基于LSTM-DNN模型的入侵檢測方法

李夢歌，王海珍

基于LSTM-DNN模型的入侵檢測方法

李夢歌，王海珍

（齊齊哈爾大學 計算機與控制工程學院，黑龍江 齊齊哈爾 161006）

針對基于深度神經網絡模型的入侵檢測方法存在的梯度減弱或消失問題，提出了一種LSTM（Long-Short Term Memory，長短時記憶）神經網絡改進的DNN（Deep Neural Networks，深度神經網絡）模型．該模型主要包括LSTM神經網絡和DNN 2部分，LSTM神經網絡通過記憶或遺忘進行數據流量特征提取，然后將其輸入DNN進行訓練、入侵檢測．模型中采用優化算法，加快了網絡收斂．實驗表明，與LSTM模型相比，LSTM-DNN模型具有較好的性能，準確率更高，運行時間更短．

長短時記憶神經網絡；深度神經網絡；入侵檢測；優化算法

隨著無線傳感器網絡（Wireless Sensor Network，WSN）的快速發展，應用的領域越來越廣泛，需要采集的信息越來越多，數據量也越來越大，同時也面臨較大的安全隱患．入侵檢測技術能夠對內部攻擊進行實時檢測，是解決WSN安全問題的關鍵技術．傳統的入侵檢測技術無法對海量、高維數據流量進行高效分析和檢測，深度學習可以有效地解決海量復雜的高維數據分類問題，逐漸被應用到入侵檢測領域．江澤濤[1]等提出基于二次決策的深度學習模型，有效地提升了深度神經網絡在入侵檢測數據上特征學習的效果．俞建業[2]等基于Apache Spark框架提出了車聯網分布式組合深度學習入侵檢測方法，有效地提高了入侵檢測準確率．林碩[3]等提出基于深度學習的入侵檢測模型，與傳統機器學習方法相比，能夠提高入侵檢測的準確率．陳卓[4]等基于注意力機制的時空圖卷積網絡，提出一種無人機網絡的入侵檢測方法，并驗證了它的魯棒性和適應性．Song[5]等分別使用雙向LSTM分階段的學習數據包和網絡流的特征，得到比較綜合全面的時序特征后進行分類，實現更加準確的網絡流量分類效果．李發陵[6]等基于卷積神經網絡和加權丟棄LSTM的混合深度學習模型，提出入侵檢測方法，該方法在分類精度、誤報率和平均執行時間方面具有良好的性能．陳解元[7]提出了一種將卷積神經網絡與LSTM相結合的深度學習結構，卷積神經網絡學習空間特征，LSTM則可以處理序列數據，學習時間特征，取得了較好的分類結果．李俊[8]等基于構建的GRU-RNN 網絡模型，提出了基于時序的不平衡學習入侵檢測方法，用于檢測具有時序特征的攻擊行為，具有較好的識別率與收斂性．

這些方法采用深度神經網絡實現入侵檢測，隨著網絡的加深，會出現梯度減弱或消失問題，影響入侵檢測的效果．對此，本文提出新的方法，即構建LSTM改進的DNN模型，分析模型設計過程，并通過實驗進行模型評價．

1 LSTM-DNN模型設計

本文提出LSTM神經網絡改進的DNN模型，該模型主要包括LSTM神經網絡和DNN 2部分，前者進行數據流量特征提取，后者進行入侵檢測．

1.1 LSTM神經網絡設計

LSTM神經網絡能夠學習長期的規律，可以根據上一個輸出預測下一個輸出值．設計的LSTM神經網絡由4層組成（見圖1），從左向右各層神經元數量分別為512，256，64，10．

圖1 LSTM神經網絡設計

圖1中各變量涉及的計算公式為

1.2 LSTM神經網絡改進的DNN模型設計

圖2 LSTM-DNN模型設計

2 實驗分析

2.1 實驗準備

使用64位Win 10操作系統，四核八線程Intel?core?i5-1135G7CPU和16GB DDR4 RAM，安裝Anaconda3,采用Python3.7編程．本實驗使用UNSW-NB15數據集[10]，該數據集除了正常網絡行為還記錄了9種網絡攻擊行為，分別為Fuzzers，Analysis，Backdoors，DoS，Exploits，Generic，Reconnaissance，Shellcode，Worms，包括49個特征．本實驗去除了原始數據Label標簽項，將attack_cat項作為標簽項，入侵檢測問題轉化為十分類問題，共有48個特征，測試集700 001條，訓練集700 001條，無需平衡處理．原始數據集雖無空缺值，但特征attack_cat，service，state，proto，dstip，srcip，dsport，sport是非數字的，無法帶入矩陣中計算，需要數值化處理．使用sklearn.preprocessing包中的LabelEncoder函數將非數值類型數據轉換為標簽數值類型，采用sklearn.preprocessing包中的StandardScaler函數將整體特征數據均值標準歸一化方法，將均值設為0，方差設為1．

