隨著入侵者的攻擊手段日趨智能化、復雜化，傳統(tǒng)的機器學習技術對異常攻擊行為的檢測有效性在下降。近年來，深度學習以其獨特的學習機制，利用大數(shù)據(jù)和高算力達到學習的高準確率。通過廣泛的文獻調(diào)查，目前已經(jīng)有很多基于深度學習設計的入侵檢測系統(tǒng)。本綜述在對傳統(tǒng)機器學習技術和深度學習技術進行對比后，詳述了基于深度學習和數(shù)據(jù)集的入侵檢測系統(tǒng)。

　　0

　　引　言

　　近年來，大數(shù)據(jù)、人工智能、云計算和 5G技術得到迅猛發(fā)展，網(wǎng)絡的應用也變得更廣泛和便捷。據(jù)中國互聯(lián)網(wǎng)絡信息中心（CNNIC）發(fā)布的第 47 次《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示，截至 2020 年 12 月，我國網(wǎng)民規(guī)模達到 9.89億人，較 2020 年 3 月增長 8540 萬人，互聯(lián)網(wǎng)普及率已達 70.4%。網(wǎng)民規(guī)模的擴大，引入了更大的網(wǎng)絡流量和網(wǎng)絡攻擊面，使得保護網(wǎng)絡信息和通信安全成為一個更具挑戰(zhàn)性的問題。入侵檢測系統(tǒng)（Intrusion Detection System，IDS） 對提高系統(tǒng)的安全水平起著至關重要的作用。

　　隨著網(wǎng)絡攻擊的復雜性和網(wǎng)絡功能的多樣化，傳統(tǒng)的入侵檢測技術存在誤報率高、適應性差和檢測率低的問題。因此，我們需要研究新的入侵檢測技術來提高入侵檢測系統(tǒng)的安全檢測能力。近年來，深度學習[1] 在圖像識別、語音識別、自然語言處理等方面取得了驚人的成績。深度學習技術在處理復雜的大規(guī)模數(shù)據(jù)方面具有出色的性能，這也為處理多特征入侵數(shù)據(jù)帶來了新的思路。深度學習在網(wǎng)絡入侵檢測領域的靈活應用可以有效提高檢測率，降低誤報率和漏報率。

　　本文從以下幾方面展開研究：第一，提出當前的網(wǎng)絡安全防護存在的一些問題；第二，介紹了基于機器學習和深度學習的入侵檢測技術，并對這兩種技術做了分析比較；第三，介紹了入侵檢測系統(tǒng)訓練的必需因素數(shù)據(jù)集；第四，對深度學習模型結(jié)合數(shù)據(jù)集在入侵檢測系統(tǒng)上的應用和近幾年相關研究工作做了綜述；第五，對全文進行了總結(jié)，并對今后的工作進行了展望。

　　1

　　安全防護現(xiàn)狀

　　隨著新興技術突飛猛進的發(fā)展，信息技術的應用已經(jīng)逐步滲透到各行各業(yè)中，為我們的工作和生活帶來便捷和智能服務的同時，也帶來了逐步加劇的網(wǎng)絡安全問題。其中，零日攻擊、APT 攻擊、勒索病毒攻擊等智能化攻擊日益猖獗。在信息化時代中常見的網(wǎng)絡安全問題如下。

　　（1）用戶操作不當：計算機產(chǎn)生的安全問題和用戶的操作不當有著密切的關系。對于使用網(wǎng)絡的普通用戶而言，因缺乏必要的計算機網(wǎng)絡安全知識，沒有對網(wǎng)絡系統(tǒng)進行有效防護，比如用戶密碼過于簡單、將個人信息隨意泄露給別人。對于網(wǎng)絡管理員而言，因為新的網(wǎng)絡系統(tǒng)非常復雜，配置操作容易出錯，這些錯誤很可能會被黑客利用，存在大量的安全隱患。

