文摘
许多研究利用机器学习计划来提高网络入侵检测系统。大多数的研究是基于手动提取特征,但这种方法不仅需要大量的劳动力成本,也失去了大量的原始数据中的信息,导致低的判断准确性和无法部署在实际情况。本文发展一种DL-IDS(深上优于入侵检测系统),它使用的混合网络卷积神经网络(CNN)和长期短期记忆网络(LSTM)提取网络流量的时空特性数据,并提供一个更好的入侵检测系统。减少的影响,不同的攻击类型的不平衡样本数量模型训练样本对模型性能,DL-IDS类别权重优化方法用于提高鲁棒性。最后,DL-IDS CICIDS2017测试,一个可靠的入侵检测数据集,涵盖了所有常见的,更新的入侵和网络攻击。multiclassification测试,DL-IDS总体精度达到了98.67%,和每个攻击类型的精度在99.50%以上。
1。介绍
1.1。背景
近年来,随着新兴通信和信息技术的快速发展等5 g通信、移动互联网、物联网、云计算和大数据,网络安全变得越来越重要。作为网络安全的一个重要研究内容,入侵检测已经被专家、学者关注。常见的问题在传统anomaly-based检测方法包括网络流量的准确特征提取和困难在构建攻击检测模型,从而导致高误报率当判断攻击流量。网络安全人员很难发现未知的威胁,这使得国防固有被动。换句话说,传统的方法已不再适用于今天的互联网按其庞大的数据规模。
近年来,许多学者研究如何使用人工智能(AI)来检测和分析网络流量对入侵检测和防御系统。哈桑et al。1)提出了一个基于随机子空间的组合整体学习模型(RS)学习方法与随机树(RT),发现网络攻击的SCADA利用SCADA-based物联网平台的网络流量。汗和Gumaei2)最受欢迎的机器学习方法相比对入侵检测的精度,精度,回忆,和培训时间成本。Alqahtani et al。3]提出GXGBoost模型来检测入侵攻击基于遗传算法和一个极端的梯度增加(XGBoost)分类器。Derhab et al。4)提出了一个安全体系结构集成区块链和软件定义网络(SDN)技术,专注于工业物联网的安全的命令对伪造的命令和命令的错误指向。当前的主流方法是基于机器学习的入侵检测系统(毫升)或深度学习(DL)。其中,ML-based系统主要分类和检测网络流量通过分析网络流量的手动提取特征,而DL-based系统不仅可以分析手动提取功能也自动提取功能从原来的流量。因此,DL-based系统可以规避人工特征提取问题,提高检测准确性与通用ML-based系统相比。
达到更高的精度,DL-based入侵检测方法需要大量的数据来训练,特别是不同类型的攻击流量数据。在实际环境和现有的数据集[KDD99, NSL-KDD, CICIDS2017],攻击流量总是少而正常的交通。此外,由于某些类型的攻击流量难以捕捉和模拟,用于模型训练的数据量特别小。这些问题极大地限制DL-based方法的准确性,使其很难判断某些类型的攻击。
1.2。重要的贡献
本文提出一种DL-based入侵检测系统,DL-IDS使用卷积神经网络(CNN)的混合网络和长期短期记忆网络(LSTM)提取网络流量数据的时间和空间特性来提高入侵检测的准确性。在模型训练阶段,DL-IDS使用类别权重优化模型。这种方法可以减少不平衡样本的数量的影响的几种攻击类型模型训练样本对模型性能和提高训练和预测的鲁棒性。最后,我们测试DL-IDS CICIDS2017数据集上的多个类型的网络流量进行分类和比较它与CNN-only模型,LSTM-only模型,和其他机器学习模型因为CICIDS2017最近原始网络流量数据集模拟真实情况。结果表明,DL-IDS总体精度达到了98.67%,和每个攻击类型的准确性高于99.50%,在所有模型实现最好的结果。
1.3。论文组织
本文的其余部分组织如下。部分2探讨了异常流量的分类按照先前发表的研究。部分3详细描述了数据集和数据预处理方法用于这项研究。用于流量分类的分类器结构和分类方法根据该模型中描述的部分4。部分5介绍了我们的模型评价各种hyperparameters的结果。部分6总结了纸和讨论潜在的未来发展趋势。
2。相关工作
