人工智能視角下網(wǎng)絡(luò)入侵檢測方法研究

張利軍

(蘭州資源環(huán)境職業(yè)技術(shù)大學(xué) 甘肅 蘭州 730000)

0 引言

在互聯(lián)網(wǎng)科技快速發(fā)展的大環(huán)境中,計算機網(wǎng)絡(luò)系統(tǒng)應(yīng)用范圍也逐漸拓展[1-2]。我們在使用網(wǎng)絡(luò)所提供的便捷服務(wù)的同時,也深受網(wǎng)絡(luò)安全問題困擾。當下很多網(wǎng)絡(luò)安全風險事件層出不窮,結(jié)合已有的網(wǎng)絡(luò)安全報告內(nèi)容可知,現(xiàn)在網(wǎng)絡(luò)入侵技術(shù)越發(fā)高明,對網(wǎng)絡(luò)環(huán)境的安全性存在嚴重影響[3]。人們的多種個人敏感信息,都在網(wǎng)絡(luò)環(huán)境中被黑客使用違法手段進行非法提取,對人們正常生活狀態(tài)產(chǎn)生惡劣影響。

網(wǎng)絡(luò)入侵檢測技術(shù)目前也有幾十年的使用時間,但以往的網(wǎng)絡(luò)入侵檢測技術(shù),并不能解決目前網(wǎng)絡(luò)安全保護問題[4]。網(wǎng)絡(luò)入侵行為,對網(wǎng)絡(luò)原始信息數(shù)據(jù)的完備性、隱私性以及安全性都存在負面影響[5]。為此,研究一種有效的網(wǎng)絡(luò)入侵檢測方法,對保護網(wǎng)絡(luò)安全存在重要意義[6]。

網(wǎng)絡(luò)入侵行為與正常行為所用流量數(shù)據(jù)存在差異,惡意入侵、安全漏洞等行為都可結(jié)合流量數(shù)據(jù)之間的差異而被發(fā)現(xiàn)。為了保障網(wǎng)絡(luò)安全性不受到影響,當下也有很多研究人士對網(wǎng)絡(luò)安全保護問題進行研究,如防火墻設(shè)計、數(shù)據(jù)加密等技術(shù),都以被動方式實現(xiàn)網(wǎng)絡(luò)安全保護,此類方法雖然可以檢測、攔截很多入侵行為,但針對一些攻擊行為的檢測問題,還不具備精準檢測能力。所以,入侵檢測技術(shù)的出現(xiàn),為某些攻擊行為檢測問題提供了可用技術(shù),此類技術(shù)能夠完成主動式防御,在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境中使用效果顯著。

人工智能技術(shù)包含機器學(xué)習技術(shù)、深度學(xué)習技術(shù)、強化學(xué)習等多種智能化技術(shù),人工智能技術(shù)是計算機學(xué)科中的核心分支。此技術(shù)可以分析利用人腦智能行為模式,完成問題智能分析。為此,本文在人工智能視角下,以實現(xiàn)網(wǎng)絡(luò)入侵問題的智能化主動式檢測為目的,研究了人工智能視角下網(wǎng)絡(luò)入侵檢測方法,以期為網(wǎng)絡(luò)入侵問題提供更有效的檢測工具。

1 入侵檢測存在問題分析

網(wǎng)絡(luò)入侵檢測技術(shù)需要與目前的網(wǎng)絡(luò)環(huán)境相輔相成,才能保證網(wǎng)絡(luò)入侵行為檢測效果能夠滿足應(yīng)用需求。而隨著網(wǎng)絡(luò)環(huán)境的復(fù)雜化,在大規(guī)模復(fù)雜網(wǎng)絡(luò)數(shù)據(jù)中,想要實現(xiàn)高效率、高精度的入侵檢測,還是存在很大難度。結(jié)合目前已有的研究資料可知,當下入侵檢測技術(shù)存在的疑難雜癥主要內(nèi)容如下。

1.1 誤報率、漏報率顯著

隨著網(wǎng)絡(luò)數(shù)據(jù)量的激增,網(wǎng)絡(luò)數(shù)據(jù)庫的更新與維護難度也隨之提升。多樣化、新型入侵行為的出現(xiàn),導(dǎo)致已有網(wǎng)絡(luò)入侵檢測技術(shù)出現(xiàn)誤報率、漏報率較高的問題。

