB RAM。

經(jīng)過多輪對比實(shí)驗(yàn),確定模型參數(shù)設(shè)置如表1所示。

表1 模型參數(shù)設(shè)置

表1中,categorical_crossentropy損失函數(shù)為

(18)

3.2 數(shù)據(jù)集與實(shí)驗(yàn)評價標(biāo)準(zhǔn)

本文提出的模型在3個數(shù)據(jù)集上進(jìn)行了評估:NSL-KDD、UNSW-NB15以及CIC-IDS2017數(shù)據(jù)集。

NSL-KDD數(shù)據(jù)集對KDD99數(shù)據(jù)集進(jìn)行了改進(jìn),在KDD99數(shù)據(jù)集的基礎(chǔ)上清除了訓(xùn)練集和測試集中的冗余及重復(fù)數(shù)據(jù),使訓(xùn)練集和測試集的設(shè)置更加合理,能夠得到更為準(zhǔn)確的檢測率[26]。UNSW-NB15數(shù)據(jù)集發(fā)布于2015年,在一定程度上克服了KDD99數(shù)據(jù)集的局限性,是一種綜合性的網(wǎng)絡(luò)攻擊流量數(shù)據(jù)集,被廣泛應(yīng)用于異常入侵檢測領(lǐng)域[27]。CIC-IDS2017數(shù)據(jù)集來源于2017年7月3日～7日加拿大網(wǎng)絡(luò)安全研究所對于網(wǎng)絡(luò)數(shù)據(jù)的采集[28],包含網(wǎng)絡(luò)入侵領(lǐng)域中良性以及最新的常見攻擊,填補(bǔ)了UNSW-NB15數(shù)據(jù)集中沒有基于網(wǎng)絡(luò)攻擊的空白。

本文主要對上述3個數(shù)據(jù)集進(jìn)行多類別攻擊預(yù)測。在NSL-KDD數(shù)據(jù)集中,分別為正常流量、拒絕服務(wù)攻擊、端口攻擊、提權(quán)攻擊、遠(yuǎn)程用戶攻擊5種類型。在UNSW-NB15數(shù)據(jù)集中,分別為正常normal、dos、exploits、generic、conservation、worms、shellcode、analysis、backdoor和fuzzer 10種類型。在CIC-IDS2017數(shù)據(jù)集中共存在15種類型,將其中異常攻擊性質(zhì)相近的進(jìn)行合并,比如將數(shù)據(jù)集中的3種網(wǎng)絡(luò)攻擊合并為網(wǎng)絡(luò)攻擊類型,最終數(shù)據(jù)集共擁有BENIGN(正常流量)、DoS、portscan、ddos、patator、bot、web attack、infiltration和heartbleed 9種流量類型。

對比實(shí)驗(yàn)采用分類準(zhǔn)確率(Accuracy)、精確率(Precision)、召回率(Recall)和F1-score判斷模型分類效果。令TP表示預(yù)測正確的樣本數(shù),FP表示錯誤將其他種類識別為本類的樣本數(shù),TN表示正確將其他類預(yù)測為其他種類的樣本數(shù),FN表示錯誤將本類預(yù)測為其他種類的樣本數(shù)。

Accuracy表示分類器對整個樣本判斷正確的比重,計算公式如下:

(19)

Precision表示被分類器判定為正例中的正樣本的比重,計算公式如下:

(20)

Recall表示被預(yù)測為正例的樣本數(shù)占總的正例樣本的比重,計算公式如下:

(21)

F1-score是Precision和Recall加權(quán)平均,用于綜合Precision和Recall的評分,計算公式如下:

(22)

3.3 實(shí)驗(yàn)結(jié)果與分析

3.3.1 模型性能分析實(shí)驗(yàn)

為驗(yàn)證本文提出的模型對于網(wǎng)絡(luò)入侵行為的檢測效果,本節(jié)對融合WaveNet和BiGRU的網(wǎng)絡(luò)入侵檢測方法設(shè)置性能分析實(shí)驗(yàn):使用k折交叉驗(yàn)證的方法對本文模型在3個數(shù)據(jù)集上的多項(xiàng)指標(biāo)進(jìn)行測試,得到本文模型在NSL-KDD、UNSW-NB15和CIC-IDS2017數(shù)據(jù)集上的多分類準(zhǔn)確率、F1-score值以及數(shù)據(jù)集中每種類型的檢測精確率隨k值變化產(chǎn)生的變化趨勢如圖6～圖10所示。

圖6 準(zhǔn)確率變化圖Fig.6 Change diagram of accuracy

圖7 F1-score變化圖Fig.7 Change diagram of F1-score

圖8 NSL-KDD各種類檢出率變化圖Fig.8 NSL-KDD variable class detection rate map

圖9 UNSW-NB15各種類檢出率變化圖Fig.9 UNSW-NB15 variable class detection rate map

圖10 CIC-IDS2017各種類檢出率變化圖Fig.10 CIC-IDS2017 variable class detection rate map

由圖6和圖7可知,經(jīng)過k值由2～10的檢驗(yàn),NSL-KDD、UNSW-NB15以及CIC-IDS2017數(shù)據(jù)集的準(zhǔn)確率、F1-score值均隨著k值的增大而增大。這是由于隨著k值的增大,數(shù)據(jù)集的劃分會越來越多,作為訓(xùn)練集的數(shù)據(jù)也就隨著增多。參與訓(xùn)練的數(shù)據(jù)越多,最終得到的測試準(zhǔn)確率等評價指標(biāo)也就隨之得到提升。

