利用哈里斯鹰算法优化卷积神经网络的入侵检测研究

李响　缪祥华　张如雪　张宣琦

摘 要 以往利用卷积神经网络（CNN）搭建入侵检测模型时，需用人工经验设定网络结构，导致其网络性能很难发挥最优。为此，提出利用哈里斯鹰算法（HHO）对CNN的网络结构进行自适应优化，构建入侵检测模型。首先针对传统CNN全连接层易发生过拟合的问题，采用全局池化层（GAP）对参数进行缩减；然后采用哈里斯鹰算法选取CNN最佳网络结构，避免人工干预引起的检测不确定性，从而缩短参数选择时间，提升入侵检测模型的适用性和入侵检测性能。在NSL-KDD数据集的实验结果表明：所提哈里斯鹰算法优化改进后的卷积神经网络构建的入侵检测模型，检测准确率93.68%，误报率1.65%，检测性能优于SVM、AdaBoost、BP入侵检测模型。

关键词 入侵检测 HHO-GCNN模型 卷积神经网络 哈里斯鹰算法 自适应优化 全局池化层    NSL-KDD数据集

中图分类号 TP393.08   文献标识码 A   文章编号 1000-3932（2023）04-0513-08

随着科学技术的不断发展，网络几乎成为生产和生活中不可或缺的部分。网络给人类带来便利的同时，越来越多的网络安全事件频发，因此，有效维护网络安全是国内外研究人员一直关注的重要课题。入侵检测作为网络安全防护的有效手段被广泛研究，传统的入侵检测系统易受时间复杂度和空间复杂度的制约，导致其自适应能力较差。因此，许多研究人员将机器学习引入入侵检测中，针对不同攻击类型提出了多种类型的检测模型，但仍存在一系列的问题［1］：首先，机器学习模型在檢测准确率上效果一般并存在较高的误报率；其次，在进行大规模数据流量处理时，并不能表现出良好的性能。而深度学习在进行大数据分析处理时取得了较好的成效，因此越来越多的深度学习技术被运用到入侵检测中，目前主流的深度学习模型有卷积神经网络（Convolutional Neural Network，CNN）［2，3］、长短期记忆（Long Short-Term Memory，LSTM）［4］、自编码（Auto Encoder，AE）［5，6］和生成对抗网络（Generative Adversarial Networks，GAN）［7，8］。

作为深度学习的经典有效网络CNN，在进行多种分类时需要对数据集进行预处理，将其转换为符合CNN输入的灰度图进行训练，将其运用到入侵检测可将流量分类问题近似于图片分类，通过CNN提取数据流量特征，基于其权值共享特性提高分类处理效率，进而提高入侵检测效率。文献［9］提出将主成分分析（PCA）方法降维与卷积神经网络结合，PCA对数据进行清洗降维减少了数据的冗余，将降维后的数据输入到CNN中进行数据特征提取和分类。文献［10］在进行入侵检测模型构建时，采用自编码器进行特征提取，将提取后的特征矩阵进行聚类转换再放入CNN模型中进行训练。文献［11］提出生成对抗网络结合CNN的入侵检测模型，由生成对抗网络生成未知攻击，以达到平衡数据的效果，最后将平衡后的数据放入CNN模型中进行训练。以上由卷积神经网络构建的入侵检测模型，在进行数据流量分类处理时都取得了较好的成效。笔者采用CNN作为算法优化模型，使其入侵检测性能进一步提升。

1 卷积神经网络（CNN）

2 哈里斯鹰算法

哈里斯鹰算法（Harris Hawk Optimization，HHO）是由HEIDARI A A等提出的一种元启发式智能优化算法［12］。HHO算法通过公式演练模拟哈里斯鹰在不同情况下捕捉猎物的策略。

HHO算法主要分为3个阶段，分别为全局探索阶段、过渡阶段和局部开发阶段。

2.1 全局探索阶段

2.2 过渡阶段

2.3 局部开发阶段

3 入侵检测模型整体流程

3.1 数据预处理阶段

3.2 HHO-GCNN模型

4 实验

4.1 实验数据

本项目实验选用的是NSL-KDD入侵检测数据集，该数据集包含多种现代网络攻击，训练集样本数量有125 973条数据，测试集有22 543条数据样本，数据集包含42维数据特征，前41列为属性特征，第42列为类别标签。NSL-KDD数据集的训练测试样本分布见表1。

4.2 实验环境与评价标准

4.3 实验结果与分析

4.3.1 不同分类层对模型性能的影响

4.3.2 HHO算法模型优化

采用HHO算法对CNN和GCNN参数寻优时模型的训练和验证损失变化如图4所示。其中，HHO算法初始种群规模30，最大迭代次数40，模型训练时选取训练集的20%作为验证集。以网络的交叉熵损失loss值作为适应度值，网络的损失越小则适应度越高结果越优。

由图4a、b可知，HHO-GCNN模型在迭代20次左右时满足收敛精度，而HHO-CNN模型在迭代35次左右时满足收敛精度，可见HHO-GCNN模型相比于HHO-CNN模型的收敛速度快，并且HHO-GCNN模型收敛的loss值低于HHO-CNN模型的loss值。综上所述，采用GAP层进行参数缩减后，HHO算法进行适应度值调优的精度和效率高于传统CNN适应度值调优。

