2024年5月10日发(作者:宰滨海)
企业科技创新
2022年第12期(总第494期)
基于ECA-ResNet的入侵检测模型研究
郝宽,李昊,姜伟
(哈尔滨师范大学计算机科学与信息工程学院,黑龙江哈尔滨150025)
【摘要】
随着网络技术的不断普及,人们的生活变得十分便利。入侵检测作为网络安全
的一项重要技术,随着机器学习的发展,很多学者将机器学习用于入侵检测。深度学
习作为当下的热门研究领域,在计算机视觉方面有着出色的表现,卷积神经网络能够
学习数据的特征,对数据进行分类。由于ResNet通过增加残差结构在卷积神经网络
中能够增强模型的稳定性,文章提出一种基于ECANet-ResNet的网络入侵检测模型。
现在的很多数据集都存在数据不平衡的问题,导致模型检测结果不理想,文章使用
SMOTETomek混合采样算法对数据集进行处理,增大小样本数据的比例,结果显示
比未处理的数据集准确率有所提高。通过实验对比分析,此模型具有较高的准确率、
精确率和F1值。
【关键词】
ResNet;通道注意力;卷积神经网络
【中图分类号】文献标识码】A【文章编号】1674-0688(2022)12-0028-03
TH865
【
0引言
随着网络技术的快速发展,互联网已经成为人们生活
中必不可少的工具。网络技术应用广泛的同时,也会伴随
着很多网络安全问题,尤其是对网络使用者来说,网络是
否安全也是其考虑的重要因素。网络不安全会导致一系列
不可挽回的损失,所以对网络安全问题的研究在当下和未
来有着极为重要的作用。网络流量由一系列的信息组成,
如协议类型、端口信息等,机器学习通过对大量的数据进
行分析,最后判断出网络流量是否为攻击流量,从而达到
拦截恶意流量的目的。
卷积神经网络(CNN)采用局部连接和权值共享的方
式,减少了权值的数量,使得网络易于优化,同时降低了
系统复杂度。CNN具有很好的容错能力、并行处理能力和
自学习能力,同时具有较强的泛化能力,是一种深度的监
督学习下的机器学习模型,适应能力极强,善于挖掘数据
局部特征,提取全局训练特征和分类。将网络流量数据输
入CNN中
[1]
,通过学习输入和输出间的映射关系,得到理
想的模型。通过卷积网络学习网络流量的特征信息,得到
理想的分类模型,达到识别恶意流量的效果。
侵检测技术结合,从而提高检测的准确率。Mohammad
NoorInjadat等
[2]
提出了一种新的多阶段优化的基于机器学
习的NIDS框架,该框架在保持检测性能的同时降低了计
算复杂度。
通过上述分析可知,机器学习由于其出色的学习能力
已经广泛应用于入侵检测领域
[3]
,深度学习能更深一步地
学习网络流量特征,更好地分辨出攻击流量
[4]
。本文提出
了基于ECA-ResNet的网络入侵检测模型,该模型结合
了残差网络ResNet
[5]
和通道注意力机制ECANet,E-
CANet对不同的任务可以根据输入进行特征分配,提高模
型检测效率。此外,ResNet可以解决因为网络深度过深
而导致的梯度消失和网络退化问题。
2入侵检测模型构建
入侵检测模型主要分为以下3个部分:第一,将数据
进行预处理,原始的数据集不能够直接输入模型中进行训
练,需要将训练集和测试集处理成为能够满足模型使用的
数据。第二,将处理好的训练集数据输入构建的网络中进
行训练。第三,使用测试集对训练好的模型进行检测。模
型结构如图1所示。
1相关工作
入侵检测概念于1980年由JamesAnderson提出,
并不断发展。入侵检测技术是网络安全中的一项重要技术,
旨在保护网络中数据的完整性、可用性和机密性,使数据
免受攻击。目前,国内外对入侵检测方面进行广泛的研究。
随着机器学习的研究推进,研究人员开始将机器学习与入
2.1数据预处理
由于深度学习的模型输入为数字形式,而数据集网络
流量中的数据不是全为数字,有3项为字符型数据,所以
需要将字符型数据转化为数值型。本文使用One-hot编
码方式进行类型转化。将Protocol_Type、Service、Flag
3个特征转化为数字类型,如Protocol_Type有Tcp、
【作者简介】郝宽,男,哈尔滨师范大学计算机科学与信息工程学院硕士研究生,研究方向:网络与信息安全;李昊,男,哈尔滨师范大学计算机
科学与信息工程学院硕士研究生,研究方向:网络与信息安全;姜伟,男,哈尔滨师范大学计算机科学与信息工程学院副教授,硕士研究生导
师,研究方向:网络与信息安全。
28
QiyeKejiYuFazhan
Copyright©博看网. All Rights Reserved.
