深度置信網(wǎng)絡(luò)結(jié)合遞歸特征添加的網(wǎng)絡(luò)入侵檢測(cè)方法

趙 荷 蓋 玲

1(成都東軟學(xué)院計(jì)算機(jī)科學(xué)與工程系 四川 成都 611844) 2(上海大學(xué)管理學(xué)院 上海 200444)

0 引 言

在高速發(fā)展的信息時(shí)代中，網(wǎng)絡(luò)安全是一個(gè)關(guān)鍵性的問(wèn)題。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(Network Intrusion Detection Systems,NIDS)是解決網(wǎng)絡(luò)安全問(wèn)題的方案之一。針對(duì)不斷出現(xiàn)的網(wǎng)絡(luò)攻擊，所有互聯(lián)網(wǎng)參與者必須考慮構(gòu)建安全可靠的防御系統(tǒng)。數(shù)據(jù)挖掘是一種可以與入侵檢測(cè)一起使用的技術(shù)，在描述系統(tǒng)和用戶行為的數(shù)據(jù)特征中用于檢測(cè)特征模式，以及理想的惡意活動(dòng)示例[1-3]。由于互聯(lián)網(wǎng)每天都會(huì)產(chǎn)生稱為“零日攻擊”的新的攻擊方式，且事先沒(méi)有供應(yīng)商發(fā)現(xiàn)或開(kāi)發(fā)出有效的解決方案以應(yīng)對(duì)該威脅。因此，傳統(tǒng)的防御手段難以減輕零日攻擊帶來(lái)的損害，需要在零日攻擊對(duì)網(wǎng)絡(luò)造成巨大破壞之前抵御這些零日攻擊。顯然，研究網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)具有很好的現(xiàn)實(shí)意義和實(shí)用價(jià)值[4-5]。

國(guó)內(nèi)外許多專家及學(xué)者圍繞網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)行了深入的研究。文獻(xiàn)[6]采用類內(nèi)相關(guān)系數(shù)和類間相關(guān)系數(shù)來(lái)獲得特征的類特定子集，使用類內(nèi)和類內(nèi)相關(guān)系數(shù)分別測(cè)量特征的有效性和可靠性，但該方法并沒(méi)有處理數(shù)據(jù)稀缺和相互依賴的特征。文獻(xiàn)[7]使用基于簽名的異常檢測(cè)方案來(lái)檢查包頭，更準(zhǔn)確地提取行為模式。將基于特征的檢測(cè)系統(tǒng)和基于異常的檢測(cè)系統(tǒng)相結(jié)合，克服前者因無(wú)法檢測(cè)新型攻擊而受到的限制以及由此產(chǎn)生的高誤報(bào)率。但該方法沒(méi)有考慮使用特征選擇去除不相關(guān)和冗余的特征。文獻(xiàn)[8]設(shè)計(jì)了一種新的多目標(biāo)優(yōu)化方法用于高效的入侵檢測(cè)。該方法涉及編碼提供最佳特征子集的染色體。這些特征可以在以后用于訓(xùn)練組合分類器的各種實(shí)例。然而，該模型的缺點(diǎn)是，在計(jì)算不同代中的適應(yīng)度函數(shù)時(shí)計(jì)算成本非常高。文獻(xiàn)[9]提出了一種將流量記錄作為圖像來(lái)處理，以使用計(jì)算機(jī)視覺(jué)技術(shù)檢測(cè)拒絕服務(wù)攻擊的方法。該方法涉及利用多變量相關(guān)分析來(lái)描述網(wǎng)絡(luò)流量記錄并將其轉(zhuǎn)換為圖像，但沒(méi)有考慮圖像可能有一些噪聲來(lái)自不同的來(lái)源，這反過(guò)來(lái)會(huì)產(chǎn)生噪聲特征，那些嘈雜的特征可能導(dǎo)致不符合需要的分類結(jié)果。

針對(duì)上述問(wèn)題，本文提出深度學(xué)習(xí)結(jié)合遞歸特征添加的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)以提升網(wǎng)絡(luò)對(duì)零日攻擊的抵抗性，主要?jiǎng)?chuàng)新點(diǎn)為：

