基于LSTM-DNN模型的入侵检测方法

李梦歌，王海珍

基于LSTM-DNN模型的入侵检测方法

李梦歌，王海珍

（齐齐哈尔大学 计算机与控制工程学院，黑龙江 齐齐哈尔 161006）

针对基于深度神经网络模型的入侵检测方法存在的梯度减弱或消失问题，提出了一种LSTM（Long-Short Term Memory，长短时记忆）神经网络改进的DNN（Deep Neural Networks，深度神经网络）模型．该模型主要包括LSTM神经网络和DNN 2部分，LSTM神经网络通过记忆或遗忘进行数据流量特征提取，然后将其输入DNN进行训练、入侵检测．模型中采用优化算法，加快了网络收敛．实验表明，与LSTM模型相比，LSTM-DNN模型具有较好的性能，准确率更高，运行时间更短．

长短时记忆神经网络；深度神经网络；入侵检测；优化算法

随着无线传感器网络（Wireless Sensor Network，WSN）的快速发展，应用的领域越来越广泛，需要采集的信息越来越多，数据量也越来越大，同时也面临较大的安全隐患．入侵检测技术能够对内部攻击进行实时检测，是解决WSN安全问题的关键技术．传统的入侵检测技术无法对海量、高维数据流量进行高效分析和检测，深度学习可以有效地解决海量复杂的高维数据分类问题，逐渐被应用到入侵检测领域．江泽涛[1]等提出基于二次决策的深度学习模型，有效地提升了深度神经网络在入侵检测数据上特征学习的效果．俞建业[2]等基于Apache Spark框架提出了车联网分布式组合深度学习入侵检测方法，有效地提高了入侵检测准确率．林硕[3]等提出基于深度学习的入侵检测模型，与传统机器学习方法相比，能够提高入侵检测的准确率．陈卓[4]等基于注意力机制的时空图卷积网络，提出一种无人机网络的入侵检测方法，并验证了它的鲁棒性和适应性．Song[5]等分别使用双向LSTM分阶段的学习数据包和网络流的特征，得到比较综合全面的时序特征后进行分类，实现更加准确的网络流量分类效果．李发陵[6]等基于卷积神经网络和加权丢弃LSTM的混合深度学习模型，提出入侵检测方法，该方法在分类精度、误报率和平均执行时间方面具有良好的性能．陈解元[7]提出了一种将卷积神经网络与LSTM相结合的深度学习结构，卷积神经网络学习空间特征，LSTM则可以处理序列数据，学习时间特征，取得了较好的分类结果．李俊[8]等基于构建的GRU-RNN 网络模型，提出了基于时序的不平衡学习入侵检测方法，用于检测具有时序特征的攻击行为，具有较好的识别率与收敛性．

这些方法采用深度神经网络实现入侵检测，随着网络的加深，会出现梯度减弱或消失问题，影响入侵检测的效果．对此，本文提出新的方法，即构建LSTM改进的DNN模型，分析模型设计过程，并通过实验进行模型评价．

1 LSTM-DNN模型设计

本文提出LSTM神经网络改进的DNN模型，该模型主要包括LSTM神经网络和DNN 2部分，前者进行数据流量特征提取，后者进行入侵检测．

1.1 LSTM神经网络设计

LSTM神经网络能够学习长期的规律，可以根据上一个输出预测下一个输出值．设计的LSTM神经网络由4层组成（见图1），从左向右各层神经元数量分别为512，256，64，10．

图1 LSTM神经网络设计

图1中各变量涉及的计算公式为

1.2 LSTM神经网络改进的DNN模型设计

图2 LSTM-DNN模型设计

2 实验分析

2.1 实验准备

使用64位Win 10操作系统，四核八线程Intel®core™i5-1135G7CPU和16GB DDR4 RAM，安装Anaconda3,采用Python3.7编程．本实验使用UNSW-NB15数据集[10]，该数据集除了正常网络行为还记录了9种网络攻击行为，分别为Fuzzers，Analysis，Backdoors，DoS，Exploits，Generic，Reconnaissance，Shellcode，Worms，包括49个特征．本实验去除了原始数据Label标签项，将attack_cat项作为标签项，入侵检测问题转化为十分类问题，共有48个特征，测试集700 001条，训练集700 001条，无需平衡处理．原始数据集虽无空缺值，但特征attack_cat，service，state，proto，dstip，srcip，dsport，sport是非数字的，无法带入矩阵中计算，需要数值化处理．使用sklearn.preprocessing包中的LabelEncoder函数将非数值类型数据转换为标签数值类型，采用sklearn.preprocessing包中的StandardScaler函数将整体特征数据均值标准归一化方法，将均值设为0，方差设为1．

