深度學習在網絡入侵檢測系統中的實用性與效率研究

吳 瑕

（東莞開放大學信息教研室 廣東 東莞 523000）

0 引言

隨著信息技術飛速進步與廣泛應用，網絡入侵已成為互聯網安全的主要問題之一。 網絡入侵涉及非法訪問、破壞或篡改電腦系統、網絡和通信設備的行為，可能對國家信息安全造成巨大威脅，因此，研究并應用網絡入侵檢測系統的重要性不言而喻。 近年來，深度學習作為一種領先的機器學習方法，在多個領域都有出色的表現和廣大的應用前景。 在網絡入侵檢測領域傳統的基于規則或者特征工程的策略已經難以應對復雜的入侵行為。 人工設定的規則和特征難以覆蓋所有的入侵行為，隨著網絡入侵行為的復雜多樣，這種方法的局限性越來越明顯。 深度學習技術通過對大量的網絡數據進行學習，能夠自動識別出入侵行為的模式，甚至在一些非線性的情況下也能提供出檢測效果。 因此，本文結合深度學習算法設計出一套無線通信網絡入侵檢測系統，提高了網絡入侵檢測系統的靈敏度，并與同類型的模型進行基線比較，證明了所提出算法的優越性。

1 深度學習的理論概述

深度學習是一種機器學習算法，旨在模擬人類大腦的工作原理通過多層神經網絡來處理復雜的數據，它的核心思想是利用訓練神經網絡來學習數據的特征表示，從而實現自動化的特征提取和模式識別。 深度學習的理論基礎是神經網絡和反向傳播算法，神經網絡是由多個神經元組成的網絡結構，每個神經元都可以對輸入數據進行處理，并將結果傳遞給下一層神經元。 根據多層神經元的組合和權重調整，神經網絡可以學習到復雜的數據特征。 反向傳播算法則是一種計算梯度來優化神經網絡權重的方法，它可以根據網絡輸出與實際標簽之間的誤差來更新網絡參數，從而逐步提高網絡性能。

深度學習在許多領域都取得了重大突破，在計算機視覺方面深度學習在圖像分類、目標檢測和圖像生成等任務上取得了很高的準確率；在自然語言處理領域，深度學習被廣泛應用于機器翻譯、文本生成和情感分析等任務中。此外深度學習還在語音識別、推薦系統和醫學影像分析等領域展示出了強大的能力。

2 無線通信網絡入侵檢測系統的設計

2.1 建立無線通信網絡數據處理模塊

無線通信網絡入侵檢測系統的設計是保障網絡安全的關鍵步驟之一。 為了有效地檢測和識別潛在的入侵行為，需要建立一個高效的無線通信網絡數據處理模塊，該模塊能夠對原始網絡數據進行預處理和轉換，以便后續的深度學習模型能夠進行有效的分析和識別。

數據預處理是無線通信網絡數據處理模塊的重要組成部分。 原始網絡數據往往具有高維度、復雜性和噪聲，直接應用深度學習模型可能會導致訓練困難和模型的低效性。 因此，數據預處理的目標是對原始數據進行降維、去噪和標準化等操作，以減少數據的冗余性和噪聲干擾，并提取出具有較高信息含量的特征［1］。 在數據預處理階段，可以采用多種技術和方法，例如可以應用降維算法如主成分分析或線性判別分析，將高維數據映射到低維空間中，減少數據的復雜性和計算成本。 此外可以使用濾波器和去噪算法如中值濾波、小波變換等，降低數據中的噪聲干擾，提升信號的準確性和可靠性。

特征選擇可以采用多種方法，包括過濾式方法、包裝式方法和嵌入式方法等。 過濾式方法主要基于特征之間的相關性和重要性進行篩選，如相關系數、信息增益等。包裝式方法將特征選擇任務視為優化問題，根據評估特征子集的性能來選擇最佳特征組合。 嵌入式方法將特征選擇與模型訓練過程融合在一起，通過模型自身的特性選擇關鍵特征。 在建立無線通信網絡數據處理模塊時，還需要考慮數據的實時性和動態性。 無線通信網絡數據是不斷生成和流動的，因此數據處理模塊需要具備較高的實時處理能力，能夠及時響應和處理大量的數據流。

2.2 構造基于深度學習的入侵檢測智能體

在無線通信網絡入侵檢測系統的設計中，構造基于深度學習的入侵檢測智能體是至關重要的一步。 入侵檢測智能體作為系統的核心組件，通過深度學習模型實現對網絡數據的分析和入侵行為的識別，能夠快速準確地檢測潛在的入侵威脅。 構造基于深度學習入侵檢測智能需要選擇適合的模型架構。 在網絡入侵檢測領域，常用的深度學習模型包括卷積神經網絡、循環神經網絡和長短期記憶網絡等。 這些模型具有較強的表達能力和模式識別能力，能夠從網絡數據中學習到復雜的特征和規律［2］。

