DCNNBiLSTM: 深度学习的高效网络入侵检测系统

电信和信息学报告10（2023）100053DCNNBiLSTM：一种高效的基于混合深度学习的入侵检测系统Vanlalruata HnamteZhao，Jamal HussainMizoram University，Tanhril，Aizawl，Mizoram 796004，IndiaaRT i cL e i nf o关键词：深度学习DDoSIDsBilstmCNNDCNNBiLstma b sTR a cT近年来，所有的现实世界的过程已经转移到网络环境中，实际上，和计算，人们通过互联网互相交流。因此，网络安全漏洞越来越多，网络管理员无法保护其网络免受各种形式的网络攻击。许多网络入侵检测技术也得到了发展。然而，由于当前系统无法理解的新漏洞的不断出现，它们遇到了重大挑战。基于深度学习在各种检测和识别任务中的出色表现，我们提出了一种基于深度学习（DL）的智能高效网络入侵检测系统（NIDS）。在这项研究中，我们提出了一个基于深度学习的入侵检测系统进行攻击检测。该模型已使用实时交通数据集进行了训练; CICIDS 2018和Edge_IIoT数据集。使用多类分类研究模型的性能，并在使用数据集进行训练和测试时分别达到100%和99. 64%的准确率。1. 介绍在日益数字化和多样化的环境中，使用传统的安全解决方案来保护私人信息是极其困难的。此外，近年来，对计算机网络的网络攻击数量有所增加。各种方法不断涌现，以确定可疑的网络活动的入侵行为，包括模糊性，多样性，纠缠和变化的趋势。随着人工智能算法的应用，入侵检测和防御系统的准确性得到了极大的提高。入侵检测系统是一种通过监控网络流量来检测可疑或异常活动，然后采取预防措施来抵御入侵威胁的机制。作为一种功能，入侵检测系统分为两类：（1）NIDS和（2）HIDS。NIDS通常在关键网络点实施或定位，以保证其覆盖更易受到攻击的传输，而HIDS系统在网络上具有互联网连接的任何设备上运行。入侵检测有两种基本策略，即（1）基于异常的入侵检测系统和（2）基于特征的入侵检测系统[1]。基于特征的入侵检测侧重于识别入侵发生的特征模式，并通过定期更新特征数据库来更新最新的趋势或零日攻击模式，从而达到完善的目的。基于异常的入侵检测系统（IDS）（即，基于行为的检测）比较值得信赖的行为模式，以及基于频繁活动监控的新颖行为。当管理员收到来自IDS系统的警报时，它会使用入侵防御系统（IPS）来防止特洛伊木马，DDoS攻击等威胁[2]。实现有效的网络入侵检测系统是网络安全必须解决的关键问题之一。尽管NIDS取得了重大进展，但大多数现有的NIDS系统都专注于基于签名的方法，而不是异常检测技术[3]。不采用异常检测技术有几个原因，包括系统行为动力学、训练数据的持久性、准确训练数据的收集、高成本以及由于数据的动态性质而导致的错误率。目前的程序可能会导致错误和无效的NIDS验证技术和解决方案。我们需要一个有效的入侵检测系统来解决当今最先进的网络的不足之处。入侵检测系统的发展跨越了三十年来，它已逐步发展成为一种适销对路的产品。它已经成为互联网安全研究的主要课题和方向[4]。入侵检测技术正在不断发展和更新。入侵检测系统不断地融合了数据挖掘、模式识别、模糊集理论和神经网络等技术。开发入侵检测，通过提高和增强入侵的有效性，缩写：CNN，卷积神经网络; IDS，入侵检测系统; DCNNBilstm，深度卷积神经网络双向-长短期记忆; Bilstm，双向-长短期记忆; DDoS，分布式拒绝服务。∗ 通讯作者。https://doi.org/10.1016/j.teler.2023.100053接收日期：2022年11月17日;接收日期：2023年2月23日;接受日期：2023年3月5日2772-5030/© 2023作者。由爱思唯尔公司出版这是CC BY许可下的开放获取文章（http://creativecommons.org/licenses/by/4.0/）可在ScienceDirect上获得目录列表电信和信息学报告期刊主页：www.elsevier.com/locate/telerV. Hnamte和J. Hussain电信和信息学报告10（2023）1000532Fig. 1. DCNNBiLSTM方法。在一致的基础上进行检测[5]。深度学习模型通常是人工智能世界中最智能的。深度神经网络可以从原始信息中自动学习入侵检测所需的潜在表示。