　?。?）網(wǎng)絡系統(tǒng)存在缺陷：相關的開發(fā)人員在最初設計軟件系統(tǒng)時，沒有充分考慮系統(tǒng)的安全性問題，導致軟件在開發(fā)過程中會出現(xiàn)一些安全漏洞。盡管有一些測試工具可以發(fā)現(xiàn)和修復一些漏洞，但是不可能完全修復。一旦出現(xiàn)嚴重的安全隱患問題，這一漏洞便會成為很多黑客進行網(wǎng)絡攻擊的突破口。黑客在未經(jīng)用戶允許的情況下修改計算機系統(tǒng)，造成用戶信息丟失或泄露。

　?。?）內(nèi)部威脅日益嚴重：大部分組織都會設置防御系統(tǒng)，制定防范機制來保護內(nèi)部系統(tǒng)不受外部攻擊，往往忽視了來自內(nèi)部員工的威脅。在信息化時代中，員工越來越容易拿到內(nèi)部訪問權限，一旦這些員工做出惡意行為，所造成的內(nèi)部威脅很難被及時發(fā)現(xiàn)，帶來的危害性更大。

　?。?）防護機制更新不及時：網(wǎng)絡攻擊方式千變?nèi)f化，使新型攻擊往往可以繞過防護和檢測機制，入侵防御系統(tǒng)規(guī)則庫的更新速度跟不上攻擊變種的速度，導致安全防范滯后。因此需要通過動態(tài)學習和自動更新機制來升級安全解決方案。

　　以上因素推動了入侵檢測系統(tǒng)的發(fā)展，研究設計智能化的入侵檢測系統(tǒng)具有十分重要的應用前景。

　　2

　　入侵檢測技術

　　入侵檢測系統(tǒng)（Intrusion Detection Systems，IDS）是一種非常重要的軟件或硬件安全工具，用于檢測可能出現(xiàn)的威脅，防止未經(jīng)授權的訪問或濫用，并向安全管理員報告攻擊。入侵檢測系統(tǒng)按引擎檢測機制分類可分為基于簽名檢測的 IDS 和基于異常行為檢測的 IDS。

　?。?）基于簽名檢測的 IDS：根據(jù)已知的簽名進行檢測，這種方法能有效識別簽名庫中已有的攻擊，但無法識別未知攻擊和已知攻擊的變種。

　?。?）基于異常行為檢測的 IDS：通過學習網(wǎng)絡流量行為來對流量進行分類，可以檢測未知的攻擊。

　　第一種方法能高效準確地識別出攻擊，但它檢測不出新型的攻擊，比如零日攻擊，所以整體的檢測率較低。而第二種方法更具靈活性、健壯性和可擴展性。因此，為了實現(xiàn)動態(tài)入侵檢測系統(tǒng)，主要推薦基于異常行為的檢測技術。目前常用的是基于機器學習和基于深度學習對入侵檢測中的異常行為進行檢測，以下將對這兩種技術做概括介紹。

　　2.1　基于機器學習的入侵檢測技術

　　機器學習是人工智能的一個分支，主要研究通過經(jīng)驗來自動改進計算機算法，常見的機器學習模型如下。

　　1）數(shù)理統(tǒng)計（Statistical）：通過檢查用戶或系統(tǒng)的正常行為和異常行為來創(chuàng)建統(tǒng)計模型，統(tǒng)計模型可以用來識別新的攻擊。常用的統(tǒng)計方法有主成分分析、卡方分布、高斯混合分布。

　?。?）支持向量機（Support Vector Machine，SVM）：支持向量機是一種在數(shù)據(jù)樣本有限的情況下檢測入侵事件的有效方法。向量機的目標是以最合適的方式用一個特征向量來區(qū)分兩種類型數(shù)據(jù)。它們有很多應用領域，如人物識別、聲音識別等，是機器學習中的經(jīng)典模型。

　?。?）數(shù)據(jù)挖掘（Data Mining）：數(shù)據(jù)挖掘是從采集的海量數(shù)據(jù)中提取大量的信息，通過分析用戶與數(shù)據(jù)之間的關聯(lián)關系來提取關鍵規(guī)則，是用戶行為分析的常用方法。