与互联网的不断扩大,网络安全已经成为一个不容忽视的问题。恶意的网络行为如DDos和蛮力攻击往往是“混合成“恶意流量。安全研究人员寻求有效地分析恶意流量在一个给定的网络,以识别潜在的攻击,很快就阻止他们(5- - - - - -8]。
2.1。传统的入侵检测系统
传统的入侵检测方法主要包括统计分析方法(9),阈值分析方法(10),和签名分析方法(11]。这些方法确实揭示恶意交通行为;然而,他们需要安全人员输入数据相关的个人经历;这种效果,他们的各种规则和设置参数是非常低效的。说“体验”也只有一个总结的恶意流量行为发现,通常很难量化,因此这些方法很难适应大量的网络数据和动荡的今天的互联网的网络攻击。
2.2。入侵检测系统基于ML
机器学习中进步产生模型,有效地分类和集群通信网络安全的目的。早期的研究者尝试简单的机器学习算法classification-clustering问题在其他领域,比如k最近的邻居(资讯)12),支持向量机(SVM) [13),和自组织映射(SOM) [14NSL-KDD KDD99),具有良好的结果,美国国防部高级研究计划局,和其他数据集。这些数据集是过时了,不幸的是,和包含不仅正常数据,而且攻击数据过于简单。很难使用这些数据来模拟今天的高度复杂的网络环境。也很难达到预期的效果使用这些算法在一个相对较新的数据集分析恶意流量,我们的工作在本研究中即可见一斑。
2.3。基于深层神经网络的入侵检测系统
机器学习算法的成功通常取决于数据表示(15]。表示学习,学习也称为特性,在深层神经网络技术,可以用来学习的解释性因素变化背后的数据。马等人结合谱聚类和深层神经网络算法来检测入侵行为(16]。"等人深层的信念网络用于开发一个高效和灵活的入侵检测系统(17]。但这些研究方法构建模型学习表示从手工设计的交通特性,没有充分利用深层神经网络的能力。Eesa等人表明,较高的检测率和准确率较低的误警率可以通过使用改进的交通特性集(18]。学习功能直接从交通原始数据应该是可行的,如在计算机视觉领域和自然语言处理(19]。
两个最广泛使用的神经网络模型是CNN和RNN的深处。CNN使用原始数据直接输入到网络,不需要特征提取或图像重建,有相对较少的参数,需要相对较少的数据的过程。cnn已经被证明是非常有效的图像识别领域的(20.]。对于某些网络流量的协议,cnn可以通过快速训练表现良好。风扇和Ling-zhi [21]提取非常准确的功能通过使用多层CNN,在卷积层连接到抽样层以下;这个模型比经典检测算法(例如,SVM) KDD99数据集。然而,CNN只能分析一个输入包装不能分析时间信息在一个给定的交通场景。在现实中,一个包在攻击交通场景中是正常的数据。当大量的数据包发送同时或在短时间内,这个包就恶意流量。CNN在这种情况下不适用,在实践中可能会导致大量的错过了警报。
递归神经网络(RNN)也经常用于分析序列信息。LSTM RNNs的一个分支,表现良好在序列信息分析等自然语言处理应用程序。金等。22]相比LSTM-RNN网络对广义回归神经网络(GRNN),产品为基础的神经网络(并)k最近的邻居(资讯)、支持向量机、贝叶斯和其他在KDD99数据集发现算法优越于他们测试了方方面面。LSTM网络,然而,中心在一个序列之间的直接关系,而不是一个数据包的分析,所以在这方面无法轻易取代CNN。
吴和郭23)提出了一种分层CNN + RNN神经网络和NSL-KDD和UNSW-NB15数据集进行实验。许et al。24]和Ahsan Nygard [25)使用另一个CNN + LSTM模型执行multiclassification NSL-KDD数据集上的实验。哈桑et al。26)提出了一个混合深度学习模型来检测网络入侵基于CNN网络和体重锐减,长期短期记忆(WDLSTM)网络。本文主要进行了UNSW-NB15实验数据集。然而,这些研究仍然提前根据提取的特征。
Abdulhammed et al。27]Autoencoder和主成分分析用于降低CICIDS2017数据集的特征维度。由此产生的两种技术的低维特征被用于构建各种分类器来检测恶意攻击。Musafer et al。28)提出了一个新颖的IDS的体系结构,基于先进的稀疏Autoencoder和随机森林分类的模式的正常数据包的网络攻击并得到了很好的结果。
