基于改進卷積神經網絡的網絡入侵檢測模型

楊宏宇 王峰巖

摘 要：針對基于深度學習的網絡入侵檢測技術存在檢測效率低、模型訓練易出現過擬合和泛化能力較弱的問題，提出一種基于改進卷積神經網絡（ICNN）的入侵檢測模型（IBIDM）。與傳統“卷積池化全連接”層疊式網絡設計方式不同，該模型采用跨層聚合網絡的設計方式。首先，將預處理后的訓練集數據作為輸入數據前向傳播并提取網絡特征，對跨層聚合網絡的輸出數據執行合并操作;然后，根據分類結果計算訓練誤差并通過反向傳播過程進行迭代優化至模型收斂;最后，利用訓練好的分類器對測試數據集進行分類測試。實驗結果表明，IBIDM具有較高的入侵檢測準確率和真正率，且誤報率較低。

關鍵詞：網絡入侵檢測;卷積神經網絡;前向傳播;跨層聚合;迭代優化

中圖分類號：TP18;TP393.08

文獻標志碼：A

Network intrusion detection model based on improved convolutional neural network

YANG Hongyu*， WANG Fengyan

College of Computer Science and Technology， Civil Aviation University of China， Tianjin 300300， China

Abstract：

Aiming at the problems of deep learning based network intrusion detection technology such as low detection efficiency， easy over-fitting and weak generalization ability of model training， an Improved Convolutional Neural Network （ICNN） based Intrusion Detection Model （IBIDM） was proposed. Different from the traditional “convolution-pooling-full connection” cascading network design method， the model adopted the design method of cross-layer aggregation network. Firstly， the pre-processed training set data was forwardly propagated as input data and the network features were extracted， and the merge operation was performed on the output data of the cross-layer aggregation network. Then， the training error was calculated according to the classification result and the model was iteratively optimized to convergence by the back propagation process. Finally， a classification test experiment was performed on the test dataset using the trained classifier. The experimental results show that IBIDM has high intrusion detection accuracy and true positive rate， and its false positive rate is low.

Key words：

network intrusion detection; convolutional neural network; forward propagation; cross-layer aggregation; iterative optimization

0 引言

隨著新型網絡攻擊特征的不斷出現，適應性強且穩定有效的入侵檢測方法成為一項迫切需要。目前，通用的網絡身份驗證機制和防火墻技術雖然能夠滿足用戶基本的安全防護需求，但是防護能力相對較弱，一旦遭遇專業黑客的惡意攻擊，這些防護措施就形同虛設。目前以誤用檢測[1-2]和異常檢測[3-6]為代表的入侵檢測方法普遍存在檢測精度低和特征提取效率低、誤報率高等不足。隨著人工智能方法在入侵檢測系統（Intrusion Detection System， IDS）中的應用研究，基于人工智能的檢測方法已經成為IDS研究的熱點之一。

