基于深度学习的网络入侵检测方法.pdf

《基于深度学习的网络入侵检测方法.pdf》由会员分享，可在线阅读，更多相关《基于深度学习的网络入侵检测方法.pdf（3页珍藏版）》请在咨信网上搜索。

1、2 0 2 4年3期1 6 9 2 0 2 4年第4 6卷第3期基于深度学习的网络入侵检测方法姜宏敏 李瑞芬作者简介:姜宏敏(1 9 8 0-),本科,助教,研究方向为计算机科学与技术;李瑞芬(1 9 9 1-),硕士,助教,研究方向为计算机科学与技术。(郑州理工职业学院 郑州4 5 1 1 5 0)摘 要 文中提出了一种基于卷积变分自编码器和生成对抗网络的网络入侵检测方法(C VA E-G AN s),旨在实现针对多模态数据的网络入侵检测。该方法通过将不同模态的数据编码为共享潜在空间表示,并使用生成器和判别器实现多模态数据的生成和检测。最后,使用D A R P A数据集进行了实验,评估了该方

2、法在多模态数据上的性能。结果表明,相较于标准G AN s方法,C VA E-G AN s方法在准确性和鲁棒性方面,具有显著的优势。关键词:生成对抗网络;多模态数据;入侵检测;卷积变分自编码器中图分类号 T N 9 1 5.0 8AN e t w o r kI n t r u s i o nD e t e c t i o nM e t h o dB a s e do nD e e pL e a r n i n gJ I AN G H o n g m i na n dL IR u i f e n(Z h e n g z h o uI n s t i t u t eo fT e c h n o l

3、o g y,Z h e n g z h o u4 5 1 1 5 0,C h i n a)A b s t r a c t I n t h i sp a p e r,an e t w o r k i n t r u s i o nd e t e c t i o nm e t h o d(C VA E-G AN s)b a s e do nc o n v o l u t i o n a l v a r i a t i o n a l a u t o e n-c o d e r sa n dg e n e r a t i v ea d v e r s a r i a l n e t w o r k

4、s i sp r o p o s e d,w h i c ha i m s t oa c h i e v en e t w o r k i n t r u s i o nd e t e c t i o n f o rm u l t i m o d a ld a t a.T h em e t h o de n c o d e sd a t ao f d i f f e r e n tm o d e s i n t oas h a r e d l a t e n t s p a t i a l r e p r e s e n t a t i o n,a n du s e sg e n e r a

5、t o r s a n dd i s-c r i m i n a t o r s t og e n e r a t e a n dd e t e c tm u l t i m o d a l d a t a.F i n a l l y,e x p e r i m e n t s a r e c a r r i e do u t u s i n g t h eD A R P Ad a t a s e t t oe v a-l u a t e t h ep e r f o r m a n c eo f t h em e t h o do nm u l t i m o d a l d a t a.T

6、 h er e s u l t ss h o wt h a t t h eC VA E-G AN sm e t h o dh a ss i g n i f i c a n ta d v a n t a g e s i na c c u r a c ya n dr o b u s t n e s sc o m p a r e dt ot h es t a n d a r dG AN sm e t h o d.K e y w o r d s G e n e r a t i n ga d v e r s a r i a l n e t w o r k s,M u l t i m o d a l d

7、a t a,I n t r u s i o nd e t e c t i o n,C o n v o l u t i o n a l v a r i a t i o n a l a u t o e n c o d e r0 引言网络安全一直是信息技术领域中备受关注的问题,随着互联网的快速发展,网络入侵事件也愈加复杂化、多样化。这些入侵威胁对个人隐私、组织安全和国家利益造成了巨大的影响。为应对这一挑战,研究人员一直在探索各种网络入侵检测方法,以有效地识别和防止网络入侵。近几年,深度学习技术在各种领域中取得了显著的突破,其中包括计算机视觉1、自然语言处理2、语音识别3等。部分深度学习方法在网络入侵