1.2 檢測速度慢

當下網(wǎng)絡(luò)數(shù)據(jù)的更新速度極快,幾秒內(nèi)便會出現(xiàn)上億網(wǎng)絡(luò)數(shù)據(jù)。在此類環(huán)境中,網(wǎng)絡(luò)入侵檢測技術(shù)的實時性十分重要,而當下很多網(wǎng)絡(luò)入侵檢測技術(shù)的檢測速度,與網(wǎng)絡(luò)數(shù)據(jù)增長速度存在明顯差距。網(wǎng)絡(luò)入侵檢測時,如果網(wǎng)絡(luò)數(shù)據(jù)之間的關(guān)系并不明確,存在模糊性,便需要耗費很多時間處理大規(guī)模數(shù)據(jù)之間的關(guān)系,所以導(dǎo)致網(wǎng)絡(luò)入侵檢測速度慢,從而不能及時發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為[7]。

2 人工智能技術(shù)使用優(yōu)勢

計算機網(wǎng)絡(luò)技術(shù)大范圍使用時,因用戶需求逐漸增多,網(wǎng)絡(luò)技術(shù)也需要與時俱進,持續(xù)完善網(wǎng)絡(luò)性能才能保證為用戶提供較好的網(wǎng)絡(luò)服務(wù)。人工智能技術(shù)的使用,不僅可以智能化收集網(wǎng)絡(luò)信息,還可以實時檢測網(wǎng)絡(luò)異常行為。人工智能技術(shù)的使用不僅可以優(yōu)化網(wǎng)絡(luò)信息處理速度,還能夠?qū)崿F(xiàn)網(wǎng)絡(luò)信息的科學(xué)化診斷,此技術(shù)在計算機網(wǎng)絡(luò)管理問題中占據(jù)不可忽視的主導(dǎo)地位。查閱已有資料以及研究理論,總結(jié)人工智能技術(shù)使用優(yōu)勢如下:

2.1 模糊信息處理能力顯著

人工智能技術(shù)具備顯著的模糊信息處理能力,可使用分級管理數(shù)據(jù)的模式,不需要工作人員親自篩選數(shù)據(jù)、分類數(shù)據(jù),以及完成數(shù)據(jù)計算,人工智能技術(shù)僅在網(wǎng)絡(luò)環(huán)境中,便可完成模糊信息數(shù)據(jù)智能化計算與處理,可優(yōu)化網(wǎng)絡(luò)數(shù)據(jù)的分析效果[8]。

2.2 學(xué)習能力與非線性問題處理能力顯著

目前人們使用計算機網(wǎng)絡(luò)進行學(xué)習、娛樂屬于普遍行為,計算機網(wǎng)絡(luò)信息眾多,應(yīng)用過程中難免存在冗余信息數(shù)據(jù),人工智能技術(shù)能夠以智能化數(shù)據(jù)處理方式,完成網(wǎng)絡(luò)數(shù)據(jù)的有效提取。人工智能技術(shù)的學(xué)習能力與非線性問題處理能力顯著,對網(wǎng)絡(luò)數(shù)據(jù)的處理過程中,存在較好的數(shù)據(jù)整合能力,從而提高了網(wǎng)絡(luò)信息處理效率。

綜上所述,將人工智能技術(shù)使用于網(wǎng)絡(luò)入侵檢測問題中十分必要。為此,本文在人工智能視角下,為網(wǎng)絡(luò)入侵檢測問題,研究一種高效、高精度的網(wǎng)絡(luò)入侵檢測方法。

3 基于主成分分析的網(wǎng)絡(luò)數(shù)據(jù)篩選方法

機器學(xué)習相關(guān)算法屬于人工智能技術(shù)的一部分,而人工智能視角下,機器人學(xué)習主要分為分類技術(shù)、回歸技術(shù)、聚類技術(shù)。主成分分析方法屬于經(jīng)典機器學(xué)習算法的其中一種,屬于多變量統(tǒng)計式方法,網(wǎng)絡(luò)數(shù)據(jù)維度存在多樣化特征,若不進行有效處理,會導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)樣本中存在大量冗余數(shù)據(jù),從而不能保證網(wǎng)絡(luò)入侵檢測效率。考慮到網(wǎng)絡(luò)數(shù)據(jù)的規(guī)模性、復(fù)雜性特征,會影響網(wǎng)絡(luò)入侵檢測效率,為此,本文使用基于主成分分析的網(wǎng)絡(luò)數(shù)據(jù)篩選方法,在網(wǎng)絡(luò)入侵檢測之前,將網(wǎng)絡(luò)數(shù)據(jù)執(zhí)行篩選處理。

