基于深度學(xué)習(xí)的網(wǎng)絡(luò)攻擊檢測模型*

禹 寧，谷 良，狄 婷

（國網(wǎng)山西省電力公司信息通信分公司，太原 030000）

0 引言

網(wǎng)絡(luò)已經(jīng)成為能源、金融、政務(wù)等國家基礎(chǔ)設(shè)施和公民個人信息傳輸?shù)闹饕d體，由于網(wǎng)絡(luò)架構(gòu)的開放性和其難以根除的系統(tǒng)漏洞，各類網(wǎng)絡(luò)攻擊層出不窮，尤其高級持續(xù)威脅（advanced persistent threat，APT）攻擊已經(jīng)成為近年來威脅我國網(wǎng)絡(luò)設(shè)施安全的主要攻擊形式［1］，及時檢測復(fù)雜多變的網(wǎng)絡(luò)攻擊，保障國家重要網(wǎng)絡(luò)基礎(chǔ)設(shè)施和公民信息安全成為目前網(wǎng)絡(luò)安全研究的緊迫需求。

網(wǎng)絡(luò)攻擊通常主要有4 種形式，分別是DoS（Deny of Service）、Probe、U2R（User to Root）和R2L（Remote to Local），上述攻擊形式也是APT 攻擊過程中據(jù)點建立和橫向移動階段的主要攻擊形式；一旦攻擊達成便可長期駐留用戶網(wǎng)絡(luò)，適時竊取目標用戶敏感數(shù)據(jù)信息，造成難以察覺的巨大破壞。針對上述攻擊，目前存在大量研究。YANG Y Q 等針對U2R 和R2L 攻擊提出基于改進密度峰值算法和深度置信網(wǎng)絡(luò)的MDPCA-DBN 算法實現(xiàn)攻擊檢測［2］，該算法針對良性數(shù)據(jù)的識別準確率達到97.38%，對于U2R 和R2L 的識別率分別達到6.5%和17.25%。CHUAN Y 等針對DoS 攻擊提出基于CNN 和RNN的集成檢測算法，識別率達到99.1%，但該方法計算開銷較大［3］。SONG C H 等將網(wǎng)絡(luò)攻擊視為惡意流量，基于分類思想利用LSTM 和XGBoost 集成算法實現(xiàn)了惡意流量分類識別，但該檢測方法檢測精度較低［4］。劉海波等針對APT 攻擊利用對抗網(wǎng)絡(luò)提出了基于GAN-LSTM 的檢測方法，實驗表明融入生成對抗網(wǎng)絡(luò)的檢測算法對比LSTM 網(wǎng)絡(luò)檢測效果有明顯提升［5］。針對DDoS 攻擊，ROBSON V 等提出基于快速分層深度卷積神經(jīng)網(wǎng)絡(luò)的入侵檢測算法（Tree-CNN）［6］，并在模型頂層使用SRS 激活函數(shù)使模型具有更好的泛化能力和學(xué)習(xí)速度，該模型識別率達到97%，但該方法模型檢測精度較低。YU J 等提出一種基于多尺度卷積神經(jīng)網(wǎng)絡(luò)（MSCNN）的高精度入侵檢測系統(tǒng)［7］，通過不同尺度的卷積核特征提取有效提升了卷積檢測精度，針對上述各類攻擊的平均準確率提高了4.37%。WU 等提出了LuNet模型［8］，該模型針對Probe，DoS 攻擊的檢測率達到99%，但是對于U2R 和R2L 的識別率較低；IM RANA Y 等提出了基于雙向長短期記憶網(wǎng)絡(luò)的檢測模型（Bi-LSTM）［9］，該模型檢測精度達到92.81%，但時間復(fù)雜度較高，訓(xùn)練時間達到9 789 s；高忠石等提出了基于主成分分析優(yōu)化的長短時記憶網(wǎng)絡(luò)的入侵檢測模型（PCA-LSTM）實現(xiàn)二元分類，但該方法檢測精度達到94.34%［10］。