8、检测领域取得了一定的成功4,但仍存在一定的不足,其中一个难题是网络入侵检测需要综合处理多模态数据,如网络流量数据、日志数据、传感器数据等。这些多模态数据源提供了不同维度的信息,可以更全面地了解网络活动,但也增加了检测过程的复杂性。生 成 对 抗 网 络(G e n e r a t i v e A d v e r s a r i a l N e t w o r k s,G A N s)5作为深度学习领域的重要方法,为处理多模态数据下的网络入侵检测问题提供了新的方向。G A N s的基本思想是通过训练生成器和判别器来学习数据的分布,从而生成具有与真实数据相似性质的合成数据,该方法已经在图像生成、自

9、然语言生成、数据增强等领域取得了显著成果6-7。本文旨在引入G AN s技术,将其应用于网络入侵检测,并提出一种基于G AN s的多模态数据融合方法。最后,本文通过使用包含多模态数据的D A R P A数据集来验证所提方法的有效性,为网络入侵检测提供一种新的思路,以更好地适应多模态数据,提高检测的准确性和鲁棒性。1 基于G A N s的网络入侵检测1.1 生成对抗网络G AN s是一种深度学习架构,由两个相互竞争的神经网络组成,即生成器和判别器,如图1所示。这两个网络共同协作,通过对抗训练的方式不断提升生成器的性能,以生成逼真的虚假样本。在G AN s的训练过程中,首先需引入一个随机信号z,其

10、可以从一个简单的概率分布(如均匀分布或正态分布)中采样得到。该随机信号z作为生成器的输入,用于产生与真实数据x类似的合成样本G(z)。生成器的目标是使生成的样本尽可能接近真实数据,即最小化生成样本G(z)与真实样本x之间的差异,如式(1)所示:Lg e n=-Ezp(z)l o gD(G(z)(1)其中,p(z)表示随机信号z的概率分布,D(G(z)表示判别器对生成样本的判别结果。1 7 0 2 0 2 4年3期判别器的目标是尽可能地区分真实样本和虚假样本,其损失函数如式(2)所示:Ld i s=-Expd a t a(x)l o gD(x)-Ezp(z)l o g(1-D(G(z)(2)其中

11、,pd a t a(x)表示真实数据的分布,(x)表示判别器对真实样本的判别结果,1-D(G(z)表示判别器对生成样本的判别结果。在训练过程中,生成器和判别器相互对抗。其中。生成器会试图最小化Lg e n,使生成样本更具逼真性,而判别器会试图最小化Ld i s,以提高对真假样本的区分能力。这个对抗过程会持续进行,直到生成器生成的样本趋向于真实样本,即达到平衡点。图1 生成对抗网络的架构1.2 多模态数据融合下的入侵检测多模态数据通常涵盖了来自不同传感器或数据源的多种类型的信息,如图像、文本、声音等,针对多模态数据的网络入侵检测方法如图2所示。在网络入侵检测领域,多模态数据的重要性在于其提供了多

12、重视角来理解网络活动,从而更全面地识别潜在的入侵行为。传统的单模态数据可能无法捕捉到所有的入侵迹象,而多模态数据的综合利用,则能提高检测系统的准确性和鲁棒性。对于多模态数据,基于G AN s的方法能更灵活地适应不同类型的信息,通过融合多种数据来源,使生成器生成更具代表性的合成样本。在网络入侵检测中,多模态数据包括网络流量数据、日志信息等。这些数据源提供了丰富的信息,可以用于识别各种类型的入侵行为。图2 针对多模态数据的网络入侵检测方法本文结合了卷积变分自编码器(C o n v o l u t i o n a lV a r i a-t i o n a lA u t o e n c o d e r

13、,C VA E)8-9与生成对抗网络(G AN s),通过构建一个融合模型,来应对多模态数据下的网络入侵检测问题。首先,该方法利用C VA E网络结构,对不同模态的数据进行编码。该过程可以将多模态数据以统一的方式表示出来,并在潜在空间中进行有效的操作和融合。接着,引入G AN s的生成器和判别器,在潜在空间中生成合成样本,并通过判别器来评估这些合成样本的真实性。生成器的目标是使合成样本尽可能接近真实的数据分布,而判别器则努力区分真实样本和合成样本,这一对抗训练的过程,会使生成器不断提升合成样本的真实度。C VA E对多模态数据的处理是该方法的关键,其能将不同模态的数据映射到一个潜在空间中,从而