2022年第(总第494期)
12期企业科技创新
图1入侵检测模型结构
会达到更好的效果,但是人们发现随着网络层数的不断增
加,训练结果却恰恰相反。这是由于随着网络深度的增加
会产生网络退化问题。残差网络由直接映射部分和残差部
分两个部分构成,它的下一层的输入是上一层的输出和残
差相加而得到的。ResNet通过增加残差结构使网络没有
学到东西也不会比之前学到的更差。本文将ResNet用于
入侵检测模型的构建。
模型网络结构如图2所示,在卷积层后加入BN层可
以加快网络的训练收敛速度,防止梯度爆炸问题,使用
RELU激活函数,RELU激活函数的稀疏性使模型能够更
有效地挖掘数据特征。本网络使用RELU函数作为激活函
数。Dropout层通过随机减少一些神经元,保留剩余的神
经元进行训练,每个Batch更新不同的权重,最后集成在
一起,能够起到防止拟合的作用。
Udp和Icmp3种属性,经过One-hot编码处理后为
001、010、100。
为了加快模型的训练和收敛,对数据进行归一化处理,
归一化能够消除奇异样本数据导致的不良影响。将所有数
据映射到[0,1]的区间内方便模型训练。
x
n
=
x-x
min
x
max
-x
min
其中,x为原始特征,x
max
、x
min
为每一维所有特征值
中的最大值和最小值,x
n
是进行归一化处理后的值。
2.4通道注意力机制
通道注意力机制在计算机视觉领域取得了很好的效果,
通过给每个通道分配权重使网络关注更重要的特征来提高
网络模型的效率,ECANet能够在不降维的情况下进行这
项工作,避免降维带来的副作用。通过构建ECA-ResNet
2.2数据平衡处理
数据集中的一些攻击类型的数量很少,在训练中模型
很难很好地对数据特征进行充分的学习,导致一些类型的
检测精度很低,目前的入侵检测研究中不少研究者将数据
采样技术用于数据集的处理。GOZDEKARATAS等根据
攻击类型数量平衡提高系统的效率及减少分类错误的情况,
通过使用过采样技术(SMOTE)的合成数据生成模型降低
不平衡率。对次要类执行数据生成,并通过该技术将其数
量增加到平均数据大小。该方法使得少数类入侵流量的检
测效率有所提升
[6]
。本文采用SMOTETomek综合采样方
法对数据集进行处理,增加小样本数据的比例,提高罕见
攻击类型的检测效率。使用SMOTETomek算法对Kdd
训练集中的R2L和U2R进行采样,增加其在训练集中的
比例,使网络能够对充分学习流量的特征,从而提升罕见
攻击的检测率。
SMOTE算法首先找到一个要进行采样的样本,然后
找到其周围的K个邻近样本,随机选择其中一个,然后在
它们两个之间随机找到一个点生成样本。TomekLink算
法将处于边界的互为最邻近点的正反例样本进行删除,使
得能有一个明显的界限在正反样本之间。两个算法进行结
合,能够避免SMOTE算法产生的数据拟合问题。
图2网络结构
2.3模型构建
人们认为随着网络深度的增加,网络拟合能力会更高,
入侵检测模型,运用ResNet解决网络退化和梯度消失问
题,利用ECANet通道注意力机制选取重要特征,提高模
型效率。
QiyeKejiYuFazhan
29
Copyright©博看网. All Rights Reserved.
