基于CNN-BiLSTM的物聯(lián)網(wǎng)入侵檢測(cè)模型研究

基于CNN-BiLSTM的物聯(lián)網(wǎng)入侵檢測(cè)模型研究摘要：隨著物聯(lián)網(wǎng)所產(chǎn)生的網(wǎng)絡(luò)流量不斷增加，各種新興的攻擊的方式不斷出現(xiàn)。傳統(tǒng)的物聯(lián)網(wǎng)入侵檢測(cè)模型通常存在較高的誤報(bào)率和較低的準(zhǔn)確率。本文提出一種基于深度學(xué)習(xí)的物聯(lián)網(wǎng)入侵檢測(cè)模型。通過實(shí)驗(yàn)分析，該模型具有較高的檢測(cè)率和較低的誤報(bào)率。關(guān)鍵詞：物聯(lián)網(wǎng)；入侵檢測(cè)；特征提?。籆NN中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A1引言自物聯(lián)網(wǎng)發(fā)展創(chuàng)立以來，物聯(lián)網(wǎng)設(shè)備迅速增加，入侵事件數(shù)量也呈指數(shù)增加。入侵檢測(cè)是指檢測(cè)破壞目標(biāo)資源的完整性、機(jī)密性和可訪問性的動(dòng)作[1]。物聯(lián)網(wǎng)設(shè)備遭到病毒破壞、病毒侵入等惡意行為的攻擊將會(huì)造成巨大損失。許多研究者已經(jīng)開始將機(jī)器學(xué)習(xí)方法應(yīng)用于物聯(lián)網(wǎng)入侵檢測(cè)當(dāng)中。如支持向量機(jī)（SupportVectorMachine，SVM）和隨機(jī)森林（RandomForest），已經(jīng)被用于構(gòu)建網(wǎng)絡(luò)入侵檢測(cè)分類器，但被證實(shí)效果較差。傳統(tǒng)的機(jī)器學(xué)習(xí)方法受到了許多限制，而入侵行為也變得越來越復(fù)雜和多樣，需要更好的方法解決檢測(cè)問題，特別是在特征提取和檢測(cè)方面。采用深度學(xué)習(xí)方法，可以更好的解決上述不足之處。劉明峰[2]等人提出了一種基于深度信念網(wǎng)絡(luò)的入侵檢測(cè)模型，首先使用SMOTE算法對(duì)類別不平衡數(shù)據(jù)進(jìn)行處理，使用降噪自編碼網(wǎng)絡(luò)（DAE）對(duì)數(shù)據(jù)進(jìn)行特征提取,消除無關(guān)或冗余特征。呂思才[3]提出了一種使用PU學(xué)習(xí)的特征選擇，用于度量特征重要度,并提出了一種基于OCSVM（One-ClassSVM）的入侵檢測(cè)方法。通過上述分析可知，深度學(xué)習(xí)在物聯(lián)網(wǎng)入侵檢測(cè)方面具有優(yōu)勢(shì)，同時(shí)特征提取對(duì)于樣本數(shù)據(jù)降維具有很好的效果。本文提出利用CNN學(xué)習(xí)數(shù)據(jù)集的時(shí)間特征，基于Bi-LSTM將所提取特征進(jìn)行檢測(cè)攻擊。并且使用數(shù)據(jù)集NSL-KDD來評(píng)價(jià)所提出的模型有效性。1物聯(lián)網(wǎng)入侵檢測(cè)模型為了提高物聯(lián)網(wǎng)入侵檢測(cè)的效率，主要包括3個(gè)階段。首先，將原始數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理，使用one-hot編碼將數(shù)據(jù)全部轉(zhuǎn)化數(shù)值化操作，在進(jìn)行歸一化，加快收斂速度。其次提取相關(guān)數(shù)據(jù)的特征。最后，檢測(cè)數(shù)據(jù)的異常情況，輸出檢測(cè)結(jié)果。1.1數(shù)據(jù)預(yù)處理由于物聯(lián)網(wǎng)數(shù)據(jù)異常樣本的數(shù)量較為復(fù)雜。在進(jìn)行入侵檢測(cè)之前，需要對(duì)入侵檢測(cè)數(shù)據(jù)集的數(shù)據(jù)進(jìn)行預(yù)處理，首先將數(shù)據(jù)集進(jìn)行數(shù)值化操作。再將生成的數(shù)據(jù)和原始數(shù)據(jù)進(jìn)行歸一化處理。在入侵檢測(cè)數(shù)據(jù)集中，需要將非數(shù)字特征數(shù)據(jù)進(jìn)行處理轉(zhuǎn)換為數(shù)字形式。使用one-hot編碼方法將數(shù)據(jù)集中具有符號(hào)特征的數(shù)據(jù)映射到數(shù)字特征向量。將協(xié)議處理為二進(jìn)制向量，其數(shù)值編碼為（1,0,0）、（0,1,0）和（0,0,1）的形式。將NSL-KDD數(shù)據(jù)集中5種數(shù)據(jù)類型(NORMAL，DOS，PROBEL，U2R，R2L)進(jìn)行處理。將經(jīng)過數(shù)值化處理之后的數(shù)據(jù)進(jìn)行歸一化處理。