面向不完備信息的網(wǎng)絡(luò)入侵檢測方法

張翼英，阮元龍，尚 靜，周保先

(天津科技大學(xué) 人工智能學(xué)院，天津 300457)

0 引 言

入侵手段的發(fā)展呈現(xiàn)多平臺(tái)感染、產(chǎn)業(yè)化的特征，在入侵技術(shù)不斷升級(jí)的網(wǎng)絡(luò)環(huán)境中，入侵檢測的重要性日益凸顯，建立一套有效網(wǎng)絡(luò)入侵檢測機(jī)制尤為必要[1-3]。近年來，隨著人工智能的發(fā)展，基于深度學(xué)習(xí)的入侵檢測成為研究熱點(diǎn)。基于深度學(xué)習(xí)的入侵檢測包括特征提取和分類，特征提取是通過組合低層特征實(shí)現(xiàn)特征的降維[4]。但深度學(xué)習(xí)在處理大規(guī)模的入侵檢測時(shí)，存在兩個(gè)問題。第一，深度學(xué)習(xí)比較復(fù)雜，過于復(fù)雜的深層神經(jīng)網(wǎng)絡(luò)需要花費(fèi)大量的時(shí)間訓(xùn)練參數(shù)，難以滿足檢測實(shí)時(shí)性的要求[5,6]。第二，深度學(xué)習(xí)的訓(xùn)練必須以大量的完備數(shù)據(jù)為基礎(chǔ)，以增強(qiáng)模型的訓(xùn)練效果，但是在收集與傳輸網(wǎng)絡(luò)數(shù)據(jù)的過程中，常常會(huì)出現(xiàn)數(shù)據(jù)未完全收集或信息不完備的情況[7,8]。因此，當(dāng)下基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測方法，雖然獲得了較好的檢測準(zhǔn)確率，但對(duì)數(shù)據(jù)量要求較高，參數(shù)訓(xùn)練也非常耗時(shí)。針對(duì)上述問題，提出了面向不完備信息的深度信念網(wǎng)絡(luò)的入侵檢測方法(intrusion detection with incomplete information based on deep belief network，IDII-DBN)，基于SMOTE方法進(jìn)行，然后采用DBN進(jìn)行特征降維和SVM分類，實(shí)現(xiàn)了信息不完備下的輕量級(jí)高效入侵檢測，提高了罕見攻擊的檢測準(zhǔn)確率。

1 相關(guān)工作

目前，國內(nèi)外采用深度學(xué)習(xí)的方法研究入侵檢測均取得一定效果。針對(duì)訓(xùn)練效率，文獻(xiàn)[9]提出了一種基于卷積神經(jīng)網(wǎng)絡(luò)(convolutional neural networks，CNN)的入侵檢測方法，該方法可以有效提取原始樣本信息，從而提高分類準(zhǔn)確率，但是過程相對(duì)耗時(shí)。文獻(xiàn)[10]基于稀疏自編碼器(sprarse auto-encoder，SAE)進(jìn)行特征提取，用自學(xué)習(xí)(self-taught learning，STL)的方式進(jìn)行有監(jiān)督的訓(xùn)練，達(dá)到了90%以上的檢測正確率，但是有監(jiān)督的訓(xùn)練對(duì)運(yùn)算的要求過高，難以做到實(shí)時(shí)檢測。文獻(xiàn)[11]采用一種完全基于前饋神經(jīng)網(wǎng)絡(luò)的檢測模型(simplified feedforward intrusion detection，SFID)，通過逐級(jí)遞減神經(jīng)元個(gè)數(shù)消除數(shù)據(jù)中的冗余特征，達(dá)到簡化模型、縮短訓(xùn)練時(shí)長的效果，但相較復(fù)雜網(wǎng)絡(luò)的檢測結(jié)果仍有提升空間。