(1) 現(xiàn)有的大多數(shù)檢測(cè)系統(tǒng)中，網(wǎng)絡(luò)入侵攻擊特征由于長(zhǎng)字符串特性無(wú)法直接采用機(jī)器學(xué)習(xí)。本文方法通過(guò)采用深度置信網(wǎng)絡(luò)與二元組編碼技術(shù)對(duì)網(wǎng)絡(luò)攻擊特征進(jìn)行有效提取與二進(jìn)制編碼，從而提升入侵檢測(cè)準(zhǔn)確率。

(2) 現(xiàn)有大多數(shù)檢測(cè)方法中，網(wǎng)絡(luò)入侵攻擊決策依據(jù)的特征存在相互依賴的問(wèn)題。本文利用遞歸特征添加法(Recursive Feature Addition，RFA)進(jìn)行特征選擇，并綜合考慮入侵檢測(cè)的準(zhǔn)確率、檢出率和誤報(bào)率，從而提升檢測(cè)效率與精準(zhǔn)率。

1 方法設(shè)計(jì)

1.1 基于DBN與二元組編碼的網(wǎng)絡(luò)攻擊特征提取

圖1為基于DBN的網(wǎng)絡(luò)攻擊特征提取算法的架構(gòu)，其中：輸入數(shù)據(jù)為I；輸出數(shù)據(jù)為O(即為網(wǎng)絡(luò)攻擊特征)。為避免深度學(xué)習(xí)網(wǎng)絡(luò)函數(shù)表達(dá)能力過(guò)強(qiáng)出現(xiàn)的過(guò)擬合情形，采用非監(jiān)督預(yù)訓(xùn)練方式對(duì)深度學(xué)習(xí)網(wǎng)絡(luò)進(jìn)行訓(xùn)練，通過(guò)逐層學(xué)習(xí)獲取輸入數(shù)據(jù)的主要驅(qū)動(dòng)變量，并利用多層映射單元提取出網(wǎng)絡(luò)攻擊中主要的結(jié)構(gòu)信息。

圖1 深度學(xué)習(xí)算法結(jié)構(gòu)

對(duì)隸屬于相鄰兩層(Si,Sj),i≠j的一組神經(jīng)元(sli,smj)，Si表示第i層特征，Sj表示第j層特征，sli和smj分別為Si和Sj的神經(jīng)元，定義其能量函數(shù)為:

(1)

式中：δij、σl、υm為權(quán)重參數(shù)；θ表示3個(gè)權(quán)重參數(shù)的集合，即θ={δij,σl,υm}。

兩層神經(jīng)元間的聯(lián)合概率分布為:

(2)

(3)

最優(yōu)的模型參數(shù)θ，可通過(guò)最大化訓(xùn)練集上的對(duì)數(shù)似然函數(shù)得到[10]。

進(jìn)一步地，選擇使用二元組技術(shù)對(duì)這些特征進(jìn)行編碼。其優(yōu)點(diǎn)在于避免了特征量因字符串過(guò)長(zhǎng)而不利于在機(jī)器學(xué)習(xí)中直接使用的缺陷。二元組特征編碼以構(gòu)造字典的方式完成對(duì)所有特征的編碼。

1.2 基于RFA的特征選擇方法

1.2.1特征選擇方法

相較于傳統(tǒng)神經(jīng)網(wǎng)絡(luò)特征提取方法，深度學(xué)習(xí)網(wǎng)絡(luò)中特征數(shù)量往往從數(shù)十個(gè)增加到數(shù)百個(gè)。這些特征往往具有高度的冗余性，從而導(dǎo)致最終入侵檢測(cè)精度的下降[11-13]。針對(duì)這一問(wèn)題，本文提出根據(jù)預(yù)定標(biāo)準(zhǔn)查找網(wǎng)絡(luò)攻擊特征的一個(gè)或多個(gè)信息子集的搜索算法，如圖2所示。