采用最大最小歸一化的方法，將數(shù)值統(tǒng)一在[0,1]之間，對(duì)原始數(shù)據(jù)采用MinMax歸一化方法。將數(shù)值映射在[0,1]之間。歸一化有助于提升收斂速度，加快神經(jīng)網(wǎng)絡(luò)梯度下降速度并防止梯度爆炸，在經(jīng)過數(shù)值化和歸一化處理完后，使用新生成的訓(xùn)練集進(jìn)行訓(xùn)練。提高分類性能。1.2基于CNN的特征提取卷積神經(jīng)網(wǎng)絡(luò)CNN有效地解決了神經(jīng)網(wǎng)絡(luò)參數(shù)爆炸問題，本質(zhì)上利用多個(gè)濾波器對(duì)輸入數(shù)據(jù)進(jìn)行逐層卷積、池化操作，提取其中的數(shù)據(jù)特征。一般而言，經(jīng)過CNN網(wǎng)絡(luò)進(jìn)行特征提取后，得到一個(gè)１×ｎ維度的數(shù)據(jù)特征。1.3基于BiLSTM的入侵檢測(cè)LSTM在其單元中采用了“門”的概念。由一個(gè)細(xì)胞狀態(tài)和門控結(jié)構(gòu)組成，分別是遺忘門、輸入門和輸出門組成。遺忘門對(duì)上一時(shí)刻的細(xì)胞狀態(tài)進(jìn)行篩選，保留重要信息，遺忘無用信息，輸入門對(duì)當(dāng)前時(shí)刻的網(wǎng)絡(luò)輸入進(jìn)行選擇性保留，可有效剔除無用信息；RNNs一個(gè)主要問題是無法學(xué)習(xí)上下文信息，容易在一個(gè)長時(shí)間跨度內(nèi)造成梯度消失。這個(gè)問題的一個(gè)解決方案是使用LSTM設(shè)計(jì)。它避免了梯度消失的問題，從而允許上下文信息的延長時(shí)間的保留。BiLSTM的概念源于雙向RNN，它利用兩個(gè)不同的隱藏層對(duì)輸入序列進(jìn)行正向和反向處理。BiLSTM將兩個(gè)隱藏層連接到同一個(gè)輸出層。傳統(tǒng)RNN的一個(gè)不足之處是，它們只能使用輸入數(shù)據(jù)序列的前一個(gè)輸入層。BLSTM通過向前和向后分發(fā)數(shù)據(jù)來解決這個(gè)問題。2仿真與分析為了驗(yàn)證本文入侵檢測(cè)模型的有效性，搭建仿真試驗(yàn)環(huán)境，本文試驗(yàn)環(huán)境為：Intel(R)Core(TM)i7-9750CPU、16GB內(nèi)存、GeForceGTX1060顯卡、64bitWindows10操作系統(tǒng)。主要試驗(yàn)工具有python和TensorFlow1.14以及Keras等。本文使用NSL-KDD數(shù)據(jù)集，NSL-KDD是在KDDCUP99的基礎(chǔ)上得到的，相比KDDCUP99數(shù)據(jù)集：該數(shù)據(jù)集的訓(xùn)練集去掉了冗余記錄，減少了冗余記錄對(duì)分類器的影響，提升了檢測(cè)率的精準(zhǔn)度。本文為評(píng)估CNN-BiLSTM性能，將所提出的方法CNN-BiLSTM分別于CNN-LSTM，LSTM和SVM相比較。訓(xùn)練及使用NSL-KDDTrain20%實(shí)驗(yàn)結(jié)果如表1所示。表1不同方法對(duì)比（%）模型ACCDRFPRCNN-BiLSTM93.1992.851.05CNN-LSTM92.1891.673.26LSTM86.6875.650.31表1分別給出了準(zhǔn)確率、檢測(cè)率和誤報(bào)率進(jìn)行二分類的實(shí)驗(yàn)對(duì)比。從表1可以得出如下結(jié)論，在各種模型中CNN-BiLSTM的總體結(jié)果最好。本文方法的準(zhǔn)確率比CNN-LSTM的準(zhǔn)確度上提高了1.01%，使用LSTM代替BiLSTM，準(zhǔn)確率和檢測(cè)率都有所下降。由此可見BiLSTM的性能比LSTM更具有優(yōu)勢(shì)。CNN-BiLSTM相比于其他方法分類準(zhǔn)確率以及檢測(cè)率最高，分別達(dá)到了93.19%和92.85%，更符合物聯(lián)網(wǎng)系統(tǒng)的安全要求。3結(jié)論本文的研究工作分析了物聯(lián)網(wǎng)中不同類型的攻擊，并提出了一種CNN-BiLSTM的物聯(lián)網(wǎng)入侵檢測(cè)模型。對(duì)數(shù)據(jù)經(jīng)過CNN特征提取，再利用BiLSTM進(jìn)行分類判別。實(shí)驗(yàn)結(jié)果表明，所提模型在準(zhǔn)確率，檢測(cè)率方面都有所提高。參考文獻(xiàn)[1]陸艷芳.淺談入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中應(yīng)用路徑[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（3）：20-21.[2]劉明峰,郭順森,韓然,侯路,吳珺,田小川.基于深度學(xué)習(xí)的Wi-Fi網(wǎng)絡(luò)入侵檢測(cè)方法[J].計(jì)算機(jī)工程與設(shè)計(jì),