一种并行多尺度特征融合的入侵检测模型_李国燕.pdf
《一种并行多尺度特征融合的入侵检测模型_李国燕.pdf》由会员分享,可在线阅读,更多相关《一种并行多尺度特征融合的入侵检测模型_李国燕.pdf(7页珍藏版)》请在咨信网上搜索。
1、收稿日期:2021-07-30修回日期:2021-10-07基金项目:天津市教委科研计划基金资助项目(2016CJ12)作者简介:李国燕(1984-),女,天津人,副教授,博士。研究方向:下一代互联网技术、人工智能。通信作者:刘毅(1969-),男,天津人,教授,博士。研究方向:智能信息处理。*摘要:为解决现有入侵检测方法缺乏网络流量动态时空相关性而引起的分类准确率低和误报率高等问题,提出一种并行多尺度特征融合的入侵检测模型(parallel multi-scale feature fusion,PMMF)。该模型将网络流量数据以图像和序列两种形式表示,基于改进的多尺度残差卷积对流量图像进行空
2、间特征提取和表示,引入 BiLSTM 模型学习流量序列的时间序列特征,将两个网络结构的输出特征融合再进行分类。在 NSL-KDD 数据集上测试,实验结果表明,PMMF 模型在降低误报率的同时有效地提高了准确率,具有较高的入侵检测性能。关键词:入侵检测;双向长短期神经记忆网络(BiLSTM);残差卷积;多尺度中图分类号:TP393文献标识码:ADOI:10.3969/j.issn.1002-0640.2022.11.006引用格式:李国燕,周相茹,刘毅,等.一种并行多尺度特征融合的入侵检测模型 J.火力与指挥控制,2022,47(11):29-35.一种并行多尺度特征融合的入侵检测模型*李国燕,
3、周相茹,刘毅*,王丽(天津城建大学计算机与信息工程学院,天津300384)An Intrusion Detection Model of a Parallel Multi-scale Feature FusionLI Guoyan,ZHOU Xiangru,LIU Yi*,WANG Li(School of Computer and Information Engineering,Tianjin Chengjian University,Tianjin 300384,China)Abstract:In order to solve such problems as low classifica
4、tion accuracy rate high false alarm rateand others caused by the lack of dynamic spatiotemporal correlation of network traffic in the existingintrusion detection methods,a detection model of a parallel multi-scale feature fusion intrusion(PMMF)is proposed.The model represents the network traffic dat
5、a with two forms of image and sequence,extracts and represents the space characteristics from the traffic images based on the improved multi-scale residual convolution,the BiLSTM model is introduced to learn the time series characteristics oftraffic sequence,and the output characteristics of the two
6、 network structures are fused and thenclassified and tested on NSL-KDD date sets.The experimental results on NSL-KDD model show thatPMMF model can effectively improve the accuracy while reducing the false alarm rate,and has higherintrusion detection performance.Key words:instrusion detection;bidirec
