基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究

摘要：文章針對(duì)網(wǎng)絡(luò)入侵檢測(cè)領(lǐng)域的挑戰(zhàn)，提出了一種基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)方法。文章研究了基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)框架，引入了Leaky ReLU激活函數(shù)以?xún)?yōu)化卷積神經(jīng)網(wǎng)絡(luò)的性能，并在MATLAB平臺(tái)上基于KDD Cup 1999數(shù)據(jù)集進(jìn)行了實(shí)驗(yàn)驗(yàn)證。實(shí)驗(yàn)結(jié)果表明，基于Leaky ReLU激活函數(shù)的CNN模型在準(zhǔn)確率、召回率和F1值等指標(biāo)上均優(yōu)于基于ReLU激活函數(shù)的模型。

關(guān)鍵詞：深度學(xué)習(xí)；激活函數(shù)；網(wǎng)絡(luò)入侵；卷積神經(jīng)網(wǎng)絡(luò)

中圖分類(lèi)號(hào)：TP393.08

文獻(xiàn)標(biāo)志碼：A

0 引言

隨著互聯(lián)網(wǎng)的不斷發(fā)展和普及，網(wǎng)絡(luò)安全問(wèn)題日益突顯。網(wǎng)絡(luò)入侵已成為政府、企業(yè)和個(gè)人面臨的重大威脅之一，其對(duì)信息系統(tǒng)的安全性以及數(shù)據(jù)的隱私性都構(gòu)成了嚴(yán)峻挑戰(zhàn)^［1-3］。為了有效應(yīng)對(duì)這一挑戰(zhàn)，研究人員和工程師們積極探索各種網(wǎng)絡(luò)入侵檢測(cè)技術(shù)。其中，深度學(xué)習(xí)作為一種強(qiáng)大的數(shù)據(jù)驅(qū)動(dòng)方法，逐漸受到廣泛關(guān)注^［4-5］。

本文旨在探討基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)，針對(duì)其性能進(jìn)行優(yōu)化。首先，本文對(duì)網(wǎng)絡(luò)入侵檢測(cè)框架進(jìn)行了深入研究，該框架能利用深度學(xué)習(xí)方法對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行分析和分類(lèi)。其次，本文引入了滲漏整流線性單元（Leakage Rectification Linear Unit，Leaky ReLU）^［6］來(lái)優(yōu)化卷積神經(jīng)網(wǎng)絡(luò)（Convolutional Neural Network，CNN）^［7-8］的性能，從而提高檢測(cè)準(zhǔn)確率和效率。最后，本文選擇了KDD Cup 1999數(shù)據(jù)集作為實(shí)驗(yàn)基準(zhǔn)對(duì)方法進(jìn)行了測(cè)試和評(píng)估，以驗(yàn)證其在真實(shí)網(wǎng)絡(luò)環(huán)境中的有效性和可靠性。

本研究旨在為網(wǎng)絡(luò)安全領(lǐng)域提供一種新的視角和解決方案，為實(shí)際應(yīng)用中的網(wǎng)絡(luò)入侵檢測(cè)工作提供可靠的技術(shù)支持。本研究將為網(wǎng)絡(luò)安全領(lǐng)域的進(jìn)一步發(fā)展和提升提供有益的參考和借鑒。

1 基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)框架

本文對(duì)基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)框架進(jìn)行了研究，主要由數(shù)據(jù)預(yù)處理、特征提取、深度學(xué)習(xí)模型和輸出分類(lèi)4個(gè)部分組成。

首先，數(shù)據(jù)預(yù)處理負(fù)責(zé)對(duì)原始網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行預(yù)處理和清洗，以減少噪聲和不必要的信息。其次，特征提取模塊通過(guò)提取網(wǎng)絡(luò)流量數(shù)據(jù)的有效特征，將其轉(zhuǎn)化為適合深度學(xué)習(xí)模型處理的輸入形式。其次，在深度學(xué)習(xí)模型模塊中，該方法采用卷積神經(jīng)網(wǎng)絡(luò)、循環(huán)神經(jīng)網(wǎng)絡(luò)等深度學(xué)習(xí)模型，對(duì)經(jīng)過(guò)特征提取的數(shù)據(jù)進(jìn)行學(xué)習(xí)和訓(xùn)練以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)入侵的檢測(cè)和分類(lèi)。最后，輸出分類(lèi)模塊將深度學(xué)習(xí)模型輸出的結(jié)果進(jìn)行分類(lèi)和標(biāo)記，以識(shí)別出可能存在的網(wǎng)絡(luò)入侵行為。

