⃝可在www.sciencedirect.com在线获取ScienceDirectICTExpress 7(2021)81www.elsevier.com/locate/icte基于深度门递归单元的无线入侵检测系统模型Sydney Mambwe Kasongo,YanxiaSun南非约翰内斯堡大学电气电子工程科学系接收日期2019年9月9日;接受日期2020年2020年3月19日网上发售摘要随着各种无线技术的进步和发展,实现健壮的入侵检测系统(IDS)势在必行。 提出了一种基于深度门控递归单元(DGRU)的无线入侵检测系统分类器和基于包装器的特征提取算法。我们使用NSL-KDD基准数据集评估DRGU IDS的性能。此外,我们将我们的框架与几种流行的算法进行了比较,包括人工神经网络,深度长短期记忆,随机森林,朴素贝叶斯和前馈深度神经网络。实验结果表明,DGRU IDS显示了显着的性能比现有的方法增加。c2021韩国通信和信息科学研究所(KICS)。出版社:Elsevier B.V.这是一个开放的访问CC BY-NC-ND许可证下的文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。关键词:递归神经网络;机器学习;入侵检测系统;深度学习1. 介绍无线网络相对于有线网络已经获得了相当大的发展势头。对使用无线网络的偏好源于这样的事实,即它允许增加的可接入性和移动性,它是灵活的,并且它不需要任何额外的基础设施。无线网络的开放性是许多安全攻击和漏洞的门户[1]。在 这 项 工 作 中 提 出 的 研 究 旨 在 提 高 无 线 局 域 网(WLAN)或有时被称为局域无线网络(LAWN)的安全性。WLAN属于无线通信技术的IEEE 802.11标准[2,3],用于各种工业、私人和科学应用。WLAN易受多种威胁的攻击,包括但不限于流氓接入点(RAP)、密钥恢复攻击、拒绝服务(DoS)攻击等。为了减轻这些攻击并保护WLAN,需要各种措施,例如可扩展认证协议(EAP)、有线等效保护(WEP)隐私协议和Wi-Fi保护接入∗ 通讯作者。电子邮件地址:sydneyblueops@gmail.com(S.M.Kasongo),ysun@uj.ac.za(Y.Sun)。同行评审由韩国通信和信息科学研究所(KICS)负责https://doi.org/10.1016/j.icte.2020.03.002(WAP和WAP 2)设计[3]。然而,这些protec- tive机制是不能免疫的几个威胁,如拒绝服务,RAP等,为了加强WLAN的安全性,对上述部分中提到的漏洞,IDS一般实施。入侵检测系统(IDS)是一个系统(硬件或软件),其目的是检测和反应未经授权的访问网络或计算机系统。基于其设计和架构,IDS可以在主机设备上实现为基于主机的IDS(HIDS),也可以在网络上设置为基于网络的IDS(NIDS)[4]。此外,入侵检测系统分为误用和异常的入侵检测系统[5]。在本文中,我们介绍了深度学习的应用(DL)其目的是执行入侵检测。这项研究是对[6]中提出的工作的补充,其中长短期记忆(LSTM)递归神经网络(RNN)模型用于IDS。在这种情况下,有一种基于过滤器的特征提取技术,对每个特征使用信息增益的度量。这个过程导致了一个减少的输入向量,该向量被馈送到LSTM RNN算法。与文献[6]相比,本研究的创新之处在于,的特征提取方法以及结构,分类器。本文提出了一种基于包装器的特征提取方法,2405-9595/2021韩国通信和信息科学研究所(KICS)。出版社:Elsevier B.V.这是一个开放的访问CC BY-NC-ND许可证下的文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。82S.M. Kasongo和Y.Sun/ICT Express 7(2021)81t_o′=tanh(W. [stot−1,xt])t=⎪⎩技术,以便生成最小和最优的特征向量。分类器结构基于GRU(Gated Recurrent Unit)RNN。本研究中提出的方法与以下现有机器学习(ML)和DL技 术 相 兼 容 : 深 度 LSTM [6] , 深 度 前 馈 神 经 网 络(DFFNN)和人工神经网络(ANN)[7],支持向量机(SVM)[8],朴素贝叶斯(NB)[9]和随机森林[10]。结果表明,本文提出的深度GRU(DGRU)与其他方法相比,性能有所本文其余部分的结构如下:第2节介绍了类似的工作。