《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 基于自監(jiān)督圖神經(jīng)網(wǎng)絡(luò)和混合神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)
基于自監(jiān)督圖神經(jīng)網(wǎng)絡(luò)和混合神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)
網(wǎng)絡(luò)安全與數(shù)據(jù)治理
王明
河北科技師范學(xué)院網(wǎng)絡(luò)技術(shù)中心
摘要: 為了解決現(xiàn)有網(wǎng)絡(luò)入侵檢測(cè)方法在特征提取單一、數(shù)據(jù)依賴(lài)強(qiáng)以及模型泛化能力差等方面的問(wèn)題,提出了一種基于自監(jiān)督圖神經(jīng)網(wǎng)絡(luò)和混合神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法。首先,通過(guò)自監(jiān)督學(xué)習(xí)策略,利用圖卷積網(wǎng)絡(luò)提取網(wǎng)絡(luò)流量數(shù)據(jù)中的結(jié)構(gòu)特征,增強(qiáng)模型在無(wú)標(biāo)簽數(shù)據(jù)上的特征學(xué)習(xí)能力,從而降低對(duì)標(biāo)注數(shù)據(jù)的依賴(lài)并提升泛化能力。其次,使用卷積神經(jīng)網(wǎng)絡(luò)提取網(wǎng)絡(luò)流量中時(shí)間序列的空間特征,并通過(guò)長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)建模時(shí)間依賴(lài)性,進(jìn)行多視角特征提取,提高檢測(cè)的全面性。最后,設(shè)計(jì)了一種特征融合策略,豐富模型特征表示,提升模型魯棒性。在公開(kāi)數(shù)據(jù)集上的實(shí)驗(yàn)結(jié)果表明,所提方法具有更高的準(zhǔn)確率和F1值。
中圖分類(lèi)號(hào):TP393.08;TP18文獻(xiàn)標(biāo)識(shí)碼:ADOI:10.19358/j.issn.2097-1788.2024.09.004
引用格式:王明.基于自監(jiān)督圖神經(jīng)網(wǎng)絡(luò)和混合神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(9):21-25.
Intrusion detection based on self-supervised graph neural networks and hybrid neural networks
Wang Ming
Network Technology Center, Hebei Normal University Of Science & Technology
Abstract: To address the issues of limited feature extraction, strong data dependency, and poor generalization ability in existing network intrusion detection methods, this paper proposes an intrusion detection method based on self-supervised graph neural networks and hybrid neural networks. Firstly, through a self-supervised learning strategy, a graph convolutional network is employed to extract structural features from network traffic data, enhancing the model′s ability to learn features from unlabeled data. This reduces dependence on labeled data and improves generalization ability. Secondly, a convolutional neural network is used to extract spatial features from the time series of network traffic, and a long short-term memory network is employed to model temporal dependencies, enabling multi-view feature extraction and improving detection comprehensiveness. Finally, a feature fusion strategy is designed to enrich the model′s feature representation and enhance its robustness. Experimental results on public datasets demonstrate that the proposed method achieves higher accuracy and F1 score.
Key words : self-supervised learning; graph neural network; hybrid neural network; intrusion detection

引言

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(Intrusion Detection System, IDS)[1]主要用于監(jiān)控網(wǎng)絡(luò)活動(dòng),以便迅速識(shí)別潛在的惡意行為、攻擊事件以及違反系統(tǒng)安全策略的行為。網(wǎng)絡(luò)入侵檢測(cè)在現(xiàn)代信息安全體系中具有舉足輕重的地位。隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和信息化程度的不斷提高,網(wǎng)絡(luò)攻擊手段變得日益復(fù)雜和多樣化,給企業(yè)和個(gè)人的信息安全帶來(lái)了嚴(yán)峻的挑戰(zhàn)。網(wǎng)絡(luò)入侵檢測(cè)技術(shù)通過(guò)對(duì)網(wǎng)絡(luò)流量和系統(tǒng)日志的實(shí)時(shí)監(jiān)控和分析,能夠及時(shí)發(fā)現(xiàn)和阻止?jié)撛诘陌踩{,有效防范數(shù)據(jù)泄露、服務(wù)中斷和資源濫用等安全事件的發(fā)生。隨著人工智能技術(shù)的進(jìn)步,近年來(lái)研究人員已經(jīng)不斷應(yīng)用深度學(xué)習(xí)技術(shù)來(lái)解決網(wǎng)絡(luò)入侵檢測(cè)中的若干復(fù)雜問(wèn)題。這些研究不僅著眼于提高檢測(cè)準(zhǔn)確率,還致力于降低誤報(bào)率,以提升整體系統(tǒng)的效率。特別是卷積神經(jīng)網(wǎng)絡(luò)(CNN)[2]和遞歸神經(jīng)網(wǎng)絡(luò)(RNN)[3]在處理大量復(fù)雜數(shù)據(jù)時(shí)表現(xiàn)出色,被廣泛用于特征提取和異常行為識(shí)別。此外,自監(jiān)督學(xué)習(xí)[4]、時(shí)間卷積網(wǎng)絡(luò)(TCN)[5]等新興方法的引入,也為網(wǎng)絡(luò)入侵檢測(cè)領(lǐng)域帶來(lái)了新的希望和發(fā)展方向。