企业科技创新
2022年第12期(总第494期)
3仿真与分析
3.1数据集选择
选用的KDD99数据集,是使用较普遍的网络入侵检
测数据集之一。数据集中存在拒绝服务(Dos)、探测
(Probe)、用户到根(U2R)和远程到本地(R2L)4种攻击
和正常(Normal)流量。该数据集包含41个体征,其中
Protocol_Type、Service、Flag为字符型特征。在使用时
需要将这3类特征转换为数值型。1~9特征为数据包中
的包头信息,10~22特征为原始数据包的信息,通过这
些信息系统可以访问有效载荷,23~31特征包含了一些
链接计数和速率的相关信息,32~41特征是对一些链接
进行的相关内容。
训练集选用10%的KDD99数据集,测试集采用
corrected数据集,数据集中的类型分类见表1。
表1
数据类型样本总数
训练集
测试集
494021
311029
Normal
97278
60593
F1-Score=
2×Precision×Recall
Precision+Recall
(4)
3.4实验结果
使用测试集对建立模型进行分析,与其他算法进行对
比结果见表2。
表2
模型名称
CNN
CNN-GRU
本文模型
准确率
0.9206
0.9249
0.9320
实验结果对比
精确率
0.7229
0.7327
0.7594
召回率
0.9833
0.9939
0.9779
F1值
0.8333
0.8435
0.8548
从表2可以看出本模型的准确率、精确率和F1值比
其他模型略高,但是召回率稍差。
4结语
对网络安全中的入侵检测问题进行了分析,提出了一
种将通道注意力机制加入残差网络入侵检测的模型。通过
卷积操作对网络流量进行分析,提取其中的特征,区分正
常数据和攻击数据,实验结果与其他模型对比准确率、精
确率和F1值较其他模型有一定提高。虽然通过采样技术
检测准确率有所提高,但是召回率还有待提高,所以还需
加强这方面的研究。
数据集分布
Dos
391458
229853
Probe
4107
4166
R2L
1126
16189
U2R
52
228
3.2实验环境
Intel(R)Core(TM)i5-8300HcCPU、16GB内存、
NVIDIAGeForceGTX1060显卡、64bitWindows10
操作系统、环境:Python3.10、Pytorch1.12.1等。
参考文献
[1]杭梦鑫,陈伟,张仁杰.基于改进的一维卷积神经网络
的异常流量检测[J].计算机应用,2021,41(2):
433-440.
[2]INJADATMN,MOUBAYEDA,NASSIFAB,et
al.Multi-stageoptimizedmachinelearningframew-
orkfornetworkintrusiondetection[J].IEEETrans-
actionsonNetworkandServiceManagement,2020,
18(2):1803-1816.
[3]王振东,张林,李大海.基于机器学习的物联网入侵检
测系统综述[J].计算机工程与应用,2021,57(4):18-
27.
[4]张昊,张小雨,张振友,等.基于深度学习的入侵检测
模型综述[J].计算机工程与应用,2022,58(6):
17-28.
[5]HEK,ZHANGX,RENS,ETAL.Deepresidual
learningforimagerecognition[C]//Proceedingsof
theIEEEConferenceonComputerVisionand
Patternrecognition.2016:770-778.
[6]Increasingtheperformanceofmachinelearning-
basedIDSsonanimbalancedandup-to-date
dataset[J].IEEEAccess,2020,8:32150-32162.
[7]张阳,张涛,陈锦,等.基于SMOTE和机器学习的网
络入侵检测[J].北京理工大学学报,2019,39(12):
1258-1262.
3.3评价指标
通过准确率、精确率、召回率、F1值对模型进行评
价。将正常流量看为正样本,攻击流量看为负样本。
(1)真阳(TruePositive,TP):正类被分类为正类。
(2)真阴(TrueNegative,TN):负类被分为负类。
(3)假阳(FalsePositive,FP):负类被分为正类。
(4)假阴(FalseNegative,FN):正类被分为负类。
准确率为预测正确的样本和所有样本的比值:
TP+TN
ACC=
(1)
TP+FN+FP+TN
精确率(Precision)为分类正确的正样本与预测为正
样本的比值:
Precision=
TP
(2)
TP+FP
召回率(Recall)为分类为正确的正样本和真正为正
样本的比值:
Recall=
TP
(3)
TP+FN
F1值为使用精确率和召回率进行综合评价的一个指
标:
30
QiyeKejiYuFazhan
Copyright©博看网. All Rights Reserved.
