基于深度学习的网络异常检测研究

作     者：舍志浩 

作者单位：中国矿业大学 

学位级别：硕士

导师姓名：毕方明

授予年度：2022年

学科分类：08[工学] 0839[工学-网络空间安全] 081104[工学-模式识别与智能系统] 0811[工学-控制科学与工程] 

主      题：深度学习 网络异常检测 BiGRU 网络安全 

摘      要：近些年来,网络攻击层出不穷,且攻击手段高超,不易发现,因此,提高网络异常检测的识别能力显得极其重要。网络异常检测是一个非常有价值的研究领域,它能够识别网络中存在异常的流量,进而发现攻击行为。在当今复杂的网络环境中,传统的网络异常检测方法对于一些新兴攻击流量的检测效果显得不尽人意,存在准确率低、误报率高等问题,且真实环境中正常流量和攻击流量数目差别较大,这对检测结果造成一定的影响,会导致对于少数类别的攻击流量的检测效果较差,进而造成资产的损失。针对此类问题,深度学习的兴起为这些问题的解决提供了新思路。深度学习模型能够学习网络中不同流量的特征,从而训练模型,对未知流量进行预测,达到对流量进行精准分类的效果。本文基于这种思想,将深度学习和网络异常检测相结合,主要内容如下:(1)针对传统的网络异常检测方法误报率高、检测率低等问题,采用深度学习方法,融合卷积神经网络和双向门控循环神经网络来构建网络异常检测模型,将数据集经过预处理后,首先使用CNN对处理后的数据集进行特征提取,接着使用双向门控循环神经网络继续提取时序特征,最后对其进行分类。由于实验所用的NSL-KDD数据集存在数据不平衡问题,会影响检测效果,因此使用Focal Loss函数对所提出的模型进行优化。实验结果表明,该模型在NSL-KDD数据集上有较好的检测效果,优化后的模型对小样本的检测能力效果显著。与其他模型相比,本模型对网络流量具有不错的识别能力,不仅提高了网络异常检测的准确率等性能指标,而且降低了误报率,表现较好。(2)将辅助分类生成对抗网络应用到网络异常检测中构建网络异常检测模型,该方法包括生成器和判别器网络,将随机噪声和标签一起输入生成器以生成假数据,将数据集进行预处理后和生成器输出的假数据一起输入到判别器进行识别,完成分类任务。由于构建的模型在训练过程中容易出现梯度消失问题,因此对模型中的判别器进行优化,加入梯度惩罚项优化损失函数,通过与其他模型在UNSW-NB15数据集进行实验,比较检测性能,表明该模型的检测能力优于其他模型,能够达到较好的检测效果,为保护网络安全提供保障。