針對(duì)不完備信息，文獻(xiàn)[12]基于SVM-Adaboost結(jié)合的檢測模型，將SVM作為弱分類器、Adaboost作為集成器，利用其各自優(yōu)勢提升了訓(xùn)練效率，但是沒有考慮數(shù)據(jù)類別不平衡。文獻(xiàn)[13]基于神經(jīng)元映射卷積神經(jīng)網(wǎng)絡(luò)，用ReLU激活器作為非線性激活函數(shù)，采用Adam算法進(jìn)行學(xué)習(xí)，具備較少的連接和參數(shù)，具有易于訓(xùn)練和泛化能力強(qiáng)的優(yōu)點(diǎn)，但暴露了數(shù)據(jù)不平衡的問題，缺少對(duì)不完備信息數(shù)據(jù)的處理。文獻(xiàn)[14]基于小波變換和人工神經(jīng)網(wǎng)絡(luò)(artificial neural network，ANN)的混合模型，降低了數(shù)據(jù)不平衡所帶來的負(fù)面影響，提高了模型在少量數(shù)據(jù)類別上的檢測準(zhǔn)確率。文獻(xiàn)[15]基于對(duì)數(shù)據(jù)集數(shù)據(jù)隨機(jī)丟棄的方式來解決數(shù)據(jù)的不平衡問題，僅僅使用40%的數(shù)據(jù)就獲得了較高的準(zhǔn)確率，但是對(duì)少量數(shù)據(jù)類別的分類效果準(zhǔn)確率較低。文獻(xiàn)[16]將DBN與核極限學(xué)習(xí)機(jī)(kernel extreme learning machine，KELM)結(jié)合提出了一種混合深度學(xué)習(xí)算法，但是算法沒有考慮數(shù)據(jù)分布不均，因此對(duì)少數(shù)類別的數(shù)據(jù)分類效果也不好。文獻(xiàn)[17]考慮特征收集不完整的情況，為了模擬真實(shí)的網(wǎng)絡(luò)環(huán)境，提出基于特征丟棄的入侵檢測方法，在使用少量特征的情況下，獲得了較好的檢測效果。文獻(xiàn)[18]基于深度信念網(wǎng)絡(luò)具有較好的非線性學(xué)習(xí)能力的特征，選取三層受限玻爾茲曼機(jī)(restricted boltzmann machines，RBM)和單層反向傳播算法(back propagation，BP)對(duì)高維數(shù)據(jù)做降維處理，并使用softmax函數(shù)對(duì)入侵?jǐn)?shù)據(jù)進(jìn)行分類，但是在檢測時(shí)間上存在不足。

上述方法基于數(shù)據(jù)完整實(shí)現(xiàn)了對(duì)入侵檢測的有效監(jiān)測，但是模型存在對(duì)數(shù)據(jù)特征的敏感度高、數(shù)據(jù)量需求大、參數(shù)過多等問題。因此總體的入侵檢測時(shí)間長、罕見攻擊檢測準(zhǔn)確率低，在具體應(yīng)用中存在限制。因此，在真實(shí)的網(wǎng)絡(luò)入侵檢測環(huán)境中，面對(duì)不完備信息的網(wǎng)絡(luò)數(shù)據(jù)，如何提高訓(xùn)練的準(zhǔn)確率和縮短訓(xùn)練時(shí)間也是本文研究的重點(diǎn)問題。