圖2 利用二元組技術(shù)提取ISCX數(shù)據(jù)集特征時(shí)的字典構(gòu)建階段

不妨設(shè)F={F1,F2,…,Fn}是整個(gè)特征集；S={Fτ(1),Fτ(2),…,Fτ(m)}(S?F)是整個(gè)集合中特征的選定子集，其中m

此外，由于額外噪聲特征的存在，通常會(huì)增加訓(xùn)練分類器的難度，故識(shí)別噪聲特征也是一個(gè)關(guān)鍵的預(yù)處理步驟，因?yàn)樵谶@種噪聲數(shù)據(jù)上構(gòu)建的分類器的性能將高度依賴于訓(xùn)練數(shù)據(jù)的質(zhì)量。換言之，噪聲背景下需要確定最優(yōu)的特征決策邊界值，這直接導(dǎo)致特征提取難度更大，當(dāng)前針對(duì)含噪聲的特征提取問(wèn)題而言，可以分為如圖3所示的三種類型：過(guò)濾方法、包裝方法和嵌入方法，其中FS表示所有特征的集合空間。

(a) 過(guò)濾方法 (b) 包裝方法

(c) 嵌入方法圖3 不同特征選擇方法

1) 過(guò)濾方法：如圖3(a)所示，特征選擇與分類過(guò)程相互獨(dú)立，通過(guò)檢查數(shù)據(jù)的內(nèi)在屬性來(lái)確定特征重要性。一般計(jì)算所有特征的相關(guān)性得分，去除低評(píng)分對(duì)應(yīng)的特征后即為所選擇的特征。

2) 包裝方法：如圖3(b)所示，該方法采用機(jī)器學(xué)習(xí)確定特征子集的空間范圍，且分類器的構(gòu)造過(guò)程與特征選擇過(guò)程緊密結(jié)合，但機(jī)器學(xué)習(xí)過(guò)程與后續(xù)的分類器構(gòu)造與特征選擇過(guò)程獨(dú)立。

3) 嵌入方法：如圖3(c)所示，該方法在機(jī)器學(xué)習(xí)過(guò)程中執(zhí)行特征選擇步驟，其優(yōu)勢(shì)在于提升算法執(zhí)行效率，且機(jī)器學(xué)習(xí)和特征選擇部分不能分開(kāi)。

1.2.2遞歸特征添加方法(RFA)

考慮到嵌入式特征選擇方法存在的明顯優(yōu)勢(shì)，本文提出基于遞歸特征添加方法的特征選擇算法。其基本原理為，通過(guò)根據(jù)計(jì)算出的剩余特征的排序系數(shù)(Ranking Coefficient,RC)，一次性地向該集合添加一個(gè)特征，來(lái)初始化要用于所選特征的一組空特征。

將針對(duì)支持向量(其基本上代表訓(xùn)練示例的小子集)計(jì)算決策函數(shù)D(x)的權(quán)重wi。支持向量是最接近決策邊界的訓(xùn)練示例，并提供類之間的最大間隔。對(duì)RFA中的特征進(jìn)行排序取決于權(quán)重大小作為排序系數(shù)，通過(guò)在成本函數(shù)的最大變化時(shí)添加一個(gè)特征來(lái)執(zhí)行。

需要最小化的SVM的成本函數(shù)為：

J=(1/2)αTHα-α1

(4)

式中：α1是n維向量；H是可以計(jì)算的矩陣：

H=yhykK(xh,xk)

(5)

式中：xh和xk是訓(xùn)練樣例；K是用于測(cè)量訓(xùn)練樣例xh和xk之間的相似性的核函數(shù)，且有h，k=1,2,…,N，N為需要選擇的特征數(shù)量；y是類標(biāo)簽的向量。此算法中使用RBF核函數(shù)，可以計(jì)算為：

(6)