此外，深度神经网络的泛化能力可以防止IDS过度拟合 通过形成超出输入直接邻居的关联[6]。具体来说，深度神经网络被认为能够在处理推荐系统所指示的关于先令攻击者的攻击特征的大数据集时改进数据建模。具体来说，深度学习模型被称为特征提取器网络。他们负责区分真实用户和攻击者配置文件。这种深度学习模型的主要目的是学习最有潜在帮助的高级和深层属性，用于分类或目标识别。特征提取器的实现可以 基于数据和某些滤波器之间的卷积计算，然后进行下采样操作，以仅保留最相关的特征。基于深度学习算法的传统入侵检测解决方案通常使用二进制分类器来分类攻击。由于数据维数对海量高维数据的影响，训练模型往往导致攻击检测率不高，从而降低了 整体检测效率。深度学习可以从原始数据中提取更高维的特征，从而在用于开发入侵检测系统时产生更准确的分类模型。所提出的模型如图1所示。为了提高网络入侵检测的准确率，本研究提出了以下创新思路：• 创建一个模型，将CNN和BiLSTM网络与一个更隐藏的层结合起来。执行数据清理，然后合并• 通过人工去除设计特征中的特征，直接使用深度学习模型学习高维数据的特征，提高了方法的检测准确率。本文的其余部分组织如下：第一部分是我们研究的引言。第二节总结了相关工作。在第3节中，我们讨论了用于本研究的数据集和预处理数据集。第4节详细介绍了所提出的模型。第五部分是实验研究的结果和讨论。对实验结果进行了评价，并与其他入侵检测方法进行了比较分析.最后，第6结束了本文。2. 相关研究深度学习模型最近在处理更复杂的数据表示方面发挥了重要作用由于其卓越的性能，DL受到了更多的关注，并被用于各种多学科研究领域，如医疗保健[7]、车辆设计[8]、制造[9]和安全[10，11]。Tian等人[12]提出了一种利用径向基函数网络的IDS。通过识别所包含的显著有害特征， 在该网络中，神经网络能够快速有效地识别各种渗透行为。实验结果表明，所设计的入侵检测系统是实用有效的对攻击进行分类所提出的径向基函数网络工作实现了392次平均迭代时间，其中LLSDDoS1数据集用于训练和测试。数据集已过时，它可以应对任何现代攻击场景，而且体积非常小注意力机制，以提高分类的准确性，该模型1LLSDDoShttps://archive.ll.mit.edu/ideval/data/2000/LLS_DDOS_2.0.2.htmlV. Hnamte和J. Hussain电信和信息学报告10（2023）1000533Mohammad等人[13]使用标准神经网络对系统中的网络威胁进行分类。利用反向传播学习技术构建了一个两层多层感知器。所提出的方法分类准确率可以达到90.78%。 该研究使用KDDCUP 992，ISCX3和NSL-KDD4数据集进行训练和测试模型。数据集已过时，无法反映现代攻击场景。Diro和Chilamkurti[14]为物联网网络开发了一个基于深度学习的分布式威胁检测系统，并将提出的模型与浅层模型进行了比较。作者建议将该技术部署在云系统中，用于攻击检测和培训目的。在性能评估中，使用了公开可用的数据集NSL-KDD，在二元分类和多类分类中分别达到了99. 20%和98. 27%的精度。Muna等人[15]开发了一种异常检测系统（ADS），用于识别工业物联网中的网络威胁。所提出的系统使用DL技术，即UDAE算法，来训练网络通常的活动模式，并创建适当的设置。在性能评估中使用了公开可用的数据集NSL-KDD和UNSW-NB 155使用NSL-KDD进行训练，模型平均花费194.37秒，而使用UNSW-NB 15进行训练，模型平均花费227.30秒/epoch。Vinayakumar等人[16]提供了一种用于检测僵尸网络攻击的系统，称为C-CMU，该系统采用双层环境来监控DNS日志并使用深度学习算法搜索域创建过程创建的域名，以降低误报率。该模型在DS 1-V1中训练时，测试I的准确率为99.2%，测试II的准确率为84.5%，测试I的准确率为73.1%，测试II的准确率为89.9- 当使用DS 2-V2数据集训练时，Parra等人。[17]提出了分布式架构算法，即DCNN和LSTM网络，用于检测网络钓鱼和僵尸网络攻击，并识别试图引入不相关数据的对手。分布式CNN用于物联网微安全，而LSTM模型用于后端服务器。在整个评估阶段，多类别分类的准确N_BaIoT数据集与论文[17]中提出的模型一起使用。Haddad Pajouh等人[18]创建了一个入侵检测系统，用于使用RNN识别物联网恶意软件。