第3节介绍了DRGU RNN框架。第4节描述了用于实验的数据集。第5节提供了所有实验的详细信息,并说明了所有结果。第六节是结论。2. 类似工作在[6]中,研究人员介绍了一种基于深度长短期记忆(DLSTM)的架构,结合基于过滤器的特征选择方法,以便对无线网络中的不同攻击进行分类。使用信息增益(IG)进行过滤过程,目的是生成一个最小和最佳的特征向量。这个过程产生了由18个主要特征组成的输入在该调查期间进行的实验基于NSL-KDD入侵检测数据集。将DLSTM IDS与其他各种基于ML和DL的方法进行了比较,包括人工神经网络和支持向量机。验证准确度(Val.AC)、测试准确度(测试AC)和F1评分是用于评估的性能指标。结果表明,DLSTM IDS是一个更好的解决方案的 多 类 分 类 方 案 与 Val 。 AC 为 99.51% , 测 试 AC 为86.99%,F1评分为99.43%。此外,这些结果显示了对[7]中进行的先前工作的改进。 在这项工作中,前馈神经网络与IG滤波方法一起实现,在[11]中,一种先进的网络异常检测被引入。使用各种深度神经网络模型来实现,包括深度自动编码器 、 深 度 卷 积 神 经 网 络 ( DCNN ) 和 LSTM 。 针 对LSTM,作者提出了一种基于LSTM的IDS模型,其输入向量为42个特征,应用于32个LSTM节点,分别连接到10个节点和1个节点的双层前馈神经网络第一个是由整流线性单元(ReLU)激活的在这项工作中[13],提出了一种用于网络入侵检测的深度学习技术。该方法基于卷积神经网络(CNN)和LSTM模型的耦合。为了验证所提方法的性能,使用了NSL-KDD基准数据集。本研究中提出的模型与简单的递归神经网络(RNN)和简单的LSTM进行了进一步比较。结果表明,与其他算法相比,CNN和LSTM的组合实现了更高的性能。在[14]中,DNN与GRU(Gated Recurrent Unit)相结合用于执行网络入侵检测。该模型由多层感知器(MLP),递归神经网络(门控)以及输出端的Softmax单元组成。实验在NSL-KDD基准数据集上进行。该模型与其他方法进行了比较,如简单的LSTM,简单的GRU和MLP。结果显示,使用KDDTrain+数据集,本文提出的模型的准确率提高了99.24%,对相同数据的检测率为99.31%。这项工作中提出的系统没有优化,研究人员建议进行额外的调查,以便将他们的方法应用于真实的网络流量。在[15]中,基于深度的LSTM和GRU的研究学习技术的入侵检测。目标是根据准确性和F1评分性能指标评估这些模型的有效性。实验使用了以下数据集:边界门数据集,BCNET数据集和著名的NSL-KDD数据集。针对NSL-KDD,实现了几种LSTM和GRU单元模型。性能最好的LSTM IDS模型在测试数据上的准确率为82.78%,F1得分为83.34%。在GRU IDS的情况下,测试数据的准确率为82.87%,F1分数为83.05%。3. GRU RNN无线入侵检测系统3.1. Gated recurrent unitGated Recurrent Units(GRU)是RNN的特殊变体。GRU类似于LSTM [6];但是它已经在其结构中使用更新门进行了改进。更新门是输入门和遗忘门的组合。GRU模型的设计是为了简化LSTM模型的架构。GRU的结构如图1所示,控制其功能的方程列在(1)t=σ(Wv. [ot−1,xt]+xt)函数和第二层的Sigmoid函数。这个模型是使用Pythonnotebook和基于Tensorflow后端的Keras Python库实现的[12]。实验在NSL-KDD数据集上进行。结果表明,与DCNN IDS相比,这项工作中提出的LSTM IDS获得了更好的测试准确性。但是,在训练时间方面,DCNN训练得更快。t=σ(Ws. [ot−1,xt])ot=(1−vt)ot−1+vtot′,1σ=1+e−ttanh(t)1 −e−2t1+e−2t(一)(二)(三)S.M. Kasongo和Y.Sun/ICT Express 7(2021)8183≥∑Fig. 1. GRU单位。图3.第三章。 DGRU RNN + MLP结构。当GRU具有n层GRU时,认为它是深的(DGRU),其中n为2。MLP层可以具有以前馈方式配置的任何数量的层。MLP 的 最 后 一 层 连 接 到 Softmax 层 。 该 层 中 的 节 点(logit)由Softmax函数激活,该函数使用(4)中的表达式计算它们的概率。