2 基于IDII-DBN入侵檢測模型

在數(shù)據(jù)的收集與傳輸過程中，會(huì)出現(xiàn)數(shù)據(jù)未完全收集或信息丟失的情況；出于保護(hù)用戶隱私和安全的考慮，部分?jǐn)?shù)據(jù)會(huì)被隱蔽起來，無法參與實(shí)際的入侵檢測。因此，在數(shù)據(jù)層面，面對(duì)信息不完備的網(wǎng)絡(luò)數(shù)據(jù)，模型對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行不完備信息的處理，針對(duì)各類別數(shù)據(jù)量的不平衡進(jìn)行優(yōu)化。使用改進(jìn)后的SMOTE采樣方法，對(duì)網(wǎng)絡(luò)數(shù)據(jù)中的低頻樣本進(jìn)行增量處理，實(shí)現(xiàn)各類別的數(shù)據(jù)量進(jìn)行平衡，從而使得網(wǎng)絡(luò)數(shù)據(jù)可以得到更加充分的訓(xùn)練，以此來抵消數(shù)據(jù)在傳輸過程中出現(xiàn)的數(shù)據(jù)丟失問題。模型對(duì)采樣后的網(wǎng)絡(luò)數(shù)據(jù)采用深度信念網(wǎng)絡(luò)對(duì)其進(jìn)行訓(xùn)練，通過多層RBM對(duì)數(shù)據(jù)進(jìn)行降維，提取出最有效的特征，利用BP算法對(duì)參數(shù)微調(diào)，獲得原始數(shù)據(jù)最優(yōu)的特征表示。最后將降維后的數(shù)據(jù)送入SVM分類器，SVM在低維數(shù)據(jù)和高維數(shù)據(jù)上都有良好的分類表現(xiàn)，且正則化方法有效預(yù)防過擬合的問題。經(jīng)由DBN降維后數(shù)據(jù)大大降低了SVM的訓(xùn)練時(shí)間，滿足了入侵檢測實(shí)時(shí)性的需求。

與現(xiàn)有的一些算法相比，本文模型有如下的優(yōu)點(diǎn)。

(1)模型考慮了真實(shí)網(wǎng)絡(luò)在傳輸過程中可能出現(xiàn)的信息不完備現(xiàn)象，通過SMOTE采樣方法的方法來彌補(bǔ)數(shù)據(jù)在類別上不平衡的缺陷，實(shí)現(xiàn)信息特征穩(wěn)定下的數(shù)據(jù)均衡化，降低了模型對(duì)特征的敏感度，避免因數(shù)據(jù)污染或特征丟失導(dǎo)致的訓(xùn)練不充分的問題。

(2)在算法層面，模型基于DBN算法對(duì)入侵檢測的數(shù)據(jù)進(jìn)行降維，數(shù)據(jù)通過RBM映射實(shí)現(xiàn)降維、消除冗余特征，獲取數(shù)據(jù)低維特征，實(shí)現(xiàn)對(duì)海量無標(biāo)簽數(shù)據(jù)的特征提取。將精簡后特征送入SVM分類器進(jìn)行分類訓(xùn)練，先判斷數(shù)據(jù)是否為入侵?jǐn)?shù)據(jù)，若判定為入侵?jǐn)?shù)據(jù)則進(jìn)一步判斷是否為已知入侵?jǐn)?shù)據(jù)。若是未知入侵?jǐn)?shù)據(jù)，對(duì)新特征進(jìn)行學(xué)習(xí)，并將其加入特征知識(shí)庫。通過精準(zhǔn)捕捉入侵特征，避免了因特征冗余而導(dǎo)致的訓(xùn)練時(shí)間過長。滿足了網(wǎng)絡(luò)入侵檢測的實(shí)時(shí)性的需求，以較高的準(zhǔn)確率實(shí)現(xiàn)低維特征下的輕量級(jí)入侵檢測。IDII-DBN模型如圖1所示。

圖1 IDII-DBN檢測模型

為了彌補(bǔ)網(wǎng)絡(luò)數(shù)據(jù)在類別上的不平衡，模型使用SMOTE的采樣的方法，避免了分類準(zhǔn)確率下降和訓(xùn)練不充分。采樣后的數(shù)據(jù)用DBN算法進(jìn)行降維，通過RBM網(wǎng)絡(luò)逐層映射和BP算法的參數(shù)微調(diào)，實(shí)現(xiàn)整體參數(shù)的優(yōu)化。降維后的數(shù)據(jù)輸入SVM分類器，進(jìn)行攻擊類別的識(shí)別。