在这项研究中,我们采用了基于CNN和LSTM恶意流量分析方法提取和分析网络流量信息网络原始数据集的空间和时间维度。我们基于CICIDS2017数据集进行训练和测试,模拟真实的网络环境。我们进行了一系列的实验表明,该模型有助于非常有效的恶意流量分析。
3所示。数据集和预处理
3.1。数据集
IDS是最重要的对复杂和大型的网络攻击的防御工具,但缺乏可用的公共数据集阻碍了其进一步发展。许多研究人员已经使用私有数据在一个公司或进行手动测试IDS数据收集应用程序,这在一定程度上影响他们的结果的可信度。KDD99和NSL-KDD等公共数据集29日)组成的数据包括手动选择流而不是原始网络流量特征。数据收集的时间也是过时的相比,现代的攻击方法。
在这项研究中,为了最好的反映真实的交通场景在现实网络以及更新的攻击手段,我们选择CICIDS2017数据集(加拿大网络安全研究所)30.)包含良性交通和最新的常见攻击交通代表一个真正的网络环境。这个数据集结构的抽象行为25用户基于HTTP、HTTPS、FTP、SSH和电子邮件协议来准确地模拟真实的网络环境。数据捕获期是从7月3日上午9点,2017年7月7日下午5点,2017;总共51.1 g数据流生成在这五天的时间。攻击的攻击流量收集包括八个类型:FTP-Patator, SSH-Patator, DoS, Heartbleed,网络攻击,渗透,僵尸网络,DDoS。如表所示1,袭击是周二,周三,周四,周五上午和下午。周一全天正常交通生成和非主动期间从周二到周五。这个数据集的数据类型是一个pcap文件。
获取数据集后,我们分析了原始数据和后续评估选定的七个类型的数据的数据量及其噪声率。他们是正常的,FTP-Patator SSH-Patator DoS, Heartbleed,渗透和端口搜索。
3.2。网络流量分类方法
CICIDS2017数据集的格式是一个每天pcap文件。这些pcap文件包含大量的信息,这是不利于训练机。因此,基于机器学习的流量分类的首要任务就是将连续pcap文件分成几个离散单元根据一定的粒度。有六片网络流量的方法:通过TCP连接,通过网络流,通过会话、服务类和主机。当原始交通数据根据不同的分割方法,它分裂成不同的形式,所以选择的网络流量分类方法明显影响随后的分析。
在这项研究中我们采用了一个会话切分方法。会话的任何包包含一个双向流动,也就是说,任何包有相同的四(源IP、源端口、目的IP,目的港,和传输层协议)和可互换的源地址和目的地址和端口。
3.3。数据预处理
数据预处理始于原始流,即pcap格式的数据,格式化模型输入数据。CICIDS2017数据集提供了一个原始pcap格式的数据集和一个CSV文件详细的一些流量。将原始数据转换成输入格式的模型,我们进行了时间分割,交通分割,PKL文件生成,PKL文件标签,矩阵生成,one_hot编码。这个过程的一个流程图如图1。
步骤1(时分)。时间分割是指拦截pcap文件相应的从原始pcap文件根据攻击时间和类型(30.]。输入格式,pcap文件;输出格式仍然是一个pcap文件。相对应的时间段的具体类型和文件的大小如表所示2。
步骤2(交通分割)。交通分割是指将在步骤1中获得的pcap文件划分为相应的会话的根据IP分片攻击受害者主机和主机对应每个时间段(31日]。具体的过程如图2。这一步需要分解步骤1的pcap文件到相应的流量使用pkt2flow [31日),pcap包分割成(即流格式。,the original pcap package is divided into different pcap packages according to the flow with different five-tuples). Next, the pcap package is merged under the premise that the source and destination are interchangeable. Finally, the pcap package of Step 1 is divided into sessions.