針對網(wǎng)絡(luò)復(fù)雜混沌特性導(dǎo)致的檢測精度低、特征學(xué)習(xí)不充分、時間開銷大等問題，本文提出基于深度學(xué)習(xí)的網(wǎng)絡(luò)攻擊檢測框架GP-CABL，主要貢獻包括：1）提出一種基于貪心策略與主成分相結(jié)合的GPCA（Greedy PCA，簡稱GPCA）方法，對網(wǎng)絡(luò)流量的高維特征進行最優(yōu)特征子集提取以降低模型時間復(fù)雜度；2）構(gòu)建CABL 框架實現(xiàn)網(wǎng)絡(luò)攻擊檢測：利用卷積神經(jīng)網(wǎng)絡(luò)（convolutional neural networks，CNN）和長短期記憶網(wǎng)絡(luò)（bidirectional long short-term memory network，Bi-LSTM）充分提取流量的空間特征和時序特征，并基于注意力機制（attention）對學(xué)習(xí)過的特征圖進行信息增強，以保證檢測精度的同時加快模型收斂速度；3）通過充分實驗驗證和對比了GP-CABL 的有效性。

1 GP-CABL 網(wǎng)絡(luò)攻擊檢測框架

1.1 網(wǎng)絡(luò)攻擊檢測框架設(shè)計

GP-CABL 檢測框架總體上是一個層次模型，檢測流程如圖1 所示，由特征構(gòu)建層、數(shù)據(jù)預(yù)處理層、特征提取層、模型訓(xùn)練與測試層和結(jié)果輸出層共5層構(gòu)成。主要工作模式為：1）采集網(wǎng)絡(luò)流量，并構(gòu)建流量初始特征；2）對初始特征進行預(yù)處理；3）基于GPCA 提取初始特征的最優(yōu)子集，并按照4∶1 比例構(gòu)建模型訓(xùn)練集和測試集；4）訓(xùn)練CABL 模型；5）采用測試集進行模型評估，輸出測試結(jié)果。

圖1 GP-CABL 網(wǎng)絡(luò)入侵檢測流程圖Fig.1 The flow chart of GP-CABL network intrusion detection

1.2 GPCA 特征提取算法

在惡意流量檢測中，初始特征中包含的流量特征噪聲多、維度高、冗余度大，是影響模型識別精度和性能主要因素，且初始流量特征對惡意流量檢測貢獻度并不均衡，因而挖掘關(guān)鍵流量特征成為降低模型復(fù)雜度、減少訓(xùn)練開銷，提升模型魯棒性的一個主要途徑。PCA 算法能夠?qū)μ卣鬟M行線性組合和歸并，在保持流量主要信息量的情況下降低特征維度；貪心算法能夠在訓(xùn)練參數(shù)保持最優(yōu)的基礎(chǔ)上對當(dāng)前特征作出最優(yōu)選擇，基于上述分析，本文提出一種基于貪心與主成分相結(jié)合的GPCA 特征提取算法用于對初始特征進行降維，其實現(xiàn)原理及步驟如下所示。

設(shè)經(jīng)過數(shù)據(jù)預(yù)處理后的初始特征集為S，且其共包含N 個對象，即，每個對象包含m 個變量，即：，其中，。

Step 1：求每個對象特征的平均值，即利用式（1）求出m 個特征的平均值，其中，表示第t 個特征的平均值。

Step 2：求Xi中每一維特征的相關(guān)系數(shù)矩陣R，即利用式（2）～式（4）求相關(guān)系數(shù)矩陣R。

其中，E（Xi·Xj）表示求向量Xi·Xj的期望，其計算方式如式（4）所示。

Step 3：提取低維度協(xié)方差矩陣Rk（k＜m）。列出矩陣R 的每個列向量的2-范數(shù)，選擇較大的k 列構(gòu)成子矩陣Ck。2-范數(shù)的計算公式如式（5）。