实验结果表明，10倍交叉验证研究取得了最好的准确率98.18%，比NB、K-NN、RF和DT等传统ML分类器更有效。Popoola等人[19]创建了一种称为LAE-BLSTM的混合技术 用于检测僵尸网络。该模型使用BotIoT6数据集进行训练。所提出的模型将攻击与正常传输区分开来[19]。研究的评估结果表明，准确率为91.89%，数据量减少。使用深度信念网络（DBN）方法，Manimurugan et al.[20]一个是发展。使用公开可用的数据集CICIDS-20177对所提出的方法进行测试，可以达到99.37%的准确率。NG和Selvakumar[21]提供了一个异常识别框架，一种向量卷积深度学习（VCDL）方法。该模型使用BotIoT数据集进行了训练和测试。多类分类的准确率为99.7496%。2 https://www.kdd.org/kdd-cup/view/kdd-cup-1999/Data3 ISCXhttps://www.unb.ca/cic/datasets/ids.html4 NSL-KDDhttps://www.unb.ca/cic/datasets/nsl.html5UNSW-NB15https://research.unsw.edu.au/projects/unsw-nb15-dataset6BotIoThttps://research.unsw.edu.au/projects/bot-iot-dataset7 CICIDS-2017https://www.unb.ca/cic/datasets/ids-2017.html本节中报告的大多数IDS使用过时的数据集，并且所提出的模型大多使用单个数据集进行验证。所提出的模型的适用性应与新的数据集以及，小型和大型数据集进行验证。2.1. 基于CNN的入侵检测CNN是网络入侵检测领域中的一种层次化模型，在提取局部特征方面表现出色。一个基本的CNN模型包含了三个概念：共享权重、空间或时间采样和局部感受场。这在处理统计上稳定和本地相关的数据时提供了明显的好处。图2描绘了基于CNN的IDS的主要框图基于CNN的网络入侵检测系统的工作流程分为四个阶段。1. 预处理入侵检测数据集合中的每条记录，以便其数据类型格式可以用作CNN模型2. 然后，处理后的数据被馈送到CNN3. 池化层结合局部邻域中的特征点以产生新特征。池化操作旨在加速网络训练。通常使用平均池化和最大池化技术。4. 最后一步涉及通过全连接层将数据输入Softmax分类器，以便对入侵类型进行分类。基于CNN的网络入侵检测系统分类精度优于传统方法，能够可靠地提取局部特征信息。这种技术不能克服长期依赖的问题，因为它缺乏学习序列相关信息的能力。必须提高其准确率。2.2. 基于LSTM的IDSRNN在处理序列数据方面很有优势。然而，在整个训练过程中会有梯度损失、梯度增长和长期依赖问题。LSTM模型的长期和短期记忆模块可以缓解RNN的长期依赖问题。如图3所示，LSTM模块添加了三个门和一个单元状态更新，RNN模型遗忘门过滤顶层细胞的状态，保留重要信息并删除不必要的信息。详细解释可在下一节.受上述结果的启发，本工作开发了一种利用不同数据集进行入侵训练预测的混合DL架构。本文提出了一种具有双向长短期记忆的卷积神经网络（CNN-BiLSTM）。此外，某些DL模型被用作比较，以突出所提出的方法的优越效率。本文提出了一个混合模型的稳定和高性能的策略，而不是一些以前完成的研究，集中在构建DL和ML模型的入侵检测。相比之下，大数据集和更新的数据集很少在当代IDS研究中使用，因此，我们的主要目标是使用更新的数据集 在我们的研究中代表现代攻击场景。此外，CNN和BiLSTM模型的组合在短期内成功预测网络入侵检测CICIDS-2018和EdgeIIoT用于评估所提出的混合架构因此，该研究有助于更深入地理解网络入侵检测，并为IDS的DL模型的未来发展提供了重要信息。V. Hnamte和J. Hussain电信和信息学报告10（2023）1000534=11个���图二. CNN模型表1CICIDS-2018 DDoS-LOIC- UDP-HOIC的类别分布。类实例百分比DDOS攻击-HOIC68601265.423%良性36083334.412%DDOS攻击-LOIC-UDP17300.165%mean是0，variance是1。在应用一个热编码后，我们有119个特征;为了标准化特征空间，我们使用了标准标量。