基于深度學習的網絡入侵檢測系統

摘 要：隨著數字時代的到來，網絡安全問題日益凸顯，尤其是網絡入侵行為對信息系統的安全構成了嚴重威脅。針對傳統安全防御機制無法應對日益復雜的入侵手段的問題，構建了一個基于深度學習的網絡入侵監測系統。該系統以機器學習的相關理論為支撐，采用DNN作為核心神經網絡架構，并融合了LSTM和Transformer等模型。借助KDD99等數據集進行模型的訓練和測試。實驗結果表明，該系統能夠有效提高檢測精度，極大地降低了誤報率和漏報率，同時提升了檢測速度和系統穩定性。此外，該系統還具備良好的泛化能力，能夠有效識別新型和變種的攻擊模式，應對不斷變化的網絡安全威脅。

關鍵詞：網絡入侵檢測；深度學習；DNN；KDD99數據集；LSTM模型；Transformer模型

中圖分類號：TP393.1 文獻標識碼：A 文章編號：2095-1302（2025）05-00-05

0 引 言

隨著網絡科技的飛速進步，網絡安全問題逐漸引起了人們的重視。其中，網絡入侵檢測作為信息安全的重要組成部分，近年來成為了人們普遍關注的焦點[1]。盡管傳統入侵檢測方法在防御已知威脅方面取得了一定成果，但其在面對新型復雜網絡攻擊時，卻存在高誤報率、高漏報率等缺陷。同時，現有的入侵檢測系統（Instruction Detection System， IDS）側重于傳統技術，對新型威脅的識別能力仍有待提高[2]。深度學習以其獨特的數據分析和模式識別能力，在處理大規模數據集以及自動識別復雜攻擊模式方面，展現出了卓越的優

勢[3]。本文構建了一個基于深度學習的網絡入侵監測系統，旨在通過對海量數據的分析和學習，揭示深層次的數據特征和潛在的攻擊行為，從而顯著提高入侵檢測精度。

1 相關研究

1.1 IDS的發展

自20世紀90年代初提出IDS概念以來[4]，網絡入侵檢測技術經歷了從原始的模式匹配到現代智能檢測的演變過程。早期的IDS依賴簡單的規則庫和簽名匹配方法，對已知的攻擊行為進行識別和防御；然而，隨著網絡攻擊的不斷演化和更新，要求IDS能夠對未知或變種攻擊行為做出有效響應，基于異常行為的檢測方法應運而生，通過分析網絡流量中的異常模式，即使攻擊簽名不在現有的規則庫中，也能夠發現潛在的威脅[5]。

隨著深度學習技術的發展和深度學習模型的應用，極大地提高了IDS對低頻率攻擊和多步驟攻擊序列的檢測能力，尤其在特征表示和時間序列分析方面的優勢使得網絡入侵檢測處理能力獲得質的飛躍。

1.2 機器學習算法

在機器學習領域，各種分類算法展現出了非凡的潛力與能力。網絡入侵檢測中，卷積神經網絡（CNN）通過模擬生物神經網絡的方式，能夠自動并有效地從數據中學習特征，在處理具有空間結構特征的數據時展現出卓越的分類性能[6]。隨機森林（RF）算法常被選作解決分類問題的有利武器，其在入侵檢測模型中能夠達到高精度的分類結果，并且對少數類樣本的識別尤為有效[7]。支持向量機（SVM）通過構建最優分類超平面來最大化正負樣本的間隔，在網絡入侵檢測中具有準確地對入侵行為進行判別的能力。這些算法在實驗中表現出了各自獨特的優勢，但它們對于全面提升網絡入侵檢測的綜合性能仍存在一些局限性。

1.3 各種預測模型及算法

1.3.1 Transformer

Transformer模型是自然語言處理領域中的一種深度學習工具。它可以利用自我注意力機制以及位置編碼等技術，識別輸入序列中的相互依賴關系，并生成高質量的輸出序列。Transformer模型的核心組件是一個編碼器-解碼器系統[8]，輸入的序列首先經過編碼器的處理，然后與前一次的輸出相結合，一并被送入解碼器，最終在Softmax層得出預期的結果。