構造深度學習入侵檢測智能體需要進行模型的參數配置和訓練策略設計，參數配置包括設置模型的層數、節點數、學習率等超參數，以及選擇適當的激活函數、損失函數和優化算法等。 訓練策略包括數據集的劃分、批量大小、訓練輪數等，以及采用合適的正則化和迭代技術來避免過擬合。 圖1 為采用合適的正則化和迭代技術來避免過擬合的原理圖。

圖1 采用合適的正則化和迭代技術來避免過擬合的原理圖

在訓練深度學習模型時，數據集的選擇和準備是至關重要的。 由于網絡入侵數據的獲取和標注成本較高，可以利用已有的公開數據集如NSL?KDD 數據集或UNSW?NB15 數據集進行模型訓練。 此外，加入數據處理與優化機制如隨機翻轉、旋轉和縮放等來擴充訓練數據，提高模型的泛化能力。 構造基于深度學習的入侵檢測智能體還需要進行模型的訓練和優化。 通過預處理后的數據輸入深度學習模型，進行反向傳播和梯度更新，不斷調整模型的參數和權重，以提高模型的性能和準確性。 在訓練過程中，可以監控模型的損失函數和精度指標，及時調整訓練策略和參數配置，以達到最佳的入侵檢測效果。 除了模型的訓練，更多地使用遷移學習和集成學習等技術來提升入侵檢測智能體的性能。 遷移學習可以通過從相關領域的預訓練模型中學習到的知識來加速模型的訓練和提升性能。 集成學習則組合多個不同的模型來達到更好的分類效果和魯棒性。

構造基于深度學習入侵檢測智能體能夠利用深度學習模型的優勢和能力，實現對網絡數據的深入分析和入侵行為的準確識別。 智能體能夠有效應對復雜和多樣化的入侵攻擊，提高網絡入侵檢測系統的安全性和可靠性，通過優化模型訓練策略和引入相關技術，進一步提升入侵檢測智能體的性能和魯棒性。

2.3 設計入侵檢測智能體訓練策略

在無線通信網絡入侵檢測系統的設計中，合理的訓練策略對于構建高效的入侵檢測智能體至關重要。 訓練策略的設計涉及數據集的選擇和劃分、模型的訓練過程和優化方法等，旨在加大深度學習模型在入侵檢測任務上的性能和泛化能力。

數據集的選擇和劃分是設計訓練策略的首要考慮因素。 由于網絡入侵數據的獲取和標注相對困難，可以利用已有的公開數據集如KDD99 數據集進行模型訓練。 然而，這些數據集通常包含大量的正常流量，而入侵樣本相對較少。 為了解決數據不平衡問題，可以采用欠采樣、過采樣或基于生成對抗網絡的合成樣本生成方法來平衡數據集；模型的訓練過程應該充分利用訓練數據和驗證數據進行監控和調整。 在訓練過程中可以設置早停策略，即當模型在驗證集上的性能不再提升時停止訓練，以避免過擬合。 另外可以采用批量梯度下降法或隨機梯度下降法等優化算法來更新模型的參數和權重，設置合適的學習率和學習率衰減策略［3］。

為了提高模型的泛化能力和魯棒性，模型中引入正則化技術如L1 正則化、L2 正則化或迭代等。 正則化可以防止模型過擬合訓練數據，減少模型的復雜度，提高對未知樣本的預測能力。 另外在訓練過程中采用交叉驗證方法也極大地提升了模型和性能，將數據集劃分為訓練集、驗證集和測試集，評估模型在不同數據集上的性能，以驗證模型的魯棒性和泛化能力。 迭代的訓練過程中還可以進行模型的參數調優和超參數的搜索。 通過調整模型的超參數如學習率、批量大小、激活函數等，可以找到最佳的模型配置，提高模型的性能和訓練效果。 可以使用網格搜索、隨機搜索或貝葉斯優化等方法進行超參數的搜索和調優，同時考慮引入模型集成技術來進一步提升入侵檢測智能體的性能。

模型集成可以結合多個不同的深度學習模型或訓練出的不同版本模型來獲得更好的分類效果和魯棒性。 常用的模型集成方法包括投票法、堆疊法或權重融合等。

設計合理的入侵檢測智能體訓練策略，可以有效地加大深度學習模型在入侵檢測任務上的性能和泛化能力。合適的數據集選擇和劃分、模型訓練過程和優化方法的設計、正則化和參數調優、模型集成等都是構建高效入侵檢測智能體的關鍵要素。 通過優化訓練策略可以提高入侵檢測系統的準確性和魯棒性，實現對網絡入侵行為的及時識別和防御。

