引用格式:王明.基于自監(jiān)督圖神經(jīng)網(wǎng)絡(luò)和混合神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(9):21-25.
引言
網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(Intrusion Detection System, IDS)[1]主要用于監(jiān)控網(wǎng)絡(luò)活動(dòng),以便迅速識(shí)別潛在的惡意行為、攻擊事件以及違反系統(tǒng)安全策略的行為。網(wǎng)絡(luò)入侵檢測(cè)在現(xiàn)代信息安全體系中具有舉足輕重的地位。隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和信息化程度的不斷提高,網(wǎng)絡(luò)攻擊手段變得日益復(fù)雜和多樣化,給企業(yè)和個(gè)人的信息安全帶來(lái)了嚴(yán)峻的挑戰(zhàn)。網(wǎng)絡(luò)入侵檢測(cè)技術(shù)通過(guò)對(duì)網(wǎng)絡(luò)流量和系統(tǒng)日志的實(shí)時(shí)監(jiān)控和分析,能夠及時(shí)發(fā)現(xiàn)和阻止?jié)撛诘陌踩{,有效防范數(shù)據(jù)泄露、服務(wù)中斷和資源濫用等安全事件的發(fā)生。隨著人工智能技術(shù)的進(jìn)步,近年來(lái)研究人員已經(jīng)不斷應(yīng)用深度學(xué)習(xí)技術(shù)來(lái)解決網(wǎng)絡(luò)入侵檢測(cè)中的若干復(fù)雜問(wèn)題。這些研究不僅著眼于提高檢測(cè)準(zhǔn)確率,還致力于降低誤報(bào)率,以提升整體系統(tǒng)的效率。特別是卷積神經(jīng)網(wǎng)絡(luò)(CNN)[2]和遞歸神經(jīng)網(wǎng)絡(luò)(RNN)[3]在處理大量復(fù)雜數(shù)據(jù)時(shí)表現(xiàn)出色,被廣泛用于特征提取和異常行為識(shí)別。此外,自監(jiān)督學(xué)習(xí)[4]、時(shí)間卷積網(wǎng)絡(luò)(TCN)[5]等新興方法的引入,也為網(wǎng)絡(luò)入侵檢測(cè)領(lǐng)域帶來(lái)了新的希望和發(fā)展方向。
Li[6]等人將GRU-RNN網(wǎng)絡(luò)模型引入入侵檢測(cè)任務(wù)中,提升了模型數(shù)據(jù)時(shí)序特征的檢測(cè)能力。Imrana[7]等人提出了基于雙向長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)(LSTM)的入侵檢測(cè)方法,利用正反兩個(gè)方向的LSTM網(wǎng)絡(luò)捕捉正反時(shí)序特征,并對(duì)提取的雙向特征進(jìn)行融合,顯著提升了檢測(cè)性能,但對(duì)于訓(xùn)練數(shù)據(jù)標(biāo)注具有較高的要求,模型泛化能力不足。張安琳[8]等人將卷積神經(jīng)和雙向門(mén)控循環(huán)結(jié)合,對(duì)融合后的特征進(jìn)行時(shí)序特征的提取,提升了模型的檢測(cè)能力。Halbouni[9]等人提出了一種混合神經(jīng)網(wǎng)絡(luò),利用CNN來(lái)提取網(wǎng)絡(luò)流量數(shù)據(jù)的空間特征,并結(jié)合LSTM來(lái)捕捉時(shí)間特征。這種混合模型在處理復(fù)雜網(wǎng)絡(luò)流量數(shù)據(jù)方面具有高效性和準(zhǔn)確性。但此種方法計(jì)算復(fù)雜性高,尤其是處理大規(guī)模數(shù)據(jù)集時(shí),需要大量的計(jì)算資源和時(shí)間。Wang[10]提出了一種自監(jiān)督學(xué)習(xí)的入侵檢測(cè)方法,該方法無(wú)需標(biāo)簽數(shù)據(jù)?大大減少了數(shù)據(jù)標(biāo)注的成本。通過(guò)數(shù)據(jù)增強(qiáng)、特征表示、特征投影和對(duì)比學(xué)習(xí)等步驟,提高模型的檢測(cè)能力,但該方法在復(fù)雜的網(wǎng)絡(luò)攻擊場(chǎng)景下,模型可能會(huì)產(chǎn)生較高的誤報(bào)率。
盡管這些研究在網(wǎng)絡(luò)入侵檢測(cè)方面取得了一定的成果,但仍然存在一些問(wèn)題。首先,現(xiàn)有方法在對(duì)網(wǎng)絡(luò)數(shù)據(jù)特征提取單一,學(xué)習(xí)數(shù)據(jù)的本質(zhì)特征不全面。同時(shí)在不同任務(wù)上表現(xiàn)差異較大,模型泛化能力差,缺少各種場(chǎng)景下的適應(yīng)能力。為了解決上述問(wèn)題,本文提出了一種基于自監(jiān)督圖神經(jīng)網(wǎng)絡(luò)和混合神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)。該方法準(zhǔn)確地對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行特征提取,并對(duì)時(shí)序特征進(jìn)行了高效的上下文處理,提高網(wǎng)絡(luò)入侵檢測(cè)的性能。
本文的主要貢獻(xiàn)如下:
(1)提出了一種基于自監(jiān)督學(xué)習(xí)的圖神經(jīng)網(wǎng)絡(luò)(GNN),利用圖卷積網(wǎng)絡(luò)(GCN)有效地捕捉節(jié)點(diǎn)之間的復(fù)雜關(guān)系,提高入侵檢測(cè)的性能。同時(shí)自監(jiān)督學(xué)習(xí)可以在沒(méi)有標(biāo)注數(shù)據(jù)的情況下,通過(guò)設(shè)計(jì)預(yù)訓(xùn)練任務(wù)來(lái)學(xué)習(xí)數(shù)據(jù)的潛在特征,增強(qiáng)了模型的泛化能力。
(2)開(kāi)發(fā)了一種混合神經(jīng)網(wǎng)絡(luò)模型,結(jié)合CNN和LSTM,能夠有效提取時(shí)間序列的空間特征和時(shí)間依賴(lài)性,提升對(duì)時(shí)序特征的處理能力。
(3)設(shè)計(jì)了一種特征融合策略,將GNN和混合卷積神經(jīng)網(wǎng)絡(luò)-循環(huán)神經(jīng)網(wǎng)絡(luò)(CNNLSTM)模型的輸出進(jìn)行融合,可以具有豐富特征表示,通過(guò)融合不同模型的特征,可以降低模型對(duì)特定特征模式的過(guò)擬合,提高了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的準(zhǔn)確性和魯棒性。
本文詳細(xì)內(nèi)容請(qǐng)下載:
http://ihrv.cn/resource/share/2000006159
作者信息:
王明
(河北科技師范學(xué)院網(wǎng)絡(luò)技術(shù)中心,河北秦皇島066000)