NSL-KDD數(shù)據(jù)集多分類的最佳準(zhǔn)確率為k=10時的99.62%,最佳F1分?jǐn)?shù)為k=10時的99.4%;而UNSW-NB15數(shù)據(jù)集多分類的最佳準(zhǔn)確率及最佳F1分?jǐn)?shù)同樣在k=10時取得,分別為83.98%和83.80%。同樣,CIC-IDS2017數(shù)據(jù)集多分類的最優(yōu)效果也在k=10時取得,均為99.86%?？梢缘贸鼋Y(jié)論,在k=10時,本文模型就已取得較好的多分類效果,而隨著折疊次數(shù)的增加,每個攻擊或正常種類的樣本數(shù)也將增多,因此模型將能夠更好地對其進(jìn)行分類。

由圖8～圖10可知,本文提出的模型能夠準(zhǔn)確地對數(shù)據(jù)集中的正常及大多數(shù)攻擊種類進(jìn)行識別,檢出率均大于80%,但對于NSL-KDD數(shù)據(jù)集中的遠(yuǎn)程用戶攻擊以及UNSW-NB15和CIC-IDS2017數(shù)據(jù)集中的個別攻擊種類檢出率較低,分析其原因?yàn)閿?shù)據(jù)集分布不均,部分攻擊種類數(shù)據(jù)量過少,導(dǎo)致訓(xùn)練不充分,從而檢出率較低,之后可通過對數(shù)據(jù)集進(jìn)行處理或者使用效果更好的分類器的方法進(jìn)行解決。

本文模型能夠在3個數(shù)據(jù)集上取得上述實(shí)驗(yàn)結(jié)果,是由于模型將WaveNet和BiGRU進(jìn)行結(jié)合,能夠最大程度上對數(shù)據(jù)的時間序列特征進(jìn)行提取。同時，使用最大、平均池化輸出并聯(lián)的融合池化,將提取出的不同特征進(jìn)行融合作為池化層的輸出。相較于單一池化層,能夠更加全面的提取特征。最后，使用Nadam優(yōu)化器以及Categorical_crossentropy損失函數(shù)對模型的超參數(shù)進(jìn)行優(yōu)化,達(dá)到模型的最佳檢測性能。

3.3.2 不同編碼方式對入侵檢測方法性能的影響實(shí)驗(yàn)

由于深度學(xué)習(xí)只能對數(shù)值型數(shù)據(jù)進(jìn)行處理,所以需要將數(shù)據(jù)集中的字符串型數(shù)據(jù)轉(zhuǎn)化成數(shù)值型數(shù)據(jù)。目前，常見的數(shù)值化方法共有兩種,分別為獨(dú)熱編碼和標(biāo)簽編碼。為驗(yàn)證選用獨(dú)熱編碼對數(shù)據(jù)進(jìn)行預(yù)處理的科學(xué)性與優(yōu)越性,本節(jié)設(shè)置了不同編碼方式對入侵檢測性能影響的對比實(shí)驗(yàn)。在相同實(shí)驗(yàn)條件下,分別對數(shù)據(jù)集使用不同編碼方式進(jìn)行數(shù)值化處理,傳入本文模型中,得到的檢測準(zhǔn)確率如表2所示。

表2 不同編碼方式下的準(zhǔn)確率

由表2可知,采用獨(dú)熱編碼方式對數(shù)據(jù)集中的字符串型特征進(jìn)行數(shù)值化,檢測的準(zhǔn)確率要稍高于采用標(biāo)簽編碼方式。原因在于,標(biāo)簽編碼將特征轉(zhuǎn)化成了連續(xù)的數(shù)值,即對不連續(xù)的特征進(jìn)行了編號,這就導(dǎo)致特征之間出現(xiàn)了大小關(guān)系,也就產(chǎn)生了偏序性,對分類效果產(chǎn)生了一定的影響,而獨(dú)熱編碼將離散特征的取值擴(kuò)展到了歐式空間,使特征之間的距離都保持一致,解決了上述存在的問題,提高了檢測的準(zhǔn)確率,所以本文使用獨(dú)熱編碼方式對數(shù)據(jù)進(jìn)行預(yù)處理。

3.3.3 不同池化方式對入侵檢測方法性能的影響實(shí)驗(yàn)

