基于機器學習與大數據技術的入侵檢測方法研究

任守東，陳 亮，佟曉童，李繪妍，張 晶

(1.國網撫順供電公司，遼寧 撫順 113008；2.國網遼寧省電力有限公司，遼寧 沈陽 110006)

終端計算機與終端操作用戶如今面臨的巨大挑戰之一便是網絡入侵行為，其所帶來的損失后果也是極其嚴重的。如網絡入侵行為發生在終端設備穩定運行的進程中，極有可能造成文件損壞、主機癱瘓等后果，更嚴重的甚至會對網絡產生不可逆的威脅。入侵檢測技術是一種更為先進的信息安全技術，有著持續監控網絡中的計算機及網絡數據的作用，并且能夠對一些存在于網絡中的惡意或不良行為做出識別與檢測。相比于已廣泛應用的但卻僅僅起到了阻擋外部網絡入侵作用的防火墻技術而言，入侵檢測技術在具備防火墻性能的基礎上，還具備了檢測網絡內部的一些惡意行為的特性。其工作原理是收集并分析網絡中的入侵行為，如對網絡日志的處理，對網絡信息的檢測與監聽或對日志和數據包的分析與排除。網絡入侵檢測系統具有實時監測識別惡意入侵行為的性能，這些入侵行為大都來源于網絡的內部和外部。在監測到入侵行為的同時，便可以向用戶發出警告，能夠避免網絡系統遭到惡意行為的傷害，從而使計算機內部一些重要的信息能夠得到妥善的保存。

隨著人工智能方法的普及，入侵檢測技術也逐漸朝著智能化的方向發展。智能化的快速發展以機器學習為相應的基礎，這也是因為計算機性能的提升及科技的飛速進步。而到目前為止，以人工智能或機器學習為基礎的網絡入侵檢測技術所存在的問題，如耗時長、檢測率低、處理數據效率低且量小等，依然有待解決。因此，提出基于機器學習和大數據技術的網絡入侵檢測技術，根據大數據分析技術的網絡入侵原理，將GRU(Gate Recurrent Unit)與SVM(Support Vector Machines)分類算法相結合，提高分類精度，最后選擇當前標準的網絡入侵檢測數據集進行仿真實驗，驗證基于機器學習和大數據分析技術的網絡入侵檢測的有效性和優越性。

1 基于大數據的入侵檢測原理

計算機網絡入侵檢測防御體系，是一種以大數據技術為基礎而形成的新型計算機網絡安全防御方式，其具有更為高效且全面地檢測并將一些計算機網絡信息的安全問題進行處理的能力。主要過程可以分為以下步驟：

(1)對網絡中的數據進行抽取，以行為特征為根據來抽取網絡行為；

(2)對相應數據進行預處理，從而能夠得到具有相對一致性的數據模式，具體方式為，將上述以抽取方式所得到的行為特征數據完成清洗，集成并進行轉化等預處理步驟；

(3)以構建起入侵檢測的行為模型為手段，對網絡安全進行防護檢測，從而最終達到攔截并響應相關非法網絡行為的目的。

基于上述步驟，在抽取并預處理相關數據的過程中，應制定相關的數據處理規則，從而解決數據來源復雜、量大且格式嚴重不統一的難題。最終達到能夠確保數據的完善與有效的同時使數據的質量也有所提高的目的。大數據技術的基礎，就是完成數據的收集與入侵模型的構建步驟后，最終能夠通過所得到的入侵行為特征，來判別處理一系列的網絡行為。

2 基于GRU與SVM的網絡入侵檢測方法

2.1 GRU神經網絡

GRU神經網絡是Cho等人在2014年提出的比LSTM網絡更高效的版本。它比LSTM網絡結構更簡單，效果更佳，也解決了RNN的長時記憶和梯度問題。

GRU模型有更新門和重置門兩個門。具體結構如圖1所示：

圖1 GRU神經網絡結構

圖中代表更新門，代表重置門，這一切都來自于之前傳遞的狀態(-1)和當前節點的輸入()，計算公式如下：

=(·[(-1),()])

(1)

=(·[(-1),()])

(2)

(3)

(4)

最后為GRU神經網絡更新階段。在此階段中，將更新門用于選擇和遺忘。更新階段的表達式如式(4)所示。更新門的范圍為0～1，門控信號越趨近于1，說明它記憶的數據越多，而越趨近于0，越是被遺忘。

