基于LSTM-DNN模型的入侵檢測方法

李夢歌，王海珍

基于LSTM-DNN模型的入侵檢測方法

李夢歌，王海珍

（齊齊哈爾大學 計算機與控制工程學院，黑龍江 齊齊哈爾 161006）

針對基于深度神經(jīng)網(wǎng)絡模型的入侵檢測方法存在的梯度減弱或消失問題，提出了一種LSTM（Long-Short Term Memory，長短時記憶）神經(jīng)網(wǎng)絡改進的DNN（Deep Neural Networks，深度神經(jīng)網(wǎng)絡）模型．該模型主要包括LSTM神經(jīng)網(wǎng)絡和DNN 2部分，LSTM神經(jīng)網(wǎng)絡通過記憶或遺忘進行數(shù)據(jù)流量特征提取，然后將其輸入DNN進行訓練、入侵檢測．模型中采用優(yōu)化算法，加快了網(wǎng)絡收斂．實驗表明，與LSTM模型相比，LSTM-DNN模型具有較好的性能，準確率更高，運行時間更短．

長短時記憶神經(jīng)網(wǎng)絡；深度神經(jīng)網(wǎng)絡；入侵檢測；優(yōu)化算法

隨著無線傳感器網(wǎng)絡（Wireless Sensor Network，WSN）的快速發(fā)展，應用的領域越來越廣泛，需要采集的信息越來越多，數(shù)據(jù)量也越來越大，同時也面臨較大的安全隱患．入侵檢測技術能夠對內(nèi)部攻擊進行實時檢測，是解決WSN安全問題的關鍵技術．傳統(tǒng)的入侵檢測技術無法對海量、高維數(shù)據(jù)流量進行高效分析和檢測，深度學習可以有效地解決海量復雜的高維數(shù)據(jù)分類問題，逐漸被應用到入侵檢測領域．江澤濤[1]等提出基于二次決策的深度學習模型，有效地提升了深度神經(jīng)網(wǎng)絡在入侵檢測數(shù)據(jù)上特征學習的效果．俞建業(yè)[2]等基于Apache Spark框架提出了車聯(lián)網(wǎng)分布式組合深度學習入侵檢測方法，有效地提高了入侵檢測準確率．林碩[3]等提出基于深度學習的入侵檢測模型，與傳統(tǒng)機器學習方法相比，能夠提高入侵檢測的準確率．陳卓[4]等基于注意力機制的時空圖卷積網(wǎng)絡，提出一種無人機網(wǎng)絡的入侵檢測方法，并驗證了它的魯棒性和適應性．Song[5]等分別使用雙向LSTM分階段的學習數(shù)據(jù)包和網(wǎng)絡流的特征，得到比較綜合全面的時序特征后進行分類，實現(xiàn)更加準確的網(wǎng)絡流量分類效果．李發(fā)陵[6]等基于卷積神經(jīng)網(wǎng)絡和加權丟棄LSTM的混合深度學習模型，提出入侵檢測方法，該方法在分類精度、誤報率和平均執(zhí)行時間方面具有良好的性能．陳解元[7]提出了一種將卷積神經(jīng)網(wǎng)絡與LSTM相結合的深度學習結構，卷積神經(jīng)網(wǎng)絡學習空間特征，LSTM則可以處理序列數(shù)據(jù)，學習時間特征，取得了較好的分類結果．李俊[8]等基于構建的GRU-RNN 網(wǎng)絡模型，提出了基于時序的不平衡學習入侵檢測方法，用于檢測具有時序特征的攻擊行為，具有較好的識別率與收斂性．

這些方法采用深度神經(jīng)網(wǎng)絡實現(xiàn)入侵檢測，隨著網(wǎng)絡的加深，會出現(xiàn)梯度減弱或消失問題，影響入侵檢測的效果．對此，本文提出新的方法，即構建LSTM改進的DNN模型，分析模型設計過程，并通過實驗進行模型評價．

1 LSTM-DNN模型設計

本文提出LSTM神經(jīng)網(wǎng)絡改進的DNN模型，該模型主要包括LSTM神經(jīng)網(wǎng)絡和DNN 2部分，前者進行數(shù)據(jù)流量特征提取，后者進行入侵檢測．

1.1 LSTM神經(jīng)網(wǎng)絡設計

LSTM神經(jīng)網(wǎng)絡能夠學習長期的規(guī)律，可以根據(jù)上一個輸出預測下一個輸出值．設計的LSTM神經(jīng)網(wǎng)絡由4層組成（見圖1），從左向右各層神經(jīng)元數(shù)量分別為512，256，64，10．

圖1 LSTM神經(jīng)網(wǎng)絡設計

圖1中各變量涉及的計算公式為

1.2 LSTM神經(jīng)網(wǎng)絡改進的DNN模型設計

圖2 LSTM-DNN模型設計

2 實驗分析

2.1 實驗準備

使用64位Win 10操作系統(tǒng)，四核八線程Intel?core?i5-1135G7CPU和16GB DDR4 RAM，安裝Anaconda3,采用Python3.7編程．本實驗使用UNSW-NB15數(shù)據(jù)集[10]，該數(shù)據(jù)集除了正常網(wǎng)絡行為還記錄了9種網(wǎng)絡攻擊行為，分別為Fuzzers，Analysis，Backdoors，DoS，Exploits，Generic，Reconnaissance，Shellcode，Worms，包括49個特征．本實驗去除了原始數(shù)據(jù)Label標簽項，將attack_cat項作為標簽項，入侵檢測問題轉化為十分類問題，共有48個特征，測試集700 001條，訓練集700 001條，無需平衡處理．原始數(shù)據(jù)集雖無空缺值，但特征attack_cat，service，state，proto，dstip，srcip，dsport，sport是非數(shù)字的，無法帶入矩陣中計算，需要數(shù)值化處理．使用sklearn.preprocessing包中的LabelEncoder函數(shù)將非數(shù)值類型數(shù)據(jù)轉換為標簽數(shù)值類型，采用sklearn.preprocessing包中的StandardScaler函數(shù)將整體特征數(shù)據(jù)均值標準歸一化方法，將均值設為0，方差設為1．