1.3.2 LSTM

長短期記憶網絡（Long Short-Term Memory， LSTM）作為改進型的時間循環神經網絡，由于其特殊的網絡結構，可以高效地處理具有時序特征的數據。LSTM的一些關鍵部分，如遺忘門、輸入門被設計為門控單位，這些單位把短期記憶和長期記憶融為一體，進而管理特性的傳遞和喪失，能夠在某種程度上緩解因遠距離依賴所引發的梯度喪失的問題。

1.3.3 DNN

深度神經網絡（Deep Neural Networks， DNN）具備處理復雜非線性關系的能力，同時也可以構建出相應的計算模型。傳統的機器學習算法具有線性特征，但隨著技術的進步，深度神經網絡的復雜程度和理論化程度也在不斷增強。在DNN中，每一層都會對輸入數據進行非線性處理，最終生成一個統計模型作為它們的學習結果[9-10]。

2 系統設計與實現

2.1 系統架構設計

網絡入侵檢測系統的核心在于準確識別并及時反應潛在威脅，系統整體架構劃分為數據預處理、特征選擇、預測和檢測評估四個主要部分，具體架構設計如圖1所示。

數據預處理模塊負責從海量網絡流量中提取干凈、標準化的數據樣本；特征選擇模塊基于交互信息最大相關最小冗余的方式，增強模型理解力和檢測精度；預測模塊涵蓋支持向量機（SVM）、DNN等算法，旨在降低模型方差，提升檢測穩定性與準確性；檢測評估模塊中嵌入了自適應機制，能快速調整檢測策略。

2.2 模型選擇與算法優化

2.2.1 Transformer模型的原理

Transformer 的編碼系統是通過6個相似的子模塊層層相連構建的，每一層都包含一個多頭自注意力機制以及一個前饋神經網絡的兩個子層。主要功能是對輸入模型的屬性矩陣進行定位編碼，并將其轉換成可以獲得屬性矩陣數據的中介向量，這個過程的重要組成部分包括多頭自我注意力機制和一個預先的神經網絡。輸入為Query（Q）、Key（K）和Value（V），系統可通過Query和Key來計算每個值的權重分數，隨后將這些權重與對應的Value進行加權計算，從而得到最終的輸出結果。這種方法能夠并行計算，從而縮短訓練的時間。具體計算公式見式（1）：

2.2.2 LSTM模型的架構

LSTM網絡是一種具備應對大規模、長時間段內信息遺漏能力的循環神經網絡。它不僅具備處理時間順序數據的功能，同時也可以應對RNN模型中的梯度爆發和梯度消失問題，從而保留有用的信息。BiLSTM網絡由一個前向LSTM和一個反向LSTM組成，它們都擁有前向和反向的全部信息[11]，具體的結構如圖2所示。

2.2.3 DNN模型架構

DNN的架構如圖3所示。

DNN由5個隱藏層與1個輸出層共同構建。輸入層配置了41個神經元，這些神經元之間的關系是無縫的[12]。本文采取反向傳播的方式對DNN網絡進行訓練。在這個構架里，第一層包含41個神經元，通過ReLU激活函數進行激活；第二層的神經元數量則在持續減少，通過tanh激活函數進行激活。為了避免過度擬合，本文選用Dropout的策略。在輸出層，僅存在2個神經元，通過Sigmoid激活函數能夠得到2個結果，非常適合于二分類任務。