式中：γ是常數(shù)，通常選擇為總特征數(shù)量的倒數(shù)；為了計(jì)算由于添加一個(gè)特征i而導(dǎo)致的成本函數(shù)的變化，需要重新計(jì)算H矩陣，不妨記為H(+i)，其中符號(hào)(+i)對(duì)應(yīng)于添加特征i。這一過(guò)程中需要同步更新計(jì)算K(xh(+i),xk(+i))。最終的排序系數(shù)RC計(jì)算為：

RC=(1/2)αTHα-(1/2)αTH(+i)α

(7)

算法第一次迭代時(shí)，由于還沒(méi)有選擇特征，此時(shí)的排名系數(shù)RC僅有第一項(xiàng)。隨后迭代地執(zhí)行該算法以執(zhí)行遞歸特征加法(RFA)，從而對(duì)應(yīng)于取最大值的RC(i)的特征被不斷添加到排序特征列表，算法的結(jié)果將是從最重要到最不重要的特征的排序列表。

以圖4所示的4特征排序問(wèn)題對(duì)所提算法進(jìn)行詳細(xì)闡述，嵌入式前向特征選擇有四個(gè)特征，選擇順序?yàn)閷?shí)線(2，4，3，1)，其中：1表示存在特征；0表示缺失。

圖4 4特征排序圖

圖4中，每個(gè)特征位都表示為二進(jìn)制值(0或1)。選擇此特征后，其位置將為1，否則為0。RFA方法以空特征集(0 0 0 0)開(kāi)始。示例中，特征2被選擇為其他特征中最相關(guān)的特征，因此首先選擇它。算法繼續(xù)進(jìn)行，直到它根據(jù)排名系數(shù)對(duì)所有特征進(jìn)行排名。實(shí)線表示方法遵循的路徑，而虛線表示當(dāng)前案例中的所有可能情況。該示例的最終排名分別為(2,4,3,1)。

2 實(shí) 驗(yàn)

2.1 評(píng)估指標(biāo)

為衡量特征添加前后對(duì)網(wǎng)絡(luò)入侵檢測(cè)效果的影響，采用檢測(cè)精度和F度量值作為指標(biāo)。其中檢測(cè)精度計(jì)算公式為：

(8)

式中：TP、TN、FP和FN分別為T(mén)rue Positive、True Negative、False Positive和False Negative值。可知分類器檢測(cè)精度是正確分類的示例與示例總數(shù)的百分比。另一方面，F(xiàn)度量值是檢測(cè)精度和召回率的調(diào)和平均值，公式為：

(9)

此外，引入額外三個(gè)指標(biāo)以評(píng)估所提入侵檢測(cè)方法的有效性：

(1) 檢測(cè)率(Detection Rate,DR)。任何入侵檢測(cè)系統(tǒng)的檢測(cè)率根據(jù)以下公式得到，表示正確檢測(cè)到的攻擊占攻擊總數(shù)的百分比：

(10)

(2) 誤報(bào)率(False Alarm Rate,FAR)。FAR表示根據(jù)以下公式將正確實(shí)例的百分比錯(cuò)誤地分類為對(duì)正常實(shí)例總數(shù)的攻擊：

(11)

(3) 綜合性能。除了前面提到的指標(biāo)之外，提出了一個(gè)綜合指標(biāo)，以便將三個(gè)指標(biāo)(準(zhǔn)確度、檢測(cè)率和FAR)合并在一起來(lái)比較：

(12)

該度量的結(jié)果將是-1和1之間的實(shí)數(shù)值，即Combined∈[-1,1]，其中：-1對(duì)應(yīng)于最差的整體系統(tǒng)性能；1對(duì)應(yīng)于最佳的整體系統(tǒng)性能；而0對(duì)應(yīng)于50%的整體系統(tǒng)性能。在目前的形式中，該公式給予所有三個(gè)指標(biāo)(準(zhǔn)確度、檢測(cè)率和誤報(bào)率)相等的權(quán)重。但在其他場(chǎng)景下，可通過(guò)賦予不同權(quán)重值以實(shí)現(xiàn)對(duì)不同性能的側(cè)重關(guān)注程度。

