基于SMOTE-Tomek和卷积神经网络的入侵检测模型研究.pdfVIP

摘 要 随着大数据时代的来临以及网络新技术的蓬勃发展，网络安全问题变得日益 严峻。入侵检测系统作为一种网络流量传输实时监控系统，它通过对网络连接数 据特征进行分析来识别异常流量，从而保护网络环境免受攻击入侵。传统的入侵 检测方法通常采用规则匹配方式来检测入侵行为，这样不能有效提取数据流量中 的特征信息，并且在泛化能力、误报率和检测效率上都不能满足当今网络环境需 求。所以将新技术引入入侵检测领域具有重要的研究价值。 近些年随着深度学习技术的兴起，它已经被广泛应用于各个领域。其凭借自 身的优势在图像处理、语音识别和自然语言处理等方向取得了卓越的成就。卷积 神经网络是深度学习的代表算法之一，它通过使用多层神经网络结构可以自主学 习并有效地提取数据特征信息，将其应用于入侵检测可以提高系统的数据特征分 析和泛化能力。因此，本文提出了一种基于卷积神经网络的入侵检测模型，具体 工作如下： 首先，针对数据集的维度特性，使用一维卷积神经网络结构，提出以两个一 维卷积层和一个一维最大池化层作为单元模块的卷积神经网络模型，通过使用标 准化层和随机丢弃层加快了模型的收敛速度和防过拟合能力。 然后，针对样本不均衡问题，基于 SMOTE-Tomek 方法，通过组合采样的方 式使得样本数据均衡化，然后结合卷积神经网络构建模型，从而提高了模型的二 分类效果以及多分类下对于样本总量较少的类别的检测能力，增加了模型的鲁棒 性。 最后，针对模型在训练和检测时的效率问题，引入包裹式递归特征添加算法， 采用基于贪婪搜索策略的特征递归添加算法，结合本文的卷积神经网络模型，最 终选取使得模型检测效果最好的特征子集。使用特征子集结合卷积神经网络对网 络连接数据建模，使得模型在尽量维持检测效果的前提下大大地提高了检测效率， 降低了对于计算资源的消耗。 本文使用 UNSW-NB15 数据集，在二分类问题上验证模型效果。通过多个入 侵检测模型评估指标来分析模型性能，其中包括正确率、检测率和误报率等。实 验结果显示，本文提出的入侵检测模型在二分类上达到了 92.30%的准确率，且 误报率和漏报率分别是 13.32%、3.12%，优于其他算法。同时通过多分类验证模 型提高了对于样本总量较少的类别的检测能力。最后，经过优化特征集后，在模 型的准确率仅损失 1.21%的情况下，模型的训练时间缩短了 89.06%，检测时间缩 短了 16.89%，大大提高了模型的检测效率。 关键词：入侵检测；卷积神经网络；不平衡数据；特征选择 I Abstract With the advent of the era of big data and the vigorous development of new network technology, the problem of network security has become increasingly serious. As a real- time monitoring system of network traffic transmission, intrusion detection system can identify abnormal traffic by analyzing the characteristics of network connection data, so as to protect the network environment from attack and intrusion. Traditional intrusion detection methods usually use rule matching to detect intrusion behavior, which can not effectively extract the feature information in data flow, and can not meet the needs of todays network envi