Step 6：基于貪心策略選擇模型學(xué)習(xí)率、迭代次數(shù)、模型隱藏層結(jié)點個數(shù)最優(yōu)值，在上述參數(shù)保持最優(yōu)的條件下，通過觀察不同主因子k 對應(yīng)的實驗準確率變化趨勢，尋找最優(yōu)k 值。最終將數(shù)據(jù)S 集

由上述推理可知傳統(tǒng)PCA 分解過程中，奇異值分解是其中計算復(fù)雜度最高也是計算開銷最大的過程，在奇異值分解前針對特征降維是降低其復(fù)雜度的有效途徑。GPCA 通過在奇異值分解之前對矩陣R 進行降維，有效減少了計算開銷。從時間復(fù)雜度分析角度看，傳統(tǒng)PCA 奇異值分解協(xié)方差矩陣的時間復(fù)雜度為O（N×m3），其中，N 為樣本數(shù)量，m 是樣本特征的數(shù)量。而GPCA 分解前首先將m 縮小至k（k＜m），其時間復(fù)雜度為O（N×m3），當(dāng)樣本數(shù)量有限時，其計算開銷明顯降低，因此，GPCA 較傳統(tǒng)PCA 能有效提升特征提取的速度。

1.3 CABL 惡意流量檢測框架

CABL 惡意流量檢測框架由流量空間特征學(xué)習(xí)、特征增強和時序特征學(xué)習(xí)模塊3 部分構(gòu)成，結(jié)構(gòu)如下頁圖2 所示。從網(wǎng)絡(luò)流量數(shù)據(jù)傳輸形式看，流量數(shù)據(jù)自上而下由報文、數(shù)據(jù)報、數(shù)據(jù)包、幀和比特構(gòu)成，呈現(xiàn)顯著的層次結(jié)構(gòu)特征即空間結(jié)構(gòu)特征；從流量采集的時間過程看，流量是嚴格按時間不斷匯聚而成，是按照時間先后順序構(gòu)成的數(shù)據(jù)列，即網(wǎng)絡(luò)流量數(shù)據(jù)是按照一定的時間粒度進行聚合構(gòu)建的時序數(shù)據(jù)，具有鮮明的時序特征。網(wǎng)絡(luò)流量在空間結(jié)構(gòu)特征方面與自然語言呈現(xiàn)出顯著的相關(guān)性，一維CNN 在自然語言處理領(lǐng)域取得良好的進展［11］，CABL 借助CNN 特性，設(shè)置兩層卷積層對GPCA 提取的最優(yōu)特征子集進行學(xué)習(xí)和特征提取，通過設(shè)置兩層最大池化層獲取網(wǎng)絡(luò)流量顯著特征，得到新的特征圖。針對池化層特征重構(gòu)帶來的信息損失問題，采用Attention 機制［12］對獲取的顯著特征進行增強，即通過為新獲取的特征圖中各特征賦予不同的權(quán)重來加速損失函數(shù)最小化。針對網(wǎng)絡(luò)流量的時序特征學(xué)習(xí)，LSTM 網(wǎng)絡(luò)利用細胞狀態(tài)信息、輸入門、遺忘門和輸出門，有效地解決了梯度爆炸和梯度消失的問題，Bi-LSTM 網(wǎng)絡(luò)利用正向LSTM 和反向LSTM 網(wǎng)絡(luò)，兼顧歷史和未來信息對當(dāng)前狀態(tài)的影響，能夠充分地學(xué)習(xí)網(wǎng)絡(luò)攻擊發(fā)生時網(wǎng)絡(luò)流量前后突變引起的時序特征變化，因此，CABL 借助Bi-LSTM［13］學(xué)習(xí)網(wǎng)絡(luò)流量數(shù)據(jù)的時序特征。在模型訓(xùn)練中，利用基于貪心策略的調(diào)參方法尋找學(xué)習(xí)率、隱藏層神經(jīng)節(jié)點個數(shù)、批處理大小等變量的參數(shù)，直到損失函數(shù)基本收斂后，利用檢測率和準確率等模型評價指標獲取模型最優(yōu)參數(shù)；并利用測試集對CABL 進行驗證。

