摘要
随着互联网技术的快速发展,网络应用已经彻底融入人们的生活,但是网络安全问题却日益凸显。正是由于网络攻击方式的多样性、复杂性和隐蔽性,导致了个人、社会以及国家的财产巨大损失。入侵检测系统作为一种积极主动的网络安全防御手段,具有良好的可靠性、安全性和延展性等优点。但目前的入侵检测方法面临着一系列问题,如对少数类样本数据不敏感,模型识别准确率较低,泛化能力较差等。本文针对以上问题展开研究,其主要工作及成果如下: 1)提出了一种融合一维卷积神经网络和分层长短时记忆网络的 ConvHL 入侵检测模型。一维卷积神经网络计算速度快、开销小,能够准确提取到数据序列的局部特征,分层长短时记忆网络各层的记忆单元模块能够对数据序列不同属性在时间上复杂的前后依赖关系进行学习。通过将二者结合,能够充分学习网络流量的特征,解决单一模型泛化能力差的问题。实验结果表明,该模型的准确率分别比一维卷积神经网络模型和分层长短时记忆网络模型提高了3.95%、1.75%,证明了该方法的有效性。 2)针对数据集不平衡问题,提出了一种基于ADASYN算法的过采样算法LE-ADASYN-LOF。该方法选择性地增加少数类样本来解决数据不平衡问题,且加入局部异常因子对合成的样本去噪。实验结果表明,对数据集进行平衡后,模型对少数类样本的分类能力得到了提升。特别是对于R2L和U2R类别,F1-Score分别提高了6.68%和40.96%,效果显著。 3)针对深度学习的检测模型训练效率低,对数据集标签依赖性较强,特征提取不全面等问题,提出了一种融合ConvHL与双重深度Q网络的深度强化学习模型。该入侵检测模型能够获得较为完备的数据特征,并通过强化学习策略提高分类器性能,充分结合了深度学习的感知能力与强化学习的决策能力,有效地提高了模型训练效率以及各类型网络攻击的检测能力。在平衡后的 NSL-KDD 数据集上实验表明,模型分类准确率和F1-Score都达到了99%,且在训练集和测试集上的时间消耗也得到了一定程度的降低。与其他方法的实验对比,也证明了该方法的有效性。
NETL