主成分分析方法的操作內(nèi)容主要分為以下幾個步驟:

(1)網(wǎng)絡(luò)數(shù)據(jù)集標準化處理;

(2)將標準化之后的網(wǎng)絡(luò)數(shù)據(jù)集轉(zhuǎn)換為矩陣模式,并運算矩陣相關(guān)系數(shù)矩陣R;

(1)

式(1)中,q、yi依次是網(wǎng)絡(luò)數(shù)據(jù)矩陣的總行數(shù)、第i行網(wǎng)絡(luò)數(shù)據(jù)矩陣向量;j、右上標T分別是網(wǎng)絡(luò)數(shù)據(jù)矩陣的列、轉(zhuǎn)置處理標志。

(3)提取網(wǎng)絡(luò)數(shù)據(jù)相關(guān)系數(shù)矩陣特征值εj,以及此特征值的數(shù)據(jù)特征向量;

(4)提取網(wǎng)絡(luò)數(shù)據(jù)主成分見式(2):

(2)

主成分分析時,會獲取m個主成分,每個主成分方差存在遞減性。結(jié)合主成分累積貢獻率,在m個成分里提取m個貢獻率顯著的主成分。貢獻率主要表示某主成分方差在所有方差中的占比,其數(shù)值較大,表示此主成分涵蓋的原始網(wǎng)絡(luò)數(shù)據(jù)特征較多。

(5)運算主成分矩陣:把步驟(1)處理后網(wǎng)絡(luò)數(shù)據(jù),和主成分相乘,便能獲取包含主成分的最具代表性的網(wǎng)絡(luò)數(shù)據(jù)。

4 基于改進卷積神經(jīng)網(wǎng)絡(luò)的入侵檢測模型

4.1 網(wǎng)絡(luò)入侵檢測流程

基于改進卷積神經(jīng)網(wǎng)絡(luò)的入侵檢測模型運行時,操作步驟簡單,將2.3小節(jié)篩選的網(wǎng)絡(luò)數(shù)據(jù),輸入改進的卷積神經(jīng)網(wǎng)絡(luò)模型,執(zhí)行網(wǎng)絡(luò)入侵檢測,輸出網(wǎng)絡(luò)入侵檢測的診斷結(jié)果。由于網(wǎng)絡(luò)入侵問題屬于分類問題,所以網(wǎng)絡(luò)入侵檢測問題,主要由人工智能技術(shù)中的卷積神經(jīng)網(wǎng)絡(luò)完成。在診斷檢測之前需要使用粒子群算法對模型進行訓(xùn)練,調(diào)節(jié)模型超參數(shù),保證模型結(jié)構(gòu)合理,從而提高網(wǎng)絡(luò)入侵檢測精度。

4.2 改進卷積神經(jīng)網(wǎng)絡(luò)模型

如圖1所示,改進卷積神經(jīng)網(wǎng)絡(luò)模型運行時,網(wǎng)絡(luò)入侵檢測任務(wù)會被分解為訓(xùn)練環(huán)節(jié)、入侵檢測環(huán)節(jié)。

圖1 改進卷積神經(jīng)網(wǎng)絡(luò)模型的運行結(jié)構(gòu)示意圖

基于改進卷積神經(jīng)網(wǎng)絡(luò)的入侵檢測模型訓(xùn)練時,主要使用粒子群算法,尋優(yōu)設(shè)置卷積神經(jīng)網(wǎng)絡(luò)模型的連接權(quán)重。在訓(xùn)練過程中,訓(xùn)練數(shù)據(jù)的診斷誤差最小化,即為粒子群算尋優(yōu)設(shè)置的目標函數(shù)。

基于改進卷積神經(jīng)網(wǎng)絡(luò)的入侵檢測模型中,核心層為卷積層,此層的作用是提取網(wǎng)絡(luò)數(shù)據(jù)特征。提取方法如式(3)所示:

(3)

基于改進卷積神經(jīng)網(wǎng)絡(luò)的入侵檢測模型結(jié)構(gòu)中,除了卷積層還有池化層、全連接層。

池化層屬于特殊的卷積處理,可滑動運算網(wǎng)絡(luò)數(shù)據(jù)特征,和卷積處理之間的差值是,池化操作不存在“核”。池化層能夠濾除網(wǎng)絡(luò)數(shù)據(jù)噪聲,優(yōu)化卷積神經(jīng)網(wǎng)絡(luò)的泛化性,且此層能夠增加卷積核,優(yōu)化網(wǎng)絡(luò)數(shù)據(jù)特征的表達性能。池化層會把網(wǎng)絡(luò)特征中的上限值作為池化輸出結(jié)果。