2.2 評(píng)估指標(biāo)不同對(duì)入侵檢測(cè)方法性能的影響

為了闡明所提出的組合度量的重要性，假設(shè)有一個(gè)數(shù)據(jù)集，其中200個(gè)實(shí)例分為100個(gè)普通實(shí)例和100個(gè)攻擊實(shí)例。現(xiàn)在討論具有相同精度50%的三種不同場(chǎng)景。

對(duì)于上述三種不同的混淆矩陣，可以計(jì)算出性能指標(biāo)，如表1所示。

表1 具有相同準(zhǔn)確性的三種不同方案的性能指標(biāo)

所有上述場(chǎng)景具有相同的準(zhǔn)確度值。但是，這三種情況具有不同的檢測(cè)率和誤報(bào)率。這使得很難確定哪個(gè)系統(tǒng)在產(chǎn)生三種情景的三個(gè)系統(tǒng)中表現(xiàn)最佳。但是，如果計(jì)算提出的組合度量，可以得出結(jié)論，生成第三個(gè)場(chǎng)景的系統(tǒng)是其他系統(tǒng)中最好的系統(tǒng)。

同樣，可能存在具有相同檢測(cè)率、不同精度和誤報(bào)率的不同系統(tǒng)，如下面三種情況所示，它們都具有相同的檢測(cè)率50%。表2為腳本4-腳本6所對(duì)應(yīng)的性能指標(biāo)。

表2 具有相同檢測(cè)率的三種不同方案的性能指標(biāo)

從表2可得，具有最大組合度量的最佳系統(tǒng)是生成第二個(gè)場(chǎng)景的系統(tǒng)。同樣地，可能存在不同的系統(tǒng)，這些系統(tǒng)產(chǎn)生具有不同精度和檢測(cè)率的相等誤報(bào)率，如下面三種情況所示，它們都具有相同的誤報(bào)率50%。表3為對(duì)應(yīng)的性能指標(biāo)。通過(guò)考慮組合性能可以得出結(jié)論，與第一個(gè)場(chǎng)景相對(duì)應(yīng)的系統(tǒng)是最好的系統(tǒng)，因?yàn)樗慕M合度量是0.3，這是其他系統(tǒng)中最高的。

表3 具有相同誤報(bào)率的三種不同場(chǎng)景的性能指標(biāo)

綜上，當(dāng)單獨(dú)拍攝時(shí)，在測(cè)量入侵檢測(cè)系統(tǒng)的性能時(shí)，準(zhǔn)確度、檢測(cè)率和誤報(bào)率都不足以表達(dá)。但是提出的組合指標(biāo)可以整合上述三個(gè)指標(biāo)給出的信息，以便更加徹底地衡量入侵檢測(cè)效果，正如從上述情景中注意到的那樣。通過(guò)使用所提出的組合度量，可以選擇具有最佳的最大準(zhǔn)確度、最大檢測(cè)率和最小誤報(bào)率的系統(tǒng)。如前所述，可以根據(jù)應(yīng)用修改提出的組合公式以測(cè)量其性能。這可以通過(guò)根據(jù)它們對(duì)該應(yīng)用的重要性給予三個(gè)分量(準(zhǔn)確度、檢測(cè)率和誤報(bào)率)不同的權(quán)重來(lái)執(zhí)行。

2.3 特征提取和數(shù)據(jù)集準(zhǔn)備

為進(jìn)一步評(píng)估不同入侵檢測(cè)方法的檢測(cè)性能，采用基準(zhǔn)數(shù)據(jù)集ISCX進(jìn)行評(píng)估，其由不同類型的特征組成：數(shù)字，分類，日期時(shí)間和字符串。通常，網(wǎng)絡(luò)流量信息由上述類型混合表示，但是蘊(yùn)含的特征通常由長(zhǎng)字符串值表示，這使得在機(jī)器學(xué)習(xí)中難以處理，為此采用二元組編碼技術(shù)進(jìn)行問(wèn)題化簡(jiǎn)。