2.3 核心模塊的設計

在設計基于深度學習的網絡入侵檢測系統時，重點關注了模型訓練的有效性和檢測過程的精確性。系統具體處理流程如圖4所示。在訓練階段，通過已有的公開數據集進行模型訓練；在數據獲取階段，通過數據抓包軟件對網絡上的流量進行收集；在數據預處理階段，采納互信息法對數據特征進行權重評估，選取與入侵行為相關性最高的特征子集輸入至模型中進行學習訓練，避免無關特征對檢測結果的干擾，然后發送給模型處理；在響應階段，系統創建了多層次的檢測框架，首層快速過濾明顯的正常流量與已知攻擊模式，次層利用深度學習處理復雜模式識別和異常行為分析，再采用集成學習提高整體檢測精度。若存在入侵行為，則發出警告，反之則顯示安全。然后對檢測結果進行反饋學習機制的更新，將最新偵測到的異常行為模式納入數據庫進行二次學習訓練，保證系統對新出現的網絡攻擊形式具備快速的適應能力。

3 實驗與結果分析

3.1 實驗設置與數據集

為了全面評估系統性能，本實驗采用了KDD99以及NSL-KDD數據集進行深入分析和驗證，KDD99數據集由美國國防高級研究計劃局和林肯實驗室合作開發，是評測網絡入侵檢測的標準數據集之一。NSL-KDD數據集是在 KDD99的基礎上改進而來的[13]，共包含39種攻擊類型。具體數據集信息見表1。

在實驗設定上，選擇其中標記完整、類型多樣的網絡攻擊實例進行測試，以判斷模型對已知攻擊模式的檢測能力。在數據預處理階段，利用改進的K-means聚類算法對數據進行優化篩選，并引入SMOTE算法生成少數類樣本，以平衡各類數據分布，避免由于數據集不平衡導致的過擬合。

3.2 測試結果與分析

3.2.1 評價指標

對實驗進行評定時，將重點考慮準確率（Accuracy）、召回率（Recall）、精確度（Precision）以及F1分數（F1-score）等關鍵性能指標，其詳細計算公式如式（7）～式（10）所示：

式中：TP是指將被攻擊的對象識別為被攻擊的對象；TN是指將普通的對象識別為普通的對象；FP是指將普通的對象識別為被攻擊的對象；FN是指將被攻擊的對象識別為普通的對象。

3.2.2 在KDD99數據集下的不同模型性能比較

將KDD99數據集輸入到經典的機器學習算法以及各種隱藏層的DNN。訓練完成后，將所有模型與測試數據集進行F1分數、準確率、召回率和精確度等關鍵指標的比較。比較結果如圖5所示。

圖5 各模型指標比較圖

由圖5可知，DNN的各項指標均領先于傳統的機器學習方法，可見DNN在入侵檢測系統中具有顯著優勢。

圖6、圖7展示了DNN模型在Epoch分別為50和100時的準確率對比。實驗結果表明，當Epoch為50或100時，層數為2、3的模型預測分類的準確率能以最快的速度達到穩定。圖8和圖9揭示出，當DNN的層數設置為1時，其精度達到穩定狀態所消耗的時間最多。在DNN層數為2和3的情況下，其精確度最高。隨著Epoch的提升，預測分類損失值能夠以最快的速度達到穩定狀態。盡管模型的精確度可以進一步提高，但是當Epoch達到一定程度時，其精確度將趨于穩定。

3.2.3 在NSL-KDD數據集下的深度學習模型性能比較

五種深度學習模型的實驗對比結果如圖10所示。Transformer-BiLSTM-DNN模型融合了多頭注意力機制、BiLSTM雙向長短時記憶網絡以及DNN，Transformer模塊利用多頭注意力機制來研究各種屬性特征的相互關系，從而獲得更多的特征。BiLSTM-DNN模塊能夠更深入地挖掘出特性，同時也能夠保存這些特性的時間順序。在BiLSTM-DNN模型里，Transformer部分被省略，這是為了區分Transformer部分的關鍵影響。多頭注意力機制被應用于MultiAttention-BiLSTM-DNN模型，取而代之的是Transformer模型，目的是探討前饋神經網絡與殘差連接如何影響精度。Transformer-DNN模型中移除了BiLSTM部分，目的是探討BiLSTM對于保持時間順序特性和長期依賴性信息的作用，而Position-Transformer-DNN模型則使用位置向量代替BiLSTM模塊，探討了位置向量相對于BiLSTM的優勢。結果顯示，Transformer-BiLSTM-DNN模型效果最佳。此項研究成功地確認了Transformer模型以及它所包含的前饋神經網絡與殘差連接的關鍵作用，并且也確認了BiLSTM在捕捉遠程依賴以及儲存時間順序信息上的顯著貢獻。