全連接層結(jié)構(gòu)分為神經(jīng)元、分類器,其作用即為網(wǎng)絡(luò)數(shù)據(jù)異常診斷,完成網(wǎng)絡(luò)入侵檢測。全連接層分為2層,首層神經(jīng)元數(shù)目和網(wǎng)絡(luò)數(shù)據(jù)數(shù)目一致,各網(wǎng)絡(luò)數(shù)據(jù)樣本和神經(jīng)元存在對應(yīng)性。末層的神經(jīng)元數(shù)目與網(wǎng)絡(luò)入侵識別類型數(shù)目一致。

分類器設(shè)置在末層,文章使用Softmax分類器,其應(yīng)用時,對網(wǎng)絡(luò)入侵檢測結(jié)果如式(4)所示:

(4)

4.3 粒子群算法

此算法屬于進化計算類的群智能算法,能夠模擬鳥類覓食行為,分析個體和群體之間的協(xié)作關(guān)系、信息共享關(guān)系,結(jié)合此類關(guān)系在問題解域中尋優(yōu),提取問題最優(yōu)解。

粒子群算法的操作難度小,收斂效率快,在卷積神經(jīng)網(wǎng)絡(luò)訓(xùn)練時,會在解域中以初始化的方式構(gòu)建隨機解,此類解即為粒子個體,粒子狀態(tài)分為速度與位置。為了分析粒子位置是否最優(yōu),會設(shè)置2個變量φ、φ代表粒子尋優(yōu)的局部最優(yōu)位置、全局最優(yōu)位置。針對各個粒子而言,其適應(yīng)值即為局部最優(yōu)解、全局最優(yōu)解的判斷依據(jù)。適應(yīng)度即為卷積神經(jīng)網(wǎng)絡(luò)訓(xùn)練時,對訓(xùn)練樣本的診斷誤差最小化。在尋優(yōu)過程中,粒子速度vj與位置ζj的更新方法如式(5)、式(6)所示:

ζj+1=ζj+vj+1

(6)

式(5)中,v是權(quán)重;d1、d2是學(xué)習因子;rand是隨機數(shù)。

若粒子速度、位置超出最大速度、邊界位置,便可停止尋優(yōu),將適應(yīng)度最小的粒子作為最優(yōu)解,將此粒子代表的卷積神經(jīng)網(wǎng)絡(luò)連接權(quán)重,作為卷積神經(jīng)網(wǎng)絡(luò)模型的各層連接權(quán)重,構(gòu)建改進的卷積神經(jīng)網(wǎng)絡(luò)模型,將網(wǎng)絡(luò)數(shù)據(jù)樣本輸入此模型,完成網(wǎng)絡(luò)入侵檢測。

5 實驗分析

5.1 實驗數(shù)據(jù)詳情

為了測試人工智能視角下網(wǎng)絡(luò)入侵檢測方法的使用效果,實驗將某企業(yè)運營網(wǎng)絡(luò)數(shù)據(jù)作為檢測數(shù)據(jù)樣本,此網(wǎng)絡(luò)數(shù)據(jù)樣本中存在多種網(wǎng)絡(luò)數(shù)據(jù)類型,如無入侵數(shù)據(jù)樣本、DOS入侵數(shù)據(jù)樣本、R2L入侵數(shù)據(jù)樣本、Probe入侵數(shù)據(jù)樣本、U2R入侵數(shù)據(jù)樣本、Total入侵數(shù)據(jù)樣本。具體詳情如表1所示。

表1 實驗數(shù)據(jù)詳情

實驗之前,把表1中的網(wǎng)絡(luò)數(shù)據(jù)進行預(yù)處理,處理內(nèi)容是:

5.1.1 網(wǎng)絡(luò)數(shù)據(jù)歸一化

因很多網(wǎng)絡(luò)數(shù)據(jù)的某些字段取值范圍存在很大差異,所以,需要將網(wǎng)絡(luò)數(shù)據(jù)執(zhí)行歸一化處理,避免出現(xiàn)過擬合,將字段數(shù)據(jù)約束于[-1,1]內(nèi)。