2.1 基于SMOTE采樣的缺失數(shù)據(jù)完備化

盡管近些年網(wǎng)絡(luò)入侵愈來愈頻繁，但是入侵?jǐn)?shù)據(jù)相較于正常的網(wǎng)絡(luò)行為數(shù)據(jù)依舊不足。由于網(wǎng)絡(luò)入侵的數(shù)據(jù)樣本過少，而機(jī)器學(xué)習(xí)模型通常以最大化整體分類精確度為目標(biāo)，當(dāng)?shù)皖l攻擊實(shí)際樣本數(shù)量過少時(shí)，模型進(jìn)行特征捕捉時(shí)往往效果不佳，故對(duì)模型無法進(jìn)行有效的訓(xùn)練，導(dǎo)致最終分類結(jié)果的準(zhǔn)確率低，特別是對(duì)少量樣本的檢測難度很大。機(jī)器學(xué)習(xí)的算法存在結(jié)構(gòu)簡單，特征提取單一，泛化性差的局限性，僅對(duì)小批量數(shù)據(jù)具有良好的擬合效果，當(dāng)面臨大規(guī)模類別不均衡的數(shù)據(jù)集時(shí)無法對(duì)數(shù)據(jù)形成有效的非線性映射。大多數(shù)機(jī)器學(xué)習(xí)模型及算法中低頻攻擊樣本在訓(xùn)練及分類過程中被忽視，導(dǎo)致訓(xùn)練后的模型存在分類偏向性，在實(shí)際應(yīng)用中的檢測準(zhǔn)確率下降的問題。

網(wǎng)絡(luò)數(shù)據(jù)既有數(shù)值型數(shù)據(jù)又有字符型數(shù)據(jù)，采用one-hot編碼方式對(duì)字符型數(shù)據(jù)做數(shù)值化處理。部分?jǐn)?shù)值的量綱差異過大，這會(huì)增加訓(xùn)練時(shí)間、網(wǎng)絡(luò)收斂過慢，故預(yù)先對(duì)數(shù)據(jù)進(jìn)行歸一化操作，實(shí)現(xiàn)了特征在區(qū)間上的映射。歸一化公式如式(1)

(1)

x′為歸一化后的特征值，x為原特征值，xmax，xmin分別是該特征屬性中的最大值和最小值。

本文基于已有的非平衡數(shù)據(jù)處理方式對(duì)數(shù)據(jù)進(jìn)行過采樣，針對(duì)信息不完備采用SMOTE采樣方法對(duì)類別間的數(shù)據(jù)量進(jìn)行平衡，在確保特征穩(wěn)定的前提下實(shí)現(xiàn)了數(shù)據(jù)的完備化。SMOTE核心是通過線性變換函數(shù)在一些距離較近的少數(shù)類數(shù)據(jù)中獲得新數(shù)據(jù)，使得原數(shù)據(jù)集類別間的數(shù)量相對(duì)平衡[19]。SMOTE通過對(duì)原始數(shù)據(jù)的線性插值來生成原數(shù)據(jù)集中不存在的數(shù)據(jù)。對(duì)少數(shù)類中的每條數(shù)據(jù)x，選擇與其距離較近的K條數(shù)據(jù)，根據(jù)采樣的倍數(shù)N，在K個(gè)近鄰中選取N個(gè)數(shù)據(jù)，記為yi(i=1,2,…,N)。 在x和yi之間線性插值產(chǎn)生新的數(shù)據(jù)pi， 采用彌補(bǔ)了信息在類別上的缺陷，實(shí)現(xiàn)缺失數(shù)據(jù)的完備化。線性插值如式(2)

pi=x+rand(0,1)*(yi-x), i=1,2,…,N

(2)