S(T)i我=Kj=1 etj(四)图二. DGRU RNN IDS框架。其中特征(输入)空间由x表示,预测由ot表示;vt是更新函数。W是在训练过程中优化的权重,σ和tanh是在此结构中使用的激活(挤压)函数,以便将流经GRU的信息保持在特定范围内。3.2. DGRU RNN IDS架构图2展示了DGRU RNN IDS的架构。在初始阶段,目标是接收一个数据集,对其进行归一化。归一化过程生成一个向量,V范数。下一步是提取将用于分类的最重要的特征。该操作由基于包装器的特征提取单元(WFEU)执行。WFEU中使用的分类器是额外树分类器(ETC),在第3.4节中进行了解释。在应用ETC之后,载体I生成。该向量保存数据集中每个特征的特征重要性(FI)值。基于重要性阈值Itr选择最佳特征,并且将它们加载到排名特征向量Vranked中。图3描绘了耦合到多层感知器(MLP)的DGRU RNN的拓扑。在这项研究中,任何多层3.3. 额外树分类器额外树(ET)方法是一种监督ML方法,类似于随机森林(RF)[10]方法。使用与RF相同的方法,ET应用多个决策树(DT)来实现回归或分类。虽然RF和ET是相似的,但它们在树中选择节点的方式上有很大的ET通过随机选择切割点来挑选节点。此外,与RF相比,ET使用整个数据集来生长所需的树,而RF使用子样本。ET算法,在DGRU RNN IDS框架的WFEU中使用生成FI向量,从该FI向量中提取分级特征向量Vranked。表1列出了所有选定的特征,其中srv错误率具有最高的重要性比率0.094481。此处列出的功能在表3中进行了描述和解释。算法1总结了图1所示的所提出的框架的内部工作原理。 二、3.4. 绩效考核在这项研究中,我们使用验证数据和测试数据的准确性(AC)以及验证数据的F1-Socre(F-Measure)来衡量我们提出的框架的性能。F-Measure使用召回率(7)和精度(6)计算。对于LSTM RNN和DSLTM RNN,我们还测量了训练时间。(5)中的AC和(6)中的F1-Socre。(8)由以下因素产生:84S.M. Kasongo和Y.Sun/ICT Express 7(2021)81T P+ T N+ F PT P+ F N≥1K表1重要功能。表2NSL-KDD数据集划分。数据集名称Normal DoS Probe R2L U2R TotalKDDTrain+完整版67343459271165699552125973KDDTrain+75504943447887177494294480KDD(评估)168491144929392461031493KDD(Test+)完整版971174582754242120022544假阴性(FN):被标记为合法的入侵/攻击。AC=T P+T NT P(五)P R=T P+F P(6)RC=T PPR. RC(七)F措施=2P R+RC(8)四、NSL-KDD算法1DGRU RNN IDS算法一曰: 步骤1:规范所有输入。步骤2:使用额外树(ET)分类器ET过程输入:V norm(f t,.,(f t)输出:V排名第三节: 步骤1:初始化ET算法四: 步骤2:拟合ET算法第五章: 步骤3:在I第六章: 第四步:第七章: fori从Ido8:如果(Ii I阈值),则9:将Vi加载到Vranked中10:如果结束第十一章: 端GRU培训-评估-测试第12步:调用初始DGRU RNN模型第13步:在训练数据集上训练选定的DGRU RNN模型(75%)。步骤14:步骤6使用评估批次(25%)验证步骤5中选择的DGRURNN模型15:步骤7在测试集16:步骤8重复步骤4到步骤7,直到达到所需的性能。• True Negative(TN):合法流量被成功标记为正常流量。• 真阳性(TP):被正确归类为攻击的入侵/攻击。• 假阳性(FP):被不正确地识别为侵入性的常规/正常流量。在我们提出的IDS的评估过程中使用的数据集是NSL-KDD [16]。这是用于各种计算机网络安全研究的基准数据集[11,13,14]。按照[6]和[7]中使用的策略,NSL-KDD的完整训练集被分成两个独立的批次,即KDDTrain 75(整个数据集的75%)以及KDD Evaluation(整个数据集的25%)。评估批次用于验证培训过程中获得的结果。KDDTest用于模型测试阶段。表2提供了每个数据集部分中攻击的分布,表3列出了NSL-KDD中41个特征中每个特征的描述,其中3个特征是分类的,其余是数值的。5. 