《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 基于自監(jiān)督圖神經(jīng)網(wǎng)絡(luò)和混合神經(jīng)網(wǎng)絡(luò)的入侵檢測
基于自監(jiān)督圖神經(jīng)網(wǎng)絡(luò)和混合神經(jīng)網(wǎng)絡(luò)的入侵檢測
網(wǎng)絡(luò)安全與數(shù)據(jù)治理
王明
河北科技師范學(xué)院網(wǎng)絡(luò)技術(shù)中心
摘要: 為了解決現(xiàn)有網(wǎng)絡(luò)入侵檢測方法在特征提取單一、數(shù)據(jù)依賴強(qiáng)以及模型泛化能力差等方面的問題,提出了一種基于自監(jiān)督圖神經(jīng)網(wǎng)絡(luò)和混合神經(jīng)網(wǎng)絡(luò)的入侵檢測方法。首先,通過自監(jiān)督學(xué)習(xí)策略,利用圖卷積網(wǎng)絡(luò)提取網(wǎng)絡(luò)流量數(shù)據(jù)中的結(jié)構(gòu)特征,增強(qiáng)模型在無標(biāo)簽數(shù)據(jù)上的特征學(xué)習(xí)能力,從而降低對標(biāo)注數(shù)據(jù)的依賴并提升泛化能力。其次,使用卷積神經(jīng)網(wǎng)絡(luò)提取網(wǎng)絡(luò)流量中時間序列的空間特征,并通過長短時記憶網(wǎng)絡(luò)建模時間依賴性,進(jìn)行多視角特征提取,提高檢測的全面性。最后,設(shè)計了一種特征融合策略,豐富模型特征表示,提升模型魯棒性。在公開數(shù)據(jù)集上的實(shí)驗(yàn)結(jié)果表明,所提方法具有更高的準(zhǔn)確率和F1值。
中圖分類號:TP393.08;TP18文獻(xiàn)標(biāo)識碼:ADOI:10.19358/j.issn.2097-1788.2024.09.004
引用格式:王明.基于自監(jiān)督圖神經(jīng)網(wǎng)絡(luò)和混合神經(jīng)網(wǎng)絡(luò)的入侵檢測[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(9):21-25.
Intrusion detection based on self-supervised graph neural networks and hybrid neural networks
Wang Ming
Network Technology Center, Hebei Normal University Of Science & Technology
Abstract: To address the issues of limited feature extraction, strong data dependency, and poor generalization ability in existing network intrusion detection methods, this paper proposes an intrusion detection method based on self-supervised graph neural networks and hybrid neural networks. Firstly, through a self-supervised learning strategy, a graph convolutional network is employed to extract structural features from network traffic data, enhancing the model′s ability to learn features from unlabeled data. This reduces dependence on labeled data and improves generalization ability. Secondly, a convolutional neural network is used to extract spatial features from the time series of network traffic, and a long short-term memory network is employed to model temporal dependencies, enabling multi-view feature extraction and improving detection comprehensiveness. Finally, a feature fusion strategy is designed to enrich the model′s feature representation and enhance its robustness. Experimental results on public datasets demonstrate that the proposed method achieves higher accuracy and F1 score.
Key words : self-supervised learning; graph neural network; hybrid neural network; intrusion detection

引言

網(wǎng)絡(luò)入侵檢測系統(tǒng)(Intrusion Detection System, IDS)[1]主要用于監(jiān)控網(wǎng)絡(luò)活動,以便迅速識別潛在的惡意行為、攻擊事件以及違反系統(tǒng)安全策略的行為。網(wǎng)絡(luò)入侵檢測在現(xiàn)代信息安全體系中具有舉足輕重的地位。隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和信息化程度的不斷提高,網(wǎng)絡(luò)攻擊手段變得日益復(fù)雜和多樣化,給企業(yè)和個人的信息安全帶來了嚴(yán)峻的挑戰(zhàn)。網(wǎng)絡(luò)入侵檢測技術(shù)通過對網(wǎng)絡(luò)流量和系統(tǒng)日志的實(shí)時監(jiān)控和分析,能夠及時發(fā)現(xiàn)和阻止?jié)撛诘陌踩{,有效防范數(shù)據(jù)泄露、服務(wù)中斷和資源濫用等安全事件的發(fā)生。隨著人工智能技術(shù)的進(jìn)步,近年來研究人員已經(jīng)不斷應(yīng)用深度學(xué)習(xí)技術(shù)來解決網(wǎng)絡(luò)入侵檢測中的若干復(fù)雜問題。這些研究不僅著眼于提高檢測準(zhǔn)確率,還致力于降低誤報率,以提升整體系統(tǒng)的效率。特別是卷積神經(jīng)網(wǎng)絡(luò)(CNN)[2]和遞歸神經(jīng)網(wǎng)絡(luò)(RNN)[3]在處理大量復(fù)雜數(shù)據(jù)時表現(xiàn)出色,被廣泛用于特征提取和異常行為識別。此外,自監(jiān)督學(xué)習(xí)[4]、時間卷積網(wǎng)絡(luò)(TCN)[5]等新興方法的引入,也為網(wǎng)絡(luò)入侵檢測領(lǐng)域帶來了新的希望和發(fā)展方向。