rand(0,1) 表示生成0到1之間的隨機(jī)數(shù)。

2.2 基于DBN的數(shù)據(jù)降維

當(dāng)下的網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)具有維度高的特點(diǎn)，同時(shí)各個(gè)數(shù)據(jù)類別的數(shù)量不均，易導(dǎo)致分類結(jié)果出現(xiàn)偏差。當(dāng)下大多數(shù)入侵檢測模型對(duì)類別不平衡的數(shù)據(jù)分類能力較差，存在訓(xùn)練時(shí)間長、分類準(zhǔn)確率低的缺陷。因此如何將高維的數(shù)據(jù)映射成低維的特征數(shù)據(jù)，從而解決攻擊數(shù)據(jù)不均衡問題是本文需要解決的一個(gè)關(guān)鍵問題。本模型針對(duì)高維數(shù)據(jù)的特征冗余特性，采用DBN對(duì)數(shù)據(jù)降維。從結(jié)構(gòu)上看，DBN由多層RBM和一層有監(jiān)督的BP網(wǎng)絡(luò)組成，通過對(duì)低維特征的組合實(shí)現(xiàn)數(shù)據(jù)降維。模型構(gòu)造的DBN包含三層RBM和一層BP網(wǎng)絡(luò)，其結(jié)構(gòu)圖如圖2所示。

圖2 深度信念網(wǎng)絡(luò)結(jié)構(gòu)

DBN模型的預(yù)處理是一個(gè)無監(jiān)督的自上而下的訓(xùn)練過程，通過RBM實(shí)現(xiàn)特征降維。微調(diào)是對(duì)網(wǎng)絡(luò)整體調(diào)優(yōu)，利用BP算法將誤差自上向下的傳播，實(shí)現(xiàn)參數(shù)優(yōu)化。RBM是一種神經(jīng)感知機(jī)，具有兩層結(jié)構(gòu)，分別是可視層和隱藏層，兩層之間對(duì)稱連接，權(quán)值相同，層內(nèi)無連接。RBM的特征降維如圖3所示，每層RBM均由可見層和隱藏層組成，數(shù)據(jù)由可見層輸入，由隱藏層輸出，并實(shí)現(xiàn)降維。其中，可見層特征數(shù)n多于隱藏層特征數(shù)m。

圖3 基于RBM的特征降維

RBM的訓(xùn)練可分為前向和重構(gòu)兩個(gè)階段，其中v=(v1,v2,…,vn) 為可見層，表示輸入數(shù)據(jù)，h=(h1,h2,…,hm) 為隱藏層。此外 RBM還包含了3個(gè)通過數(shù)據(jù)學(xué)習(xí)得到的參數(shù)，分別是w、a和b，wij表示可見層和隱藏層間的權(quán)重，ai表示顯神經(jīng)元i的偏置，bj表示隱神經(jīng)元j的偏置。

RBM是概率圖模型， 本文模型假設(shè)所有顯單元和隱單元均為二值變量，即?i,j,vi∈{0,1},hj∈{0,1}。 用vi表示第i個(gè)顯單元的狀態(tài)，hj表示第j個(gè)隱單元的狀態(tài)，Z是歸一化因子。則一組給定的狀態(tài) (v,h)， 其能量函數(shù)的定義如式(3)

(3)

θ={wij,ai,bj} 是RBM的參數(shù)。

當(dāng)可見層的狀態(tài)確定時(shí)，每個(gè)隱藏層單元的激活是條件獨(dú)立的，隱藏層的第j個(gè)單元被激活的概率如式(4)

(4)

當(dāng)隱藏層的狀態(tài)確定時(shí)，每個(gè)可見層單元的激活也是條件獨(dú)立的，可見層的第i個(gè)單元被激活的概率如式(5)

(5)

n維數(shù)據(jù)X(x1,x2,…,xn) 經(jīng)RBM降維后得到m維數(shù)據(jù)Y(y1,y2,…,ym)。

訓(xùn)練過程如下：

(1)數(shù)據(jù)X經(jīng)可見層v傳到隱藏層h，并基于sigmoid函數(shù)獲取每個(gè)隱藏層神經(jīng)元的激活概率；

(2)計(jì)算可見層和隱藏層中每個(gè)神經(jīng)元的激活概率，得到神經(jīng)元激活的概率p(h2|v2)；

(3)更新RBM中的參數(shù)w、a和b；

(4)重復(fù)上述過程，得到隱藏層的輸出樣本Y(y1,y2,…,ym)， 實(shí)現(xiàn)特征的降維。

DBN基于無標(biāo)簽的數(shù)據(jù)采用無監(jiān)督的學(xué)習(xí)生成模型，獲取模型的權(quán)重和偏置后，基于BP算法對(duì)參數(shù)進(jìn)行更新，實(shí)現(xiàn)特征降維。