目前在入侵檢測方法中應用的人工智能方法主要包括神經網絡、遺傳算法和免疫算法等，例如基于深度反向傳播（Back Propagation， BP）神經網絡的入侵檢測[7]和基于模糊系統的協同演化網絡入侵檢測[8]。這些方法在對數據集的處理過程中容易出現關鍵信息丟失的情況，造成樣本數據集“失真”，數據集樣本特征提取效率不高，導致檢測結果波動性較大。為解決此問題：陳虹等[9]提出基于優化數據處理的深度置信網絡入侵檢測方法;Qu等[10]提出基于深度置信網絡的入侵檢測模型;Yin等[11]提出基于遞歸神經網絡的入侵檢測的深度學習方法;Shone等[12]提出基于無監督特征學習的非對稱深度自動編碼器（Nonsymmetric Deep AutoEncoder， NDAE）;袁琴琴等[13]利用遺傳算法和支持向量機（Support Vector Machine， SVM）建立了一種網絡入侵檢測分類器;魏明軍等[14]提出一種多種群克隆選擇算法，通過改變該算法的匹配規則，進行入侵檢測仿真實驗。上述5種方法在一定程度上提高了入侵檢測的準確率，但在實驗過程中參數調優比較困難，且特征提取效率較低，計算任務量大。為了克服上述方法的不足，賈凡等[15]和王明等[16]利用卷積神經網絡，分別實現基于卷積神經網絡的入侵檢測算法（Intrusion Detection Algorithm Based on Convolutional Neural Network， IDABCNN）和網絡入侵檢測系統（Network Intrusion Detection Model Based on Convolutional Neural Network， NIDMBCNN）。與其他機器學習方法相比，采用卷積神經網絡的入侵檢測方法顯著提高了分類的準確性，但該方法在模型訓練過程中的收斂速度不理想，泛化能力差，導致真正率較低并且誤報率較高。卷積神經網絡（Convolutional Neural Network， CNN）作為一種半監督式神經網絡，由于具備將低級入侵流量數據特征抽象表示為高級特征的能力且特征學習能力突出，所以近年來逐漸被應用于入侵檢測領域。DonghwoonKwon等[17]建立了三個不同深度的CNN模型，驗證了網絡深度對入侵檢測性能的影響;Vinayakumar等[18]通過時間序列的方法對網絡流量進行建模，利用CNN及CNN-LSTM等變體架構分別進行了入侵檢測實驗。通過對文獻[17-18]的分析表明，與檢測效果良好的變分自動編碼器（Variational Auto-Encoder， VAE）、多層感知機（Multi-Layer Perception， MLP）等檢測模型相比，CNN的特征提取能力優勢明顯且分類效果更好。

上述研究雖然在樣本識別能力和性能上均有提升，但是在網絡訓練上存在過擬合和泛化能力差等不足，檢測精度和檢測效率還有待提高。為了避免網絡訓練過擬合并提升泛化能力，本文利用卷積神經網絡的結構特性并結合跨層聚合設計理念，提出一種基于深度學習的入侵檢測模型。該模型以本文提出的改進卷積神經網絡為基礎，結合跨層設計方式，利用預處理后的原始樣本數據集進行模型訓練，經過循環特征提取和迭代優化，使模型達到良好的收斂效果。通過對已訓練好的分類器進行分類測試，實驗結果驗證了本文方法具有較好的檢測效果。

1 改進卷積神經網絡

1.1 設計思路

針對傳統的分類檢測算法在訓練過程中存在的大量的關鍵參數需要人為設置，且訓練過程中容易導致關鍵特征信息丟失和參數調優困難等問題，本文考慮利用卷積神經網絡（CNN）的端到端半監督式的網絡訓練分類器，利用CNN多層特征檢測網絡，在數據訓練過程中自主學習樣本特征并發現其中的規律，無需人為設置大量關鍵參數，達到簡化實現過程的目的。為此，本文提出一種改進卷積神經網絡（Improved Convolutional Neural Network， ICNN），其設計思路如下：

1）采用跨層聚合的網絡設計方式，使入侵檢測模型從第二次卷積操作開始，將卷積后的結果保存，之后再單獨進行卷積、池化、全連接操作。

2）對第3次卷積操作的輸出結果執行同樣操作后，使用Tensorflow中的concat（）函數對跨層聚合網絡的輸出數據執行合并操作。

3）根據Softmax的分類結果計算loss值，進行反向傳播，通過迭代優化網絡權值和偏置，直至達到良好的收斂效果。

1.2 改進卷積神經網絡結構

改進卷積神經網絡（ICNN）結構如圖1所示。ICNN包含5個卷積層、2個池化層、4個全連接層和1個Softmax層。其中，Conv1、Conv2、Conv33個卷積層使用Relu激活函數以增大網絡稀疏性。為防止訓練過程中出現過擬合現象，在跨層聚合模塊的兩個全連接層FC1_layer和FC3_layer使用正則化方法Dropout。

該卷積網絡結構中的concat（）是執行合并操作的函數，Softmax層（Softmax Layer）用于對入侵檢測模型的訓練輸出結果進行分類。

圖片

圖1 ICNN結構

Fig. 1 ICNN structure

1.3 模型訓練

ICNN的模型訓練由前向傳播過程和反向傳播過程組成。

1）前向傳播。

在ICNN中，訓練的前向傳播過程設計如下：

首先，在網絡中分批次進行訓練，每次訓練都從預處理后的訓練數據集中隨機選取一個固定大小的塊（batch）作為輸入，訓練時輸入的數據參數維度按照（batch_size，H，W，channel）四維參數設置。每次訓練時，從數據集選取大小為M的塊（batch），輸入數據的高度和寬度分別設為1和122，通道（channel）為單通道。