步骤3(生成PKL文件)和步骤4(标签PKL文件)。如表所示1,pcap文件提取后仍然是规模大;这将创建一个数据模型中阅读所面临的严峻挑战。加快数据的阅读过程中,我们打包在Python中使用泡菜的交通工具。我们使用端口搜索类型交通作为这里的包装过程的一个例子。在这个类中,许多会话生成步骤2后,每一个都是保存在一个pcap文件。我们生成一个标签为每个会话相应的攻击类型。每个会话包含多个数据流,每个数据流包含一个n1包。然后,我们拯救了n2会议在PKL文件加快阅读的过程数据。n1可以根据需要改变;根据实验结果,我们最终选择的最佳值,也就是说,n1= 8。的价值n2可以通过公式计算(1)。在这种情况下,我们到一个PKL文件打包的每种类型的会话。整个PKL文件的结构如图3。
第五步(矩阵生成)。模型的输入必须有一个固定长度,因此下一步是统一每个会话的长度。每种攻击之间的区别主要是头部,所以我们处理PACKET_LEN字节的数据包根据统一的长度;如果数据包的长度大于PACKET_LEN字节被拦截,如果包长度小于PACKET_LEN,字节满心1。每个会话然后分成一个矩阵MAX_PACKET_NUM_PER_SESSION∗PACKET_LEN。根据我们的实验结果,我们最终选择了MAX_PACKET_NUM_PER_SESSION 8和PACKET_LEN 40。
步骤6 (one_hot编码)。有效学习和分类模型,第五步的数据处理通过one_hot编码将定性特征转化为定量的特点: 在哪里B一个字节的数据包;num是用来编码one_hot编码。在模型中实现,全国矿工工会= 1,有点one_hot编码的字节,系列符号,是一个字节的one_hot编码。
4所示。DL-IDS架构
本节介绍我们DL-IDS内置的流量分类器,它使用的组合CNN和LSTM学习和分类交通数据包在时间和空间。根据不同的特点,不同类型的流量,我们也使用类的重量来提高模型的稳定性。
分类器的总体架构如图4。的分类器是由CNN和LSTM。CNN部分由一个输入和嵌入式层,卷积图层1,池层2,卷积第三层,池第四层和连接层5。在接收一个预处理PKL文件,CNN部分处理它,并返回一个高维向量LSTM部分包。LSTM部分由LSTM层6 LSTM层7,完整连接8层和输出层。它可以处理一系列的高维包的概率向量和输出向量表示会话属于每个类。将Softmax层输出最终结果的分类根据概率向量。
4.1。CNN在DL-IDS
我们把数据包从预处理获得的数据转化为交通形象。所谓的交通图像全部或部分的结合位的值的网络流量包成一个二维矩阵。网络中的数据流量包组成的字节。字节的值范围是0 - 255,也就是在图像字节的值范围。我们把x头包和字节y字节的有效载荷,组合成一个交通图像后续处理,如下面所讨论的。
如前所述,CNN部分由输入和嵌入层,卷积图层1,池层2,卷积第三层,池第四层和完整的连接层5。我们结合卷积组合层1和池层2到我和卷积的第3层和第4池层组合II。每个组合允许输入层特征从不同角度的分析。我,卷积相结合层小卷积内核用于提取当地交通图像细节特征(如IP和端口)。明确的特性和在池层可以得到稳定的结果。结合二世,一个大型卷积内核是用于分析之间的关系远的两位,在交通载荷等信息。
预处理和one_hot编码后,网络流量构成的输入向量输入层。在输入层、长度信息中被拦截我th包 其次是合成年代的n包裹年代信息集 。