2.3 基于SVM的輕量級(jí)入侵檢測

(1)構(gòu)造優(yōu)化問題，其表達(dá)式如式(6)

(6)

(2)構(gòu)造帶約束的拉格朗日數(shù)函數(shù)，其表達(dá)式如式(7)

(7)

(3)利用對(duì)偶性將函數(shù)轉(zhuǎn)化為無約束問題，并利用KKT(Karush-Kuhn-Tucker conditions)條件，求出參數(shù)ω*,b*。 參數(shù)表達(dá)式如式(8)所示

(8)

(4)構(gòu)造決策函數(shù)，調(diào)整模型參數(shù)，并利用測試集對(duì)參數(shù)進(jìn)行驗(yàn)證。決策函數(shù)表達(dá)式如式(9)所示

f(x)=sign(ω*Tx+b*)

(9)

(5)未知樣本分類，將新的網(wǎng)絡(luò)數(shù)據(jù)樣本點(diǎn)導(dǎo)入到?jīng)Q策函數(shù)中實(shí)現(xiàn)入侵檢測。

3 實(shí)驗(yàn)設(shè)置

基于國際公認(rèn)的KDD Cup 99數(shù)據(jù)集是網(wǎng)絡(luò)入侵的標(biāo)準(zhǔn)數(shù)據(jù)集[20]。對(duì)KDD Cup 99數(shù)據(jù)集進(jìn)行預(yù)處理，對(duì)預(yù)處理后的數(shù)據(jù)使用SMOTE采樣，優(yōu)化各類別的數(shù)據(jù)量，并將數(shù)據(jù)分為訓(xùn)練集和測試集。將采樣后的數(shù)據(jù)使用DBN降維，通過多層RBM提取特征，利用BP算法微調(diào)網(wǎng)絡(luò)參數(shù)。將降維后的數(shù)據(jù)送入SVM分類器，利用數(shù)據(jù)的低維特征實(shí)現(xiàn)輕量級(jí)的入侵檢測。實(shí)驗(yàn)中對(duì)每個(gè)數(shù)據(jù)集進(jìn)行多次獨(dú)立重復(fù)實(shí)驗(yàn)。

3.1 實(shí)驗(yàn)數(shù)據(jù)

KDD Cup 99數(shù)據(jù)是有標(biāo)簽的數(shù)據(jù)集，數(shù)據(jù)被標(biāo)記為5大類：正常類型數(shù)據(jù)(Normal)、拒絕服務(wù)攻擊(denial of service，DOS)、遠(yuǎn)程主機(jī)攻擊(remote to local，R2L)、用戶到根攻擊(user to root，U2R)、端口掃描攻擊(Probe)[21]。數(shù)據(jù)集中的攻擊類型共39種，訓(xùn)練集中有22種已知攻擊類型，測試集中有17種未知攻擊類型[22]。數(shù)據(jù)類型數(shù)量分布見表1。

表1 數(shù)據(jù)類型數(shù)量分布

3.2 評(píng)價(jià)指標(biāo)

使用準(zhǔn)確率和訓(xùn)練時(shí)長作為模型的評(píng)價(jià)指標(biāo)。樣例根據(jù)其真實(shí)類別與分類器的預(yù)測類別組合分為真正例(true positive，TP)、假正例(false positive，F(xiàn)P)、真反例(true negative，TN)、假反例(false negative，F(xiàn)N)4種類型[23]。準(zhǔn)確率的定義表達(dá)式如式(10)

(10)

模型的準(zhǔn)確率AC表示預(yù)測正確的個(gè)數(shù)占全部樣本的百分比，百分比越大表示模型的檢測效果越好。

4 實(shí)驗(yàn)及結(jié)果評(píng)估

為模擬真實(shí)環(huán)境中信息不完備的情況，實(shí)驗(yàn)中遞減數(shù)據(jù)的特征量，觀察IDII-DBN算法在準(zhǔn)確率和檢測時(shí)間上的變化情況。