2024年5月10日发(作者:宰滨海)
企业科技创新
2022年第12期(总第494期)
基于ECA-ResNet的入侵检测模型研究
郝宽,李昊,姜伟
(哈尔滨师范大学计算机科学与信息工程学院,黑龙江哈尔滨150025)
【摘要】
随着网络技术的不断普及,人们的生活变得十分便利。入侵检测作为网络安全
的一项重要技术,随着机器学习的发展,很多学者将机器学习用于入侵检测。深度学
习作为当下的热门研究领域,在计算机视觉方面有着出色的表现,卷积神经网络能够
学习数据的特征,对数据进行分类。由于ResNet通过增加残差结构在卷积神经网络
中能够增强模型的稳定性,文章提出一种基于ECANet-ResNet的网络入侵检测模型。
现在的很多数据集都存在数据不平衡的问题,导致模型检测结果不理想,文章使用
SMOTETomek混合采样算法对数据集进行处理,增大小样本数据的比例,结果显示
比未处理的数据集准确率有所提高。通过实验对比分析,此模型具有较高的准确率、
精确率和F1值。
【关键词】
ResNet;通道注意力;卷积神经网络
【中图分类号】文献标识码】A【文章编号】1674-0688(2022)12-0028-03
TH865
【
0引言
随着网络技术的快速发展,互联网已经成为人们生活
中必不可少的工具。网络技术应用广泛的同时,也会伴随
着很多网络安全问题,尤其是对网络使用者来说,网络是
否安全也是其考虑的重要因素。网络不安全会导致一系列
不可挽回的损失,所以对网络安全问题的研究在当下和未
来有着极为重要的作用。网络流量由一系列的信息组成,
如协议类型、端口信息等,机器学习通过对大量的数据进
行分析,最后判断出网络流量是否为攻击流量,从而达到
拦截恶意流量的目的。
卷积神经网络(CNN)采用局部连接和权值共享的方
式,减少了权值的数量,使得网络易于优化,同时降低了
系统复杂度。CNN具有很好的容错能力、并行处理能力和
自学习能力,同时具有较强的泛化能力,是一种深度的监
督学习下的机器学习模型,适应能力极强,善于挖掘数据
局部特征,提取全局训练特征和分类。将网络流量数据输
入CNN中
[1]
,通过学习输入和输出间的映射关系,得到理
想的模型。通过卷积网络学习网络流量的特征信息,得到
理想的分类模型,达到识别恶意流量的效果。
侵检测技术结合,从而提高检测的准确率。Mohammad
NoorInjadat等
[2]
提出了一种新的多阶段优化的基于机器学
习的NIDS框架,该框架在保持检测性能的同时降低了计
算复杂度。
通过上述分析可知,机器学习由于其出色的学习能力
已经广泛应用于入侵检测领域
[3]
,深度学习能更深一步地
学习网络流量特征,更好地分辨出攻击流量
[4]
。本文提出
了基于ECA-ResNet的网络入侵检测模型,该模型结合
了残差网络ResNet
[5]
和通道注意力机制ECANet,E-
CANet对不同的任务可以根据输入进行特征分配,提高模
型检测效率。此外,ResNet可以解决因为网络深度过深
而导致的梯度消失和网络退化问题。
2入侵检测模型构建
入侵检测模型主要分为以下3个部分:第一,将数据
进行预处理,原始的数据集不能够直接输入模型中进行训
练,需要将训练集和测试集处理成为能够满足模型使用的
数据。第二,将处理好的训练集数据输入构建的网络中进
行训练。第三,使用测试集对训练好的模型进行检测。模
型结构如图1所示。
1相关工作
入侵检测概念于1980年由JamesAnderson提出,
并不断发展。入侵检测技术是网络安全中的一项重要技术,
旨在保护网络中数据的完整性、可用性和机密性,使数据
免受攻击。目前,国内外对入侵检测方面进行广泛的研究。
随着机器学习的研究推进,研究人员开始将机器学习与入
2.1数据预处理
由于深度学习的模型输入为数字形式,而数据集网络
流量中的数据不是全为数字,有3项为字符型数据,所以
需要将字符型数据转化为数值型。本文使用One-hot编
码方式进行类型转化。将Protocol_Type、Service、Flag
3个特征转化为数字类型,如Protocol_Type有Tcp、
【作者简介】郝宽,男,哈尔滨师范大学计算机科学与信息工程学院硕士研究生,研究方向:网络与信息安全;李昊,男,哈尔滨师范大学计算机
科学与信息工程学院硕士研究生,研究方向:网络与信息安全;姜伟,男,哈尔滨师范大学计算机科学与信息工程学院副教授,硕士研究生导
师,研究方向:网络与信息安全。
28
QiyeKejiYuFazhan
Copyright©博看网. All Rights Reserved.