5.1.2 網(wǎng)絡(luò)數(shù)據(jù)冗余屬性濾除

很多網(wǎng)絡(luò)數(shù)據(jù)部分屬性取值存在重復(fù)性,為此,將此類重復(fù)的屬性值濾除,避免出現(xiàn)無用功,保證網(wǎng)絡(luò)數(shù)據(jù)后續(xù)處理效率。

5.2 網(wǎng)絡(luò)入侵檢測效率分析

本文方法使用前后,網(wǎng)絡(luò)入侵檢測時延對比結(jié)果如表2所示。

表2 本文方法對網(wǎng)絡(luò)入侵檢測時延測試結(jié)果

分析表2數(shù)據(jù)可知,多種入侵行為下,本文方法使用前網(wǎng)絡(luò)入侵檢測時延最大值為1.7 s,本文方法使用后,網(wǎng)絡(luò)入侵檢測時延最大值為0.3,網(wǎng)絡(luò)入侵檢測時延明顯縮短,說明網(wǎng)絡(luò)入侵檢測效率提升。

5.3 網(wǎng)絡(luò)入侵檢測精度分析

本文方法使用粒子群算法訓(xùn)練卷積神經(jīng)網(wǎng)絡(luò)模型后,將表1中測試樣本輸入改進卷積神經(jīng)網(wǎng)絡(luò),則本文方法對表1中的無入侵數(shù)據(jù)樣本、DOS入侵數(shù)據(jù)樣本、R2L入侵數(shù)據(jù)樣本、Probe入侵數(shù)據(jù)樣本、U2R入侵數(shù)據(jù)樣本、Total入侵數(shù)據(jù)樣本中測試集檢測結(jié)果如表3所示。

表3 本文方法對網(wǎng)絡(luò)入侵檢測精度的測試結(jié)果

分析表3數(shù)據(jù)可知,無入侵以及多種入侵行為下,本文方法的網(wǎng)絡(luò)入侵檢測結(jié)果無誤,網(wǎng)絡(luò)入侵檢測結(jié)果與實際樣本數(shù)目匹配,說明網(wǎng)絡(luò)入侵檢測結(jié)果精準。

6 結(jié)語

網(wǎng)絡(luò)安全問題是當下計算機網(wǎng)絡(luò)技術(shù)體系的核心組分,網(wǎng)絡(luò)入侵檢測時,需要結(jié)合網(wǎng)絡(luò)數(shù)據(jù)特征,分類診斷數(shù)據(jù)是否屬于異常數(shù)據(jù),此問題本質(zhì)是一種數(shù)據(jù)分類問題。但網(wǎng)絡(luò)數(shù)據(jù)不可避免地存在很多冗余數(shù)據(jù),此類數(shù)據(jù)會對入侵檢測結(jié)果起“反作用”,若不合理解決,便會影響入侵檢測精度。為此,本文通過研究人工智能視角下網(wǎng)絡(luò)入侵檢測方法證明,把人工智能技術(shù)使用在網(wǎng)絡(luò)入侵檢測中是可行的,且能夠提升網(wǎng)絡(luò)入侵檢測效率與精度。人工智能技術(shù)使用下,網(wǎng)絡(luò)入侵檢測行為屬于主動防御行為,和以往的被動防御相比,此技術(shù)更具智能性,可在入侵行為產(chǎn)生嚴重后果之前便可發(fā)掘異常,從而削弱入侵行為帶來的負面影響。此技術(shù)能夠有效利用人工智能技術(shù)中主成分分析方法、改進的卷積神經(jīng)網(wǎng)絡(luò),完成網(wǎng)絡(luò)數(shù)據(jù)的智能化篩選、分類檢測。在實驗中,本文方法被驗證的可用價值如下:(1)多種入侵行為下,本文方法使用前網(wǎng)絡(luò)入侵檢測時延最大值為1.7 s,本文方法使用后,網(wǎng)絡(luò)入侵檢測時延最大值為0.3,網(wǎng)絡(luò)入侵檢測效率明顯提升;(2)無入侵以及多種入侵行為下,本文方法的網(wǎng)絡(luò)入侵檢測結(jié)果準確,不存在誤識、漏識問題。

綜上所述,本文方法研究內(nèi)容,在網(wǎng)絡(luò)入侵檢測問題中具備可用價值。因篇幅有限,本文研究僅停留于網(wǎng)絡(luò)數(shù)據(jù)預(yù)篩選、入侵檢測范圍,在后續(xù)的研究工作中,會將人工智能技術(shù)與防火墻等技術(shù)相結(jié)合,全方位提高網(wǎng)絡(luò)安全。