圖2 GP-CABL 模型架構(gòu)圖Fig.2 GP-CABL model architecture

CABL 檢測模型構(gòu)建的步驟包括：

Step 1 空間特征學(xué)習(xí)，將GPCA 選擇的最優(yōu)特征集輸入流量空間特征學(xué)習(xí)模塊進行空間特性學(xué)習(xí)；

CNN 的輸入是三通道，其格式為H×W×C，其中，H，W 是數(shù)據(jù)集的樣本數(shù)和特征個數(shù)，C=1 表示文本序列。本文的卷積網(wǎng)絡(luò)選取3×1 的共享卷積核進行卷積操作，提取局部區(qū)域的特征，具體可由式（7）和式（8）可得，其中，W 表示代表卷積核的矩陣向量，Bi表示隨機偏置向量，f（·）表示非線性激活函數(shù)ReLU，該激活函數(shù)反向傳播求誤差梯度時導(dǎo)數(shù)保持不變，從而可以加快模型收斂的同時有效緩解模型過擬合。

為了更加充分學(xué)習(xí)數(shù)據(jù)特征，增加卷積層和池化層，本文構(gòu)建的CABL 模型包括2 層卷積層和池化層，即對1 層CNN 學(xué)習(xí)后的特征向量利用式（10）～式（12）計算得到2 層CNN 網(wǎng)絡(luò)學(xué)習(xí)后的特征向量。

圖3 LSTM 網(wǎng)絡(luò)數(shù)據(jù)流圖Fig.3 Data flow diagram of LSTM network

其中，ht表示t 時刻隱藏層的狀態(tài)，對應(yīng)的特征向量由式（21）表示，其中，f 表示非線性激活函數(shù)且h0=0。

Step 4 惡意流量分類，將Step3 的輸出Yi利用softmax 進行歸一化實現(xiàn)分類；

將Yi在全連接層采用softmax 進行映射到（0，1）區(qū)間內(nèi)。本文進行二元分類，經(jīng)過softmax 層的輸出是一個二維向量，向量的第一維表示該樣本屬于正常的概率，第二維表示樣本屬于攻擊的概率。對比二維向量的值，概率更大的則為預(yù)測結(jié)果，將預(yù)測結(jié)果與真實標簽進行對比，計算模型分類的各項性能指標。Softmax 計算概率的方法如式（22）所示，其中，C 是分類類別的個數(shù)。

檢測框架訓(xùn)練階段，GP-CABL 是通過向CABL模型中加載GPCA 提取的最優(yōu)特征子集，模型訓(xùn)練直到損失函數(shù)loss 收斂，保存網(wǎng)絡(luò)結(jié)構(gòu)參數(shù)和網(wǎng)絡(luò)最優(yōu)權(quán)重文件。檢測框架測試階段，GP-CABL 通過加載訓(xùn)練過程獲取的最優(yōu)權(quán)重文件進行模型測試，統(tǒng)計預(yù)測結(jié)果與真實結(jié)果的數(shù)量，形成混淆矩陣，并通過式（23）～式（27）分別計算識別精度、準確率、特異性、召回率或檢測率、F1-Score 等指標。

1.4 基于貪心策略的CABL 模型調(diào)參

模型參數(shù)與其性能評價息息相關(guān)，合適的參數(shù)可以更接近模型性能上限，CABL 基于貪心策略的調(diào)參獲取最優(yōu)參數(shù)（包括模型學(xué)習(xí)率、迭代次數(shù)、模型隱藏層結(jié)點數(shù)量最優(yōu)值）。本文結(jié)合實驗環(huán)境中內(nèi)存容量大小考慮決定設(shè)置批處理大小為100 進行調(diào)參實驗，調(diào)參的具體步驟如下所示：