14、实现数据的统一编码。假设有一个包含多个模态的数据集。其中每个模态的数据分别表示为x1,x2,xm。其中,xi是一个高维的数据向量。C VA E通过引入一个潜在变量z来表示多模态数据的共享特征,该变量z的先验分布通常假设为一个多维正态分布,如式(3)所示:p(z)=N(z,z,2zI)(3)其中,z和2z分别是z的均值和方差,I是单位矩阵。接着,C VA E会利用一个编码器网络来将每个模态中的数据xi映射到潜在空间中,得到对应的潜在变量zi的后验分布,如式(4)所示:q(zi|xi)=N(zi,i,2iI)(4)其中,i和2i分别是zi的均值和方差,可以由编码器网络通过xi计算得到。生成器网络则

15、通过潜在变量zi来反向生成模态xi的重构数据分布,如式(5)所示:p(xi|zi)=N(xi,i,2iI)(5)其中,i和 2i是生成器网络通过zi计算得到的模态xi的均值和方差。整个训 练 过 程 通 过 最 小 化 重 构 损 失 和 潜 在 变 量 的K u l l b a c k-L e i b l e r散度K L实现。具体而言,编码器网络和生成器网络的参数通过最小化的损失函数进行优化,如式(6)所示:LC V A E=-Mi=1Eq(zi|xi)l o gp(xi|zi)+K L(q(zi|xi)|p(z)(6)其中,第一项表示重构损失,其衡量了生成的模态数据与原始数据的相似程度,

16、第二项是K L散度,用于衡量潜在变量的先验分布与后验分布之间的差异。通过这种C VA E结构,本文实现了对多模态数据的统一编码,为基于G AN s的网络入侵检测方法提供了有力的数据表示基础。2 实验与分析2.1 D A R P A数据集本文用D A R P A数据集1 0来训练和测试基于C VA E的G AN s网络入侵检测方法。该数据集由美国国防高级研究计划局创建和维护,其中包括了大量的网络流量数据,涵盖各种不同类型的网络活动,如合法的网络通信及潜在的入侵行为。另外,该数据集通常包含标记的数据,如入侵事件的信息,这些标记有助于研究人员评估和验证检测算法的性能。此外,D A R P A数据集中

17、还包括多模态数据,如网移动信息2 0 2 4年3期1 7 1 络流量数据、日志信息等,这使其成为研究多模态数据融合的网络入侵检测方法的重要数据来源。2.2 实验方案设计(1)数据获取与准备。对数据进行清洗、去噪和标准化,以确保数据质量的一致性。(2)数据分割。将数据集分为训练集和测试集。在实验中,7 0%的数据用于训练模型,3 0%的数据用于评估模型性能。(3)构建C VA E-G AN s模型。利用P y t h o n设计和构建基于C VA E-G AN s的多模态数据融合模型,包括编码器、生成器、判别器等网络结构,并定义损失函数。(4)模型训练。使用训练集对C VA E-G AN s模型

18、进行训练,并通过最小化损失函数来调整模型参数,使其逐渐符合真实的数据分布。(5)生成合成样本。利用训练好的生成器,在潜在空间中生成多模态的合成样本。(6)多模态数据融合。将生成的多模态合成样本与测试集中的实际多模态数据进行融合,以便进行入侵检测。(7)入侵检测。利用训练好的判别器来评估多模态数据的真实性。判别器的输出可以是一个概率分数,用于判断样本是否是入侵行为。(8)性能分析。分析模型的性能,包括其在多模态数据上的入侵检测的准确性和鲁棒性。2.3 结果与分析表1展示了C VA E-G AN s方法在多个实验中的性能,并与标准G AN s方法进行了对比,平均值列为所有实验结果的平均值,以便全面