实验设置和讨论为了进行我们的实验,我们使用了以下Python库:Keras [12]和Scikit-Learn [17]。这些系统在Windows 8.1 OS64位上运行硬件细节是:华硕笔记本电脑,英特尔酷睿i33217U 4G RAM在1.80 GHz。本研究中实现的模拟基于五向分类,我们考虑了NSL-KDD数据集内的所有5个类别(R2 L,U2 R,Probe,DoS和Normal),如表2所示。我们首先使用减少的特征向量来实现传统的ML算法。在NB方法的实例中,我们使用高斯NB,由此假设输入的概率具有高斯性质。对于ANN,我们使用了一个简单的神经网络,它有一个输入层,一个隐藏层和一个输出层。ANN节点由Sigmoid函数激活,其中批量大小设置为自动,学习率(LR)为0.025,并且是常数。在RF算法的上下文中,估计器(森林中的树)的数量设置为80,对最大深度没有任何限制。对于SVM技术,·号特征名称重要性因子F28srv错误率0.094481F25误码率0.084213F24srv_count0.084213F2协议类型0.070065F37dst_host_srv_diff_host_rate0.059136F4根壳0.055061F33dst_host_srv_count0.051936F11登录失败次数0.050382F5src_bytes0.043621F1持续时间0.043056F34dst_host_same_srv_rate0.035917F22是_访客_登录0.034426F35dst_host_diff_srv_rate0.030192F32dst_host_count0.026064F3标志0.025940F38dst_host_error_rate0.022487F31服务器差异主机速率0.020202F39dst_host_srv_sererror_rate0.019454S.M. Kasongo和Y.Sun/ICT Express 7(2021)8185表3NSL-KDD描述功能。号名称类别号名称类别F1持续时间数字F22是_访客_登录数字F2协议类型分类F23计数数字F3服务分类F24srv_count数字F4标志分类F25误码率数字F5src_bytes数字F26srv_sererror_rate数字F6dst字节数字F27误差率数字F7土地数字F28srv错误率数字F8错误片段数字F29相同srv速率数字F9紧急数字F30diff_srv_rate数字F10热数字F31服务器差异主机速率数字F11登录失败次数数字F32dst_host_count数字F12登录数字F33dst_host_srv_count数字f13数量受损数字F34dst_host_same_srv_rate数字f14根壳数字F35dst_host_diff_srv_rate数字F15su_attempted数字F36dst_host_same_src_port_rate数字F16num_root数字F37dst_host_srv_diff_host_rate数字F17num_file_creations数字F38dst_host_error_rate数字F18num_shells数字F39dst_host_srv_sererror_rate数字F19num_access_files数字F40dst_host_error_rate数字F20num_outbound_cmds数字F41dst_host_srv_rerror_rate数字F21是_主机_登录数字表4现有ML方法的性能ML分类器V.AC F1S T. ACRF 99.74% 99.74% 84.46%NB 83.64% 82.13% 69.07%支持向量机95.71% 95.40% 80.85%人工神经网络99.59% 99.58% 85.19%表5FFDNN性能。HNHLLRVal. ACF1s测试AC3030.01百分之九十九点三六百分之九十九点三四84.08%4030.01百分之九十九点三七百分之九十九点三三80.41%6030.01九十九点二二百分之九十九点一九85.03%6030.02百分之九十九点四七百分之九十九点四六83.94%8030.01百分之九十八点六五百分之九十八点六二83.88%8030.02百分之九十八点九二百分之九十八点九85.16%15030.01百分之九十九点五九百分之九十九点五七85.33%15030.02百分之九十九点六四百分之九十九点六三86.51%我们使用一个对所有的方法,目的是允许多类分类。