论文部分内容阅读
随着信息技术的快速发展和广泛应用,网络已经深入到社会的各个领域。但由于网络的开放性、互连性以及多样性,导致网络易受到恶意分子的攻击,网络攻击频繁发生。虽然安全防御技术不断改进,但面对多变的攻击方式,传统的入侵检测技术则收效甚微。近年来人工智能的快速发展,促使入侵检测技术不断更新。本文结合深度学习方法对入侵攻击进行检测与识别,以适应多变的攻击行为,从而提高入侵检测的识别率。本文的主要研究内容如下:(1)对NSL-KDD数据进行分析与处理以便模型进行计算。本文所用NSL-KDD数据为实验室的模拟数据,通过对其各属性的取值范围、相关性以及概率分布进行分析,发现了其中所存在的一些问题。其一是各攻击类型的样本数量严重不平衡。本文通过对数据进行随机过采样来缓解样本数量不平衡问题。其二是原始训练集和测试集的概率分布存在一定的差异性。本文通过对训练集和测试集的部分属性进行离散化处理,将其映射到相同的区间内以减小分布的差异性。实验结果表明,处理后的数据实验效果更佳。(2)通过简化残差神经网络以适应NSL-KDD数据集。随着神经网络层数的增加,容易产生梯度消失问题,而残差块可以有效避免此问题。但对于NSL-KDD数据集,其复杂的结构会产生过拟合问题。本文通过删除原始残差块部分权重层以及添加池化层来降低模型的复杂度和数据的维度,同时应用PRe LU函数替换Re LU函数来防止神经元“死亡”。最后通过级联将简化后的残差块构建了一个神经网络模型。实验结果表明,所构建模型在NSL-KDD上的识别率高于原始残差块所构建的模型。(3)通过集成神经网络来提高入侵攻击的识别率。集成学习可以改善样本数量不平衡问题,并提高模型的整体检测率。本文结合了神经网络与集成学习方法,通过将多层感知机、循环神经网络、卷积神经网络作为子模型,多层感知机作为元学习器,应用Stacking集成方法构建了一个集成神经网络模型。实验结果表明,集成神经网络模型在NSL-KDD上的检测率提高,同时部分类别的识别率也有提升。(4)对入侵攻击数据进行聚类分析从而发现未知类型攻击。聚类分析可以发现样本之间的相似性与差异性。相似性高的样本,很可能属于同一类别;而差异性较大的样本,则可能是新的攻击类型。本文通过欠完备自编码器模型对数据进行降维处理,提取重要特征信息。然后再应用均值漂移算法对降维后的数据进行聚类分析。实验结果表明,聚类分析对研究者发现未知攻击类型有一定的辅助作用,同时对聚类算法仍需进行改进。