公式3显示了一个卷积层,f卷积的边长是内核。在两个卷积层,f= 7,f= 5。年代步,p填充,b是偏见,是重量,c通道,l层,的大小是 ,和 的像素映射相应的特性。另外 。
卷积层包含一个激活函数(公式4)协助复杂特性的表达。K是渠道的数量特征图和代表的输出向量Z通过激活函数向量。分别采用乙状结肠和ReLU,后两个卷积层。
在卷积层特征提取后,输出图像传输到汇聚层特征选择和信息过滤。池层包含一个预设池功能,替换一个单点的结果特性的功能映射图统计的邻近地区。池层是由公式计算5,在那里p是指定的参数。我们应用的最大池在这项研究中,也就是说, 。
我们也使用了反向传播算法来调整模型参数。在权重调整算法公式6),是δ错误损失函数的层,然后呢是学习速率。
我们使用了绝对熵算法在损失函数。为了减少训练时间,提高梯度下降法的准确性,我们使用了RmsProp优化函数来调整学习速率。
两个卷积和池操作后,我们整个交通图像提取到一个更小的功能块,代表整个流量包的特征信息。块可以送入RNN系统作为一个RNN的输入层。
4.2。在DL-IDS LSTM
进行正常的网络通信和网络攻击都是根据一定的网络协议。这意味着攻击数据包必须安置在交通和网络协议的数据包包含固定部分,如正常的连接机构,主要交流、连接和断开连接。在正常的部分攻击流量,没有数据可以用来确定数据包的目的是引起攻击。单独使用一个CNN来训练一个数据包的特征作为判断系统的基础交通的性质使得数据难以马克,叶子太多交通“脏”数据,并产生完全糟糕的训练结果。在这项研究中,我们通过引入LSTM弥补这一点,将单个连接的数据(从起始到断开)作为一个整体和法官说组中的所有数据包的特征和它们之间的关系为基础来判断交通的本质。自然语言处理模型执行在交通信息处理(32)在一个类似的方法分组判决方法。
LSTM部分由LSTM层6 LSTM层7,完整的连接层8,Softmax和输出层。主要功能是两个LSTM层来实现的。LSTM是一个特殊的RNN旨在解决梯度消失和梯度爆炸问题在长序列的过程中训练。一般只有一个双曲正切RNN网络层,而LSTM网络执行更好的处理时机通过他们独特的遗忘和选择性记忆盖茨预测。在这里,我们调用LSTM节点细胞 ,输入和输出的和 ,分别。
LSTM层的第一步是确定哪些信息的模型将丢弃电池状态。这个决定是由通过忘记门(公式7)。门读和和输出值在0和1之间的每个数字细胞状态;1的意思是“完全保留”,0表示“完全丢弃。”W和b分别的重量和偏见的神经网络。
下一步是决定多少新的信息添加到细胞状态。首先,乙状结肠层确定哪些信息需要更新(公式8)。一个层生成一个向量作为替代更新公式9)。然后两部分合并成一个更新的状态电池(公式10)。
门的输出决定了电池的输出。首先,乙状结肠层决定了细胞的哪些部分国家出口(公式11)。接下来,通过处理细胞状态−1和1之间的函数来获取一个值,然后乘以乙状结肠门的输出。输出相应的决定(公式12)。
在提出的模型中,该特性的地图n数据包在一群交通图像LSTM作为输入的连接的部分。该特性之间的关系n通过两个LSTM层数据包进行分析。最初的几包可以用来建立连接;这样的包可能存在于正常的数据流,但他们也可能发生在攻击数据流。接下来的几包可能包含长载荷以及攻击数据。LSTM发现包含攻击的组织数据和标记所有数据包的整个团体攻击组。
LSTM层6在DL-IDS线性激活函数设计尽量减少训练时间。LSTM层7通过ReLU非线性激活函数。流包含multiclassification系统,因此模型训练减少多级叉。我们没有更新所有权重量每一步,而是只需要添加各种类型的初始重量根据体积的数据。
