基于深度学习方法的网络流量分类和入侵检测研究

作     者：马琳琳 

作者单位：湖南大学 

学位级别：硕士

导师姓名：张大方

授予年度：2021年

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 0839[工学-网络空间安全] 081104[工学-模式识别与智能系统] 08[工学] 0835[工学-软件工程] 0811[工学-控制科学与工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：入侵检测 流量分类 降噪自编码器 卷积神经网络 长短期记忆网络 

摘      要：网络入侵检测系统能够发现可疑的网络攻击,并采取一系列保护网络安全的措施来减少用户的损失。网络流量分类则是网络入侵检测任务中的重点,它可以判断所收集的网络流量数据,并检测出具有攻击行为的流量。因此,网络流量分类和入侵检测对于保护网络安全至关重要。机器学习和深度学习方法的出现和发展,使得网络流量分类和入侵检测的效果也得到了一定的提升。但是,目前基于机器学习或深度学习的流量分类检测方法,依然存在诸如流量数据的原始信息丢失或损坏所导致的分类检测性能不高,对加密流量的分类效果较差以及在不同的网络流量环境下表现不稳定等问题。针对网络流量分类和入侵检测中存在的这些问题及其研究现状,本文设计了更加有效的网络流量分类检测模型。本文的研究工作包括以下几个方面:(1)针对现有方法中存在的流量数据的原始信息丢失或损坏,所导致的流量分类检测性能不高的问题,设计了 一个由降噪自编码器(Denoising Autoencoder,DAE)、卷积神经网络(Convolutional Neural Networks,CNN)和长短期记忆网络(Long Short-Term Memory,LSTM)组成的深度学习模型,并命名为基于DAE-CNN-LSTM的分层网络模型。一方面,DAE用于特征提取的一个重要特点是它具有降噪能力,因此可以减弱流量数据的原始信息丢失或损坏对流量分类检测结果产生的影响。另一方面,模型分别使用CNN和LSTM网络来同时提取流量数据的空间和时间特征,能够得到更加丰富的流信息。在流量数据中添加高斯噪声模拟原始信息缺失,在噪声水平较大(σ=0.6)的情况下,该模型的流量分类准确率比现有的CNN+LSTM模型提高约16%。(2)针对现有方法中存在的对加密流量的分类效果较差,以及在不同的网络流量环境下表现不稳定等问题,设计了一个名为深度并联神经网络的模型。在深度学习过程中,分别使用CNN模型,LSTM模型、CNN+LSTM模型和基于DAE-CNN-LSTM的分层网络模型以适应不同的网络流量环境。将网络流量数据分别输入到这四个模型中,其中拥有最高准确率的模型被认为是最适合当前流量环境的模型,该模型将成为最终保存的模型。因此,深度并联神经网络模型具有适应不同的网络流量环境的能力,能在不同的网络流量环境下保持较好的性能。此外,由于深度并联神经网络模型能够从原始流量数据中自动学习,无需人工干预和提供私有信息,因此,该模型对加密流量的分类检测效果也比较好。