　?。?）基于規(guī)則集（Rule-Based）：由安全研究人員分析網(wǎng)絡中的攻擊流量，提取關鍵規(guī)則，從而在這基礎上降低數(shù)據(jù)維度后再對入侵行為進行檢測。該方法在一定程度上可以減少檢測計算量，提高檢測效率。

　?。?） 人 工 神 經(jīng) 網(wǎng) 絡（Artificial Neural Network，ANN）[2]：人工神經(jīng)網(wǎng)絡是一種智能的信息處理模型，它模擬人類大腦對信息進行加工、存儲和處理。神經(jīng)網(wǎng)絡通過學習獲得知識，并將學到的知識存儲在連接點的權重中。該模型具有學習性和自適應性，并且可以識別未知入侵。

　　2.2　基于深度學習的入侵檢測技術

　　深度學習通常是人工神經(jīng)網(wǎng)絡的改進，是一種深度神經(jīng)網(wǎng)絡（Deep Neural Network，DNN），用于特征提取、感知和學習?！吧疃取笔侵干窠?jīng)網(wǎng)絡中隱藏層的層數(shù)。傳統(tǒng)的神經(jīng)網(wǎng)絡只包含到 2~3 個隱藏層，而深度神經(jīng)網(wǎng)絡可能包含高達 150 個隱藏層。深度學習使用多個連續(xù)層執(zhí)行操作，各層相互連接，每層接收前一層的輸出作為輸入。簡單的深層神經(jīng)網(wǎng)絡如圖 1 所示，其包括一個輸入層、三個隱藏層和一個輸出層；輸入維是 6，輸出維是 2；隱藏層分別包含 12 個、6 個和 3 個神經(jīng)元。

　　圖 1　簡單的深度神經(jīng)網(wǎng)絡

　　在深度學習中，不是人工去提取特征，而是使用有效的算法來自動提取數(shù)據(jù)特征。深度學習被應用于多種領域，比如語音識別、無人駕駛、圖像識別與分類、自然語言處理、生物信息學等。

　　深度學習和機器學習的區(qū)別如下。

　　（1）在深度學習中，需要輸入海量數(shù)據(jù)進行訓練才能使算法模型達到最理想的狀態(tài)；而在機器學習中，大量的數(shù)據(jù)并不能提高模型的性能。

　?。?）在深度學習中，自動從數(shù)據(jù)中提取特征；而在機器學習中，特征由專家來指定。

　　（3）在深度學習中，需要在高性能機器上工作；而在機器學習中，可以在性能不高的機器上工作。

　?。?）在深度學習中，問題是端到端解決的；而在機器學習中，先將問題分成幾部分，再逐個解決每部分的問題，然后形成解決方案。

　　（5）與傳統(tǒng)的機器學習相比，深度學習可以對輸入的高維特征進行多次抽象變換，使它具有較強的特征表達能力，更利于解決許多復雜特征問題。

　　深度學習常見的 4 個模型為深度前饋網(wǎng)絡（Deep Feedforward Network，DFN）、 遞 歸 神經(jīng) 網(wǎng) 絡（Recursive Neural Network，RNN）、卷 積 神 經(jīng) 網(wǎng) 絡（Convolution Neural Networks，CNN）、自編碼器（AutoEncoder，AE）。

　　（1）深度前饋網(wǎng)絡：也稱為全連接前饋神經(jīng)網(wǎng)絡或多層感知機。在前饋神經(jīng)網(wǎng)絡內(nèi)部，信息從輸入層向輸出層傳播，只能單向傳播，不能反向傳播。

　　（2）遞歸神經(jīng)網(wǎng)絡：也稱為循環(huán)神經(jīng)網(wǎng)絡，能有效處理序列數(shù)據(jù)。與深度前饋網(wǎng)絡不同，神經(jīng)元的輸出可以在下一個時間戳直接作用到本層神經(jīng)元上。主要應用在文本描述、語音識別、機器翻譯等領域。