在ICNN中（如圖1所示），Input Data首先經過兩個卷積層（Conv1_Relu和Conv2_Relu），利用卷積層的多卷積核對初始輸入的所有特征圖進行卷積運算，每一個卷積核都對應一個特定特征圖進行網絡權重學習（即網絡特征提取），Conv2_Relu輸出結果在激活函數Relu的作用下分別作為Conv3_Relu和Conv4的輸入數據，卷積運算和激活函數Relu公式定義為：

ylj=σ（∑i∈Mjyl-1iwlij+bli）（1）

Relu（y）=y， y>0

0，y≤0（2）

其中，ylj表示每一個卷積層經過一個卷積核的處理得到的結果，l表示卷積層數， j表示卷積核的序列號，σ是激活函數（兩個卷積層均使用激活函數），w表示權重，b為偏置。

然后，由跨層聚合模塊進行處理。對于卷積層（Conv4）每一個卷積核輸出的特征圖都會經過池化層（Max_pooling1）進行下采樣操作，目的是對數據進行降維和區域最大化特征提取，輸出的結果在兩個全連接層FC1_layer，FC2_layer的作用下，得到M/2維數據集合。池化層計算公式為：

zlj=β（wljdown（zl-1j）+blj）（3）

其中：down（z）表示對矩陣元素z的下采樣操作。池化操作和普通的神經元計算類似，也有其權重和偏置。

同樣地，第3個卷積層（Conv3_Relu）的輸出結果在卷積層（Conv5）、池化層（Max_pooling2）和兩個全連接層FC3_layer、FC4_layer的作用下，輸出M/2維數據集合。

然后利用Tensorflow中的concat（）函數對FC2_layer和FC4_layer層的輸出結果執行合并操作，產生大小為M維的數據集合。

最后，用Softmax層進行數據分類。

2）反向傳播。

在ICNN中，訓練的反向傳播過程設計如下：

首先，利用Softmax層對訓練集的樣本分類結果，計算出整體的誤差參數值loss。

最后，根據loss值進行反向傳播（Back Propagation， BP）。反向傳播的目的是根據實際輸出值與理想輸出值之間的誤差迭代調整各層網絡的權重和偏置，直至模型達到良好收斂效果。在反向傳播過程中，為了快速找到最優權重w和偏置b，使網絡的輸出f（x）能夠擬合所有的訓練輸入x，設定一個損失函數C（w，b），用以找出最優的參數組合，以此量化模型擬合程度。而隨

機梯度下降（Stochastic Gradient Descent， SGD）算法提供了最小化此損失函數的方式。損失函數定義為：

C（w，b）≡12n∑xy（x）-a2（4）

其中：w表示網絡權重的集合，b為所有偏置的集合，n是訓練輸入數據的個數，a表示當輸入為x時輸出的向量。參數w和b

的定義為：

w → w′k≡wk-ηCwk（5）

b → b′l≡bl-ηCbl（6）

其中：η表示學習率，偏導數Cwk和Cbl表示任意權重和任意偏置的變化率。

損失函數值計算過程如圖2所示。計算步驟設計如下：

步驟1 設置初始激活值a1并輸入;

步驟2 計算加權和zl=wlal-1+bl和各層節點激活值al=σ（zl），其中l=（1，2，…，L），進行前向傳播;

步驟3 計算各網絡的輸出層誤差δl=ac⊙σ′zL并輸出;

步驟4 根據獲取的每一項輸出層誤差

δl=（（wl+1）Tδl+1⊙σ′zl），其中，l=（L-1，L-2，…），進行反向傳播;

步驟5 計算并輸出損失函數的任意權重的變化率Cwljk=al-1kδlj和任意偏置的變化率Cblj=δlj;