在数学上，它可以表示为Eq。1.一、������=������（一）图三. LSTM单元。在这里，λ表示λ输入数据样本的标准特征空间，λ是平均值，λ是标准偏差。数学平均值的表示为���= 1∑��� （1）标准偏差为���3. 预处理为了构建基于CNN和BiLSTM组合的入侵检测分类模型，必须使用数据清洗和数据转换等技术对原始数据集进行预处理。缺失、失真和不完整的数据被称为原始数据信息中的内部规则被打破，导致数据分析和处理性能不佳。因此，需要清理“脏数据”并将其转换为符合数据质量标准的数据。缺失值、错误数据、错误和失真是数据清理的主要障碍。解决方案是使用相同的常量来填充缺失的数据，并删除或者替换当前的特殊符号和乱码。3.1. 独热编码我们使用一种热编码将分类特征转换为数值，因为大多数机器学习和深度学习模型都是在数值输入上操作的。这种方法计算每个特征的唯一值，并为每个值分配一个唯一索引3.2. 数据归一化根据所使用的DL模型，数据归一化方法在范围[1，+1]或[0，+1]中对特征值进行归一化。数据规范化，也称为标准化，可以减少训练时间并加速模型收敛。 有几种方法可以对数据进行标准化，包括最小最大缩放、标准缩放和平均。������=<$1∑���（������−���）2这里������是输入样本。3.3. 数据集在本研究中，首先对数据集进行数据清理。利用细胞神经网络提取并行的局部特征，以获得更完整的局部特征。3.3.1. CICIDS2018CICIDS 2018（DDoS-loic-udp hoic 21-02-2018）数据集包括三种攻击。我们探讨DDoS攻击，特别是针对网络入侵检测。CICIDS20188数据集是在通信安全机构（CSE）和加拿大网络安全研究所（CIC）的合作下开发的。CI-CIDS 2018数据集包括良性和最新的常见威胁，它密切模仿了加拿大网络安全研究所收集的真实数据（PCAP）。DDoS攻击旨在使分布式网络无法响应用户请求。该数据集包括两种形式的DDoS攻击，即DDOS攻击-HOIC（ 6，86，012 行）和DDOS攻击-LOIC-UDP （1730行）。而其余的（360，833行）属于良性类。该数据集最初包含80个要素，但其中三个要素因为'dst_port'，'protocol'和'timestamp'被删除，因为它们在我们的训练和测试目的中不起重要作用。数据集分析期间未发现空数据。数据集仍然非常不平衡，类别分布的详细信息如表1所示。在这项研究中，一个标准的标量被用来规范化的数据。斯坦-dard标量使用标准正态分布（SND），因此它是8 CICIDS2018https://www.unb.ca/cic/datasets/ids-2018.htmlV. Hnamte和J. Hussain电信和信息学报告10（2023）1000535表2Edge_IIoT数据集中记录的实例总数和类型物联网技术类型实例百分比正常正常1,615,64372.80291%攻击DDoS_UDP121,5685.478008%DDoS攻击116,4365.246753%SQL注入51,2032.307272%密码50,1532.259958%漏洞扫描器50,1102.25802%DDoS_TCP50,0622.255857%DDoS_HTTP49,9112.249053%上传37,6341.695836%借壳24,8621.120313%端口_扫描22,5641.016762%XSS15,9150.71715%Ransomware10,9250.492294%MITM1,2140.054704%指纹1,0010.045106%数据集分为训练和测试部分。 测试数据集由原始数据集的25%组成，而训练数据集由原始数据集的75%组成。3.3.2. Edge_工业物联网Edge_IIoT[23]数据集是一种用于物联网和物联网应用的新网络安全数据集，由Ferrag等人[23]于2022年为物联网环境引入，作为现实的网络安全数据集。它包含62个功能和14种攻击类型。该数据集包含针对物联网和IIoT协议的14种不同攻击，将其分为五种不同的危险：拒绝服务和分布式拒绝服务、信息收集、注入、中间人和恶意软件。在1176个性状中，有61个性状间存在显著相关。Edge_IIoT[23]报告 共有2 219 201次袭击，其中1 615 643次被认为是常规袭击，603 558次被认为是袭击。