基于改進CNN-LSTM的網絡入侵檢測模型研究

葛繼科 劉浩因 李青霞 陳祖琴

摘? 要：針對網絡入侵檢測模型特征提取算法復雜、訓練參數過多、檢測結果不理想等問題，提出一種改進卷積神經網絡與長短期記憶網絡結合的網絡入侵檢測方法（GCNN-LSTM）。首先，使用卷積神經網絡對流量數據做特征選擇，并選擇全局池化層代替其中的全連接層;其次，結合長短期記憶網絡強大的時間序列學習能力對改進卷積神經網絡選擇后的特征進行學習分類，以期在網絡異常數據檢測方面獲得更好的效率和準確率。實驗結果表明，提出的模型在UNSW-NB15數據集上有著較好的檢測效果。在同等條件下，使用傳統卷積神經網絡的模型準確率為84.97%，訓練時間為76.3 s;本模型準確率達到了88.96%，訓練時間為61.1 s。

關鍵詞：卷積神經網絡;LSTM;全局池化;網絡入侵檢測

中圖分類號：TP393.8? ? ?文獻標識碼：A

文章編號：2096-1472（2022）-01-56-03

Abstract： Aiming at the problems of complex feature extraction algorithm， too many training parameters， and unsatisfactory detection results in the network intrusion detection model， this paper proposes a network intrusion detection method （GCNN-LSTM） combining improved convolutional neural network and long short-term memory （LSTM） network. Firstly， convolutional neural network is used to perform feature selection on the flow data， and its full connection layer is replaced by global pooling layer. Then， in view of its powerful time series learning ability， LSTM is used to learn and classify the features selected by the improved convolutional neural network， in order to obtain better efficiency and accuracy in network abnormal data detection. Experimental results show that the proposed model has a good detection effect on the UNSW-NB15 dataset. Under the same conditions， the accuracy of the model using the traditional convolutional neural network is 84.97%， and its raining time is 76.3 s， while the accuracy of the proposed model is 88.96%， and its training time is 61.1 s.

Keywords： convolutional neural network; LSTM; global pooling; network intrusion detection

1? ?引言（Introduction）

隨著網絡攻擊手段的不斷提升，基于淺層模型的網絡入侵檢測系統很難對復雜情況下的網絡流量進行有效識別[1]。因此，網絡入侵檢測模型結構的優化已經成為當前安全研究領域的研究熱點[2]。傳統的入侵檢測方法主要包括統計分析方法、閾值分析方法、特征分析方法等[3]。這些異常檢測方法雖然能夠對惡意流量進行識別，但只是對已經發現的惡意流量行為的總結，并不能適應當前互聯網的海量數據和多變的網絡攻擊方式[4]。

深度學習能夠直接從原始數據中提取特征，已逐漸被用于網絡流量分類任務中。LSTM作為一種深度學習方法，由于具有保持長期記憶的能力，也逐漸被應用到各種網絡入侵檢測模型中。高忠石等[5]使用堆棧LSTM模型檢測多維時間序列中的異常數據，并在ECG等四個數據集上進行驗證，該模型在時間序列數據上有較好的驗證結果。方圓等[6]提出了一種層次化的CNN-RNN模型，并在NSL-KDD與UNSW-NB15數據集上進行了分類實驗。王毅等[7]使用CNN-LSTM方法構建入侵檢測模型并在NSL-KDD數據集上進行分類實驗。為提高模型性能，研究人員對傳統CNN網絡進行了改進，使用全局平均池化層代替全連接層[8]。

綜合上述卷積神經網絡在數據內部特征分析與長短期記憶網絡在序列間關聯提取方面的優勢，本文提出一種基于改進卷積神經網絡與長短期記憶網絡相結合的網絡入侵檢測方法（GCNN-LSTM），以期在網絡異常數據檢測方面獲得更好的效率和準確率。

2 改進的CNN-LSTM模型構建（GCNN-LSTM model construction）

針對傳統CNN中全連接層產生參數比重過大導致的過擬合問題，本文提出一種優化的網絡檢測模型GCNN-LSTM。該模型采用全局池化層代替全連接層的方式對CNN進行改進;并結合LSTM算法強大的時間序列學習能力對特征選擇后的數據進行訓練;最后采用Sigmoid激活函數對訓練結果作二分類預測。GCNN-LSTM模型結構如圖1所示。

2.1? ?改進的卷積神經網絡

卷積神經網絡（Convolutional Neural Network， CNN）是一種重要的深度學習算法，在空間特征提取方面有著很好的效果，常用于信號處理及圖像分類當中。典型的CNN結構如圖2所示，由卷積層、池化層、全連接層交叉堆疊組成。其中，卷積層通過控制卷積核大小提取樣本數據的局部特征。池化層一般處于卷積層下一層，主要用于特征選擇，減少原始數據的特征維數，防止過擬合。全連接層負責對前面提取的局部特征進行整合，再把處理后的輸出值傳輸到分類器。全連接層的輸出數據通過緊隨其后的非線性激活函數（tanh、Sigmoid、rectifier等）生成特征映射。

但常用的CNN直接應用在入侵檢測數據中的特征選擇時，并不能很好地對關鍵特征進行提取，主要是因為傳統CNN模型中的全連接層產生的參數占總模型參數比重過大，導致迭代時的計算量增加，且容易引起過擬合，影響整個模型的泛化能力。使用全局池化代替全連接層對CNN進行優化能有效解決該問題。