HHO-GCNN和HHO-CNN两种模型优化后的检测性能比较见表4，可以看出，HHO-GCNN模型的ACC值为93.68%，Precision值达到95.67%，Recall值和F1-score分别为92.53%和94.04%，相比于HHO-CNN模型，各参数指标均有提升。HHO-GCNN模型的误报率FPR相比于HHO-CNN降低0.76%。各项指标的实验数据表明：HHO-GCNN模型在检测性能上均优于HHO-CNN模型。HHO-GCNN相比于未进行优化的GCNN模型在准确率上提升了4.74%，HHO-CNN模型相比于未进行优化的CNN模型在准确率上提升了2.49%。可见，采用GAP层代替全连接层对HHO算法进行寻优空间缩减有利于提升模型的检测性能。

4.3.3 不同分類模型对比

5 结束语

笔者针对传统CNN网络参数设置不当易产生参数爆炸发生过拟合导致检测性能不佳的问题，提出HHO-GCNN检测模型。采用GAP层替代全连接层进行参数缩减，避免了参数量过大模型所致的过拟合情况；采用HHO算法对改进后的GCNN网络结构进行自适应优化。通过哈里斯鹰算法采取不同策略对适应度值进行捕捉。实验结果表明：采用GAP层进行缩减网络参数，能够在一定程度上提升CNN模型的分类性能；采用HHO算法进行优化，能够使GCNN网络进行自适应优化，提升了入侵检测性能，避免了人工干预导致的检测结果不确定性。

后续的工作重点将针对不同种类的入侵检测数据集的数据不平衡问题提出解决方案，对数据集中少数类样本过采样处理后进行模型训练，进而增强模型的泛化能力。

参 考 文 献

［1］ 刘新倩，单纯，任家东，等.基于流量异常分析多维优化的入侵检测方法［J］.信息安全学报，2019，4（1）：14-26.

［2］ LIU P J.An intrusion detection system based on convolutional neural network［C］//Proceedings of the 2019 11th International Conference on Computer and Automation Engineering，2019：62-67. DOI：10.1109/ICCSN T47585.2019.8962490.

［3］ 黎佳升，赵波，李想，等.基于深度学习的网络流量异常预测方法［J］.计算机工程与应用，2020，56（6）：39-50.

［4］ HOCHREITER S，SCHMIDHUBER J.Long Short-term memory［J］.Neural-Computation，1997，9（8）：1735-1780.

［5］ BALDI P.Autoencoders，unsupervised learning，and deep  architectures［C］//Proceedings of ICML Workshop on Unsupervised and Transfer Learning.JMLR Workshop and Conference Proceedings，2012：37-49.

［6］ 高妮，高岭，贺毅岳，等.基于自编码网络特征降维的轻量级入侵检测模型［J］.电子学报，2017，45（3）：730-739.

［7］ LEE J H，PARK K H.GAN-based imbalanced data intrusion detection system［J］.Personal and Ubiquitous Computing，2021，25（1）：121-128.

［8］ FERDOWSI A，SAAD W.Generative adversarial networks for distributed intrusion detection in the internet of things［C］//2019 IEEE Global Communications Conference（GLOBECOM），2019：1-6.DOI：10.1109/GLOBECOM 384 3 7.2019.9014102.

［9］ XIAO Y H，XING C，ZHANG T N，et al.An intrusion detection model based on feature reduction and convolutional neural networks［J］.IEEE Access，2019（7）：42210-42 219.

［10］ ANDRESINI G，APPICE A，MALERBA D.Nearest cluster-based intrusion detection through convolutional neural networks［J］.Knowledge-Based Systems，2021，216：10 6798.

［11］ ANDRESINI G，APPICE A，DE ROSE L，et al.GAN a- ugmentation to deal with imbalance in imaging-based intrusion detection［J］.Future Generation Computer Systems，2021，123：108-127.

［12］ HEIDARI A A，MIRJALILI S，FARIS H，et al.Harris hawks optimization：Algorithm and applications［J］.Future Generation Computer Systems，2019，97：849-872.

（收稿日期：2022-11-18，修回日期：2023-01-10）

Research on Intrusion Detection Using Harris Hawk Algorithm to Optimize Convolutional Neural Network

LI Xianga ， MIAO Xiang-huaa，b ， ZHANG Ru-xuea， ZHANG Xuan-qia

（a. Faculty of Information Engineering and Automation; b. Yunnan Key Laboratory of Computer Technology Applications， Kunming University of Science and Technology）

Abstract   In the past， having convolutional neural networks（CNN） adopted to build intrusion detection models asks for artificial experience to set the network structure which resulting in the difficulty in playing its network performance better. To this end， applying Harris Hawk algorithm to adaptive optimization of CNN structure to build an intrusion detection model was proposed. Firstly， aiming at the overfitting in the fully-connected layer of traditional CNN， having the global pooling GAP layer used to reduce parameters； then having the Harris Hawk algorithm adopted to select CNNs optimal structure to avoid uncertainty of detection incurred by the manual intervention so as to shorten parameters selection time and improve applicability and intrusion detection performance of the intrusion detection model. The experimental results on the NSL-KDD dataset show that， the intrusion detection model established with Harris Hawk algorithm-improved CNN has a detection accuracy of 93.68% and a misinforming rate of 1.65% and its detection performance outperforms that of SVM， AdaBoost and BP intrusion detection models.

Key words    intrusion detection， HHO-GCNN model， CNN， Harris Hawk algorithm， self-adaptive optimization， global pooling layer， NSL-KDD dataset