2 引入Leaky ReLU的CNN性能優(yōu)化

2.1 CNN的基本原理

在使用CNN實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)時(shí)，假設(shè)有一個(gè)輸入數(shù)據(jù)集合X。X表示一個(gè)多維數(shù)組。對(duì)于網(wǎng)絡(luò)入侵檢測(cè)任務(wù)，X可以是網(wǎng)絡(luò)流量數(shù)據(jù)集。在模型的輸出方面，本文用Y來(lái)表示對(duì)應(yīng)的標(biāo)簽集合，即輸入數(shù)據(jù)集合X中每個(gè)樣本所對(duì)應(yīng)的分類(lèi)標(biāo)簽。

在CNN中，定義了一系列的卷積層（Convolutional Layers）、池化層（Pooling Layers）和全連接層（Fully Connected Layers），這些層的組合構(gòu)成了完整的網(wǎng)絡(luò)結(jié)構(gòu)。卷積層是CNN的核心組成部分之一，包含了濾波器（Filter）和卷積核（Kernel）等部分，每個(gè)濾波器可以對(duì)輸入數(shù)據(jù)進(jìn)行卷積操作以提取特征。假設(shè)有N個(gè)濾波器，第i個(gè)濾波器可以表示為W_i，i=1，2，…，N。另外，對(duì)于輸入數(shù)據(jù)集合X，卷積操作可以表示為：

Z_i=f（W_i*X+b_i） ""（1）

其中，*表示卷積操作，b_i表示第i個(gè)濾波器的偏置項(xiàng)，f表示激活函數(shù)。

CNN中的池化層用于減少特征圖的大小并保留最重要的特征。常見(jiàn)的池化操作包括最大池化（Max Pooling）和平均池化（Average Pooling）。

全連接層則將卷積層或池化層輸出的特征圖展平為一維向量，通過(guò)權(quán)重矩陣和偏置項(xiàng)進(jìn)行線性變換，然后再經(jīng)過(guò)激活函數(shù)進(jìn)行非線性變換。假設(shè)有一個(gè)全連接層的權(quán)重矩陣W和偏置項(xiàng)b，則全連接層的計(jì)算可以表示為：

Y=f（WX+b） """（2）

其中，X表示輸入數(shù)據(jù)的展平向量，f表示激活函數(shù)。通過(guò)多次堆疊卷積層、池化層和全連接層，CNN能夠逐漸提取并學(xué)習(xí)到輸入數(shù)據(jù)中的抽象特征，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)的有效分類(lèi)和檢測(cè)。

在該過(guò)程中，激活函數(shù)起著至關(guān)重要的作用。在傳統(tǒng)的CNN中，常用的激活函數(shù)包括ReLU、Sigmoid和Tanh等^［9-13］。其中，ReLU是最常用的激活函數(shù)之一。ReLU的優(yōu)點(diǎn)是計(jì)算簡(jiǎn)單，在訓(xùn)練過(guò)程中能夠加速收斂。然而，當(dāng)輸入值為負(fù)數(shù)時(shí)，ReLU激活函數(shù)的導(dǎo)數(shù)為0，可能會(huì)導(dǎo)致神經(jīng)元的“死亡”，即在訓(xùn)練過(guò)程中某些神經(jīng)元永遠(yuǎn)不會(huì)被激活。為了解決這個(gè)問(wèn)題，本文研究了基于Leaky ReLU的CNN網(wǎng)絡(luò)。

2.2 基于Leaky ReLU的CNN

Leaky ReLU是一種修正線性單元激活函數(shù)的變體，它在解決ReLU函數(shù)存在的“神經(jīng)元死亡”問(wèn)題時(shí)發(fā)揮了重要作用，其定義為：

其中，α是一個(gè)小于1的參數(shù)，通常取1個(gè)很小的值，比如0.01。這就意味著當(dāng)輸入值x小于等于0時(shí)，Leaky ReLU函數(shù)的輸出不再是0，而是乘以1個(gè)小的斜率α。這使得Leaky ReLU在負(fù)數(shù)區(qū)域仍然有一定的梯度，從而避免了ReLU函數(shù)存在的“神經(jīng)元死亡”問(wèn)題。Leaky ReLU函數(shù)的主要特點(diǎn)包括以下幾點(diǎn)。

（1）線性增長(zhǎng)區(qū)域：當(dāng)輸入x大于0時(shí)，Leaky ReLU函數(shù)與ReLU函數(shù)完全相同，輸出等于輸入，即f（x）=x，保持線性增長(zhǎng)特性。

（2）斜率衰減區(qū)域：當(dāng)輸入x小于等于0時(shí)，Leaky ReLU函數(shù)引入了一個(gè)小的斜率α，使得在負(fù)數(shù)區(qū)域也有一定的梯度，避免了神經(jīng)元的“死亡”現(xiàn)象。