　?。?）卷積神經(jīng)網(wǎng)絡：包括卷積層、池化層、全連接層，能夠在保留圖片特征的前提下，將大數(shù)據(jù)量的圖像有效降維到小數(shù)據(jù)量。主要應用在圖像分類、人臉識別、骨骼識別等領域。

　?。?）自編碼器：是一種無監(jiān)督的神經(jīng)網(wǎng)絡模型，由編碼器和解碼器組成，主要目的是將輸入值編碼成中間值，然后將中間值解碼，使輸入數(shù)據(jù)被重構，從而實現(xiàn)降維。

　　3

　　入侵檢測數(shù)據(jù)集

　　數(shù)據(jù)集是評估和訓練基于異常行為檢測的入侵檢測系統(tǒng)的必需條件。入侵檢測數(shù)據(jù)集分為主機數(shù)據(jù)集和網(wǎng)絡數(shù)據(jù)集。因為本文重點關注的是網(wǎng)絡入侵檢測系統(tǒng)，所以這里僅討論基于網(wǎng)絡的數(shù)據(jù)集。本節(jié)將介紹入侵檢測系統(tǒng)中最常用的數(shù)據(jù)集。

　　3.1　KDD Cup99 數(shù)據(jù)集

　　KDD Cup99[3] 數(shù)據(jù)集在 1999 年設計完成，為智能入侵檢測系統(tǒng)的研究奠定了基礎。KDDCup99 數(shù)據(jù)集分成具有標識的訓練數(shù)據(jù)和未加標識的測試數(shù)據(jù)，總共約有 500 萬條記錄其中攻擊數(shù)據(jù)約占 80%。數(shù)據(jù)集中共有 41 個特征屬性，可分為基本特征、流量特征和內(nèi)容特征。該數(shù)據(jù)集中的數(shù)據(jù)可分為 5 大類別，其中攻擊類別有 4 類。

　?。?）正常類別：沒有攻擊類型的數(shù)據(jù)。

　?。?）攻擊類別：拒絕服務攻擊類（Denial of Service，DoS）、探測攻擊類（Probe）、遠程對本地攻擊類（Remote-to-Login，R2L）、用戶對管理員攻擊類（User-to-Root，U2R）。這 4種攻擊類別中包含了 22 種攻擊。

　　3.2　NSL-KDD 數(shù)據(jù)集

　　為了使深度學習算法在 KDD Cup99 上更好地工作，研究人員在 2000 年基于 KDD Cup99 數(shù)據(jù)集創(chuàng)建了 NSL-KDD[4] 數(shù)據(jù)集。該數(shù)據(jù)集刪除了 KDD Cup99 中重復的記錄，減少了數(shù)據(jù)量。NSL-KDD 包含了 KDD Cup99 數(shù)據(jù)集的基本記錄和數(shù)據(jù)特性，識別的攻擊類別都和 KDD Cup99數(shù)據(jù)集一樣。但有以下不同。

　?。?）由于訓練集中沒有冗余數(shù)據(jù)，分類器不會偏向更頻繁的記錄。

　?。?）因為測試集中沒有重復的數(shù)據(jù)，所以檢測率更為準確。

　?。?）每個難度級別組中選擇的記錄數(shù)與原始 KDD 數(shù)據(jù)集中記錄的百分比成反比。這將對不同學習技術的準確評估更有效。

　　3.3　UNSW-NB15 數(shù)據(jù)集

　　UNSW-NB15[5] 數(shù)據(jù)集由澳大利亞網(wǎng)絡安全中心實驗室在 2015 年設計完成，是一個開源的數(shù)據(jù)集。數(shù)據(jù)集的訓練是利用 IXIA 流量生成器，根據(jù) CVE 網(wǎng)站上公開的漏洞信息技術，盡可能模擬真實的攻擊環(huán)境。該數(shù)據(jù)集共有 49 個特征屬性，類似 KDD Cup99 數(shù)據(jù)集，包括 5 個流量特征、13 個基本特征、8 個內(nèi)容特征、9 個時間特征、12 個其他特征、2 個標記特征。