我们使用了分层选项保持所有类别的百分比一致，并使用20%的样本进行测试，同时保留剩余的80%用于训练-ing. 表2显示了Edge_IIoT数据集实例的详细分布。从Edge_IIoT数据集中，表3中显示的功能是在预处理阶段下降。图4显示了Edge_IIoT数据集的攻击数据分布。数据是一个不平衡方面的正常类和表3从Edge_IIoT删除的功能。frame.timeIP.src_hostip.dst_hostarp.src.proto_ipv4arp.dst.proto_ipv4http.request.full_uriicmp.transmit_time戳http.request.uri.querytcp.optionstcp.payloadtcp.srcporttcp.dstportudp.portmqtt.msghttp. file_data攻 击 类 为 了 减 少 训 练 过 程 中 的 偏 差 ， 使 用 合 成 少 数 过 采 样 技 术（SMOTE）来尽可能地解决数据的不平衡。SMOTE通过挑选特征空间中彼此接近的示例来执行[24]。具体来说，首先选择少数群体的随机成员然后，识别出该情况下的k个最近邻（通常，k = 5）。随机选取一个邻居，并在特征空间中两个实例之间的随机位置生成一个合成示例[24]。4. 方法在本节中，提出了执行分类和检测任务的方法，以提供实验结果的概述。深度CNN-BiLSTM具有高效的核心架构，该架构被用作所提出的方法的基础，以证明基于CNN-BiLSTM的模型的可用性和有效性。IDS模型的方法如图所示。 五、为了比较我们提出的模型的准确性性能，我们构建了以下DL方法：4.1. 深度神经网络深度神经网络（DNN）是普通人工神经网络（ANN）的增强变体在人工智能中，深度神经网络是具有特定复杂度的神经网络，这意味着它们具有两层以上[25]。深度神经网络利用先进的数学建模以复杂的方式处理数据，正变得越来越流行[26]。DNN的主要目标是接收一组输入，对它们进行更复杂的计算，并输出可用于解决分类和回归等现实问题的结果[27]。图图6描绘了用于我们实验的DNN的模型结构。见图4。 Edge_IIoT数据分发。V. Hnamte和J. Hussain电信和信息学报告10（2023）1000536图五. 深度CNN-BiLSTM模型。见图6。 DNN模型V. Hnamte和J. Hussain电信和信息学报告10（2023）1000537见图7。 CNN模型。见图8。 AE模型。4.2. 卷积神经网络（CNN）多层数组用于处理卷积神经网络中的数据[28]。卷积层的目标是提取特征，同时保留序列信息。对于某些类型的挑战，例如图像识别，卷积神经网络已经产生了出色的结果[29，30]。CNN利用输入数据中存在的空间神经网络的每个连续层都由输入神经元连接组成这个特殊的区域被称为局部感受场[29]。局部感受野集中在看不见的神经元上。隐藏的神经元分析特定区域内的图7描绘了用于我们实验的CNN的模型结构。4.3. 长短期记忆（LSTM）长短期记忆是一种用于人工智能和深度学习学科的人工神经网络[31]。LSTM具有反馈连接，不同于传统的前馈神经网络。这种递归神经网络不仅可以分析单个数据点，还可以分析整个数据序列。Hochreiter和Schmidhuber开发了LSTM算法。它解决了RNN长期依赖性的问题[32]，其中RNN无法预测存储在长期记忆中的单词，但可以提供更准确的预测，见图9。 双向LSTM。V. Hnamte和J. Hussain电信和信息学报告10（2023）1000538表4模型性能评估。模型数据集平台精度损失培训时间（每EPoch）推理时间DNNCICIDS2018使用GPU不使用GPU100% 100%0.000016s 129s9.87秒73.24秒Edge_工业物联网使用GPU不使用GPU90.82% 90.81%0.0994 0.099541s 397s23.61秒197.17秒CNNCICIDS2018使用GPU不使用GPU100% 100%0.000027s 245s9.43秒118.68秒Edge_工业物联网使用GPU不使用GPU92.11% 92.11%0.0922 0.092449s 412s17.25秒231.44秒AECICIDS2018使用GPU不使用GPU99.59% 99.58%0.0048 0.004874s 