2022年第(总第494期)
12期企业科技创新
图1入侵检测模型结构
会达到更好的效果,但是人们发现随着网络层数的不断增
加,训练结果却恰恰相反。这是由于随着网络深度的增加
会产生网络退化问题。残差网络由直接映射部分和残差部
分两个部分构成,它的下一层的输入是上一层的输出和残
差相加而得到的。ResNet通过增加残差结构使网络没有
学到东西也不会比之前学到的更差。本文将ResNet用于
入侵检测模型的构建。
模型网络结构如图2所示,在卷积层后加入BN层可
以加快网络的训练收敛速度,防止梯度爆炸问题,使用
RELU激活函数,RELU激活函数的稀疏性使模型能够更
有效地挖掘数据特征。本网络使用RELU函数作为激活函
数。Dropout层通过随机减少一些神经元,保留剩余的神
经元进行训练,每个Batch更新不同的权重,最后集成在
一起,能够起到防止拟合的作用。
Udp和Icmp3种属性,经过One-hot编码处理后为
001、010、100。
为了加快模型的训练和收敛,对数据进行归一化处理,
归一化能够消除奇异样本数据导致的不良影响。将所有数
据映射到[0,1]的区间内方便模型训练。
x
n
=
x-x
min
x
max
-x
min
其中,x为原始特征,x
max
、x
min
为每一维所有特征值
中的最大值和最小值,x
n
是进行归一化处理后的值。
2.4通道注意力机制
通道注意力机制在计算机视觉领域取得了很好的效果,
通过给每个通道分配权重使网络关注更重要的特征来提高
网络模型的效率,ECANet能够在不降维的情况下进行这
项工作,避免降维带来的副作用。通过构建ECA-ResNet
2.2数据平衡处理
数据集中的一些攻击类型的数量很少,在训练中模型
很难很好地对数据特征进行充分的学习,导致一些类型的
检测精度很低,目前的入侵检测研究中不少研究者将数据
采样技术用于数据集的处理。GOZDEKARATAS等根据
攻击类型数量平衡提高系统的效率及减少分类错误的情况,
通过使用过采样技术(SMOTE)的合成数据生成模型降低
不平衡率。对次要类执行数据生成,并通过该技术将其数
量增加到平均数据大小。该方法使得少数类入侵流量的检
测效率有所提升
[6]
。本文采用SMOTETomek综合采样方
法对数据集进行处理,增加小样本数据的比例,提高罕见
攻击类型的检测效率。使用SMOTETomek算法对Kdd
训练集中的R2L和U2R进行采样,增加其在训练集中的
比例,使网络能够对充分学习流量的特征,从而提升罕见
攻击的检测率。
SMOTE算法首先找到一个要进行采样的样本,然后
找到其周围的K个邻近样本,随机选择其中一个,然后在
它们两个之间随机找到一个点生成样本。TomekLink算
法将处于边界的互为最邻近点的正反例样本进行删除,使
得能有一个明显的界限在正反样本之间。两个算法进行结
合,能够避免SMOTE算法产生的数据拟合问题。
图2网络结构
2.3模型构建
人们认为随着网络深度的增加,网络拟合能力会更高,
入侵检测模型,运用ResNet解决网络退化和梯度消失问
题,利用ECANet通道注意力机制选取重要特征,提高模
型效率。
QiyeKejiYuFazhan
29
Copyright©博看网. All Rights Reserved.