針對(duì)檢測準(zhǔn)確率：第一，設(shè)計(jì)了數(shù)據(jù)特征量對(duì)準(zhǔn)確率的影響實(shí)驗(yàn)，特征量從全部特征量的80%開始，以10%遞減，直至為總特征量的10%，并與SFID、DBN算法進(jìn)行對(duì)比。第二，設(shè)計(jì)了采樣數(shù)據(jù)和原始數(shù)據(jù)的對(duì)比實(shí)驗(yàn)，驗(yàn)證了缺失數(shù)據(jù)完備化方法對(duì)分類準(zhǔn)確率的影響。第三，比較不同降維方法在該模型中對(duì)最終檢測準(zhǔn)確率的影響。

針對(duì)檢測時(shí)間，對(duì)比了IDII-DBN、SFID、DBN這3種算法在特征量不同情況下的耗時(shí)。

4.1 準(zhǔn)確率

實(shí)驗(yàn)對(duì)比了IDII-DBN、SFID、DBN這3種算法在信息不完備情況下的入侵檢測準(zhǔn)確率。為了比較特征提取對(duì)分類效果的影響，設(shè)計(jì)了與文獻(xiàn)[11]SFID方法和文獻(xiàn)[18]DBN的對(duì)比實(shí)驗(yàn)。文獻(xiàn)[11]通過神經(jīng)元個(gè)數(shù)逐級(jí)遞減來消除數(shù)據(jù)的冗余特征，用降維后的特征完成入侵分類，方法的訓(xùn)練效率較好，但準(zhǔn)確率比IDII-DBN算法略低。文獻(xiàn)[18]利用多層RBM對(duì)高維原始數(shù)據(jù)進(jìn)行降維，并利用低維特征完成入侵分類，但參數(shù)訓(xùn)練過于耗時(shí)。實(shí)驗(yàn)結(jié)果表明，IDII-DBN的算法在特征量40%時(shí)就獲得了較高的正確率且穩(wěn)定性好。

為了驗(yàn)證SMOTE采樣方法對(duì)入侵分類的效果，對(duì)采樣后數(shù)據(jù)和原始數(shù)據(jù)分別進(jìn)行對(duì)比實(shí)驗(yàn)，比較兩者在分類準(zhǔn)確率上的效果。實(shí)驗(yàn)結(jié)果表明，采樣后的數(shù)據(jù)分類準(zhǔn)確率更高，同時(shí)穩(wěn)定性更好；原始數(shù)據(jù)的分類準(zhǔn)確率較采樣后的低，且需要更多的數(shù)據(jù)。這表明不完備信息處理對(duì)入侵檢測的分類準(zhǔn)確率有很大提升。

3種算法實(shí)驗(yàn)的準(zhǔn)確率如圖4所示。采樣數(shù)據(jù)和原始數(shù)據(jù)分類準(zhǔn)確率如圖5所示。

圖4 不同特征量下的準(zhǔn)確率

圖5 采樣數(shù)據(jù)和原始數(shù)據(jù)分類準(zhǔn)確率

為了解模型對(duì)各數(shù)據(jù)類型的分類準(zhǔn)確率，設(shè)計(jì)了不同特征量下模型對(duì)各類別數(shù)據(jù)的檢測對(duì)比實(shí)驗(yàn)。結(jié)果表明，模型對(duì)Normal、Dos、Probe這3類數(shù)據(jù)檢測結(jié)果較好，在特征量50%時(shí)就獲得較高的準(zhǔn)確率；在特征量較多時(shí)U2R、R2L的準(zhǔn)確率同樣較高。說明IDII-DBN模型對(duì)各類別數(shù)據(jù)的分類均有良好表現(xiàn)。