為解決模型提取特征能力不足的問題,本文提出一種同時對數(shù)據(jù)進(jìn)行平均池化與最大池化并進(jìn)行并聯(lián)的池化融合方法。為驗(yàn)證本文提出的池化融合方法的有效性,本節(jié)設(shè)置了不同池化方式對入侵檢測性能影響的對比實(shí)驗(yàn):模型分別采用平均池化、最大池化、池化融合3種不同的方案,在3種方案情況下,NSL-KDD數(shù)據(jù)集、UNSW-NB15數(shù)據(jù)集和CIC-IDS2017數(shù)據(jù)集的多分類檢測準(zhǔn)確率如表3所示。

表3 不同池化方式下的準(zhǔn)確率

由表3可知,與單獨(dú)進(jìn)行平均池化或最大池化的方案相比,采用池化融合的方法能夠更高地檢測準(zhǔn)確率。原因在于,平均池化能夠?qū)Π忠饬x的特征進(jìn)行提取,而最大池化提取到的特征帶有一定的局部意義的特征,使用這兩種方式提取到的特征具有很大的區(qū)別。通過采用池化融合的方法將兩種不同的特征進(jìn)行結(jié)合,互相進(jìn)行補(bǔ)充,就能夠更好地對網(wǎng)絡(luò)攻擊數(shù)據(jù)的本質(zhì)進(jìn)行反映,從而得到更高的識別準(zhǔn)確率。本實(shí)驗(yàn)證明了本文所設(shè)計的池化融合方法能夠在很大程度上對模型提取特征的能力進(jìn)行提升。

3.3.4 性能對比實(shí)驗(yàn)

為進(jìn)一步驗(yàn)證融合WaveNet和BiGRU的網(wǎng)絡(luò)入侵檢測方法的綜合性能,設(shè)置性能對比實(shí)驗(yàn)。

在相同實(shí)驗(yàn)條件下,對決策樹[29]、隨機(jī)森林[30]、K均值聚類算法等常用的機(jī)器學(xué)習(xí)方法,以及近期提出的神經(jīng)網(wǎng)絡(luò)改進(jìn)算法GRU-RNN[31]和CNN-BiLSTM[32]根據(jù)其論文描述及參數(shù)設(shè)置進(jìn)行模型復(fù)現(xiàn),并分別應(yīng)用到3個數(shù)據(jù)集上進(jìn)行實(shí)驗(yàn),其性能表現(xiàn)如表4～表6所示。

表4 NSL-KDD多分類比較

表5 UNSW-NB15多分類比較

表6 CIC-IDS2017多分類比較

由表4～表6可知,本文所提出的模型幾乎在所有指標(biāo)上都能夠取得更好的性能,包括準(zhǔn)確率、精確率、召回率以及綜合評價指標(biāo)。其原因在于,與隨機(jī)森林、決策樹等機(jī)器學(xué)習(xí)方法相比,本文模型使用深度神經(jīng)網(wǎng)絡(luò)對數(shù)據(jù)集進(jìn)行學(xué)習(xí)。由于神經(jīng)網(wǎng)絡(luò)具有很強(qiáng)的非線性擬合能力,可對任意復(fù)雜的非線性關(guān)系進(jìn)行映射,所以本模型的特征提取能力更強(qiáng),識別準(zhǔn)確率更高;與GRU_RNN和CNN-BiLSTM相比,本文模型采用WaveNet與池化融合的方法進(jìn)行特征提取,提取到的特征信息更全面,且WaveNet克服了一般卷積操作的局限性,對當(dāng)前時刻數(shù)據(jù)特征進(jìn)行提取時不會受到未來數(shù)據(jù)的影響,從而可信度更高,多分類效果更好。

在上述比較中,與本文模型的性能最為接近的模型為CNN-BiLSTM以及GRU_RNN模型,均為LSTM或者GRU網(wǎng)絡(luò)的改進(jìn)型,說明該類型算法在網(wǎng)絡(luò)入侵檢測領(lǐng)域具有較好的應(yīng)用前景,有進(jìn)行深入研究的價值。

4 結(jié) 論

為解決一般入侵檢測算法特征提取效果不好以及多分類準(zhǔn)確率不高的問題,本文提出了一種融合WaveNet和BiGRU的網(wǎng)絡(luò)入侵檢測方法。該方法將WaveNet和BiGRU進(jìn)行了結(jié)合,同時對池化層進(jìn)行了改進(jìn)。最后通過在數(shù)據(jù)集上進(jìn)行的性能分析實(shí)驗(yàn)、編碼方式影響實(shí)驗(yàn)、池化方式影響實(shí)驗(yàn)以及對比實(shí)驗(yàn)證明了模型在處理大規(guī)模高維網(wǎng)絡(luò)數(shù)據(jù)時具有較強(qiáng)的特征提取能力、較高的檢測準(zhǔn)確率以及較低的誤報率,為IDS提供了有希望的前瞻性實(shí)時應(yīng)用。但是,本模型并沒有很好地解決數(shù)據(jù)集中數(shù)據(jù)不平衡的問題,對于數(shù)據(jù)集中數(shù)量較少的一些攻擊種類不能準(zhǔn)確地進(jìn)行檢出。下一步將重點(diǎn)針對這一問題,在數(shù)據(jù)集的處理方式以及分類器的搭建上進(jìn)行研究,尋求解決問題的方法。