　　該數(shù)據(jù)集按訓練集和測試集做了分割，在訓練集中共有 175341 條記錄，在測試集中共有82332 條記錄，分別以 CSV 文件格式保存。數(shù)據(jù)集包含模糊攻擊類、社會工程學攻擊類、后門攻擊類、拒絕服務攻擊類、漏洞利用類攻擊類、 泛型攻擊、掃描攻擊類、Shellcode 攻擊類、蠕蟲攻擊類等。

　　3.4　CIC-IDS 2017 數(shù)據(jù)集

　　CIC-IDS 2017[6] 數(shù)據(jù)集由加拿大網(wǎng)絡安全研究所（CIC）在 2017 年創(chuàng)建。該數(shù)據(jù)集使用了CICFlowMeter 工具從原始數(shù)據(jù)中提取 80 多個特征屬性。提取特征的方法有兩種，分別是在線模式和離線模式。在線模式可以實時監(jiān)控網(wǎng)絡流量，并產(chǎn)生特征，監(jiān)聽結(jié)束后，將特征屬性以CSV 格式保存在本地。離線模式是提交一個 .pcap格式的完整數(shù)據(jù)包到 CICFlowMeter 工具，會得到一個包含特征的 CSV 文件。CIC-IDS 2017 數(shù)據(jù)集可識別的攻擊類別有僵尸網(wǎng)絡攻擊類、Web攻擊類、DoS&DDoS 攻擊類、滲透攻擊類、SSH暴力破解攻擊類、FTP 暴力破解攻擊類。

　　接下來將結(jié)合以上數(shù)據(jù)集，介紹深度學習模型在入侵檢測系統(tǒng)上的應用。

　　4

　　基于深度學習的入侵檢測系統(tǒng)

　　不同的深度學習模型結(jié)合合適的數(shù)據(jù)集，適用于不同的攻擊類型分類。本節(jié)選擇近幾年的國內(nèi)外文獻，來說明當前深度學習在入侵檢測系統(tǒng)中的應用情況。

　　Roy 等人[7] 提出了一種利用深度神經(jīng)網(wǎng)絡模型的入侵檢測系統(tǒng)，并驗證了該模型可以提高入侵檢測系統(tǒng)的性能。作者提出的深度神經(jīng)網(wǎng)絡模型是一種全連接前饋神經(jīng)網(wǎng)絡，包含 3 層或者更多層人工神經(jīng)元，由輸入層、約 400 個隱藏層神經(jīng)元和輸出層神經(jīng)元 3 個部分組成。作者使用 ReLu 函數(shù)作為激活函數(shù)，使用 Softmax分類器對流量進行分類。作者還使用了 KDD Cup99 數(shù)據(jù)集，將數(shù)據(jù)集中的 41 個特征輸入算法模型中進行驗證。作者比較了深度神經(jīng)網(wǎng)絡模型和支持向量機模型的性能。實驗結(jié)果表明，使用深度神經(jīng)網(wǎng)絡模型的準確率為 99.994%，而使用支持向量機模型的準確率僅為 84.635%。這一結(jié)果表明了深度神經(jīng)網(wǎng)絡模型在入侵檢測中的有效性。