7、tional long and short term neural memory network;residualconvolution;multi-scaleCitation format:LI G Y,ZHOU X R,LIU Y,et al.An intrusion detection model of a parallel mul-ti-scale feature fusion J.Fire Control&Command Control,2022,47(11):29-35.0引言随着 5G、云计算机、物联网等技术的不断发展,网络产生的海量数据给网络安全带来了巨大的挑战,甚至威胁到了国
8、家安全1。网络入侵检测作为网络管理与网络安全的关键技术之一,不但能够优文章编号:1002-0640(2022)11-0029-07Vol.47,No.11Nov,2022火 力 与 指 挥 控 制Fire Control&Command Control第 47 卷第 11 期2022 年 11 月*29(总第 47-)火 力 与 指 挥 控 制2022 年第 11 期化网络配置,降低网络安全隐患,而且能够根据用户的行为分析提供更好的服务质量2。入侵检测受到越来越广泛的关注。通常将入侵检测中的流量分为正常流量和攻击流量两种类型,其中,攻击流量可以分为拒绝服务(DoS)、检测(Probe)、远程到
9、本地(R2L)、用户到根(U2R)等类型。传统的流量分类方法有基于端口的方法3、基于深度报文解析(deep packet inspection,DPI)的方法4、基于统计的方法5、基于行为的方法6。基于端口和基于 DPI 的方法是基于规则的方法,人工成本高且无法识别出未知威胁。基于统计和基于行为的流量分类方法属于浅层学习,不能有效解决海量入侵数据分类问题。近年来,深度学习广泛应用于控制7、自然语言处理8、情感分析9等领域,体现了深度学习在数据分类领域的巨大潜力,同时也为网络异常检测准确度的提高提供了新的方法。吴峻等首先提出了基于 BP 神经网络和特征选择的入侵检测模型10。文献 11 使用深度
10、神经网络的方法检测攻击类型,实验结果显示深度神经网络(deep neural network,DNN)的方法优于支持向量机、随机森林、贝叶斯网络等传统机器学习方法。文献 12 使用不同的降维方法去除冗余特征,然后将降维数据提供给卷积神经网络(convolutional neural network,CNN)网络,这种方法虽然取得了一定的效果,但是却掩盖了 CNN自动提取特征的优势。文献 13 使用 KDD99 数据集研究了 CNN 在 IDS 中的应用,经过广泛的分析,得出了 CNN 优于其他算法的结论。刘月峰等提出了一种将多尺度卷积神经网络应用到入侵检测的方法14。Kim 等于 2020 年
11、针对网络数据提出了直接预处理技术,称为“加权”和“压缩”,使用此预处理的技术和 CNN 方法在 NSL-KDD 数据集中显示出了有意义的性能15。Yin 等于 2017 年把循环神经网络(recurrent neural network,RNN)应用到入侵检测中,与传统机器学习方法相比,该方法具有较高的准确度,但 RNN 更适合处理短期依赖,处理长期依赖的问题容易出现梯度消失16。文献 17 使用长短期记忆(long short term memory,LSTM)作为分类器进行研究,实验结果表明,LSTM 能够学习隐藏在训练数据中的所有攻击类。文献18提出了 CNN 和LSTM 混合网络入侵检
12、测方法,在标准 NSL-KDD 数据集上实现了高精度。文献 19 提出了一种流量异常检测模型,结合 LSTM、CNN 和注意力机制,实验结果表明该模型可以很好地描述网络流量行为,有效提高异常检测能力。综上所述,现有的基于深度学习的流量模型的精度和误报率得到了提高,但是主要存在以下问题:1)单一模型准确率提升困难。单一模型无法充分考虑到网络流量的动态时空相关性,既要学习时间和空间局部特征,又要学习到序列上下文相关性信息,单一模型不能同时解决准确率低和误报率高的问题。2)单一卷积核对图像特征提取不全面。复杂模型容易出现过拟合,简单模型提取到图像特征单一,对流量图像的分类不能单单依靠局部特征,在多个
13、条件下提取特征,才能得到流量特征的全面表达。基于以上问题,本文从网络流量空间特性和时间特性出发,提出一种并行多模型融合的深度学习入侵检测模型(PMMF 模型),并设计相应的网络结构。本文的贡献如下:1)使用并行多模型融合的方式提升分类准确率,将网络流量数据表示成序列和图像两种形式,卷积神经网络和双向长短期记忆网络分别提取了局部特征和时序特征,将两个网络结构的输出拼接后再进行分类。2)根据网络流量的数据特点,设计一种多尺度残差卷积神经网络,该网络连接了 3 个 INCE 模块,每个模块利用不同尺度的卷积核提取到不同大小不同方位的特征。同时在每个模块间加入残差学习防止网络出现退化问题。3)引入双向