Li[6]等人將GRU-RNN網(wǎng)絡(luò)模型引入入侵檢測(cè)任務(wù)中,提升了模型數(shù)據(jù)時(shí)序特征的檢測(cè)能力。Imrana[7]等人提出了基于雙向長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)(LSTM)的入侵檢測(cè)方法,利用正反兩個(gè)方向的LSTM網(wǎng)絡(luò)捕捉正反時(shí)序特征,并對(duì)提取的雙向特征進(jìn)行融合,顯著提升了檢測(cè)性能,但對(duì)于訓(xùn)練數(shù)據(jù)標(biāo)注具有較高的要求,模型泛化能力不足。張安琳[8]等人將卷積神經(jīng)和雙向門(mén)控循環(huán)結(jié)合,對(duì)融合后的特征進(jìn)行時(shí)序特征的提取,提升了模型的檢測(cè)能力。Halbouni[9]等人提出了一種混合神經(jīng)網(wǎng)絡(luò),利用CNN來(lái)提取網(wǎng)絡(luò)流量數(shù)據(jù)的空間特征,并結(jié)合LSTM來(lái)捕捉時(shí)間特征。這種混合模型在處理復(fù)雜網(wǎng)絡(luò)流量數(shù)據(jù)方面具有高效性和準(zhǔn)確性。但此種方法計(jì)算復(fù)雜性高,尤其是處理大規(guī)模數(shù)據(jù)集時(shí),需要大量的計(jì)算資源和時(shí)間。Wang[10]提出了一種自監(jiān)督學(xué)習(xí)的入侵檢測(cè)方法,該方法無(wú)需標(biāo)簽數(shù)據(jù)?大大減少了數(shù)據(jù)標(biāo)注的成本。通過(guò)數(shù)據(jù)增強(qiáng)、特征表示、特征投影和對(duì)比學(xué)習(xí)等步驟,提高模型的檢測(cè)能力,但該方法在復(fù)雜的網(wǎng)絡(luò)攻擊場(chǎng)景下,模型可能會(huì)產(chǎn)生較高的誤報(bào)率。

盡管這些研究在網(wǎng)絡(luò)入侵檢測(cè)方面取得了一定的成果,但仍然存在一些問(wèn)題。首先,現(xiàn)有方法在對(duì)網(wǎng)絡(luò)數(shù)據(jù)特征提取單一,學(xué)習(xí)數(shù)據(jù)的本質(zhì)特征不全面。同時(shí)在不同任務(wù)上表現(xiàn)差異較大,模型泛化能力差,缺少各種場(chǎng)景下的適應(yīng)能力。為了解決上述問(wèn)題,本文提出了一種基于自監(jiān)督圖神經(jīng)網(wǎng)絡(luò)和混合神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)。該方法準(zhǔn)確地對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行特征提取,并對(duì)時(shí)序特征進(jìn)行了高效的上下文處理,提高網(wǎng)絡(luò)入侵檢測(cè)的性能。

本文的主要貢獻(xiàn)如下:

(1)提出了一種基于自監(jiān)督學(xué)習(xí)的圖神經(jīng)網(wǎng)絡(luò)(GNN),利用圖卷積網(wǎng)絡(luò)(GCN)有效地捕捉節(jié)點(diǎn)之間的復(fù)雜關(guān)系,提高入侵檢測(cè)的性能。同時(shí)自監(jiān)督學(xué)習(xí)可以在沒(méi)有標(biāo)注數(shù)據(jù)的情況下,通過(guò)設(shè)計(jì)預(yù)訓(xùn)練任務(wù)來(lái)學(xué)習(xí)數(shù)據(jù)的潛在特征,增強(qiáng)了模型的泛化能力。

(2)開(kāi)發(fā)了一種混合神經(jīng)網(wǎng)絡(luò)模型,結(jié)合CNN和LSTM,能夠有效提取時(shí)間序列的空間特征和時(shí)間依賴(lài)性,提升對(duì)時(shí)序特征的處理能力。

(3)設(shè)計(jì)了一種特征融合策略,將GNN和混合卷積神經(jīng)網(wǎng)絡(luò)-循環(huán)神經(jīng)網(wǎng)絡(luò)(CNNLSTM)模型的輸出進(jìn)行融合,可以具有豐富特征表示,通過(guò)融合不同模型的特征,可以降低模型對(duì)特定特征模式的過(guò)擬合,提高了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的準(zhǔn)確性和魯棒性。


本文詳細(xì)內(nèi)容請(qǐng)下載:

http://ihrv.cn/resource/share/2000006159


作者信息:

王明

(河北科技師范學(xué)院網(wǎng)絡(luò)技術(shù)中心,河北秦皇島066000)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。