基于特征提取的网络入侵检测方法研究

作     者：王立印 

作者单位：中国民航大学 

学位级别：硕士

导师姓名：顾兆军;张永生

授予年度：2022年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：入侵检测 特征提取 异常检测 网络流量 非对称深度自编码器 Copula函数 

摘      要：大数据、云计算和5G等新技术的迅速发展,使网络流量的数量猛增。网络流量记录着网络通信的所有信息,包括网络攻击行为,是入侵检测的理想数据。真实网络环境中的网络流量具有数据量大、高维度的特点,对其直接分析会耗费大量计算资源,且效率低下。针对以上问题,本文提出一种新的深度学习特征提取技术,用来降低网络流量的数据维度,提取网络流量的显著特征。将其与传统机器学习方法结合,在公共数据集上进行实验验证,还将其与无监督异常检测技术结合,应用于真实网络环境中。针对利用特征提取技术进行网络入侵检测时,使用网络流量训练栈式非对称深度自编码器(SNDAE)所遇到的重构误差居高不下、训练耗时长的问题,在SNDAE的基础上提出Adam非对称深度自编码器(ANDAE)。该方法在训练时采用Adam优化算法更新网络参数,使损失函数能快速地收敛到理想值,在不影响特征提取效果的前提下,通过精简网络结构、减少网络训练时间,实现对急剧增长网络流量的高维度、非线性特征的高效提取。对于ANDAE提取出的低维显著特征,采用随机森林进行分类,检测入侵行为,实现了一种基于ANDAE特征提取的网络入侵检测模型。在NSL-KDD和CIC-IDS2017数据集上的实验结果显示,该模型与基于SNDAE的入侵检测模型相比,精确率平均提高了6.78%、召回率平均提高了13.06%、F1分数平均提高了14.9%、特征提取时间平均降低了23.1%。说明该模型是一种能够同步提升检测精度和时间效率的入侵检测方案。针对使用传统异常检测方法对真实网络数据检测时,因数据维数灾难问题造成的,运行时间长、检测精度低的问题,提出一种基于ANDAE特征提取和COPOD算法的无监督入侵检测模型(ACOPOD)。该模型使用ANDAE对预处理后的真实网络数据进行特征提取,提取出有意义的特征并且降低数据维度,使用基于概率的COPOD算法对特征提取后的数据进行异常检测,以达到降低算法的运行时间,提高算法准确性的目的。在NSL-KDD数据集上与其他六种传统机器学习模型的对比结果显示,ACOPOD取得了较高的精确率和ROC-AUC分数,同时也取得了较低的运行时间。在对空管内网捕获的,时间跨度为一个月的,真实网络数据集上进行的实验结果证明,该方法能够有效地检测到真实网络环境中的入侵行为。