摘要
面对当前不稳定的网络环境,如何保证网络安全成为目前的一个热点话题。深度学习已被广泛应用在各个领域,在入侵检测模型的构建中也发挥着越来越重要的作用。然而在实际研究中,入侵检测任务中存在着许多问题,如果不针对性地解决,会影响深度学习模型的分类性能。 首先,入侵检测数据集中的样本特征较少。样本的特征单一会导致深度学习模型无法进行深层次的学习,不能充分地捕捉到关键特征。其次,入侵检测数据会出现分布偏移的现象。深度学习模型往往认为训练数据和测试数据的分布是大致相同的。但在实际情况下,由于网络环境复杂多变,测试集中往往含有训练集中没有出现的样本,导致数据分布偏移,使得模型的分类性能不理想。本文针对上述问题围绕基于深度学习的入侵检测方法展开研究工作,分别从模型的训练阶段和推理阶段两个方面进行研究,使得基于深度学习模型的入侵检测方法具有更高的分类性能。主要研究内容包括: (1)基于梯度重要性特征增强的入侵检测方案(GIFE-IDS)。针对入侵检测数据集中样本特征单一,无法捕捉到关键性特征,导致模型准确率不高、泛化能力差等问题,在模型的训练过程中,提出了新的特征融合和特征增强技术。首先,将类内样本或者类间样本的特征进行随机融合,生成新的特征增加特征的丰富度。同时,通过获取不同特征对类别预测的重要性得分,动态地调整模型对不同类别特征的关注度,增强对模型分类结果有意义的特征,并减少不重要特征对模型分类的影响。通过这种方式提升模型的准确性和泛化能力。 (2)基于动态原型网络的入侵检测方案(DPN-IDS)。针对在推理过程中会出现训练集未出现的数据,导致数据分布偏移影响模型分类性能的问题,在GIFE-IDS模型的基础上,以原型网络为分类器,引入了推理阶段自适应的学习方法。模型根据当前的输入动态地调整自身参数,并使用原型学习方法寻求学习特定类别的特征原型,重新调整聚类中心,使其在特征空间和输出空间中将测试集与训练集分布对齐,解决数据分布偏移的问题。同时,考虑到输入数据中可能出现长尾分布的现象,在调整参数时通过生成伪标签,将低/高权重分配给多数类/少数类的类别。通过这种方式提升模型在入侵检测任务中的分类性能。 本文是基于深度学习,对入侵检测模型进行相关的研究。通过设计训练过程中的特征融合和特征增强以及推理阶段的模型自适应方案,来提升模型在入侵检测任务中的分类性能和泛化能力。实验证明本文提出的方法在NSL-KDD和CICIDS-2017数据集上取得优秀性能,提高了模型的准确性。
NETL