　　Potluri 等人[8] 也提出了另一種利用深度神經(jīng)網(wǎng)絡模型的入侵檢測系統(tǒng)。因為神經(jīng)網(wǎng)絡需要大量的訓練計算，所以該研究利用多核 CPU和 GPU 來提高入侵檢測系統(tǒng)的性能。作者研究選取深度學習模型中的棧自編碼器（Stacked AutoEncoder，SAE）來構建神經(jīng)網(wǎng)絡。第一個自編碼器（AutoEncoder，AE）在第一隱藏層有20 個神經(jīng)元，第二個自編碼器在第二隱藏層有10 個神經(jīng)元，輸出層有 5 個神經(jīng)元。在訓練階段，由于第一個自編碼器的隱藏層成為第二個自編碼器的輸入，因此每個自編碼器被單獨但按順序地訓練。有兩次微調(diào)過程，第一次是通過 Softmax 激活函數(shù)完成的，第二次是通過整個網(wǎng)絡的反向傳播完成的。此研究選擇 NSL-KDD數(shù)據(jù)集來測試這種方法。作者首先測試了 2 類到 4 類不同攻擊類型組合的網(wǎng)絡。因為不平衡的攻擊類型分布會導致較少的攻擊類型得到很好的結(jié)果，所以較少數(shù)量的攻擊類型比較多數(shù)量的攻擊類型表現(xiàn)更佳。為了加速，作者使用了兩個不同的 CPU 和一個 GPU。作者還嘗試使用串行和并行 CPU。實驗結(jié)果表明，使用并行CPU 的訓練速度是使用串行 CPU 的 3 倍，使用GPU 的訓練速度與并行 CPU 相似。

　　Yin 等人[9] 指出傳統(tǒng)機器學習算法無法有效解決海量入侵數(shù)據(jù)的分類問題。作者利用了遞歸神經(jīng)網(wǎng)絡（Recursive Neural Network，RNN）的優(yōu)勢，提出了一種基于遞歸神經(jīng)網(wǎng)絡模型的入侵檢測系統(tǒng)?；?RNN 模型的入侵檢測系統(tǒng)先對數(shù)據(jù)進行預處理，包括數(shù)值化和標準化。然后將特征準備數(shù)據(jù)傳到 RNN 的訓練步驟進行訓練。最終訓練輸出的模型使用測試數(shù)據(jù)集進行測試。在實驗時，作者使用 NSL-KDD 數(shù)據(jù)集進行訓練和測試。實驗將數(shù)據(jù)集的 41 個特征經(jīng)過將字符串映射為二進制的數(shù)字化后就變換成 122個特征。實驗測試了兩種分類，即二分類和多分類。結(jié)果表明，二分類的準確率為 83.28%，多分類的準確率為 81.29%。RNN 在二分類和多分類方面都優(yōu)于作者測試的其他機器學習方法。

　　Li 等人[10] 在入侵檢測系統(tǒng)上使用卷積神經(jīng)網(wǎng) 絡（Convolutional Neural Networks，CNN） 模型作為特征提取器和分類器進行了實驗。卷積神經(jīng)網(wǎng)絡在與圖像相關的分類任務中取得了許多成功的實現(xiàn)，但在文本分類方面還存在難點，所以該試驗最大的挑戰(zhàn)就是將文本數(shù)據(jù)轉(zhuǎn)換成圖像的步驟。實驗的時候，Li 等人采用了 NSLKDD 數(shù)據(jù)集，圖像轉(zhuǎn)換步驟首先將 41 個原始特征映射為 464 個二進制向量，接著將 464 個向量轉(zhuǎn)換成 8×8 像素圖像。這些圖像將作為卷積神經(jīng)網(wǎng)絡訓練的輸入數(shù)據(jù)。作者用學習過的卷積神經(jīng)網(wǎng)絡模型 ResNet 50 和 GoogLeNet 進行實驗。實驗結(jié)果表明，ResNet 50 模型和 GoogLeNet 模型的準確率分別為 79.14% 和 77.14%。雖然這一結(jié)果并沒有改善入侵檢測技術的現(xiàn)狀，但作者展示了如何在入侵檢測環(huán)境中應用卷積神經(jīng)網(wǎng)絡和圖像轉(zhuǎn)換方法。

　　Zarai 等人[11] 提出了一種基于深度神經(jīng)網(wǎng)絡 和 長 短 期 記 憶（Long Short-Term Memory，LSTM）網(wǎng)絡的入侵檢測系統(tǒng)。LSTM 模型是一種改進版的 RNN 模型，用來解決梯度消失或爆炸的問題。作者采用 KDD Cup99 數(shù)據(jù)集，將DNN 和 LSTM 應用于入侵檢測系統(tǒng)中用來預測攻擊，實驗表明基于 3 層架構的 DNN 或基于 3層架構的 LSTM 的入侵檢測模型對異常攻擊檢測更有效。