（3）參數(shù)調(diào)節(jié)：通過(guò)調(diào)節(jié)參數(shù)α，可以控制Leaky ReLU函數(shù)在負(fù)數(shù)區(qū)域的斜率，從而影響其對(duì)負(fù)數(shù)輸入的處理方式。

在卷積神經(jīng)網(wǎng)絡(luò)中，Leaky ReLU被用作激活函數(shù)，該函數(shù)引入非線性并促進(jìn)特征的提取和學(xué)習(xí)。通過(guò)在CNN的各個(gè)層中應(yīng)用Leaky ReLU激活函數(shù)，可以幫助神經(jīng)網(wǎng)絡(luò)更好地適應(yīng)復(fù)雜的數(shù)據(jù)模式，從而提高網(wǎng)絡(luò)的性能和準(zhǔn)確率。

3 實(shí)驗(yàn)與分析

3.1 數(shù)據(jù)集與實(shí)驗(yàn)方法

KDD Cup 1999數(shù)據(jù)集是一個(gè)經(jīng)典的用于網(wǎng)絡(luò)入侵檢測(cè)研究的數(shù)據(jù)集，廣泛用于評(píng)估和比較不同網(wǎng)絡(luò)入侵檢測(cè)方法的性能。數(shù)據(jù)集包括模擬的網(wǎng)絡(luò)流量數(shù)據(jù)。正常的網(wǎng)絡(luò)流量以及多種類(lèi)型的網(wǎng)絡(luò)入侵行為包括諸如拒絕服務(wù)攻擊、遠(yuǎn)程登錄入侵等多種類(lèi)型。

本文選擇使用KDD Cup 1999數(shù)據(jù)集作為實(shí)驗(yàn)基準(zhǔn)，以評(píng)估基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)方法的效果。本文所采用的實(shí)驗(yàn)方法如下。

（1）數(shù)據(jù)預(yù)處理：下載KDD Cup 1999數(shù)據(jù)集，進(jìn)行預(yù)處理。

（2）搭建模型：在MATLAB平臺(tái)上搭建CNN模型。

（3）實(shí)驗(yàn)設(shè)計(jì)：設(shè)定實(shí)驗(yàn)組和對(duì)照組，實(shí)驗(yàn)組使用Leaky ReLU作為激活函數(shù)，對(duì)照組使用ReLU作為激活函數(shù)；在訓(xùn)練集上訓(xùn)練CNN模型，在驗(yàn)證集上進(jìn)行模型調(diào)優(yōu)。

（4）模型評(píng)估：使用測(cè)試集對(duì)訓(xùn)練好的CNN模型進(jìn)行評(píng)估。

3.2 結(jié)果與分析

本文通過(guò)計(jì)算實(shí)驗(yàn)結(jié)果的準(zhǔn)確率、精確率、召回率和F1值等指標(biāo)來(lái)對(duì)比網(wǎng)絡(luò)入侵檢測(cè)性能，如表1所示。

通過(guò)分析表1數(shù)據(jù)可得，本文采用的方法在網(wǎng)絡(luò)入侵檢測(cè)任務(wù)中具有顯著的效果。從實(shí)驗(yàn)結(jié)果可以觀察到，基于Leaky ReLU激活函數(shù)的CNN模型相比于基于ReLU激活函數(shù)的模型在準(zhǔn)確率、召回率和F1值等指標(biāo)上都表現(xiàn)出更好的性能。

首先，Leaky ReLU激活函數(shù)的模型準(zhǔn)確率達(dá)到了0.94，略高于ReLU激活函數(shù)的模型準(zhǔn)確率（0.92），表明Leaky ReLU激活函數(shù)能夠更準(zhǔn)確地對(duì)網(wǎng)絡(luò)流量進(jìn)行分類(lèi)和檢測(cè)。其次，Leaky ReLU激活函數(shù)的模型召回率為0.95，顯著高于ReLU激活函數(shù)的模型召回率（0.89），說(shuō)明Leaky ReLU激活函數(shù)能夠更好地識(shí)別出網(wǎng)絡(luò)流量中的真正入侵行為，減少漏報(bào)率。此外，F(xiàn)1值綜合考慮了精確率和召回率，Leaky ReLU激活函數(shù)的模型F1值為0.94，優(yōu)于ReLU激活函數(shù)的模型F1值（0.91），進(jìn)一步驗(yàn)證了Leaky ReLU激活函數(shù)在網(wǎng)絡(luò)入侵檢測(cè)任務(wù)中的有效性和穩(wěn)定性。

綜上所述，實(shí)驗(yàn)表明了本文研究的基于Leaky ReLU激活函數(shù)的CNN模型在網(wǎng)絡(luò)入侵檢測(cè)任務(wù)中具有更優(yōu)秀的性能表現(xiàn)，為網(wǎng)絡(luò)安全領(lǐng)域的進(jìn)一步研究和應(yīng)用提供了有力支持。

