基于深度学习的网络入侵检测方法研究.pdfVIP

摘要

科技的进步使得网络在我们的生活和工作中扮演着至关重要的角色。但现

代网络环境的复杂性导致网络攻击方式日益多样化，并且攻击的频繁性和影响

程度都在上升，全球范围内因网络安全问题导致的信息泄漏事件也显著增加，

给个人隐私、企业机密以及国家安全带来严重威胁。因此，一个可行的网络入

侵检测（NetworkIntrusionDetection,NID）方案对于解决网络攻击威胁问题有

重要意义。基于机器学习的入侵检测模型在准确性方面表现不佳，存在较高的

误报率。此外，随着网络技术的持续革新，日益增长的网络流量数据让入侵检

测系统面临处理海量信息的挑战，而面对庞大的数据分析任务，机器学习技术

的特征提取性能表现尚未达到理想的水平。近期，深度学习方法在处理大规模

数据集特征提取方面展现出了显著优势，这促使研究者纷纷尝试将深度学习技

术引入入侵检测领域。

首先，为了应对入侵检测面临的挑战，提高模型检测的性能。本文提出一

种基于多尺度一维卷积神经网络（MultiScaleOne-DimensionalConvolutional

NeuralNetworks,MS1DCNN）和双向长短期记忆网络（Bi-directionalLong

Short-TermMemory,BiLSTM）的网络入侵检测方法，并引入了自注意力机制。

构建基于多尺度一维卷积神经网络与双向长短期记忆网络的分层结构

NETWORK-BLOCK来提取网络流量数据的空间特征和时间特征。自注意力机

制为具有分层结构的网络提取后的特征分配权重，并引入类别权重为不同类别

赋予不同的权重，以调整模型对不同类别的关注程度，最后利用Softmax函数

进行分类。

其次，针对网络入侵检测领域多类别分类中存在的各类别数据极度不平衡

现象以及SMOTE方法采样方式单一的问题，本文提出了一种基于二次聚类采

样的网络入侵检测数据平衡方法。从不同角度制定数据不平衡处理优化策略，

一是通过不同聚类方法更有层次的划分样本数据，二是改进采样过程，采取多

种采样方式，丰富采样数据空间分布。在预处理层面上通过采用聚类的思想在

过采样过程中对样本集进行Canopy和K-Medoids两次连续聚类划分，将样本集

分为不同的簇。然后根据每个簇所包含的样本数量确定采样权重，在簇内进行

新样本的合成操作，分别按照选定随机样本点与簇心样本之间插值和随机选定

样本点与邻近样本之间插值以及簇心样本与两个邻近样本之间采样插值等三种

插值方式采样，以达到增加数据量的目的，充分考虑了样本类间和类内数据不

平衡性，以保证合成样本的质量和平衡样本信息。

为了评估和分析本文所提出的方法的效果，在UNSW_NB15数据集上进行

了实验分析。二分类实验结果表明，本文所提出的网络入侵检测模型在综合性

能方面表现更佳，能够显著提高检测的效果。此外，在多类别不平衡数据的入

侵检测方面，本文提出的基于二次聚类采样的网络入侵检测数据平衡方法表现

出色，该方法能有效提升检测模型对少数类数据的检测率，有效提升了分类质

量。这些实验结果证明了本文所提出的方法的有效性。

关键词：卷积神经网络；双向长短期记忆网络；数据不平衡；入侵检测

Abstract

TheprogressofscienceandtechnologymakestheInternetplayavitalroleinour

lifeandwork.However,thecomplexityofthemodernnetworkenvironmenthasledto

theincreasingdiversificationofnetworkattackmethods,andthefrequencyandimpact

ofattacksareontherise.Worldwide,informationleakagecausedbynetworksecurity

issueshasalsoincreasedsignificantly,posingaseriousthreattopersonal