750s7.46秒74.4秒Edge_工业物联网使用GPU不使用GPU91.27% 91.27%0.0921 0.0926824s 11429s80.87秒2362.94秒LSTMCICIDS2018使用GPU不使用GPU99.96% 99.96%0.0037 0.0037470s 2435s323.41秒1822.39秒Edge_工业物联网有GPU没有CPU94.31% 94.31%0.0047 0.0047738s 10700s480.11秒7829.37秒DCNNBiLSTMCICIDS2018使用GPU不使用GPU100% 100%0.0000202s 3245s95.04秒1712.03秒Edge_工业物联网使用GPU不使用GPU99.64% 99.62%0.0080 0.0081500s 8421s219.29秒4177.53秒表5与其他研究的性能比较。参考模型数据集精度损失推断时间Mohammad et al.[13]MLPKDDCUP 99 NSL-KDD ISCX-201290.78%无菌Diro和Chilamkurti[14]DL NSL-KDD 99.20%（B）98.27%（M）0.85（B）2.57（M）Muna等人[15]ADS UNSW-NB 15 NSL-KDD 98.6%（M）92.4%（M）1.8 8.2 2.25s 5.55sVinayakumar等人[16]C-CMU DS1-V1 DS2-V2 99.2% 89.9%Parra等人[17]DCNN LSTM N_BaIoT 94.8%（B）94.30%（M）最大Pajouh等人[18]RNN Self Generated 98.18%（B）RNNSelf GeneratedPopoola et al.[19] LAE-BLSTMBotIoT91.89%（M）马奈Manimurugan et al.[20]DBNCICIDS-201799.37% （ M ）杀虫剂和Selvakumar[21]VCDL BotIoT 99.7496%（M）杀虫剂Mushtaq等人[37]AE-LSTM NSL-KDD 89.84%（B）0.1100μ m本文DCNNBiLSTM CICIDS2018 Edge_IIoT 100%（M）99.64%（M）0.0000 0.0080 95.04s 219.29s(B)：二进制分类（M）：多类分类（M）：不可用在当前输入上。随着间隙大小的增加，RNN的性能变得不那么有效[32]。默认情况下，LSTM能够存储更长时间的信息基于时间序列数据，它用于处理，预测和分类。图3描述了我们实验中用于LSTM的模型结构。������=Φ（���λ���）[−1，]+）（2）���������������自动编码器是为高维数据集学习低维表示（编码），通常是为了降低所表示的数据集的维度[35]。本研究中使用的AE如图所示。8.第八条。4.5. DCNNBiLSTMDCNNBiLSTM架构利用CNN层进行fea，������ =Φ（���λ���）[−1，]+）（3）���������������������=tanh������（[−1，]+）（4）���������������������=������ ×������−1 =������ ×������(5)������ =Φ（���λ���）[−1，]+）（6）���������������ℎ��� =������ × tanh(Φ(������))(7)如图3所示，对于Eq. 2是������网络输入，Φ���是来自隐藏层的输出，Φ表示S形函数，Φ������是单元状态，并且状态候选值使用���Φ���，���Φ���，���Φ来表示���，���̂���and���̂��� are the weight used on the input, drop and output gate and存储器单元，而������，������和������表示输入和输出的偏置以及方程中使用的压降、栅极和单元。2、3、4、5、6和7。 输入门决定是否保留输入数据，下降门决定是否丢失数据，单元记录处理状态，输出门传递结果。4.4. 自动编码器（AE）无监督人工神经网络（ANN）学习如何有效地压缩和编码数据，然后学习如何将数据从压缩编码形式重建回与原始输入尽可能相似的表示，称为自动编码器[33，34]。如果输入特征都是完全相互独立的，那么这种压缩和随后的重建将是一个非常困难的操作。