企业科技创新
2022年第12期(总第494期)
3仿真与分析
3.1数据集选择
选用的KDD99数据集,是使用较普遍的网络入侵检
测数据集之一。数据集中存在拒绝服务(Dos)、探测
(Probe)、用户到根(U2R)和远程到本地(R2L)4种攻击
和正常(Normal)流量。该数据集包含41个体征,其中
Protocol_Type、Service、Flag为字符型特征。在使用时
需要将这3类特征转换为数值型。1~9特征为数据包中
的包头信息,10~22特征为原始数据包的信息,通过这
些信息系统可以访问有效载荷,23~31特征包含了一些
链接计数和速率的相关信息,32~41特征是对一些链接
进行的相关内容。
训练集选用10%的KDD99数据集,测试集采用
corrected数据集,数据集中的类型分类见表1。
表1
数据类型样本总数
训练集
测试集
494021
311029
Normal
97278
60593
F1-Score=
2×Precision×Recall
Precision+Recall
(4)
3.4实验结果
使用测试集对建立模型进行分析,与其他算法进行对
比结果见表2。
表2
模型名称
CNN
CNN-GRU
本文模型
准确率
0.9206
0.9249
0.9320
实验结果对比
精确率
0.7229
0.7327
0.7594
召回率
0.9833
0.9939
0.9779
F1值
0.8333
0.8435
0.8548
从表2可以看出本模型的准确率、精确率和F1值比
其他模型略高,但是召回率稍差。
4结语
对网络安全中的入侵检测问题进行了分析,提出了一
种将通道注意力机制加入残差网络入侵检测的模型。通过
卷积操作对网络流量进行分析,提取其中的特征,区分正
常数据和攻击数据,实验结果与其他模型对比准确率、精
确率和F1值较其他模型有一定提高。虽然通过采样技术
检测准确率有所提高,但是召回率还有待提高,所以还需
加强这方面的研究。
数据集分布
Dos
391458
229853
Probe
4107
4166
R2L
1126
16189
U2R
52
228
3.2实验环境
Intel(R)Core(TM)i5-8300HcCPU、16GB内存、
NVIDIAGeForceGTX1060显卡、64bitWindows10
操作系统、环境:Python3.10、Pytorch1.12.1等。
参考文献
[1]杭梦鑫,陈伟,张仁杰.基于改进的一维卷积神经网络
的异常流量检测[J].计算机应用,2021,41(2):
433-440.
[2]INJADATMN,MOUBAYEDA,NASSIFAB,et
al.Multi-stageoptimizedmachinelearningframew-
orkfornetworkintrusiondetection[J].IEEETrans-
actionsonNetworkandServiceManagement,2020,
18(2):1803-1816.
[3]王振东,张林,李大海.基于机器学习的物联网入侵检
测系统综述[J].计算机工程与应用,2021,57(4):18-
27.
[4]张昊,张小雨,张振友,等.基于深度学习的入侵检测
模型综述[J].计算机工程与应用,2022,58(6):
17-28.
[5]HEK,ZHANGX,RENS,ETAL.Deepresidual
learningforimagerecognition[C]//Proceedingsof
theIEEEConferenceonComputerVisionand
Patternrecognition.2016:770-778.
[6]Increasingtheperformanceofmachinelearning-
basedIDSsonanimbalancedandup-to-date
dataset[J].IEEEAccess,2020,8:32150-32162.
[7]张阳,张涛,陈锦,等.基于SMOTE和机器学习的网
络入侵检测[J].北京理工大学学报,2019,39(12):
1258-1262.
3.3评价指标
通过准确率、精确率、召回率、F1值对模型进行评
价。将正常流量看为正样本,攻击流量看为负样本。
(1)真阳(TruePositive,TP):正类被分类为正类。
(2)真阴(TrueNegative,TN):负类被分为负类。
(3)假阳(FalsePositive,FP):负类被分为正类。
(4)假阴(FalseNegative,FN):正类被分为负类。
准确率为预测正确的样本和所有样本的比值:
TP+TN
ACC=
(1)
TP+FN+FP+TN
精确率(Precision)为分类正确的正样本与预测为正
样本的比值:
Precision=
TP
(2)
TP+FP
召回率(Recall)为分类为正确的正样本和真正为正
样本的比值:
Recall=
TP
(3)
TP+FN
F1值为使用精确率和召回率进行综合评价的一个指
标:
30
QiyeKejiYuFazhan
Copyright©博看网. All Rights Reserved.