步驟6 將步驟5的結果，分別代入式（5）和（6）獲取權重w和偏置b，然后根據式（4）獲取損失函數值。

圖片

圖2 損失函數值計算流程

Fig. 2 Flow chart of loss function calculation

ICNN的反向傳播過程，是從最后一層開始向后計算誤差向量，這種反向移動的進行是基于損失函數在網絡中的輸出結果。為了把握損失函數隨前面層的權重和偏置變化的規律，通過隨機梯度下降的方式和重復使用鏈式法則，反向獲取所需的表達式結果，從而可以得到最優的參數組合（即最小化損失函數）。

在ICNN訓練過程中，隨著網絡層數的不斷增加和卷積核數量的不斷增多，網絡抽取到檢測樣本的特征信息也不斷增多，網絡自身通過不斷的特征篩選和參數優化，最終使模型收斂，這體現了ICNN的深度學習過程對入侵檢測樣本建模的有效性。

2 網絡入侵檢測模型

2.1 網絡入侵檢測模型框架

以ICNN為基礎，本文提出一個基于ICNN的網絡入侵檢測模型（ICNN Based Intrusion Detection Model，IBIDM），該模型主要由數據預處理模塊、ICNN網絡訓練模塊和分類檢測模塊構成，IBIDM的架構如圖3所示。

圖片

圖3 IBIDM的架構

Fig. 3 IBIDM architecture

2.2 模塊設計

1） 數據預處理模塊。

該模塊包括數值化處理和歸一化處理兩項操作，其目的是為網絡訓練提供規范的輸入數據集，該模塊的處理過程設計如下：

首先，采用屬性映射（One-hot）方法對數據集中連續型和離散型的符號型數據進行數值化處理。

然后，將處理后的數值型數據進行特征范圍線性映射，得到規范的網絡輸入數據集。

2）ICNN訓練模塊。

該模塊包括前向傳播特征提取和反向傳播迭代優化2個過程。

前向傳播特征提取：將預處理后的訓練數據集作為Input Data進行前向傳播，利用ICNN的自主學習能力進行特征提取。

反向傳播迭代優化：根據ICNN訓練得到的loss值進行誤差反向傳播，經過反復的參數優化，直至達到良好收斂效果。

3）分類檢測模塊。

根據Probe、DoS、U2R、R2L和Normal 5個樣本類別為分類標簽訓練分類器，將預處理后的測試數據集作為Test Data輸入訓練好的分類器，分類器對檢測樣本進行分類檢測，輸出五維混淆矩陣，即為檢測結果。

3 數據特征分析及預處理

3.1 數據集選取及特征描述

在本文研究中，選取NSL-KDD CUP數據集[19-20]作為基準數據集，用于檢測模型的訓練和性能測試。與KDD CUP 99數據集相比，NSL-KDD CUP數據集刪除了大量冗余數據，使其樣本數據的比例分配更加均衡合理、可利用性更高，因此能夠更好滿足本研究的檢測模型的驗證實驗需求。上述兩個數據集的樣本數據特征相同，數據集中每一項入侵記錄均有42維特征，詳細分為38維數字特征、3維符號特征和1個攻擊類型標簽（label）。NSL-KDD CUP數據集數據類型主要包含：正常類數據（Normal）和4大攻擊類型數據（Probe、DoS、U2R、R2L），4大攻擊類型數據又可具體細分為39個小類。

NSL-KDD CUP數據集主要包含訓練集（KDDTrain）、測試集（KDDTest+）和測試集（KDDTest-21）三個子數據集，其樣本類別分布與特征分類情況分別如表1和表2所示。