4.3。重量的类
预处理后的数据如表所示3,很明显,不同的数量(“数字”)数据类型是不均匀的。0型的数量是最高的,而这些类型2和4都是最低的。这可能会影响最终的学习结果分类。例如,如果机器判断所有交通类型0时,模型的准确性似乎是相对较高。我们介绍了类的权重来解决这个问题:类与不同的样本数据的分类有不同的权重,class_weight设置根据样本的数量,和是用来代替1惩罚的错误样本。class_weight越大,意味着一个更加重视。与不考虑重量相比,更多的样本分为高体重类。
类的重量通过公式计算13,在那里代表类的类我和代表的流量类我。
当训练模型,加权损失函数公式14使模型更加关注弱势样本类。K类别的数量,y标签(如果样品类别是什么我,然后 ;否则 )和p神经网络的输出,这是概率模型预测,类别是什么我Softmax和计算的这个模型。损失函数J定义如下:
5。实验结果和分析
我们评估该模型的性能CICIDS2017数据集使用一系列的选择参数:(1)数据包的长度的影响,参与培训;(2)每个流的数据包数量的影响;(3)选择批量大小的影响;(4)LSTM的单位数量的影响;(5)类的重量的影响。我们相应地优化DL-IDS参数,然后比较他们反对CNN和独家LSTM独家。的比例训练集,验证集和测试集是18:1:1。
5.1。指标
我们采用了四个常用的参数评估入侵检测系统:准确性(ACC),真阳性率(TPR),假阳性率(玻璃钢),F1-score。ACC代表模型的整体性能,TPR代表真正的阳性样本的比例在当前积极的所有积极的样本,样本和玻璃钢代表真正的负样本的比例错误地分配到正样本类型的总数负样本。召回代表的数量真阳性的数量除以真阳性和假阴性。精密代表积极的预测的数量除以总数量的积极类值预测。F1-score分分类器的精度和加权调和平均数的定义是分类器的精度和召回措施。
为每个类型的攻击,TP样本正确分类为这种类型的数量,TN是样本正确分类的数量不是这种类型,FP是样本正确分类为这种类型的数量,和FN是样本正确分类的数量不是这种类型。的定义TP、TN、FP和FN在图5。
5.2。实验环境
实验配置我们用来评估模型参数是描述表4。
5.3。LSTM单位数量对模型性能的影响
LSTM中的单位代表的数量模型的输出尺寸。在我们的实验中,我们发现,模型性能首先增强,然后开始下降随着LSTM单位数量的不断增加。我们最终选择85作为最优数量的LSTM单位。
5.4。培训包长度对模型性能的影响
图6显示了ACC的变化,TPR,玻璃钢增加数据包的长度在训练中提取。根据训练结果,模型性能显著下降时,包长度超过70。可能过长培训数据包增加数据包的比例小于当前包长度,从而增加单位的中值的比例−1,从而减少模型的准确性。然而,数据包必须超过一定长度,确保有效、可靠和科学内容投入训练。这也可以防止过度拟合效果和提供更准确的分类能力的数据包偏头相似。我们发现,长度为40是最优的。
条件下,包长度是40,DL-IDS入侵检测系统的效率和性能识别各种交通如表所示5。
5.5。个流数据包数量对模型性能的影响
数据包的数量在每个流参与培训过程增加,模型会变得更明显的特征提取和识别模型的准确性提高。然而,如果这个数字太高,填充数据包的比例增加,从而影响模型提取特征的能力。图7显示每个流的数据包数量的影响模型的性能。我们发现当数据包的数量在每个流超过8中,模型的性能显著下降。我们选择了8个流数据包数量的最优价值的网络。