14、 LSTM 神经网络,采用双向长短期记忆(bidirectional long short term memory,BiLSTM)模型对长距离依赖特征进行特征提取,考虑序列数据中每个属性点的前后属性对特征提取的影响,从而达到降低网络入侵检测误报率的目的。1并行多尺度特征融合网络(PMMF)1.1网络结构网络流量的时间特征和空间特征是常用的两类特征,网络流量的时间特征指的是网络流中字节的时序关系;空间特征指的是字节信息转换成图片形式后的空间特征。本研究结合并行多模型融合的方法旨在提取更高层次的序列信息和更全面的流量特征,本文提出的 PMMF 模型如下页图 1 所示。首先将预处理过后的流量序列输入
15、到 BiLSTM 层,再经过 3 层全连接层,获取流量特征的时间特征。其次,多尺度残差卷积模块部分,将预处理过后的向量转化成图像。处理后的特征图像经过第一个卷积层操作后,进入到 INCE(inception)模块,使用多个大小不同的卷积核来卷积,在不同尺度提取不同301884(总第 47-)1.2INCE 模型设计一种多尺度残差卷积神经网络,对流量图像进行特征提取和表示。卷积核尺寸决定了特征图感受野的大小,若感受野太大,会降低模型对微小差别的分类;若感受野太小,会使得网络忽略输入数据的全局信息。考虑到流量图像是稀疏二维矩阵形式,不同种类流量的纹理和特征存在差异较小,因此,特征需要从不同的范围中
16、提取,选择较小的卷积核,获取更全面的特征信息。如图 2 所示,INCE模块正是多尺度特征提取和融合过程,其中,conv表示卷积操作,将输入的流量图像经过 3 个大小不同的卷积核(11,33,55),在 33 和 55 的卷积核前面加入 11 的卷积核,可以减少参数量,卷积后获得的 3 种尺度特征进行融合,增加了网络对细节信息的描述能力。模型输入样本 xi是 1111 的图像;把图像数据输入到第 1 层的卷积层,卷积部分是卷积神经网络重要部分,卷积函数如式(1)所示:hj=f(hj-1wj+bj)(1)式中,是卷积函数;f(x)是激活函数,使用 ReLU 非线性激活函数;hj是第 j 层的特征图
17、;wj是第 j 层的卷积权重;bj是第 j 层的偏置。为了解决网络层数增加引起的网络退化问题,加入了残差结构,实现跳层连接,使得上一个残差块的信息没有阻碍就直接流入下一个残差块,既加快了收敛速度,又能更好地提取特征。1.3BiLSTMBiLSTM 将正向 LSTM 和反向 LSTM 连接起来,可以有效地学习数据的上下文信息。本文引入双向长短期神经网络学习流量特征之间的时序关系。BiLSTM 神经元的内部结构图如图 3 所示。图 3BiLSTM将流量的特征序列依次输入到 BiLSTM,当新信息到来的时候,LSTM 的输入门 i、遗忘门 f、输出门 o 对比单元状态 C,然后进行信息重写。信息进入
18、LSTM 时,根据相关规则判断它是否有用,保留有用的信息,不一致的信息会被遗忘门忘记。设输入序列是(x0,x1,xt),BiLSTM 的隐藏状态(h0,h1,ht)。前一时刻的隐藏层 ht-1的输出和当前时刻的输入 xt作为遗忘门的输入,可以选择性地在记范围的特征信息,得到更全面的局部信息;每个INCE 模块间加入残差学习,防止网络出现退化问题。第 1 个 33 卷积层的输出与第 3 个 INCE 模型的输出特征跳跃连接,可以在全连接层中最大程度保留前面主要层的输出信息。最后,通过 Softmax 函数输出不同流量攻击类型。下面依次介绍各个核心模块。图 1PMMF 模型图 2INCE 模型李国
19、燕,等:一种并行多尺度特征融合的入侵检测模型311885(总第 47-)火 力 与 指 挥 控 制2022 年第 11 期忆细胞 Ct中忘记一些信息,可以如下表示:(2)式中,W 是连接权重;b 是偏置向量;sigmoid 是激活函数。输入门和 tanh 激活函数一起控制新信息的增加,tanh 生成新的候选向量,输入门为每个记忆细胞产生一个 0-1 的值,控制要添加多少新的信息,具体公式如下:(3)(4)(5)输出门用来控制过滤多少当前的单元状态,具体公式如下:(6)对于 BiLSTM 模型,隐藏状态 ht是正向隐藏状态和反向隐藏状态的串联,可以表示为:(7)(8)(9)式中,表示点乘;x 表
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 一种 并行 尺度 特征 融合 入侵 检测 模型 李国燕
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。