3.2.4 評估與分析

通過以上實驗分析對比，可以得出在KDD99數據集下，與傳統機器學習模型相比，深度學習模型在準確率等指標上明顯優于傳統的機器學習模型。在不同層數DNN的比較實驗中，可以發現 2、3層網絡性能最佳。而在NSL-KDD數據集中，Transformers-BiLSTM-DNN模型表現最好，表明BiLSTM在捕捉遠程依賴以及儲存時間順序信息上的作用非常重要。綜上，在網絡安全領域中，采用深度學習技術構建的網絡入侵檢測系統比傳統方法更為有效。

4 結 語

本文設計并實現了一種基于深度學習的網絡入侵檢測系統。通過對比實驗可以獲知，相較于傳統機器學習方法，基于深度學習的入侵檢測系統性能有明顯提升。系統主要采用DNN模型，同時融合了多種預測模型的優勢，極大地提升了入侵檢測的準確率。通過對模型Epoch的探究中發現，隨著Epoch的增加，模型的準確率不斷上升，損失函數逐漸下降，說明模型性能得到了優化。此外，該系統還具有可擴展性和一定的靈活度，可以適應不同的網絡環境和攻擊類型。綜上所述，本研究利用深度學習模型構建的高效可靠網絡入侵檢測系統比傳統機器學習模型的性能更為優異。

注：本文通訊作者為郭麗紅。

參考文獻

[1]茍超，陳惠婷.基于深度學習的網絡入侵檢測技術研究[J].信息與電腦（理論版），2022，34（20）：10-13.

[2]楊宇，閆鈺，申芳，等.基于機器和深度學習的入侵檢測綜述[J].科學技術與工程，2023，23（18）：7607-7621.

[3]吳顯宗.基于深度學習的加密流量分類和入侵檢測研究[J].網絡安全技術與應用，2023（10）：31-33.

[4]孔宇升，王斐，陶冶，等.深度學習在工業互聯網入侵檢測中的應用[J].人工智能，2023（3）：72-79.

[5]劉腮.基于聯邦學習的網絡入侵檢測技術研究[D].哈爾濱：哈爾濱工業大學，2021.

[6]王壯.基于機器學習的網絡入侵檢測系統研究[D].成都：電子科技大學，2023.

[7]陳雪.基于深度學習的網絡入侵檢測方法[J].電信工程技術與標準化，2022，35（8）：88-92.

[8]石磊，張吉濤，高宇飛，等.基于Transformer與BiLSTM的網絡流量入侵檢測[J].計算機工程，2023，49（3）：29-36.

[9] VIGNESWARAN R K， VINAYAKUMAR R， SOMAN K P， et al. Evaluating shallow and deep neural networks for network intrusion detection systems in cyber security [C]// 2018 9th International Conference on Computing， Communication and Networking Technologies （ICCCNT）. Piscataway， US： IEEE， 2018： 1-6.

[10] RAHUL-VIGNESWARAN K， POORNACHANDRAN P， SOMAN K P. A compendium on network and host based intrusion detection systems [J]. CoRR， 2019.

[11] 黃麗婷.基于深度學習的網絡入侵檢測技術研究[D].西安：西安理工大學，2021.

[12] 蔣琴.智融標識網絡下基于機器學習的入侵檢測系統設計與實現[D].北京：北京交通大學，2022.

[13] 黃嶼璁，張潮，呂鑫，等.基于深度學習的網絡入侵檢測研究綜述[J].信息安全研究，2022，8（12）：1163-1177.