论文部分内容阅读
网络入侵检测作为网络安全的有效保障,已经成为重要的研究领域。随着传统机器学习技术和深度学习技术的发展,研究者们将其引入网络入侵检测领域作为海量数据分类问题的解决措施。近年来研究者们基于传统机器学习和深度学习提出了许多性能良好的网络入侵检测方法,然而,大多数方法在检测稀有攻击时表现不佳。针对网络入侵检测中稀有攻击难以被识别的问题,本文进行了三个方面的研究。
针对网络数据中包含大量冗余信息,当攻击类别之间数据分布不平衡时,冗余信息会对稀有攻击模式产生影响的问题,本文提出了基于遗传编程算法与随机森林的特征提取方法来消除原始数据中的冗余特征,进而减弱学习过程中冗余信息对稀有攻击模式的影响,提高攻击分类器对稀有攻击的分类性能。首先初始化网络数据的一个种群作为解集;然后利用交换、变异等操作对种群进行进化形成新的解集,利用随机森林对每一次生成的解集进行评估并计算拟合值;最后选择拟合值最高的解集构建新的数据集。
针对由于攻击类别之间数据分布不平衡,造成分类器对稀有攻击识别能力低的问题,本文提出分离数据,并构建基于深度学习和传统机器学习的联合攻击分类器的方法来平衡攻击数据之间的分布,提高对稀有攻击的检测能力。首先分离网络数据分别生成普通攻击集和稀有攻击集;然后基于所获子集,利用深度学习与传统机器学习分别单独构造普通攻击分类器和稀有攻击分类器。进行检测时,将两个子分类器连接构成联合攻击分类器。本文使用基于NSL-KDD数据集的优化数据集进行评估,采用准确度、误报率、F分数作为评价指标。实验结果表明,与典型的网络入侵检测方法相比,该联合攻击分类器可以提高对稀有攻击的检测性能。
针对分离攻击数据后,稀有攻击的样本数量很小,进而影响稀有攻击分类器的训练导致对稀有攻击的检测性能不佳的问题,本文设计了基于卷积神经网络的联合攻击分类器,使得稀有攻击分类器可以基于小样本数据进行高效学习进而提高对稀有攻击的检测能力。首先基于数据量庞大的普通攻击类型训练普通攻击分类器并通过调整参数获得合适的模型;然后,基于迁移学习的思想,将普通攻击分类器作为稀有攻击分类器的初始化模型,之后在稀有攻击集上继续微调稀有攻击分类器。实验结果表明,与典型的网络入侵检测方法相比,该联合攻击分类器可以基于小样本进行高效学习,在不影响对普通攻击的检测性能的情况下,提高对稀有攻击的检测能力。
针对网络数据中包含大量冗余信息,当攻击类别之间数据分布不平衡时,冗余信息会对稀有攻击模式产生影响的问题,本文提出了基于遗传编程算法与随机森林的特征提取方法来消除原始数据中的冗余特征,进而减弱学习过程中冗余信息对稀有攻击模式的影响,提高攻击分类器对稀有攻击的分类性能。首先初始化网络数据的一个种群作为解集;然后利用交换、变异等操作对种群进行进化形成新的解集,利用随机森林对每一次生成的解集进行评估并计算拟合值;最后选择拟合值最高的解集构建新的数据集。
针对由于攻击类别之间数据分布不平衡,造成分类器对稀有攻击识别能力低的问题,本文提出分离数据,并构建基于深度学习和传统机器学习的联合攻击分类器的方法来平衡攻击数据之间的分布,提高对稀有攻击的检测能力。首先分离网络数据分别生成普通攻击集和稀有攻击集;然后基于所获子集,利用深度学习与传统机器学习分别单独构造普通攻击分类器和稀有攻击分类器。进行检测时,将两个子分类器连接构成联合攻击分类器。本文使用基于NSL-KDD数据集的优化数据集进行评估,采用准确度、误报率、F分数作为评价指标。实验结果表明,与典型的网络入侵检测方法相比,该联合攻击分类器可以提高对稀有攻击的检测性能。
针对分离攻击数据后,稀有攻击的样本数量很小,进而影响稀有攻击分类器的训练导致对稀有攻击的检测性能不佳的问题,本文设计了基于卷积神经网络的联合攻击分类器,使得稀有攻击分类器可以基于小样本数据进行高效学习进而提高对稀有攻击的检测能力。首先基于数据量庞大的普通攻击类型训练普通攻击分类器并通过调整参数获得合适的模型;然后,基于迁移学习的思想,将普通攻击分类器作为稀有攻击分类器的初始化模型,之后在稀有攻击集上继续微调稀有攻击分类器。实验结果表明,与典型的网络入侵检测方法相比,该联合攻击分类器可以基于小样本进行高效学习,在不影响对普通攻击的检测性能的情况下,提高对稀有攻击的检测能力。