2.2 實驗結果與分析

將LSTM神經(jīng)網(wǎng)絡模型與LSTM-DNN神經(jīng)網(wǎng)絡在UNSW-NB15數(shù)據(jù)集上進行實驗，實驗結果見表1．LSTM神經(jīng)網(wǎng)絡模型檢測準確率為96.5%，LSTM-DNN模型的檢測準確率為96.7%，使用LSTM-DNN模型比LSTM神經(jīng)網(wǎng)絡模型的準確率提高了0.2%；2種模型均比文獻[11]中PCA-LSTM神經(jīng)網(wǎng)絡模型的準確率高．本文在相同的數(shù)據(jù)集下進行相同的數(shù)據(jù)預處理步驟，LSTM神經(jīng)網(wǎng)絡模型運行時間為10 124.839 s，LSTM-DNN模型的運行時間為1 032.914 s，后者運行時間大大減少，接近前者的十分之一．

表1　各算法在數(shù)據(jù)集上的定量評估

2.3 模型評價

圖3 LSTM模型與LSTM-DNN模型精確率對比

3 結語

本文提出了LSTM改進DNN模型的入侵檢測方法，該方法利用LSTM的記憶功能進行數(shù)據(jù)特征提取，獲得的有效特征作為DNN的輸入數(shù)據(jù)，進行模型訓練，避免了梯度消失問題．此外，模型中引入Adadelta優(yōu)化算法，加快了網(wǎng)絡收斂；同時包含了隨機抽樣層，每次隨機抽取20%的數(shù)據(jù)進行訓練，避免了過擬合問題．在UNSW-NB15數(shù)據(jù)集進行實驗分析，與LSTM神經(jīng)網(wǎng)絡模型相比，本文提出的模型檢測準確率更高，運行時間更短．

[1] 江澤濤，翟振宇．基于二次決策的深度學習入侵檢測模型[J]．微電子學與計算機，2020，37（4）：32-36．

[2] 俞建業(yè)，戚湧，王寶茁．基于Spark的車聯(lián)網(wǎng)分布式組合深度學習入侵檢測方法[J]．計算機科學，2021，48（增刊1）： 518-523．

[3] 林碩，商富博，高治軍，等．基于深度學習的入侵檢測模型[J]．控制工程，2021，28（9）：1873-1878．

[4] 陳卓，呂娜，陳坤，等．基于時空圖卷積網(wǎng)絡的無人機網(wǎng)絡入侵檢測方法[J]．北京航空航天大學學報，2021，47（5）： 1068-1076．

[5] Song Weixing，Wu Jingjing，Kang Jianshe，et al．Research on maintenance spare parts requirement prediction based on LSTM recurrent neural network[J]．Open Physics，2021，19（1）：618-627．

[6] 李發(fā)陵，彭娟．大數(shù)據(jù)環(huán)境下基于CNN和WDLSTM的入侵檢測[J]．西南師范大學學報（自然科學版），2021，46（9）： 103-108．

[7] 陳解元．基于LSTM的卷積神經(jīng)網(wǎng)絡異常流量檢測方法[J]．信息技術與網(wǎng)絡安全，2021，40（7）：42-46．

[8] 李俊，夏松竹，蘭海燕，等．基于GRU-RNN的網(wǎng)絡入侵檢測方法[J]．哈爾濱工程大學學報，2021，42（6）：879-884．

[9] 周文，張世琨，丁勇，等．面向低維工控網(wǎng)數(shù)據(jù)集的對抗樣本攻擊分析[J]．計算機研究與發(fā)展，2020，57（4）：736-745．

[10] Moualla S，Khorzom K，Jafar A．Improving the Performance of Machine Learning-Based Network Intrusion Detection Systems on the UNSW-NB15 Dataset[J]．Computational Intelligence and Neuroscience，2021，2021（Pt.3）：1-13．

[11] 高忠石，蘇旸，柳玉東．基于PCA-LSTM的入侵檢測研究[J]．計算機科學，2019，46（增刊2）：473-476，492．

Intrusion detection method based on LSTM-DNN model

LI Mengge，WANG Haizhen

（School of Computer and Control Engineering，Qiqihar University，Qiqihar 161006，China）

Aiming at the problem that the gradient of intrusion detection method based on deep neural network model weakens or disappears，an improved deep neural networks model based on long-short term memory neural network is proposed．The model mainly includes LSTM neural network and DNN．The LSTM neural network extracts the characteristics of data traffic through memory or forgetting，and then inputs it into DNN for training intrusion detection．The optimization algorithm is used in the model to speed up the network convergence．Experiments show that compared with LSTM model，LSTm-DNN model has better performance，higher accuracy and shorter running time．

long-short term memory neural network；deep neural networks；intrusion detection；optimization algorithm

1007-9831（2023）01-0038-04

TP393

A

10.3969/j.issn.1007-9831.2023.01.008

2022-07-20

黑龍江省高等教育教學改革研究項目（SJGY20200770，SJGY20190710）；齊齊哈爾大學教育科學研究項目（ZD201802）

李夢歌（1998-），女，河南孟津人，在讀碩士研究生，從事計算機網(wǎng)絡與信息安全研究．E-mail：1010293511@qq.com

王海珍（1976-），女，山東臨沂人，副教授，碩士，從事嵌入式技術、密碼分析與設計研究．E-mail：wanghaizhen1976@163.com