Li[6]等人將GRU-RNN網(wǎng)絡(luò)模型引入入侵檢測任務(wù)中,提升了模型數(shù)據(jù)時序特征的檢測能力。Imrana[7]等人提出了基于雙向長短時記憶網(wǎng)絡(luò)(LSTM)的入侵檢測方法,利用正反兩個方向的LSTM網(wǎng)絡(luò)捕捉正反時序特征,并對提取的雙向特征進(jìn)行融合,顯著提升了檢測性能,但對于訓(xùn)練數(shù)據(jù)標(biāo)注具有較高的要求,模型泛化能力不足。張安琳[8]等人將卷積神經(jīng)和雙向門控循環(huán)結(jié)合,對融合后的特征進(jìn)行時序特征的提取,提升了模型的檢測能力。Halbouni[9]等人提出了一種混合神經(jīng)網(wǎng)絡(luò),利用CNN來提取網(wǎng)絡(luò)流量數(shù)據(jù)的空間特征,并結(jié)合LSTM來捕捉時間特征。這種混合模型在處理復(fù)雜網(wǎng)絡(luò)流量數(shù)據(jù)方面具有高效性和準(zhǔn)確性。但此種方法計算復(fù)雜性高,尤其是處理大規(guī)模數(shù)據(jù)集時,需要大量的計算資源和時間。Wang[10]提出了一種自監(jiān)督學(xué)習(xí)的入侵檢測方法,該方法無需標(biāo)簽數(shù)據(jù)?大大減少了數(shù)據(jù)標(biāo)注的成本。通過數(shù)據(jù)增強(qiáng)、特征表示、特征投影和對比學(xué)習(xí)等步驟,提高模型的檢測能力,但該方法在復(fù)雜的網(wǎng)絡(luò)攻擊場景下,模型可能會產(chǎn)生較高的誤報率。

盡管這些研究在網(wǎng)絡(luò)入侵檢測方面取得了一定的成果,但仍然存在一些問題。首先,現(xiàn)有方法在對網(wǎng)絡(luò)數(shù)據(jù)特征提取單一,學(xué)習(xí)數(shù)據(jù)的本質(zhì)特征不全面。同時在不同任務(wù)上表現(xiàn)差異較大,模型泛化能力差,缺少各種場景下的適應(yīng)能力。為了解決上述問題,本文提出了一種基于自監(jiān)督圖神經(jīng)網(wǎng)絡(luò)和混合神經(jīng)網(wǎng)絡(luò)的入侵檢測。該方法準(zhǔn)確地對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行特征提取,并對時序特征進(jìn)行了高效的上下文處理,提高網(wǎng)絡(luò)入侵檢測的性能。

本文的主要貢獻(xiàn)如下:

(1)提出了一種基于自監(jiān)督學(xué)習(xí)的圖神經(jīng)網(wǎng)絡(luò)(GNN),利用圖卷積網(wǎng)絡(luò)(GCN)有效地捕捉節(jié)點(diǎn)之間的復(fù)雜關(guān)系,提高入侵檢測的性能。同時自監(jiān)督學(xué)習(xí)可以在沒有標(biāo)注數(shù)據(jù)的情況下,通過設(shè)計預(yù)訓(xùn)練任務(wù)來學(xué)習(xí)數(shù)據(jù)的潛在特征,增強(qiáng)了模型的泛化能力。

(2)開發(fā)了一種混合神經(jīng)網(wǎng)絡(luò)模型,結(jié)合CNN和LSTM,能夠有效提取時間序列的空間特征和時間依賴性,提升對時序特征的處理能力。

(3)設(shè)計了一種特征融合策略,將GNN和混合卷積神經(jīng)網(wǎng)絡(luò)-循環(huán)神經(jīng)網(wǎng)絡(luò)(CNNLSTM)模型的輸出進(jìn)行融合,可以具有豐富特征表示,通過融合不同模型的特征,可以降低模型對特定特征模式的過擬合,提高了網(wǎng)絡(luò)入侵檢測系統(tǒng)的準(zhǔn)確性和魯棒性。


本文詳細(xì)內(nèi)容請下載:

http://ihrv.cn/resource/share/2000006159


作者信息:

王明

(河北科技師范學(xué)院網(wǎng)絡(luò)技術(shù)中心,河北秦皇島066000)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。