表格（有表名）

表1 樣本類別分布

Tab. 1 Sample category distribution

樣本類別訓練集（KDDTrain）測試集（KDDTest+）測試集（KDDTest-21）

Probe4592724214342

DoS1165674582402

R2L99527542754

U2R52200200

Normal6734397112152

總量1259732254411850

表格（有表名）

表2 特征分類

Tab. 2 Feature classification

序號樣本特征類型序號樣本特征類型

1duration連續

2protocol_type符號

3service符號

4flag符號

5src_bytes連續

6dst_bytes連續

7land離散

8wrong_fragment連續

9urgent連續

10hot連續

11num_failed_logins連續

12root_shell離散

13num_compromised連續

14root_shell離散

15su_attempted離散

16num_root連續

17num_file_creations連續

18num_shells連續

19num_access_files連續

20num_outbound_cmds連續

21is_host_login離散

22is_guest_login離散

23count連續

24srv_count連續

25serror_rate連續

26srv_serror_rate連續

27rerror_rate連續

28srv_rerror_rate連續

29same_srv_rate連續

30diff_srv_rate連續

31srv_diff_host_rate連續

32dst_host_count連續

33dst_host_srv_count連續

34dst_host_same_srv_rate連續

35dst_host_diff_srv_rate連續

36dst_host_same_src_port_rate連續

37dst_host_srv_diff_port_rate連續

38dst_host_serror_rate連續

39dst_host_srv_serror_rate連續

40dst_host_rerror_rate連續

41dst_host_srv_rerror_rate連續

42label標簽

注： 連續型和離散型特征都屬于數值特征。

3.2 數據預處理

數據預處理包括數值化處理和歸一化處理兩個過程。

1）數值化處理。

由于ICNN的輸入項為數字矩陣，因此采用獨熱（One-hot）編碼方法，將測試數據集中具有符號型特征的數據映射為數字特征向量。該處理主要針對以下3個特征：

特征1 對于protocol_type型特征的3種類型的屬性：TCP、UDP和ICMP，將其分別編碼為二進制向量（1，0，0）、（0，1，0）和（0，0，1）;

特征2 將service型特征所包含的70種符號屬性通過編碼變為70維二進制特征向量;

特征3 將flag型特征所包含的11種類符號屬性通過編碼變為11維二進制特征向量。

經過數值化處理，上述3類符號型特征變成84維二進制特征向量，加上數據集本身的38維數字特征，數據集中每一項記錄的42維特征最終變為122維二進制特征向量。

2）歸一化處理。

在數據集中，連續型特征數據之間取值范圍差異明顯，例如，num_root型特征的取值范圍是[0，7468]，而num_shells型特征的取值范圍是[0，5]，可見兩者的最小值和最大值的范圍差距很大。為了便于運算處理和消除量綱，采用歸一化的處理方法，將每個特征的取值范圍統一線性映射在[0，1]區間內。歸一化計算公式為：

Xnorm=X-XminXmax-Xmin（7）

其中：Xmax表示特征的最大值，Xmin表示特征的最小值。

4 實驗與結果

4.1 實驗環境配置與超參數設置

本文研究中，對檢測模型的檢測驗證和對比測試實驗均在Linux操作系統上進行。使用Python的深度學習庫Tensorflow編程實現本文的ICNN和IBIDM。為提高運算效率，減少訓練時間，采用Tensorflow-GPU[21]進行并行計算加速。實驗的軟硬件配置環境如表3所示。

經過多次和小范圍的參數組合搭配訓練，根據訓練和測試結果，確定ICNN訓練的超參數設置如下：

網絡學習率為0.1，此時網絡的訓練速度最佳，且特征學習過程較為詳細;

權值衰減系數為0.001，此時ICNN的復雜度對損失函數的影響最小;

正則化方式Dropout的權重失活率大小設為0.5;

實驗總的迭代訓練次數為300次;

實驗過程的每次迭代訓練從訓練集數據中選取的數據量大小是1000項，每個batch size迭代訓練次數為50次。

4.2 評價指標

本文采用準確率（Accuracy， AC）、真正率（True Positive Rate， TPR）和誤報率（False Positive Rate， FPR）作為評估IBIDM檢測性能的3個關鍵指標。

指標1 AC。分類器準確預測的樣本數與測試集總樣本數的比值。

AC=TPTP+FP（8）

其中，TP（True Positive）為真正類，表示本屬于正類的樣本被準確預測為正類的樣本數;FP（False Positive）為假正類，表示本屬于負類的樣本被錯誤預測為正類的樣本數。

指標2 TPR。分類器將正樣本準確預測為正樣本的數量與所有正樣本數量的比值。

TPR=TPTP+FN（9）

其中，FN（False Negative）為假負類，表示本屬于正類的樣本被錯誤預測為負類的樣本數。

指標3 FPR。分類器將負樣本錯誤預測為正樣本的數量與所有負樣本數量的比值。

FPR=FPFP+TN（10）

其中，TN（True Negative）為真負類，表示本屬于負類的樣本被準確預測為負類的樣本數。

4.3 實驗設計

采用KDDTest+和KDDTest-21測試集分別開展3個檢測實驗。每個實驗具體設計如下：

實驗1 以測試集KDDTest+和KDDTest-21中的五種數據類型Normal、Probe、DoS、U2R、R2L為5類標簽，分別進行分類檢測，根據分類檢測模塊所輸出的五維混淆矩陣（檢測結果），計算IBIDM對4個攻擊類型的準確率、真正率和誤報率指標，并根據評估指標值繪制兩測試集關于誤報率與真正率的ROC曲線圖。