　　李學勇[12] 在 2020 年的畢業(yè)論文中提出了一種基于多元相關性分析算法的長短期記憶網(wǎng)絡（Multiple Correlation Analysis Long Short-Term Memory，MCA-LSTM）的入侵檢測模型，用來解決網(wǎng)絡入侵檢測模型因高維數(shù)據(jù)所導致的檢測性能低，誤報率高的問題。該模型首先通過信息增益特征選擇模塊選擇出最優(yōu)的特征子集；然后利用多元相關性分析算法將特征子集轉(zhuǎn)換為 TAM 矩陣（主對角線全為 0 的對稱矩陣）；最后將 TAM 矩陣輸入長短期記憶網(wǎng)絡模塊中進行訓練和測試。為了更好地展現(xiàn)該模型的性能，與現(xiàn)有的卷積神經(jīng)網(wǎng)絡、遞歸神經(jīng)網(wǎng)絡、深度森林（Deep Forest）、支持向量機和 K 最近鄰（KNN）等方法的性能進行了對比分析。試驗結(jié)果表明，提出的 MCA-LSTM 模型在 NSL-KDD 數(shù)據(jù)集 5分類任務中和 UNSW-NB15 數(shù)據(jù)集 10 分類任務中具有較好的準確度。與傳統(tǒng)的機器學習和現(xiàn)有深度學習模型相比，該模型具有較好的分類檢測性能。

　　綜上所述，不同的深度學習模型在入侵檢測系統(tǒng)中會產(chǎn)生不同的應用效果。本章節(jié)中所提到的研究工作主要使用 4 種典型的深度學習模 型， 結(jié) 合 KDD Cup99、NSL-KDD、UNSWNB15 數(shù)據(jù)集，通過實驗來測試入侵檢測的準確率和檢測性能。這對未來的研究有著一定的指導意義。

　　5

　　結(jié)　語

　　入侵檢測系統(tǒng)的有效性直接取決于所使用的檢測引擎。為了提高系統(tǒng)的靈活性，需要用學習系統(tǒng)來實現(xiàn)異常檢測。深度學習是檢測引擎中執(zhí)行的最新訓練和分類技術之一。本文對基于深度學習的入侵檢測系統(tǒng)進行了簡要的綜述，并列出一些公開的檢測數(shù)據(jù)集，給出了它們的優(yōu)點和缺點，對這一領域的研究人員有一定的幫助。未來的工作建議是針對以下幾個方面進行進一步的研究。

　　（1）在以大數(shù)據(jù)為基礎的信息化時代中，流量模型變得更復雜、數(shù)據(jù)量更大。而當前所使用的大部分數(shù)據(jù)集都存在數(shù)據(jù)樣本過時、信息冗余和數(shù)據(jù)不平衡等問題。因此，在后續(xù)工作中，建立擁有龐大的數(shù)據(jù)量、豐富的攻擊類型（比如零日攻擊）和平衡的樣本的入侵檢測數(shù)據(jù)集是提高檢測性能的重要方向。

　?。?）本文提及了 4 種典型的深度學習模型，希望未來能有更多新的神經(jīng)網(wǎng)絡模型被應用到入侵檢測研究工作中，為網(wǎng)絡安全防護提供更好的入侵檢測方法。

　　（3）目前大部分實驗是在計算機模擬環(huán)境中進行的，與實際的網(wǎng)絡環(huán)境還具有較大差異。隨著物聯(lián)網(wǎng)、5G 網(wǎng)絡、無線網(wǎng)等網(wǎng)絡的發(fā)展，在后續(xù)研究工作中，應多考慮新型的網(wǎng)絡應用場景，解決如何在實際環(huán)境中進行實時性和適應性的驗證。