5.6。批量大小对模型性能的影响
批量大小是一个重要的参数在模型训练过程中。在一个合理的范围内,增加批量大小可以提高内存利用率,加快数据处理。如果增加到不恰当的程度,但是,它可以显著降低的过程。如图8,我们发现一批规模20是最优的。
5.7。类体重对模型性能的影响
表6显示了两组实验结果的比较有和没有类权重。介绍类的重量似乎减少不平衡数据的数量的影响CICIDS2017各种类型的数据集对模型性能。
5.8。模型评价
LSTM单元能有效地提取数据包之间的时间关系。表7显示了一个比较DL-IDS之间的精度模型和模型与CNN或LSTM孤单。LSTM单位SSH-Patator似乎有效地提高识别效率,渗透,端口搜索,和其他攻击流量提升模型的性能,可能由于这些攻击的明显的时机。独自LSTM模型相比,然而,添加一个CNN进一步提高大多数攻击流量的识别效率。如表所示7,提出DL-IDS入侵检测模型误警率很低,可以网络流量分类更准确地比CNN或LSTM孤单。
表8显示了一个使用CNN和LSTM比较模型与传统的机器学习算法(33]。DL-IDS模型达到最佳性能,ACC最大的价值和玻璃钢最低价值。
数据输入DL-IDS原始网络流量。没有特殊的模型中特征提取;训练和测试时间包括特征提取时间。传统的机器学习算法不考虑数据提取或处理时间,所以我们无法直接比较不同算法的时间消耗在桌子上8。模型的训练时间和测试时间是在600年代和100年代,分别,所以我们相信DL-IDS达到最佳的检测效果在相同的时间内传统算法。
6。结论和未来的研究方向
在这项研究中,我们提出了一个名为DL-IDS DL-based入侵检测系统,利用混合的卷积神经网络(CNN)和长期短期记忆(LSTM)从网络数据流中提取特征,分析了网络流量。在CNN和LSTM DL-IDS,分别提取单个包的空间特性和时间特性的数据流,最后融合,提高入侵检测系统的性能。此外,DL-IDS使用类别权重的优化训练阶段。这种优化方法减少了不良的数量不平衡样本训练集的攻击类型,提高了模型的鲁棒性。
评估拟议的系统,我们尝试CICIDS2017数据集,由研究人员经常使用的基准。正常交通数据和一些攻击数据的六个典型类型的FTP-Patator, SSH-Patator, Dos, Heartbleed渗透,选择端口搜索测试DL-IDS检测攻击数据的能力。此外,我们也使用相同的数据来测试CNN-only模型,LSTM-only模型,和一些常用的机器学习模型。
结果表明,总体精度和F1-score DL-IDS达到98.67%和93.32%,分别比执行所有机器学习模型。同时,与CNN-only模型和LSTM-only模型相比,DL-IDS在所有攻击类型的准确性达到99.50%以上,取得了最佳的性能在这三个模型。
还有某些缺点提出的模型,包括低检测准确性Heartbleed和SSH-Patator攻击由于数据缺乏。生成对抗网络(GAN)可能被认为在一定程度上克服缺点。此外,结合一些传统的交通特性可以提高模型的整体性能。我们计划通过进一步的研究来解决这些问题。
数据可用性
数据将根据要求提供。
的利益冲突
作者宣称没有利益冲突。
确认
这项研究是由北京自然科学基金批准号下下4194086,中国国家自然科学基金批准号61702043,和河北省的主要研发项目批准号201313701 d。