19、评估模型性能。表1 实验结果实验C VA E-GAN s标准GAN s准确性鲁棒性准确性鲁棒性10.9 20.8 50.8 80.8 120.9 10.8 60.8 70.7 730.9 30.8 40.8 90.7 6平均值0.9 20.8 50.8 80.7 8其中,C VA E-G AN s为本文所提方法,G AN s为标准的G AN检测方法,准确性指模型在多模态数据上的入侵检测性能,如式(7)所示:A c c u r a c y=Ni rNi1 0 0%(7)其中,Ni为总入侵样本数,Ni r为正确检测的入侵样本数。鲁棒性指模型在多模态数据中的性能稳定性和可靠性,如式(8)所示:R o

20、 b u s t=Nr-Nr wNr1 0 0%(8)其中,Nr为总正常样本数,Nr w为错误检测的正常样本数。由表1可得,C VA E-G AN s方法的平均入侵检测准确性为0.9 2,这表明与标准G AN s方法(0.8 8)相比,C VA E-G AN方法在入侵检测方面具有更好的性能。鲁棒性指模型在多模态数据中的性能稳定性和可靠性,实验结果显示,C VA E-G AN方法的鲁棒性表现相对稳定,其平均入侵检测准确性为0.9 2、0.9 1和0.9 3,具 有 相 当 的 一 致 性;同 时,C VA E-G AN方法 的 平 均 鲁 棒 性(0.8 5)也 显 著 优 于 标 准G AN

21、s方法(0.7 8)。总体而言,在基于多模态数据的实验中,C VA E-G AN s方法显示出更高的入侵检测准确性和更好的鲁棒性,这使其成为一个有潜力提高网络入侵检测性能的方法。本文的实验结果为研究人员提供了有关多模态数据融合的网络入侵检测方法的重要见解,同时也突出了C VA E-G AN s方法的潜在优势。3 结语本文介绍了一种基于C VA E-G AN s的多模态数据融合方法,用于网络入侵检测。通过将不同模态的数据映射到共享的潜在空间,该方法允许多模态数据的有效融合和处理。实验结果表明,C VA E-G AN s方法在多模态数据上取得了令人满意的入侵检测准确率和鲁棒性,相对于标准的G AN

22、 s方法,其具备更好的性能。本研究为多模态数据融合的网络入侵检测提供了有力的方法,并为未来网络安全研究提供了重要的参考和方向。在未来的工作中,可以进一步改进该方法,以满足不断变化的网络入侵威胁和多模态数据的需求。参考文献1卢宏涛,张秦川.深度卷积神经网络在计算机视觉中的应用研究综述J.数据采集与处理,2 0 1 6,3 1(1):1-1 7.2奚雪峰,周国栋.面向自然语言处理的深度学习研究J.自动化学报,2 0 1 6,4 2(1 0):1 4 4 5-1 4 6 5.3侯一民,周慧琼,王政一.深度学习在语音识别中的研究进展综述J.计算机应用研究,2 0 1 7,3 4(8):2 2 4 1-

23、2 2 4 6.4张玉清,董颖,柳彩云,等.深度学习应用于网络空间安全的现状、趋 势 与 展 望 J.计 算 机 研 究 与 发 展,2 0 1 8,5 5(6):1 1 1 7-1 1 4 2.5林懿伦,戴星原,李力,等.人工智能研究的新前线:生成式对抗网络J.自动化学报,2 0 1 8,4 4(5):7 7 5-7 9 2.6王坤峰,苟超,段艳杰,等.生成式对抗网络GAN的研究进展与展望J.自动化学报,2 0 1 7,4 3(3):3 2 1-3 3 2.7詹燕,胡蝶,汤洪涛,等.基于改进生成对抗网络的图像数据增强方法J.浙江大学学报(工学版),2 0 2 3(1 0):1 9 9 8-2 0 1 0.8袁非牛,章琳,史劲亭,等.自编码神经网络理论及应用综述J.计算机学报,2 0 1 9,4 2(1):2 0 3-2 3 0.9于晓升,许茗,王莹,等.基于卷积变分自编码器的异常事件检测方法J.仪器仪表学报,2 0 2 1,4 2(5):1 5 1-1 5 8.1 0邓妙然,王开云,张春瑞,等.网络入侵检测评测数据集对比研究J.现代计算机,2 0 2 0(2 0):2 0-2 6.移动信息