论文部分内容阅读
入侵检测技术作为一种有效的安全防护技术,在传统网络环境中得到了广泛的应用。随着网络技术和网络应用的快速发展,网络数据流量也飞速增长,随之产生了更多类型的病毒和攻击。面对规模庞大的流量和特征信息,传统的基于机器学习的入侵检测系统(Intrusion detection system,IDS)会出现检测精度低、漏报率高、以及对降维算法的依赖等问题。因此,建立快速高效的IDS来应对当前复杂网络环境显得尤为重要。针对上述问题,论文主要利用深度学习模型、多元相关性分析方法、信息增益特征选择算法以及C5.0决策树分类器等方法,对网络IDS的若干关键技术开展了研究。具体研究工作如下:1.为了提高网络入侵检测模型因高维数据所导致的检测性能较低的问题,基于入侵检测数据集的时间相关性特点,提出了一种基于多元相关性-长短时记忆网络的网络入侵检测模型。该模型首先通过信息增益特征选择模块选择出最优的特征子集;然后利用多元相关性分析算法将特征子集转换为TAM矩阵;最后将TAM矩阵输入到长短时记忆网络模块中进行训练和测试。为了更好地展现该模型的性能,与现有的卷积神经网络、循环神经网络、深度森林、支持向量机和K最近邻等方法的性能进行了对比分析。实验结果表明,与传统的机器学习和现有深度学习模型相比,该模型具有较好的分类检测性能。2.针对传统IDS在处理高维入侵检测数据时,往往需要用设计特征选择方法来对数据集做降维处理的问题,提出一种基于卷积神经网络-双向长短时记忆网络和C5.0分类器的入侵检测模型。该模型不需要设计特征选择方法,直接用深度学习模型来学习高维数据的表征性特征。将深度学习模型学习出的表征特征输入到C5.0分类器中分类。实验结果表明,该模型在NSL-KDD和WSN两个数据集的测试精度分别达到了94.1%和99.8%,FPR值分别为5.9%和0.3%。3.针对传统的基于机器学习的网络入侵检测模型在入侵检测过程中出现的检测精度低、误报率高的问题,提出了一种结合双向长短时记忆网络和C5.0分类器的网络入侵检测模型。该模型首先用双向长短时记忆网络的隐藏层提取入侵检测数据集的特征,最后将提取好的特征输入到C5.0分类器中训练并分类。为了说明该模型的适用性,实验选取KDDcup 99,NSL-KDD,以及UNSW-NB15三种数据集为实验数据集。实验结果表明,该模型具有较好的分类性能,分类精度可达99.9%,99.7%以及95.0%。