2.2 SVM分類器

SVM是一種監督學習模型，可在分類和回歸分析之間分析數據。它的基本思想是定義一個函數空間中間隔最大的線性分類器。SVM分類器還包括允許非線性分類的核技術。SVM分類器的學習策略是最優分類超平面，其中這個超平面必須滿足分類要求，在保證分類精度的同時，最大化超平面兩側的空白空間。SVM的主要思想如下：給定一組數據集={(,),(,),…,(,)}，其中，∈，∈{-1,1},=1,2,…,，

滿足:

(·+)≥1

(5)

使得:

(6)

根據拉格朗日對偶，求解原問題的對偶問題即可得到最優解，經過轉換后為:

(7)

將目標公式加負號后，把求解最大值問題轉換為最小值問題，經過轉換后為:

(8)

經過計算得到解后，我們進一步根據求解和，得到最大分離超平面和分類決策函數。

2.3 GRU-SVM模型

根據SVM分類器的特點，使用SVM分類器代替Softmax方法，將此方法作為GRU模型的輸出，并通過使用交叉熵函數來計算損失。

圖2是GRU-SVM模型的示意圖，由圖可知，模型前-1個為GRU單元，包括到-1個各種狀態，以及到-1個不同的輸入，得到輸出結果的方法為SVM分類器。

圖2 GRU-SVM模型示意圖

GRU-SVM模型流程圖如圖3所示。首先將數據集輸入模型中，初始化神經網絡權重和偏置，然后計算神經網絡參數。通過比較損失函數與理想值的差異，迭代優化權重和方差，通過不斷訓練，構建理想的神經網絡模型。

圖3 GRU-SVM模型流程圖

3 實驗結果與分析

采用從一個模擬的美國空軍局域網上采集來的9個星期的網絡連接數據集——NSL-KDD數據集，主要目的是對GRU-SVM模型的網絡入侵檢測效率進行相應的分析，這其中包含了9800條數據。由此可見，而每一條記錄都是由56個入侵行為特征及一個網絡行為類型所組成的。NSL-KDD數據集是由1類正常行為和4類入侵行為組成，實驗應對數據進行部分隨機抽取完成。文中采用以RNN和LSTM算法為基礎的網絡入侵檢測法來進行對比測試研究，從而增加了GRU-SVM模型的網絡入侵檢測結果的說服力。

統計基于GRU-SVM模型、RNN-SVM模型和LSTM-SVM模型的網絡入侵檢測方法對數據進行訓練，并對測試樣本進行檢測，檢測結果如圖4～圖6所示。

圖4 正確率對比

圖5 誤檢率對比

圖6 漏檢率對比

由圖可知，基于RNN-SVM模型的網絡入侵檢測的正確率最低，誤檢率和漏檢率最高，難以建立理想的網絡入侵檢測模型；基于GRU-SVM模型的網絡入侵檢測效果要明顯優于基于RNN-SVM模型和LSTM-SVM模型，說明SVM分類器與GRU神經網絡結合與另外兩個模型相比具有明顯的分類優勢，基于GRU-SVM模型的網絡入侵檢測成功率相當高，網絡入侵行為的漏檢率與誤檢率明顯降低，相對于其他檢測模型，基于GRU-SVM模型的網絡入侵檢測整體效果得到了有效改善，可以保證網絡安全。

統計基于RNN-SVM模型、LSTM-SVM模型與GRU-SVM模型的網絡入侵時間，如表1所示。

表1 網絡入侵檢測時間對比

從表中可以看出，相對于基于RNN-SVM模型和LSTM-SVM模型的，基于GRU-SVM模型的網絡入侵檢測時間明顯減少，這充分表明了時間一致的情況下，GRU-SVM模型的網絡入侵檢測效率更高，可以滿足檢測大規模網絡入侵的需要。

4 結 論

基于探索并研究網絡入侵領域，提出了以大數據技術和機器學習為基礎的入侵檢測方法，首先描述了大數據分析技術中的網絡入侵基本原理，然后將GRU神經網絡與SVM分類算法進行融合，從而實現了分類精度有所提高的效果，最后進行一系列仿真實驗，其中實驗挑選符合當前標準的網絡入侵檢測所形成的數據集來完成。最終結果顯示，本文所提出的方法能夠高效、高標準地檢測網絡入侵，對網絡系統的安全具有更多的保障。由于采用數據集相比真實的網絡數據有較小的噪音，而且冗余信息較少，所以提出的模型在真實環境中的性能可能較差，需要嘗試獲取真實的網絡數據，來對模型進行改進，使模型能真正應用于實際的網絡入侵檢測中。