驗(yàn)證采樣效果對(duì)各類別數(shù)據(jù)的分類效果，設(shè)計(jì)了原始數(shù)據(jù)在不同特征量下的檢測實(shí)驗(yàn)。結(jié)果表明，原始數(shù)據(jù)各類別準(zhǔn)確率的曲線圖和圖6相似，但是整體準(zhǔn)確率比圖7低，U2R、R2L的檢測效果難以滿足預(yù)期。說明模型不完備信息的采樣處理優(yōu)化了對(duì)不同數(shù)據(jù)類型的檢測效果。

圖6 不同數(shù)據(jù)類型的檢測準(zhǔn)確率

圖7 原始數(shù)據(jù)不同數(shù)據(jù)類型的檢測

不同數(shù)據(jù)類型的檢測效果如圖6所示。原始數(shù)據(jù)不同數(shù)據(jù)類型的檢測如圖7所示。

模型采用DBN提取數(shù)據(jù)特征、實(shí)現(xiàn)降維，降低了特征冗余。設(shè)計(jì)了基于PCA、隨機(jī)森林(random forest，RF)降維方法的入侵對(duì)比實(shí)驗(yàn)。結(jié)果表明基于RF降維方法的檢測效果較平穩(wěn)，但整體準(zhǔn)確率比DBN低；基于PCA降維方法的檢測效果在本模型中表現(xiàn)并不好。基于不同降維方法的分類準(zhǔn)確率如圖8所示。

圖8 基于不同降維方法的分類準(zhǔn)確率

4.2 訓(xùn)練時(shí)間

為了驗(yàn)證模型檢測的實(shí)時(shí)性，設(shè)計(jì)了IDII-DBN、SFID、DBN這3種算法在信息不完備下的訓(xùn)練時(shí)間對(duì)比實(shí)驗(yàn)，IDII-DBN、SFID、DBN在不同特征量下的訓(xùn)練時(shí)間對(duì)比如圖9所示。

圖9 不同特征量的訓(xùn)練時(shí)間

結(jié)果表明，基于SFID的檢測時(shí)間在特征量少時(shí)較短，是由于數(shù)據(jù)量少時(shí)DBN的降維優(yōu)勢無法充分的體現(xiàn)，但隨著數(shù)量的增多，IDII-DBN的優(yōu)勢逐漸顯現(xiàn)。模型的檢測時(shí)間沒有隨著數(shù)據(jù)量的增加出現(xiàn)較大幅度的波動(dòng)，體現(xiàn)了訓(xùn)練時(shí)間的平穩(wěn)性，相較之下DBN的整體運(yùn)行時(shí)間略長。隨著特征量的變化，IDII-DBN、SFID、DBN這3種算法的運(yùn)行時(shí)間也隨之變化，說明特征量對(duì)算法的運(yùn)行時(shí)間存在影響。

5 結(jié)束語

傳統(tǒng)入侵檢測方法在信息不完備的情況下，往往基于復(fù)雜的神經(jīng)網(wǎng)絡(luò)進(jìn)行參數(shù)訓(xùn)練，很難同時(shí)滿足準(zhǔn)確率和實(shí)時(shí)性的雙重要求。本文提出面向不完備信息的網(wǎng)絡(luò)入侵檢測方法。首先，針對(duì)信息不完備，對(duì)原始數(shù)據(jù)集使用SMOTE進(jìn)行采樣，實(shí)現(xiàn)數(shù)據(jù)特征穩(wěn)定下的類別均衡化。其次，基于DBN對(duì)數(shù)據(jù)進(jìn)行降維，實(shí)現(xiàn)原始數(shù)據(jù)特征的低維映射，獲取數(shù)據(jù)低維特征，以便輕量級(jí)檢測。最后，將降維后的數(shù)據(jù)送入SVM，建立逐級(jí)分類，精準(zhǔn)捕捉入侵特征，實(shí)現(xiàn)高效的輕量級(jí)入侵檢測。實(shí)驗(yàn)結(jié)果表明，IDII-DBN模型的檢測準(zhǔn)確率較對(duì)比算法穩(wěn)定，同時(shí)縮短了訓(xùn)練時(shí)間。表明了該方法具有可推廣性，能夠滿足網(wǎng)絡(luò)入侵檢測實(shí)時(shí)性的需求。