實驗2 應用NSL-KDD CUP數據集，對其他3種在入侵檢測方法中應用的典型神經網絡LeNet-5[22]、DBN（Deep Belief Net）[23]和RNN（Recurrent Neural Network）[24]進行訓練和檢測，將檢測結果與IBIDM的檢測效果進行對比分析。

實驗3 應用NSL-KDD CUP數據集，對基于CNN入侵檢測技術的2個典型入侵檢測模型IDABCNN和NIDMBCNN[15-16]分別進行訓練和檢測，將檢測效果與IBIDM的檢測效果進行對比分析。

4.4 實驗結果

4.4.1 分類檢測與結果

該實驗包括訓練和測試兩個過程。在訓練過程中，ICNN模型的整體訓練誤差與迭代次數的關系如圖4所示。由圖4可見，隨著迭代次數的增加訓練誤差逐漸減小;當迭代次數為50時，誤差值最小，這說明ICNN模型結構設計和模型訓練的超參數設置較為合理，能夠滿足檢測要求。

在測試過程中，KDDTest +和KDDTest-21測試集在分類測試后輸出的五維混淆矩陣分別如表4和表5所示，這兩個矩陣即為具有五類標簽樣本的測試分類結果，其中帶下劃線的數字表示各樣本類別被準確預測的數量。

測試集KDDTest +和KDDTest-21四類攻擊類型的分類評估指標結果分別如圖5所示。

由圖6可見，IBIDM對U2R型數據的檢測準確率低于其他3種類型，這是由于U2R的樣本數據量太小，致使模型訓練過程中，特征提取量較少，因而測試時分類器對其數據檢測能力較弱。

為了更直觀地評估IBIDM測試實驗，利用測試集KDDTest +與KDDTest-21分類測試后的樣本數據繪制了關于誤報率（FPR）與召回率（TPR）的ROC曲線圖，ROC曲線如圖6所示。

由圖6可見，IBIDM五分類測試的ROC曲線擬合程度較好，通過計算得到KDDTest +與KDDTest-21的AUC的值分別為0.9392和0.9020，說明通過ICNN訓練的分類模型對正類樣本的排序能力很強。

4.4.2 對比實驗與結果

為了進一步驗證IBIDM在網絡入侵檢測中的有效性，對在IDS中應用的3種典型神經網絡LeNet-5[22]、RNN[23]和DBN[24]檢測模型進行檢測實驗。分別對IBIDM和上述3個模型進行了五分類檢測訓練和檢測測試。

LeNet-5，RNN、DBN和IBIDM的檢測實驗結果對比如表6所示。由表6可見，在測試集KDDTest+上，IBIDM與其他3個模型相比，檢測準確率高于LeNet-5和DBN，略低于RNN，真正率略低于DBN并且略高于LeNet-5和RNN，而誤報率均低于其他3個模型;在測試集KDDTest-21上，IBIDM的檢測準確率和真正率均高于其他三類模型，誤報率低于DBN，略高于LeNet-5和RNN，這說明ICNN對入侵檢測數據樣本的識別能力較強。

為了更好地驗證IBIDM的有效性，對IDABCNN[15]和NIDMBCNN[16]分別進行模型訓練和測試，為保證實驗結果具有可比性，檢測樣本均使用NSL-KDD數據集，檢測結果如表7所示。

由表7可見，在測試集KDDTest+上，IBIDM的檢測的準確率低于NIDMBCNN，略高于IDABCNN，而真正率略高于IDABCNN和NIDMBCNN，誤報率也更低，側面表示出NSL-KDD數據集對提升實驗檢測效果更有幫助。在測試集KDDTest-21上，IBIDM的檢測準確率和真正率均高于其他兩類模型，但誤報率略高于后兩者，所以IBIDM有進一步的提升空間。綜上研究，說明IBIDM的跨層聚合的網絡結構設計方式能夠保證模型在訓練過程中更好地提取特征信息，同時也反映出IBIDM的擬合程度較為理想，訓練出的網絡模型對樣本數據分類效果較好。