一个人的目标V. Hnamte和J. Hussain电信和信息学报告10（2023）1000539输入数据的真实提取[29]，以及用于序列预测的BiLSTM以获得期望的结果[36]，以及DNN以增强优化错误和损失。混合CNN和BiLSTM模型最初被称为CNN BiLSTM架构，代表长期递归卷积网络或LRCN模型，它基于CNN BiLSTM设计。可以通过首先将CNN层放在前端，然后是BiLSTM层，最后是DNN层，然后是输出层来定义深度图5描绘了用于Deep CNN-BiLSTM的模型结构，并且算法在算法1中描绘。算法1DDCNNBiLSTM模型。Require：Input df= dataset一曰： 设置������������������������=��� 1,..., ��� ������从DF设置作为子集，其中，���你好.你好.你好.第二章： 将df训练和测试拆分为训练和测试第三章： 过程模型（）4：将Conv1D层添加到模型，输入形状=（76，1），输入形状=（76，1），������������������������������5：设置激活功能：ReLu6：将BatchNormalisation添加到模型7：将双向LSTM层添加到模型中，将LSTM层添加到模型中= 64������������������第八章： 添加重塑层，重塑层_重塑层= 128���9：将BatchNormalisation添加到模型第十章： 将双向LSTM层添加到模型中，������������������第11章：添加删除层12：添加DNN层o模型，DNN层= 64，32，1613：设置激活功能：ReLU14：添加输出层，且输出层= 315：设置激活功能：SoftmaxV. Hnamte和J. Hussain电信和信息学报告10（2023）10005310图10个。 混淆矩阵X：使 用 CICIDS2018 训练的模 型 。V. Hnamte和J. Hussain电信和信息学报告10（2023）10005311−见图11。GPU：使用CICIDS2018训练的模型性能。图12个。 使用Edge_IIoT和CICIDS2018培训模型性能。CNN层使用ReLU函数激活，公式为Softmax（max）=exp（���max）（十）在Eq. 8 .第八条。批归一化用等式（Eq. 9 .第九条。softmax函数应用于输出层，公式如下： 10个。������������(���) =���������(0,���)(8)������������∑双向LSTM可以如图9所示。双向LSTM本质上是两个独立LSTM的组合。这个框架-������������ℎ��������������������������������������� (���) =���−���������������������������（九）V. Hnamte和J. Hussain电信和信息学报告10（2023）10005312功使得网络在每个输入序列处具有后向和前向序列信息。V. Hnamte和J. Hussain电信和信息学报告10（2023）10005313图13岁 使用Edge_IIoT训练的DCNNBiLSTM：混淆矩阵DCNNBiLSTM神经网络已使用Relu激活函数、Adam优化函数和0.0001学习率设置进行建模。此外，不同数值方法所使用的损失函数损失也不同。本文采用的数值方法是一热法。因此，使用类别交叉熵作为损失函数。5. 结果和讨论本文提出了一种有效的方法，可以作为一个现代的入侵检测系统，是识别非法活动通过计算机网络。虽然几个国家的最先进的算法已被用来分类众多的入侵问题，其整体性能仍然很低，使这些IDS的设计具有挑战性的实现在实际的网络设置。我们将CNN模型在提取独特特征方面的优势与双向LSTM模型捕捉长期和短期关系的能力相结合，然后将DNN与输出层添加到单个混合深度CNN-BiLSTM模型中。实验结果表明，我们的方法产生了有效的结果。进行了实验，以便进行公平的比较-V. Hnamte和J. Hussain电信和信息学报告10（2023）10005314提出的模型和当前的传统模型之间的差异。我们实验的结果如表4所示. DNN、CNN、AE、LSTM和DCNNBiLSTM（拟议）模型的性能在准确性性能和损失率方面是一致的。该模型在GPU技术上进行了训练和测试，结果表明训练时间减少了，如表4所示。