Step 1：確定CABL 模型初始學(xué)習(xí)率為0.1。

Step 2：每一步以縮小10 倍的速度降低學(xué)習(xí)率來進行模型訓(xùn)練，觀察模型準確率和精度等指標，觀察到損失函數(shù)隨訓(xùn)練步數(shù)呈對勾形，選擇損失下降最快那一段的學(xué)習(xí)率作為最優(yōu)的訓(xùn)練學(xué)習(xí)速率α。實驗發(fā)現(xiàn)當(dāng)學(xué)習(xí)率為0.001 時，損失函數(shù)下降最快。

Step 3：固定Step2 確定的最優(yōu)學(xué)習(xí)速率α，觀察損失函數(shù)變化曲線，直到loss 函數(shù)逐漸趨于平穩(wěn)，模型基本收斂，停止迭代，確定最優(yōu)迭代次數(shù)T。

當(dāng)學(xué)習(xí)率為0.001，批處理大小為100 時，模型訓(xùn)練的指標曲線如圖4 所示，由圖4 可得到迭代次數(shù)為100 時，loss 基本趨于平穩(wěn)，模型基本收斂，故確定最優(yōu)迭代次數(shù)為100。

圖4 GP-CABL 模型迭代曲線圖Fig.4 Iteration curve of GP-CABL model

Step 4：固定Step 2、Step 3 中選擇的最優(yōu)學(xué)習(xí)率α、最優(yōu)迭代次數(shù)T 不變，調(diào)整CNN 隱藏層結(jié)點個數(shù)和Bi-LSTM 網(wǎng)絡(luò)結(jié)點個數(shù)，以變化趨勢進行調(diào)整（CNN 隱藏層結(jié)點個數(shù)變化為：16，8-＞32，16-＞64，32-＞128，64；Bi-LSTM 網(wǎng)絡(luò)隱藏層結(jié)點個數(shù)變化為：16，32，64，128），觀察模型的分類準確率和訓(xùn)練時間，尋找最合適的結(jié)點個數(shù)。實驗發(fā)現(xiàn)，隨著隱藏層結(jié)點個數(shù)的增加，模型檢測性能維持在±0.5%的區(qū)間內(nèi)，而訓(xùn)練時間會逐步增加。本實驗綜合考慮模型性能和訓(xùn)練時間最終選擇的隱藏節(jié)點個數(shù)為CNN（32，16），Bi-LSTM（64）。

基于貪心策略的調(diào)參結(jié)果如表1 所示。

表1 GP-CABL 最優(yōu)參數(shù)選擇結(jié)果Table 1 Optimal parameter selection results of GP-CABL

2 實驗及性能分析

2.1 實驗評價指標

GP-CABL 性能評價指標包括混淆矩陣［14］、精度、準確率、特異性、檢測率和F1-Score，其計算方法見式（23）～式（27）?；煜仃囈卜Q為誤差矩陣，用來表示一個分類器結(jié)果的矩陣，其矩陣表示如下頁表2 所示。

表2 混淆矩陣Table 2 Confusion matrix

其中，β 表示召回率與精度的權(quán)重比，如果認為精度和召回率同等重要，則β=1。

2.2 實驗環(huán)境配置

GP-CABL 框架在featurize 官網(wǎng)租用云算力進行仿真，實驗環(huán)境如表3 所示。

表3 GP-CABL 框架實驗環(huán)境配置表Table 3 Experimental environment configuration table of GP-CABL framework