不失一般性，考慮將網(wǎng)絡(luò)入侵特征轉(zhuǎn)換為雙字節(jié)表示的示例。三個(gè)網(wǎng)絡(luò)特征具有不同的長(zhǎng)字符串：“B7z2”，“Vud3j”和“z2nB7”。依據(jù)圖2所示的字典生成過(guò)程，得到由9個(gè)單詞組成的字典(即二元組)：B7|7z|z2|Vu|ud|d3|3j|2n|nB。如表4所示，三個(gè)網(wǎng)絡(luò)特征的二元組表示轉(zhuǎn)化為具有“0”和“1”的二進(jìn)制編碼。

表4 示例中三個(gè)網(wǎng)絡(luò)入侵特征的二元組表示

為了準(zhǔn)備用于特征選擇的結(jié)果數(shù)據(jù)集，使用快速過(guò)濾器選擇算法對(duì)特征進(jìn)行預(yù)排序步驟。由于當(dāng)前的特征數(shù)量很大，并且在這種情況下特征選擇可能非常耗費(fèi)時(shí)間，因此從原始特征中獲取350個(gè)特征的子集。產(chǎn)生的350個(gè)特征分別用于生成大小為25、50、100和500的數(shù)據(jù)集。為了模擬“零日攻擊”，使用不同數(shù)量的示例來(lái)監(jiān)視每種數(shù)據(jù)集大小的特征選擇行為，從特征提取到使用特征選擇算法對(duì)特征進(jìn)行排名的所有步驟如圖5所示。

圖5 利用二元組技術(shù)提取ISCX數(shù)據(jù)集的特征向量

2.4 在ISCX數(shù)據(jù)集上應(yīng)用RFA的結(jié)果

為了觀察包含網(wǎng)絡(luò)入侵特征添加對(duì)提高檢測(cè)精度的影響，在所有ISCX數(shù)據(jù)集上測(cè)量網(wǎng)絡(luò)入侵特征添加前后的分類精度和F-度量值，如表5所示。

表5 在ISCX數(shù)據(jù)集上應(yīng)用RFA前后的性能指標(biāo) %

表5的第2列和第3列表示不添加網(wǎng)絡(luò)入侵特征時(shí)的檢測(cè)性能；第4列和第5列表示在利用二元組編碼技術(shù)添加網(wǎng)絡(luò)入侵特征之后，從分類器獲得的最大性能。可以看出，與沒(méi)有二元組特征的相同數(shù)據(jù)集上分類器的性能相比，本文算法的檢測(cè)精度提升8%以上。

表6為采用RFA方法后相關(guān)評(píng)估指標(biāo)隨數(shù)據(jù)集規(guī)模的變化情形。

表6 在ISCX數(shù)據(jù)集上應(yīng)用RFA后的所有性能指標(biāo) %

可以看出，大多數(shù)單一指標(biāo)隨著數(shù)據(jù)集大小的增加而提高，而FAR指標(biāo)則不嚴(yán)格遵守隨數(shù)據(jù)集規(guī)模擴(kuò)大而下降的趨勢(shì)。然而，對(duì)于組合評(píng)估指標(biāo)而言，由初始25個(gè)樣本所對(duì)應(yīng)的指標(biāo)62.5%逐步提升至500個(gè)樣本所對(duì)應(yīng)的指標(biāo)(86.5%)，與大部分單一性指標(biāo)的變化趨勢(shì)相同。這表明采用組合性能指標(biāo)能夠較好地反映入侵檢測(cè)的性能，且隨著數(shù)據(jù)集樣本規(guī)模的擴(kuò)大，其評(píng)估結(jié)果越好。

需要指出的是，文獻(xiàn)[12]提出的檢測(cè)方法未使用RFA添加網(wǎng)絡(luò)入侵特征，故在此作為本文算法的對(duì)比算法，表7為相應(yīng)的評(píng)估性能。為直觀分析本文方法的優(yōu)異性，相比文獻(xiàn)[12]方法，在不同樣本數(shù)情況下，本文方法的評(píng)估指標(biāo)提升情況如圖6所示。