4 結(jié)語(yǔ)

本文研究了一種基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)方法，通過(guò)實(shí)驗(yàn)驗(yàn)證了其有效性。本文分析了網(wǎng)絡(luò)入侵檢測(cè)的背景和挑戰(zhàn)，詳細(xì)探討了基于深度學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)框架及Leaky ReLU激活函數(shù)的原理和改進(jìn)方法。在實(shí)驗(yàn)部分，本文通過(guò)對(duì)KDD Cup 1999數(shù)據(jù)集的實(shí)驗(yàn)驗(yàn)證，比較了基于ReLU和Leaky ReLU激活函數(shù)的CNN模型在網(wǎng)絡(luò)入侵檢測(cè)任務(wù)上的性能表現(xiàn)。結(jié)果表明，Leaky ReLU激活函數(shù)能夠有效提高模型的準(zhǔn)確率、召回率和F1值，具有更好的網(wǎng)絡(luò)入侵檢測(cè)效果。因此，本文提出的方法對(duì)于提高網(wǎng)絡(luò)安全性和保護(hù)網(wǎng)絡(luò)環(huán)境具有重要意義，對(duì)未來(lái)的網(wǎng)絡(luò)安全研究和應(yīng)用具有一定的指導(dǎo)意義。

參考文獻(xiàn)

［1］湯志偉.電子政府的信息網(wǎng)絡(luò)安全及防范對(duì)策［J］.電子科技大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2002（1）：12-17.

［2］任江紅.企業(yè)網(wǎng)絡(luò)安全的重要性及防護(hù)策略［J］.電子通信與計(jì)算機(jī)科學(xué)，2023（7）：168-170.

［3］王雯萱.大數(shù)據(jù)時(shí)代下的網(wǎng)絡(luò)安全與隱私保護(hù)［J］.電子通信與計(jì)算機(jī)科學(xué)，2023（8）：129-131.

［4］蹇詩(shī)婕，盧志剛，杜丹，等.網(wǎng)絡(luò)入侵檢測(cè)技術(shù)綜述［J］.信息安全學(xué)報(bào)，2020（4）：96-122.

［5］李俊，夏松竹，蘭海燕，等.基于GRU-RNN的網(wǎng)絡(luò)入侵檢測(cè)方法［J］.哈爾濱工程大學(xué)學(xué)報(bào)，2021（6）：879-884.

［6］劉帥奇，雷鈺，龐姣，等.基于生成對(duì)抗網(wǎng)絡(luò)的SAR圖像去噪［J］.河北大學(xué)學(xué)報(bào)（自然科學(xué)版），2022（3）：306.

［7］周飛燕，金林鵬，董軍.卷積神經(jīng)網(wǎng)絡(luò)研究綜述［J］.計(jì)算機(jī)學(xué)報(bào)，2017（6）：1229-1251.

［8］王明，李劍.基于卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)［J］.信息安全研究，2017（11）：990-994.

［9］蔣昂波，王維維.ReLU激活函數(shù)優(yōu)化研究［J］.傳感器與微系統(tǒng)，2018（2）：50-52.

［10］王雙印，滕國(guó)文.卷積神經(jīng)網(wǎng)絡(luò)中ReLU激活函數(shù)優(yōu)化設(shè)計(jì)［J］.信息通信，2018（1）：42-43.

［11］張煥，張慶，于紀(jì)言.激活函數(shù)的發(fā)展綜述及其性質(zhì)分析［J］.西華大學(xué)學(xué)報(bào)（自然科學(xué)版），2021（4）：1-10.

［12］張有健，陳晨，王再見(jiàn).深度學(xué)習(xí)算法的激活函數(shù)研究［J］.無(wú)線電通信技術(shù)，2021（1）：115-120.

［13］王攀杰，郭紹忠，侯明，等.激活函數(shù)的對(duì)比測(cè)試與分析［J］.信息工程大學(xué)學(xué)報(bào)，2021（5）：551-557.

（編輯 王永超）

Research on network intrusion detection technology based on deep learning

Liu" Fan

（Hunan College of Information， Changsha 410203， China）

Abstract：This article proposes a deep learning based network intrusion detection method to address the challenges in the field of network intrusion detection. A deep learning based network intrusion detection framework was studied， and the Leaky ReLU activation function was introduced to optimize the performance of convolutional neural networks. Experimental verification was conducted on the KDD Cup 1999 dataset on the MATLAB platform. The experimental results show that the CNN model based on Leaky ReLU activation function outperforms the model based on ReLU activation function in terms of accuracy， recall and F1 value.

Key words：deep learning; activation function; network intrusion; convolutional neural network