2.2 實驗結果與分析

將LSTM神經網絡模型與LSTM-DNN神經網絡在UNSW-NB15數據集上進行實驗，實驗結果見表1．LSTM神經網絡模型檢測準確率為96.5%，LSTM-DNN模型的檢測準確率為96.7%，使用LSTM-DNN模型比LSTM神經網絡模型的準確率提高了0.2%；2種模型均比文獻[11]中PCA-LSTM神經網絡模型的準確率高．本文在相同的數據集下進行相同的數據預處理步驟，LSTM神經網絡模型運行時間為10 124.839 s，LSTM-DNN模型的運行時間為1 032.914 s，后者運行時間大大減少，接近前者的十分之一．

表1　各算法在數據集上的定量評估

2.3 模型評價

圖3 LSTM模型與LSTM-DNN模型精確率對比

3 結語

本文提出了LSTM改進DNN模型的入侵檢測方法，該方法利用LSTM的記憶功能進行數據特征提取，獲得的有效特征作為DNN的輸入數據，進行模型訓練，避免了梯度消失問題．此外，模型中引入Adadelta優化算法，加快了網絡收斂；同時包含了隨機抽樣層，每次隨機抽取20%的數據進行訓練，避免了過擬合問題．在UNSW-NB15數據集進行實驗分析，與LSTM神經網絡模型相比，本文提出的模型檢測準確率更高，運行時間更短．

[1] 江澤濤，翟振宇．基于二次決策的深度學習入侵檢測模型[J]．微電子學與計算機，2020，37（4）：32-36．

[2] 俞建業，戚湧，王寶茁．基于Spark的車聯網分布式組合深度學習入侵檢測方法[J]．計算機科學，2021，48（增刊1）： 518-523．

[3] 林碩，商富博，高治軍，等．基于深度學習的入侵檢測模型[J]．控制工程，2021，28（9）：1873-1878．

[4] 陳卓，呂娜，陳坤，等．基于時空圖卷積網絡的無人機網絡入侵檢測方法[J]．北京航空航天大學學報，2021，47（5）： 1068-1076．

[5] Song Weixing，Wu Jingjing，Kang Jianshe，et al．Research on maintenance spare parts requirement prediction based on LSTM recurrent neural network[J]．Open Physics，2021，19（1）：618-627．

[6] 李發陵，彭娟．大數據環境下基于CNN和WDLSTM的入侵檢測[J]．西南師范大學學報（自然科學版），2021，46（9）： 103-108．

[7] 陳解元．基于LSTM的卷積神經網絡異常流量檢測方法[J]．信息技術與網絡安全，2021，40（7）：42-46．

[8] 李俊，夏松竹，蘭海燕，等．基于GRU-RNN的網絡入侵檢測方法[J]．哈爾濱工程大學學報，2021，42（6）：879-884．

[9] 周文，張世琨，丁勇，等．面向低維工控網數據集的對抗樣本攻擊分析[J]．計算機研究與發展，2020，57（4）：736-745．

[10] Moualla S，Khorzom K，Jafar A．Improving the Performance of Machine Learning-Based Network Intrusion Detection Systems on the UNSW-NB15 Dataset[J]．Computational Intelligence and Neuroscience，2021，2021（Pt.3）：1-13．

[11] 高忠石，蘇旸，柳玉東．基于PCA-LSTM的入侵檢測研究[J]．計算機科學，2019，46（增刊2）：473-476，492．

Intrusion detection method based on LSTM-DNN model

LI Mengge，WANG Haizhen

（School of Computer and Control Engineering，Qiqihar University，Qiqihar 161006，China）

Aiming at the problem that the gradient of intrusion detection method based on deep neural network model weakens or disappears，an improved deep neural networks model based on long-short term memory neural network is proposed．The model mainly includes LSTM neural network and DNN．The LSTM neural network extracts the characteristics of data traffic through memory or forgetting，and then inputs it into DNN for training intrusion detection．The optimization algorithm is used in the model to speed up the network convergence．Experiments show that compared with LSTM model，LSTm-DNN model has better performance，higher accuracy and shorter running time．

long-short term memory neural network；deep neural networks；intrusion detection；optimization algorithm

1007-9831（2023）01-0038-04

TP393

A

10.3969/j.issn.1007-9831.2023.01.008

2022-07-20

黑龍江省高等教育教學改革研究項目（SJGY20200770，SJGY20190710）；齊齊哈爾大學教育科學研究項目（ZD201802）

李夢歌（1998-），女，河南孟津人，在讀碩士研究生，從事計算機網絡與信息安全研究．E-mail：1010293511@qq.com

王海珍（1976-），女，山東臨沂人，副教授，碩士，從事嵌入式技術、密碼分析與設計研究．E-mail：wanghaizhen1976@163.com