表7 在ISCX數(shù)據(jù)集上的所有性能指標(biāo)(文獻(xiàn)[12]) %

圖6 與文獻(xiàn)[12]相比本文方法評(píng)估指標(biāo)提升百分比

根據(jù)圖6，相比于傳統(tǒng)的未考慮特征選擇的方法(文獻(xiàn)[12])，在不同數(shù)據(jù)集樣本規(guī)模下，本文方法的檢測(cè)準(zhǔn)確率、F-度量值、檢出率和綜合性能指標(biāo)均有所提升，而誤報(bào)率低于未考慮特征選擇的方法。例如，當(dāng)數(shù)據(jù)樣本數(shù)量為25時(shí)，與文獻(xiàn)[12]方法相比，本文方法的準(zhǔn)確率、F-度量值、檢出率和綜合性能指標(biāo)分別提升了16.5%、7.2%、9.8%、7.4%，而誤報(bào)率則下降了12.6%；而其余數(shù)據(jù)樣本規(guī)模下，本文方法的準(zhǔn)確率、F-度量值、檢出率和綜合性能指標(biāo)則至少提升了3.6%、7.7%、6.4%和5.5%。因此，算例結(jié)果表明，本文方法在提升檢測(cè)精度的同時(shí)，由于綜合考慮了網(wǎng)絡(luò)入侵的特征，進(jìn)一步降低了將正常情形分類為入侵事件以及將入侵事件誤判為正常情形的風(fēng)險(xiǎn)，因而所提方法的檢測(cè)性能更優(yōu)。

2.5 方法對(duì)比結(jié)果分析

為驗(yàn)證所提深度置信網(wǎng)絡(luò)結(jié)合遞歸特征添加的網(wǎng)絡(luò)入侵檢測(cè)方法的有效性，采用KNN算法[14]、決策樹(shù)算法[15]、Adaboost算法[16]、K-means算法[17]、SVM算法[18]等主流入侵檢測(cè)算法進(jìn)行對(duì)比。對(duì)比指標(biāo)為檢測(cè)精度，如式(8)所示。相應(yīng)的檢測(cè)結(jié)果如圖7所示。

圖7 幾種算法對(duì)網(wǎng)絡(luò)入侵準(zhǔn)確率檢測(cè)結(jié)果

可以看出，相較于傳統(tǒng)入侵檢測(cè)算法，本文算法的準(zhǔn)確度最高，且準(zhǔn)確度最多提升7.89%。這是因?yàn)楸疚乃惴ㄊ紫炔捎蒙疃戎眯啪W(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)入侵特征進(jìn)行提取，并基于二元組編碼與RFA算法相結(jié)合的方法對(duì)主要特征量進(jìn)行選擇，因此對(duì)未知網(wǎng)絡(luò)入侵攻擊的檢測(cè)準(zhǔn)確率更高，網(wǎng)絡(luò)安全防御能力更強(qiáng)。

3 結(jié) 語(yǔ)

為實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)“零日攻擊”的有效判別，在綜合考慮檢測(cè)準(zhǔn)確率、檢出率和誤報(bào)率的基礎(chǔ)上，提出一種深度學(xué)習(xí)結(jié)合遞歸特征添加的網(wǎng)絡(luò)入侵檢測(cè)方法。同一數(shù)據(jù)集下的算例實(shí)驗(yàn)表明，相較于傳統(tǒng)不考慮網(wǎng)絡(luò)入侵特征的方法，本文算法的檢測(cè)精度得到有效提升。此外，與傳統(tǒng)入侵檢測(cè)方法相比，本文算法同樣展現(xiàn)出更高的檢測(cè)能力，從而保證對(duì)未知網(wǎng)絡(luò)攻擊手段的檢出能力，保障互聯(lián)網(wǎng)安全。

未來(lái)的研究方向是使用集成分類器方法進(jìn)行入侵檢測(cè)，以提高檢測(cè)性能，并利用Android僵尸網(wǎng)絡(luò)數(shù)據(jù)集，來(lái)研究這些技術(shù)在檢測(cè)Android系統(tǒng)惡意軟件中的行為。