全局池化相比于普通池化，將整張特征圖輸出為一個值，使得輸出數量等同于最后一層的通道數。假設模型的最后一個卷積層為m×n×4的特征圖，全連接與全局池化的結構如圖3（a）、圖3（b）所示。

全局池化分為全局最大池化與全局平均池化，特征圖對應輸出的特征值公式分別如式（1）、式（2）所示。

2.2? ?長短期記憶網絡

CNN主要是對單個數據包內部的特征進行分析，缺乏對序列之間關聯的提取分析，因此與長短期記憶網絡（Long Short Term Memory Networks， LSTM）結合構建的模型在網絡入侵檢測方面會有更好的訓練效果。LSTM作為一種深度學習方法，由于具有保持長期記憶的能力，逐漸被應用在各種網絡入侵檢測模型中。LSTM通過三個“門”保持對過長數據的記憶能力，分別為遺忘門、輸入門、輸出門，詳細計算方法如式（3）—式（6）所示。

其中，表示遺忘門、輸入門、單元狀態與輸出門，分別表示權重與偏置。

遺忘門使用Sigmoid函數決定當前時間會丟棄多少信息，使得LSTM可以在保留上下文信息的基礎上，會“遺忘”一部分信息;輸入門主要對輸入信息進行篩選，以此來更新單元狀態;輸出門根據單元狀態確定輸出值。最后將輸出數據放入分類器進行分類處理，本文采用Sigmoid函數作為激活函數對輸出數據作二分類，該激活函數的公式如式（7）所示。

3? ?實驗設計與分析（Experimental setup and analysis）

3.1? 評估指標

實驗采用四種常用評價指標對提出的入侵檢測模型進行評估：準確率（Accuracy）、召回率（Recall）、精確度（Precision）及F1值（F1-score）。計算公式如式（8）—式（11）所示。

其中，關于每種評價指標的參數TP、TN、FP和FN的定義如表1所示。

3.2? ?實驗數據

實驗使用澳大利亞網絡安全中心（ACCS）于2015 年建立的入侵檢測數據集UNSW-NB15。該數據集共有82，332 條樣本數據，包含除正常情況外的模糊測試、滲透分析、漏洞利用、DoS、泛型攻擊、后門、偵察、shellcode、蠕蟲等九種攻擊方式。每條樣本數據包含45 維特征，其中前35 維數據是從報頭數據包中收集的綜合信息，包括流量特征、基礎特征、內容特征和時間特征;36—43 維特征表示其他生成特征;最后兩維是標簽數據。由于本文是對異常數據進行識別，因此只需要對標簽數據進行二分類。

3.3? ?實驗結果與分析

使用全局池化改進的CNN-LSTM網絡模型在UNSW-NB15數據集上訓練，得到的識別準確率與損失函數變化如圖4（a）、圖4（b）所示。

為了更加全面地驗證模型在測試集上的預測效果，將GCNN-LSTM模型與傳統模型進行對比實驗。模型激活函數設置為Sigmoid，學習率為0.01。實驗結果如表2所示，可以看出這兩種優化后的模型在準確率與訓練時間上都比傳統模型有更好的效果。

4? ?結論（Conclusion）

針對當前攻擊手段的不斷提升，基于淺層模型的網絡入侵檢測系統很難對復雜情況下的網絡流量進行有效識別的現狀，本文提出一種改進卷積神經網絡與長短期記憶網絡結合的入侵檢測模型GCNN-LSTM，使用全局池化層優化后的卷積神經網絡結合LSTM能夠更有效地進行特征選擇。實驗結果表明，該方法能提升模型準確度，減少訓練時間，提高了入侵檢測模型的性能。但該模型在分類時使用的方法過于單一，只采用了Sigmoid函數進行簡單的二分類處理，希望未來能在這一方面有進一步的優化。

參考文獻（References）

[1] 張蕾，崔勇，劉靜，等.機器學習在網絡空間安全研究中的應用[J].計算機學報，2018，41（09）：1943-1975.

[2] 周杰英，賀鵬飛，邱榮發，等.融合隨機森林和梯度提升樹的入侵檢測研究[J].軟件學報，2021，32（10）：3254-3265.

[3] HUBBALLI N， SURYANARAYANAN V. False alarm minimization techniques in signature-based intrusion detection systems： A survey[J]. Computer Communications， 2014（49）：1-17.

[4] TAN Z， JAMDAGNI A， He X， et al. Detection of denial-of-service attacks based on computer vision techniques[J]. IEEE Transactions on Computers， 2014， 64（9）：2519-2533.

[5] 高忠石，蘇旸，柳玉東.基于PCA-LSTM的入侵檢測研究[J].計算機科學，2019，46（S2）：473-476，492.

[6] 方圓，李明，王萍，等.基于混合卷積神經網絡和循環神經網絡的入侵檢測模型[J].計算機應用，2018，38（10）：2903-2907，2917.

[7] 王毅，馮小年，錢鐵云，等.基于CNN和LSTM深度網絡的偽裝用戶入侵檢測[J].計算機科學與探索，2018，12（04）：575-585.

[8] YAO G， LEI T， ZHONG J. A review of convolutional-neural-network-based action recognition[J]. Pattern Recognition Letters， 2019， 118：14-22.

作者簡介：

葛繼科（1977-），男，博士，副教授.研究領域：人工智能.

劉浩因（1998-），女，碩士生.研究領域：深度學習，網絡安全.

李青霞（1998-），女，碩士生.研究領域：機器學習，推薦系統.

陳祖琴（1981-），女，博士，副研究館員.研究領域：情報學.本文通訊作者.