5 實驗與結果

針對目前基于深度學習技術的網絡入侵檢測方法普遍存在檢測效率較低、模型訓練過程中易出現過擬合和泛化能力較差的情況，本文提出一種基于改進卷積神經網絡的網絡入侵檢測模型，利用預處理后的訓練集和測試集數據，在IBIDM中進行了分類訓練和測試實驗。實驗結果表明，IBIDM的入侵檢測準確率和真正率較高，誤報率較低。總體上看，IBIDM發揮了深度學習模型對樣本數據的特征提取優勢。

雖然本文方法在解決基于深度學習的入侵檢測方法存在的諸多問題上取得了良好效果，但是應用深度學習技術進行入侵檢測仍面臨一大難題，即在模型優化過程中參數值無法收斂到全局最優，下一步對IBIDM的改進重點集中在以下兩個方面：1）針對隨機梯度下降（SGD）算法在模型訓練過程中易出現梯度彌散、損失函數易陷入局部最優解的情況，考慮使用模擬退火、粒子群算法或者蟻群算法等群智能優化算法代替其進行參數調優。2）嘗試使用其他數據集進行訓練和測實驗證實驗，根據實驗結果對算法和方法進行繼續改進，進一步提升入侵檢測模型的泛化能力和有效性。

參考文獻

[1]ZHENG K， CAI Z， ZHANG X， et al. Algorithms to speedup pattern matching for network intrusion detection systems [J]. Computer Communications， 2015， 62（C）： 47-58.

[2]SUNG J S， KANG S M， KWON T G. Pattern matching acceleration for network intrusion detection systems [C]// Proceedings of the 2005 International Conference on Embedded Computer Systems： Architectures， Modeling， and Simulation. Berlin： Springer， 2005： 289-298.

[3]李鵬，周文歡.基于K-means和決策樹的混合入侵檢測算法[J]. 計算機與現代化， 2017（12）：12-16.（LI P， ZHOU W H. Mixed intrusion detection algorithm based on K-means and decision tree [J]. Computer and Modernization， 2017（12）： 12-16.）

[4]戚名鈺，劉銘，傅彥銘. 基于PCA的SVM網絡入侵檢測研究[J].信息網絡安全， 2015（2）：15-18.（QI M Y， LIU M， FU Y M. Research on network intrusion detection using support vector machines based on principal component analysis [J]. Netinfo Security， 2015（2）： 15-18.）

[5]XU Y， ZHAO H. Intrusion detection alarm filtering technology based on ant colony clustering algorithm [C]// Proceedings of the 2015 6th International Conference on Intelligent Systems Design and Engineering Applications. Washington， DC： IEEE Computer Society， 2016： 470-473.

[6]王秀英. 分布式網絡時序關聯入侵攻擊行為檢測系統設計[J]. 現代電子技術， 2018， 41（3）： 108-114. （WANG X Y. Design of temporal sequence association rule based intrusion detection behavior detection system for distributed network[J]. Modern Electronics Technique， 2018， 41（3）： 108-114.）

[7]ROY S S， MALLIK A， GULATI R， et al. A deep learning based artificial neural network approach for intrusion detection [C]// Proceedings of the 2017 International Conference on Mathematics and Computing， CCIS 655. Berlin： Springer， 2017： 44-53.

[8]馬勇.模糊推理結合Michigan型遺傳算法的網絡入侵檢測方案[J].電子設計工程，2016，24（11）：108-111.（MA Y. A network intrusion detection schemer based on fuzzy inference and Michigan genetic algorithm [J]. Electronic Design Engineering， 2016， 24（11）： 108-111.）

[9]陳虹，萬廣雪，肖振久.基于優化數據處理的深度信念網絡模型 的入侵檢測方法[J].計算機應用，2017，37（6）：1636-1643.（CHEN H， WAN G X， XIAO Z J. Intrusion detection method of deep belief network model based on optimization of data processing [J]. Journal of Computer Applications， 2017， 37（6）： 1636-1643.）

[10]QU F， ZHANG J， SHAO Z， et al. An intrusion detection model based on deep belief network [C]// Proceedings of the 2017 VI International Conference on Network， Communication and Computing. New York： ACM， 2017： 97-101.

