基于机器学习的通信网络入侵检测系统

罗卓君

（湖南大众传媒职业技术学院，湖南 长沙 410100）

0 引 言

随着通信网络的快速发展，网络入侵威胁逐渐成为信息安全领域备受关注的议题[1-3]。在数字化时代，通信网络不仅是大量敏感信息的承载体，也是政府、企业及个人之间进行信息传递的主要渠道。然而随着网络入侵行为的不断演变，传统的安全防护手段已无法满足当前的安全需求。

鉴于传统方法在捕获入侵特征方面的限制，文章设计了一种基于机器学习的创新型入侵检测系统，旨在提高检测准确性和实时性。首先，为克服传统模型在处理复杂时序数据上的困难，本次设计将循环神经网络（Recurrent Neural Network，RNN）作为入侵检测系统的核心模型[4]。与传统的静态模型不同，RNN 能够有效捕捉网络流量中的时序关系，从而全面地反映入侵行为的动态特征。其次，为进一步提升模型的泛化能力和抗干扰性，引入了正则化约束，从而在模型训练过程中有效控制参数的复杂度[5-7]。最后，为验证所提方法的有效性，选用UNSW-NB15数据集进行实验。

1 通信网络入侵检测架构

文章使用的通信网络入侵检测架构由数据预处理模块、特征提取与选择模块、引入正则化约束的机器学习模型以及检测与识别等部分组成。

第一，数据预处理模块负责对原始网络数据进行清洗、标准化等预处理操作，确保后续模块能够规范化处理输入；第二，特征提取与选择模块负责提取网络流量中的关键特征，并利用特征选择技术筛选最具代表的信息量特征，以降低模型复杂度，提高计算效率；第三，机器学习模型模块（如RNN），主要用于学习网络流量中的时序关系和复杂模式，并引入正则化技术对模型参数进行约束，以防止过拟合，提高模型泛化性能；第四，基于学习模型对网络流量进行检测和识别，以标识潜在的入侵行为。

2 基于机器学习的入侵检测

2.1 RNN 基本原理

RNN 由输入层x、隐藏层s、输出层o以及参数U、V、W等关键部分组成，具体如图1 所示。

图1 RNN 基本结构

输入层x是RNN的起始部分，负责接收外部输入，通常表示时间序列中的观测值或特征。

隐藏层s是RNN 的核心，具有记忆功能，能够捕捉输入序列的时序关系。隐藏层通过循环连接，使网络能够保持对过去信息的记忆，并在当前输入的基础上进行计算。

输出层o从隐藏层s中获取信息，并产生最终的输出。在通信网络入侵检测中，输出层通常表示对当前输入数据的分类结果，即是否存在入侵行为。

参数U、V、W是RNN 的权重矩阵，分别对应输入层到隐藏层、隐藏层到输出层、某时间步隐藏层到下一个时间步隐藏层的权重矩阵。

2.2 引入正则化约束的RNN 模型

RNN 能够处理序列数据，将每个输入视为在不同的时间步中依次出现。在数学上，一个时间步t的输入表示为x(t)，相应的隐藏状态为s(t)，输出为o(t)。通过引入时间步，RNN 能够建立输入数据中的时序关系。RNN 的隐藏状态更新方法为

式中：U为输入到隐藏状态的权重矩阵；W为某时间步隐藏层到下一个时间步隐藏层的权重矩阵；b为偏置向量；f(·)为激活函数。式（1）表示当前隐藏状态s(t)是由当前时间步的输入x(t)与上一时间步的隐藏状态s(t-1)、相应的权重和偏置共同决定的。RNN 的输出表示为

式中：V为隐藏状态到输出的权重矩阵；c为输出层的偏置向量；g(·)为输出层的激活函数。式（2）表示当前时间步的输出o(t)是由当前隐藏状态s(t)经过权重和偏置的计算得到的。

RNN 通过在不同时间步之间共享参数U、V、W、b以及c，实现对序列数据的学习和记忆。这种参数共享机制使RNN 能够处理不同长度的序列，具有一定的泛化能力。RNN的训练过程使用了反向传播算法，通过最小化损失函数调整网络参数，以提高模型对输入序列的拟合能力。具体而言，通过链式法则，计算梯度，并使用梯度下降等优化算法更新参数。

为提高RNN 在通信网络入侵检测中的性能，本研究引入了正则化项，通过在损失函数中添加正则化惩罚项实现对模型参数的约束。引入正则化项后的损失函数为

原题 (2018年山东淄博)如图1，点P为等边三角形ABC内的一点，且点P到△ABC三个顶点A、B、C的距离分别为3、4、5，则△ABC的面积为( ).