2.4 訓練與測試入侵檢測智能體訓練過程中的注意點

在設計無線通信網絡入侵檢測系統時，合理的訓練策略對于構建高效的入侵檢測智能體至關重要。 訓練策略的設計涉及數據集的選擇和劃分、模型的訓練過程和優化方法等，旨在加大深度學習模型在入侵檢測任務上的性能和泛化能力。 首先，數據集的選擇和劃分是設計訓練策略時的首要考慮因素，由于獲取和標注網絡入侵數據相對困難，可以利用已有的公開數據集，如NSL?KDD 數據集或UNSW?NB15 數據集進行模型訓練。 然而這些數據集通常包含大量的正常流量，而入侵樣本相對較少。 其次，為了解決數據不平衡的問題，可以采用欠采樣、過采樣或基于生成對抗網絡的合成樣本生成方法來平衡數據集。 可以提供更多的入侵樣本，從而更好地訓練入侵檢測模型。 再次，模型的訓練過程應充分利用訓練數據和驗證數據進行監控和調整。 在訓練過程中，應該定期評估模型在驗證集上的性能，并根據性能結果進行必要的調整。 如果模型在驗證集上的性能不再提升或開始下降，可以選擇停止訓練，以避免過擬合現象的發生。 此外還可以使用交叉驗證方法來評估模型的魯棒性和泛化能力，將數據集劃分為多個折疊，進行多次訓練和驗證，以更全面地評估模型的性能，以確保模型在不同數據集上都能表現良好。 最后，優化方法的選擇也對訓練過程的效果有重要影響，常用的優化方法包括隨機梯度下降算法等。 選擇合適的優化方法和調整參數可以加快模型的收斂速度，并提高模型的準確性和魯棒性。

3 提升深度學習在網絡入侵檢測系統中的實用性和效率的策略

數據集的選擇和劃分是設計訓練策略的首要考慮因素。 由于網絡入侵數據的獲取和標注相對困難，可以利用已有的公開數據集如KDD99 數據集進行模型訓練。 然而，這些數據集通常包含大量的正常流量，而入侵樣本相對較少［4］。 為了解決數據不平衡問題，可以采用欠采樣、過采樣或基于生成對抗網絡的合成樣本生成方法來平衡數據集。 迭代的訓練過程中還可以進行模型的參數調優和超參數的搜索。 通過調整模型的超參數如學習率、批量大小、激活函數等，可以找到最佳的模型配置，提高模型的性能和訓練效果。 可以使用網格搜索、隨機搜索或貝葉斯優化等方法進行超參數的搜索和調優。 模型集成技術可以進一步提升入侵檢測智能體的性能。 模型集成可以結合多個不同的深度學習模型或訓練出的不同版本模型來獲得更好的分類效果和魯棒性。 常用的模型集成方法包括投票法、堆疊法或權重融合等［5］。

4 系統測試與實驗結果分析

測試階段采用的KDD99 數據集源自麻省理工學院林肯實驗室的入侵檢測評估項目。 該項目的目的是分析當前的網絡安全技術，并為未來的網絡防御提供建議。 該數據集包含超過500 萬個數據樣本，每個樣本包含41 個特征和一個標簽。 在本研究中使用了484 021 個訓練數據和30 029 個測試數據。 標簽可以分為兩個主要類別，即“Normal（正常）”和“Attack（攻擊）”，而攻擊標簽又大致分為四類如表1 所示。

表1 數據標簽

本實驗采用準確率作為算法性能比較的評估標準，進行的是一個多分類任務，表2 為本文提出的TEST 模型與其他模型的對比。

從表2 中可以看出，TEST 比其他檢測系統快得多，準確率也大幅提高。 支持向量機模型，使用幾十萬級的數據進行培訓已經變得很困難。 支持向量機算法和卷積神經網絡算法具有極高的內存消耗、較高的硬件成本和較低的準確率。 綜合來看，與上述其他算法相比，輕量化的TEST更適合海量、高維數據的應用場景，并且可以避免梯度爆炸和消失。 本文設計的模型具有粒度平行加速運算的特點，在多核CPU 條件下，本文設計的模型效率更高。

5 結語

綜上所述，深度學習在無線通信網絡入侵檢測系統中的應用具有重要的研究價值和實際應用前景，為網絡安全提供了新的解決方案和保障。 深度學習在無線通信網絡入侵檢測系統中的實用性和效率與同類型的模型進行數據對比，具有顯著優勢，本文深入探索深度學習在網絡入侵檢測中的潛在價值，并提出一套實踐有效的方案，以增強網絡入侵檢測系統的準確度、穩健性和效率，為網絡安全領域的后續研究和實踐提供寶貴的參考。