[11]YIN C， ZHU Y， FEI J， et al. A deep learning approach for intrusion detection using recurrent neural networks [J]. IEEE Access， 2017， 5： 21954-21961.

[12]SHONE N， NGOC T N， PHAI V D， et al. A deep learning approach to network intrusion detection [J]. IEEE Transactions on Emerging Topics in Computational Intelligence， 2018， 2（1）： 41-50.

[13]袁琴琴， 呂林濤. 基于改進蟻群算法與遺傳算法組合的網絡入侵檢測[J]. 重慶郵電大學學報（自然科學版）， 2017， 29（1）： 84-89.（YUAN Q Q， LYU L T. Network intrusion detection method based on combination of improved ant colony optimization and genetic algorithm [J]. Journal of Chongqing University of Posts and Telecommunications （Natural Science Edition）， 2017， 29（1）： 84-89.

[14]魏明軍，王月月，金建國. 一種改進免疫算法的入侵檢測設計[J].西安電子科技大學學報（自然科學版），2016，43（2）：126-131.（WEI M J， WANG Y Y， JIN J G. Intrusion detection design of the impoved immune algorithm [J]. Journal of Xidian University （Natural Science）， 2016， 43（2）： 126-131.）

[15]賈凡，孔令智.基于卷積神經網絡的入侵檢測算法[J].北京理工大學學報，2017，37（12）：1271-1275.（JIA F， KONG L Z. Intrusion detection algorithm based on convolutional neural network [J]. Transactions of Beijing Institute of Technology， 2017， 37（12）： 1271-1275.）

[16]王明，李劍.基于卷積神經網絡的網絡入侵檢測系統[J]. 信息安全研究，2017，3（11）：990-994.（WANG M， LI J. Network intrusion detection model based on convolutional neural network[J]. Journal of Information Securyity Research， 2017， 3（11）： 990-994.）

[17]KWON D K， NATARAJAN K， SUH S C， et al. An empirical study on network anomaly detection using convolutional neural networks [C]// Proceedings of the IEEE 38th International Conference on Distributed Computing Systems. Piscataway， NJ： IEEE， 2018： 1595-1598.

[18]VINAYAKUMAR R， SOMAN K P， POORNACHANDRAN P. Applying convolutional neural network for network intrusion detection [C]// Proceedings of the 2017 International Conference on Advanced Computing， Communications and Informatics. Piscataway， NJ： IEEE， 2017： 1222-1228.

[19]DHANABAL L， PERIYASAMY S S. A study on NSL-KDD dataset for intrusion detection system based on classification algorithms [J]. International Journal of Advanced Research in Computer and Communication Engineering， 2015， 4（6）： 446-452.

[20]NSL-KDD dataset [EB/OL]. [2018-07-20]. http：//nsl.cs.unb.ca/NSL- KDD/.

[21]TensorFlow-GPU [EB/OL]. [2018-07-20]. https：//www.tensorflow. org/.

[22]LECUN Y， BOTTOU L， BENGIO Y， et al. Gradient-based learning applied to document recognition [J]. Proceedings of the IEEE， 1998， 86（11）： 2278-2324.

[23]HINTON G E， OSINDERO S， TEH Y. A fast learning algorithm for deep belief nets [J]. Neural Computation， 2006， 18（7）： 1527-1554.

[24]CHUNG J， GULCEHRE C， CHO K， et al. Gated feedback recurrent neural networks [C]// Proceedings of the 2015 International Conference on Machine Learning. New York： International Machine Learning Society， 2015： 2067-2075.

This work is partially supported by the Civil Aviation Joint Research Fund Project of National Natural Science Foundation of China （U1833107）， the National Science and Technology Major Project （2012ZX03002002）.

YANG Hongyu， born in 1969， Ph. D.， professor. His research interests include network information security.

WANG Fengyan， born in 1993， M. S. candidate. His research interests include network information security.