2.3 實驗數(shù)據(jù)集

本文采用NSL-KDD 數(shù)據(jù)集［15］進行仿真驗證，該數(shù)據(jù)集包括41 個特征和1 個類標識（標記正?；驉阂饬髁浚渲?，9 個特征是離散型數(shù)據(jù)，其他均為連續(xù)型，因此，在進行訓(xùn)練前先對連續(xù)型數(shù)據(jù)進行二值轉(zhuǎn)換、標準化等預(yù)處理操作。數(shù)據(jù)集中的惡意流量包括4 大類（DoS、Probing、R2L、U2R），共計22 種訓(xùn)練攻擊類型，具體類型參如表4 所示。本文將20%的KDDTrain+數(shù)據(jù)集（494 022 條數(shù)據(jù)）按照8∶2 的比例劃分為訓(xùn)練集和測試集進行模型訓(xùn)練和驗證。

表4 NSL-KDD 數(shù)據(jù)集攻擊類型Table 4 Types of NSL-KDD dataset attacks

2.3.1 數(shù)據(jù)預(yù)處理

針對NSL-KDD 數(shù)據(jù)集數(shù)據(jù)格式異構(gòu)、規(guī)格不統(tǒng)一的情況，實驗中依次采用二值轉(zhuǎn)換、標準化、One-Hot 編碼方式進行了數(shù)據(jù)預(yù)處理。

Step 1：二值轉(zhuǎn)換。

利用字典的鍵值對實現(xiàn)字符型特征到數(shù)值型特征的轉(zhuǎn)換，具體轉(zhuǎn)換情況如下頁表5 所示。

表5 二值轉(zhuǎn)換對照表Table 5 Binary conversion comparison table

Step 2：標準化，標準化方法如式（28）所示。

Step 3：One-Hot 編碼。

實驗中借助Python 的numpy 包對數(shù)據(jù)標簽la bel 進行了One-Hot 編碼，將良性數(shù)據(jù)“0”使用“10”表示，將惡意數(shù)據(jù)“1”使用“01”表示，這樣模型訓(xùn)練時計算相似度更合理。

2.3.2 特征提取

GPCA 將NSL-KDD 數(shù)據(jù)集的特征構(gòu)造為30維新特征進行模型訓(xùn)練，主要過程為：1）保證訓(xùn)練過程中的各項參數(shù)不變，主因子個數(shù)從20 開始，以5 為步長進行增加；2）觀察模型評價指標的變化趨勢，尋找最值點對應(yīng)的主因子個數(shù)k。不同k 值對應(yīng)的性能指標如圖5 所示。由圖5 發(fā)現(xiàn)隨著主因子個數(shù)的增加，模型準確率和精度等指標也隨之增加，從30 之后，模型準確率和精度等指標隨著主因子個數(shù)增加而下降，因此，取最優(yōu)主因子個數(shù)為30。

圖5 不同K 值對應(yīng)的性能指標Fig.5 The corresponding performance indicators for different K values

2.4 實驗結(jié)果與分析

2.4.1 實驗結(jié)果

GP-CABL 通過貪心策略的調(diào)參方法確定兩層卷積層的隱藏結(jié)點個數(shù)分別為32 和16，Bi-LSTM結(jié)點個數(shù)為32，學(xué)習(xí)率為0.001，迭代次數(shù)為100，特征提取確定GPCA 的主因子個數(shù)為30 時，模型性能最好，模型準確率達到99.865%，精度達到99.868%，檢測率達到99.861%，具體實驗結(jié)果如表6 所示，模型測試的混淆矩陣如圖6 所示。

表6 GP-CABL 檢測框架實驗結(jié)果Table 6 Experimental results of GP-CABL detection framework

圖6 GP-CABL 模型測試的混淆矩陣Fig.6 Confusion matrix for GP-CABL model testing

2.4.2 對比實驗

為驗證本文所提出的GPCA 特征提取算法的優(yōu)勢，在2.2 節(jié)所列實驗環(huán)境下，本文將未進行特征提取的CABL 模型和GP-CABL 模型進行對比，對比情況如表7 所示。由表7 可以發(fā)現(xiàn)，未進行特征提取的CABL 模型在各項檢測性能上稍遜于GP-CABL，而且在訓(xùn)練時間上，GP-CABL 對比CABL 模型縮短了3 476 s，因此，可以證明GPCA 特征提取模塊不僅可以提升模型檢測性能，也能大幅縮短模型訓(xùn)練時間。