2.2 实验结果与分析

将LSTM神经网络模型与LSTM-DNN神经网络在UNSW-NB15数据集上进行实验，实验结果见表1．LSTM神经网络模型检测准确率为96.5%，LSTM-DNN模型的检测准确率为96.7%，使用LSTM-DNN模型比LSTM神经网络模型的准确率提高了0.2%；2种模型均比文献[11]中PCA-LSTM神经网络模型的准确率高．本文在相同的数据集下进行相同的数据预处理步骤，LSTM神经网络模型运行时间为10 124.839 s，LSTM-DNN模型的运行时间为1 032.914 s，后者运行时间大大减少，接近前者的十分之一．

表1　各算法在数据集上的定量评估

2.3 模型评价

图3 LSTM模型与LSTM-DNN模型精确率对比

3 结语

本文提出了LSTM改进DNN模型的入侵检测方法，该方法利用LSTM的记忆功能进行数据特征提取，获得的有效特征作为DNN的输入数据，进行模型训练，避免了梯度消失问题．此外，模型中引入Adadelta优化算法，加快了网络收敛；同时包含了随机抽样层，每次随机抽取20%的数据进行训练，避免了过拟合问题．在UNSW-NB15数据集进行实验分析，与LSTM神经网络模型相比，本文提出的模型检测准确率更高，运行时间更短．

[1] 江泽涛，翟振宇．基于二次决策的深度学习入侵检测模型[J]．微电子学与计算机，2020，37（4）：32-36．

[2] 俞建业，戚湧，王宝茁．基于Spark的车联网分布式组合深度学习入侵检测方法[J]．计算机科学，2021，48（增刊1）： 518-523．

[3] 林硕，商富博，高治军，等．基于深度学习的入侵检测模型[J]．控制工程，2021，28（9）：1873-1878．

[4] 陈卓，吕娜，陈坤，等．基于时空图卷积网络的无人机网络入侵检测方法[J]．北京航空航天大学学报，2021，47（5）： 1068-1076．

[5] Song Weixing，Wu Jingjing，Kang Jianshe，et al．Research on maintenance spare parts requirement prediction based on LSTM recurrent neural network[J]．Open Physics，2021，19（1）：618-627．

[6] 李发陵，彭娟．大数据环境下基于CNN和WDLSTM的入侵检测[J]．西南师范大学学报（自然科学版），2021，46（9）： 103-108．

[7] 陈解元．基于LSTM的卷积神经网络异常流量检测方法[J]．信息技术与网络安全，2021，40（7）：42-46．

[8] 李俊，夏松竹，兰海燕，等．基于GRU-RNN的网络入侵检测方法[J]．哈尔滨工程大学学报，2021，42（6）：879-884．

[9] 周文，张世琨，丁勇，等．面向低维工控网数据集的对抗样本攻击分析[J]．计算机研究与发展，2020，57（4）：736-745．

[10] Moualla S，Khorzom K，Jafar A．Improving the Performance of Machine Learning-Based Network Intrusion Detection Systems on the UNSW-NB15 Dataset[J]．Computational Intelligence and Neuroscience，2021，2021（Pt.3）：1-13．

[11] 高忠石，苏旸，柳玉东．基于PCA-LSTM的入侵检测研究[J]．计算机科学，2019，46（增刊2）：473-476，492．

Intrusion detection method based on LSTM-DNN model

LI Mengge，WANG Haizhen

（School of Computer and Control Engineering，Qiqihar University，Qiqihar 161006，China）

Aiming at the problem that the gradient of intrusion detection method based on deep neural network model weakens or disappears，an improved deep neural networks model based on long-short term memory neural network is proposed．The model mainly includes LSTM neural network and DNN．The LSTM neural network extracts the characteristics of data traffic through memory or forgetting，and then inputs it into DNN for training intrusion detection．The optimization algorithm is used in the model to speed up the network convergence．Experiments show that compared with LSTM model，LSTm-DNN model has better performance，higher accuracy and shorter running time．

long-short term memory neural network；deep neural networks；intrusion detection；optimization algorithm

1007-9831（2023）01-0038-04

TP393

A

10.3969/j.issn.1007-9831.2023.01.008

2022-07-20

黑龙江省高等教育教学改革研究项目（SJGY20200770，SJGY20190710）；齐齐哈尔大学教育科学研究项目（ZD201802）

李梦歌（1998-），女，河南孟津人，在读硕士研究生，从事计算机网络与信息安全研究．E-mail：1010293511@qq.com

王海珍（1976-），女，山东临沂人，副教授，硕士，从事嵌入式技术、密码分析与设计研究．E-mail：wanghaizhen1976@163.com