性能结果如图11所示，该结果使用CICIDS2018数据集进行了训练和测试，图12使用Edge_IIoT数据集进行了训练和测试。图10描绘了DNN模型（图10a）、CNN模型（图10b）、LSTM模型（图10c）和深度CNN-BiLSTM模型（图10d）的混淆矩阵。如图11所示，DCNNBiLSTM提供100%的检测准确率，并且损失率非常小（即0.000000），而图12描绘了使用Edge_IIoT训练和测试的 图图13描绘了DCNNBiLSTM模型的混淆矩阵，使用Edge_IIoT数据集进行训练和测试。测试提供了99.64%的检测准确率，并且丢失率非常小（即0.0080），因此，它们适用于检测DDoS攻击检测。从图12中可以看出，用平衡数据训练的模型可能具有更好的性能，而不平衡则具有一些缺点。深度学习算法的性能取决于几个参数，这些参数可能包括数据集的容量和大小、所选特征以及学习速率和激活。开发基于深度学习的分类器仍然是一个有趣的研究领域，假设某个特定的模型适合于每个数据集这项研究的主要贡献是将CNN模型与双向LSTM模型相结合，然后将其连接到完全连接的DNN。ESTM研究考虑到CNN只能提取信息，需要很多层才能有长期和短期的依赖关系[38]，而LSTM基于结构处理输入序列，它可以学习长期和短期的依赖关系，提高模型的鲁棒性，因此将它们结合起来。实验结果表明6. 结论在这项研究中，一个可靠的和高效的DCNNBiLSTM模型的网络入侵检测的基础上，一个现实的网络流量数据集。为了确保所提出的模型的优越性，已经在检测准确性场景方面对一些DL模型进行了比较。在准确性方面，DCNNBiLSTM架构由于结合了相当大的优势而有所改进。每一个模型。此外，它还能准确地检测到标准机器学习技术无法准确预测的不规则攻击模式。实验结果表明，该架构提供了更准确的预测比单一的模型。DCNNBiLSTM拓扑结合了CNN和LSTM的优点。这项研究表明，在绝大多数情况下，混合架构优于单一模型。建议的DCNNBiLSTM架构是系统管理员和网络行业的最佳选择，以提高IDS检测。然而，即使改进的DCNNBiLSTM在使用较新的数据集进行训练和测试数据集时表现得非常好，但仍有某些领域需要改进。DCNNBiLSTM可用于检测零日攻击。然而，必须进行进一步的研究，以调查攻击行为的模式，并利用所获得的数据来加强预测和预防模型。由于其复杂性，建议的模型具有比典型的DL方法（例如单个模型）更长的训练周期，尽管它具有优势。通过使用不同的优化和特征选择策略，并实时部署模型来对网络流量进行分类，未来可能会扩展这项研究。我们的目标是实现-将传入交易分类为正常或攻击类型。竞合利益作者声明，他们没有已知的竞争性经济利益或个人关系，可能会影响本文报告的工作。数据可用性数据将根据要求提供附录A. 声明• 资金：没有资金支持。• 利益冲突：作者声明无利益冲突• 伦理批准：不适用。• 同意参加：作者自愿同意参加本研究。• 发表同意：所有作者阅读并同意发表稿件。• 数据和材料的可用性：本研究使用了公开可用的IDS数据集。CICIDS2018数据集可以是 表示“向下”之义从https://www.unb.ca/cic/datasets/ids-2018.html，并且EdgeIIoT数据可以从https：dataport.org/documents/edge-iiotset-new-comprehensive-realistic- cyber-security-dataet-iot-and-iot-applications下载。• 作者的贡献：“概念化，V.H. J. H.;方法论J. H.;软件，V.H.;验证，V.H. J. H.;形式分析;调查，V.H.;资源，V.H.;数据管理，V.H.;写作--初稿准备;写作-审查和编辑，V.H.;可视化，V.H.;监督，J.H.;项目管理J.H.引用[1] H.- J. 廖角，澳-地H.R.林，Y.-- C.林，启彦阿东，入侵检测系统：一 个 全 面 的 审 查 ， J 。Comput.36 （ 1 ） （ 2013 ） 16 -24 ， doi ：10.1016/j.jnca.2012.09.004。[2] M. Al-Hawawreh，E. Sitzova，开发安全测试平台为工业物联网，IEEEInternetThingsJ.8（7）（2020）5558-5573，doi：10.1109/JIOT.2020.3032093。[3] G. Wa