表7 GP-CABL 與CABL 模型對比Table 7 Comparison of GP-CABL and CABL models

為驗證GP-CABL 的性能，在2.2 節(jié)所列實驗環(huán)境下，分別與DT、AdaBoost、KNN、LR 等經(jīng)典機器學(xué)習(xí)算法進行對比，如表8 和圖7 所示，由表8 可以看出GP-CABL 檢測框架對比DT、AdaBoost、KNN 3種算法性能提升約3.1%，對比LR 算法性能提升約12%左右，由圖7 可以看出GP-CABL 在ACC、Precision、Recall 和F1-Score 方面都大幅度優(yōu)于各類機器學(xué)習(xí)方法，因此，證明GP-CABL 較經(jīng)典機器學(xué)習(xí)算法具有更好的檢測性能。

表8 GP-CABL 和經(jīng)典機器學(xué)習(xí)算法實驗對比結(jié)果Table 8 Experimental comparison results of GP-CABL and classical machine learning algorithms

圖7 GP-CABL 模型與經(jīng)典機器學(xué)習(xí)算法性能對比情況Fig.7 Performance of GP-CABL model compared with that of classical machine learning algorithms

為進一步驗證GP-CABL 性能，在2.2 節(jié)所列實驗環(huán)境下，與文獻［9］和文獻［16］中提出的Bi-LSTM和CNN+Bi-LSTM 模型進行了對比。對比結(jié)果分別如表9、圖8 和圖9 所示。由表8 發(fā)現(xiàn)，GP-CABL 較文獻［9］模型在ACC、Precision、Recall 和F1-Score評估指標方面提升約1%，但大幅降低了訓(xùn)練時間減少達4 567 s，GP-CABL 較文獻［16］模型在各評價指標中提升約0.02%，訓(xùn)練時間降低815 s，其主要原因在于GP-CABL 采用GPCA 優(yōu)化了網(wǎng)絡(luò)流量特征，降低了訓(xùn)練開銷；采用CABL 深入學(xué)習(xí)流量空間和時序特征使其在檢測精度等方面獲得更好的表現(xiàn)，如圖8 和圖9 所示。

表9 GP-CABL 和文獻［9］、文獻［16］實驗對比結(jié)果Table 9 Experimental comparison results of GP-CABL and literature 9 and literature 16

圖8 GP-CABL 模型與其他模型評估指標對比Fig.8 Evaluation index comparison of GP-CABL model and other models

圖9 GP-CABL 模型與其他模型訓(xùn)練時間消耗對比Fig.9 Comparison of training time consumption of GP-CABL model and other models

3 結(jié)論

本文基于深度學(xué)習(xí)技術(shù)提出了針對網(wǎng)絡(luò)攻擊的GP-CABL 檢測框架，GP-CABL 基于貪心主成分分析構(gòu)建的特征優(yōu)化模型，能夠從高維網(wǎng)絡(luò)流量特征中獲取最優(yōu)特征集，大幅降低了模型訓(xùn)練中的計算開銷，提出的CABL 檢測框架能夠充分學(xué)習(xí)網(wǎng)絡(luò)流量的空間特性和時序特性，獲得更高的檢測精度，基于NSL-KDD 的實驗表明其較當(dāng)前其他研究在檢測精度和時間開銷方面取得了明顯的提升。然而參數(shù)調(diào)優(yōu)階段選取基于貪心策略的方法容易陷入局部最優(yōu)，借助動態(tài)規(guī)劃算法尋找模型的全局最優(yōu)參數(shù)，將是未來研究中需要改進的問題。