式中：L(y,)为原始的损失函数；λ为正则化系数；R(θ)为正则化项。总损失函数由原始损失和正则化项2 个部分组成，通过调整正则化系数，可以平衡两者之间的影响。原始损失函数的确定仍基于任务的特定要求，通常采用交叉熵损失函数等形式，用公式表示为

式中：N为样本数；C为类别数；yi,j为真实标签；i,j为模型的预测输出。

正则化项通常采用L2 正则化，即参数的平方和，用公式表示为

式中：θk为模型的第k个参数。正则化项通过惩罚参数的幅值，防止模型过拟合，从而提高模型的泛化能力。通过总损失函数计算总梯度，以得到对应的梯度向量，即

式中：η为学习率；θo为更新前的参数；θn为更新后的参数。通过引入正则化项，模型在更新梯度的同时会考虑对参数的正则化惩罚，使模型在学习时更加稳健。

3 实验与分析

3.1 数据集

本研究使用UNSW-NB15 数据集对所提方法进行测试[8-10]。UNSW-NB15 数据集是一个用于网络入侵检测研究的开放数据集，由新南威尔士大学的网络团队创建，旨在模拟真实网络环境中的各种入侵行为。

3.2 实验方法

本研究实施基于UNSW-NB15 数据集的实验，以验证所提方法的有效性，具体步骤如下。

第一步，数据集准备。从UNSW-NB15 数据集中获取网络流量数据，并对数据进行适当的清理和预处理。

第二步，数据集分割。将数据集划分为训练集和测试集，比例为70 ∶30。

第三步，特征提取与选择。基于领域专家知识和特征选择技术对网络流量数据进行特征提取。

第四步，模型设计。构建引入正则化约束的RNN 模型。

第五步，模型训练。使用训练集对设计的模型进行训练。

第六步，模型验证。在测试集上进行模型验证，评估模型在新数据上的性能。

3.3 结果与分析

文章利用混淆矩阵分析实验结果。该混淆矩阵包含4个关键指标，即真正例TP、假正例FP、真负例TN以及假负例FN。其中，TP为235，表示实际为正常流量，且模型正确预测为正常流量的样本数量；FP为15，表示实际为正常流量，但模型错误预测为入侵的样本数量；TN为230，表示实际为入侵流量，且模型正确预测为入侵的样本数量；FN为20，表示实际为入侵流量，但模型错误预测为正常流量的样本数量。实验结果的准确率为

准确率表示模型正确预测样本的比例，本次实验为93.25%。准确率越高表明模型在整体上区分正常和入侵流量的效果越好。精确度为

精确度指标衡量模型在预测正常流量时的准确性，本实验为94%。高精确度表示模型对正常流量分类的可靠性高。召回率为

召回率是衡量模型对入侵流量的敏感性，本次实验为92.16%。高召回率表示模型对入侵流量的识别较为全面。通过分析混淆矩阵和相关指标可知，文章所提方法在实验中取得了较好的入侵检测性能，具有较高的准确率、精确度及召回率。

4 结 论

文章通过深入研究通信网络入侵检测问题，在RNN 中引入正则化约束，设计了基于机器学习的通信网络入侵检测系统。同时，利用UNSW-NB15 数据集进行实验，证明了所提方法的可行性和优越性，充分展示了其在实际网络环境中的应用潜力。通过分析混淆矩阵，全面评估了模型的性能，其在准确率、精确度和召回率等方面具有卓越表现。文章研究内容为通信网络入侵检测领域提供了新的思路和有效的解决方案，也为网络安全的持续发展提供了有力的支持。