第一阶段的性能输出如表4所示,其中ANN在隐藏层中使用120个神经元,其AC为85.19%,优于其对等模型。在第二阶段,重点转移到深度学习模型。我们对FFDNNs进行了实验[7]。测试数据的最佳检测准确度为86.51%,并且通过具有3个隐藏层(HL)的模型实现,该模型包含150个神经元,LR为0.02,如表5所示。在我们实验的下一阶段,DLSTM模型[6]使用减少的特征向量V重新排序。如表6所示,我们考虑了隐藏LSTM单元的数 量 ( HN ) , 隐 藏 层 的 大 小 ( HL ) , 验 证 准 确 度(V.AC),F1分数(F1S),测试结果86S.M. Kasongo和Y.Sun/ICT Express 7(2021)81=-=-精确度(T.AC)和以秒为单位的训练时间(TT)。每个DSLTM模型都被馈送到MLP网络中。在表6的MLP列中,R指定激活了一个层一个ReLU函数模型的准确率为86.80150,HL3,训练时间为183.93s。在最后几轮模拟中,我们实现了基于DGRU的模型。结果描述于表7中,其中具有HL 30、HL3的两层MLP获得了88.42%的测试准确度与传统的ML方法相比,DL方法已被证明在测试数据的检测准确性方面更有效。 对于入侵检测系统来说,分类器对测试数据的有效执行是至关重要的,因为这是不纯的数据。此外,测试数据并不来自与训练或验证数据集相同的分布。在FFDNN模型的例子中,最好的模型在比较ANN中的测试精度提高了1.32%(这是性能最好的标准ML方法)。DLSTM比ANN增加了1.61%。此外,我们提出的模型DGRU比ANN获得了3.23%的收益。此外,与[6]中进行的研究相比,其中DLSTM被用作分类器,并实现了基于过滤器的方法来选择输入特征;本研究中提出的模型的性能提高了1.43%。此外,与[7]和[15]中提出的框架相比,本工作中提出的DGRU IDS取得了显着的成果。此外,本研究中提出的方法表明,与基于LSTM的模型相比,基于GRU的模型训练速度更快,总体准确性我们对DLSTM IDS和DGRU IDS之间的训练时间进行了分析。我们考虑了HU,HL和MLP配置,并为两种设置训练了9个不同的模型。图中描绘的结果。 4表明,对于相同 的型号配置,GRU IDS更容易S.M. Kasongo和Y.Sun/ICT Express 7(2021)8187表6DLSTM RNN性能。胡HLMLP诉ACF1sT.ACTT(s)303R5百分之九十九点三六百分之九十九点六四84.15%183.93303公司简介九十九点二一百分之九十九点五九82.68%205.02603R5百分之九十九点三六百分之九十九点七二85.84%261.13903R5百分之九十九点四三百分之九十九点六七84.98%333.80903公司简介百分之九十九点四百分之九十九点七85.12%345.451203R5百分之九十九点四一百分之九十九点六六87.48%651.071203公司简介百分之九十九点五三百分之九十九点七二86.85%701.321503R5百分之九十九点四九百分之九十九点七四86.69%856.691503公司简介百分之九十九点三三百分之九十九点六二86.80%935.59表7DRGU RNN性能胡HLMLP诉ACF1sT.ACTT(s)303R5百分之九十九点四四百分之九十九点六86.19%168.95303公司简介九十九点三五百分之九十九点六七88.42%174.20603R5百分之九十九点四九百分之九十九点四七82.30%217.25903R5九十九点四五百分之九十九点七六86.85%271.86903公司简介百分之九十九点三八百分之九十九点七一86.07%287.801203R5百分之九十九点一一百分之九十九点四二87.50%368.621203公司简介九十九点三九百分之九十九点五九85.96%414.811503R5百分之九十九点四四百分之九十九点七九85.41%439.991503公司简介百分之九十九点四三百分之九十九点六八84.00%398.25图四、 DGRU与DLSTM训练时间。训练例如,HU = 30,HL = 3,在R10-5的MLP配置下,DLSTM IDS 模 型 的 训 练 时 间 为 205.2 s , 测 试 准 确 率 为82.68%,而DGRU IDS模型的训练时间为174.20 s,测试准确率为88.42%。6. 结论提出了一种基于包装器的特征提取方法的DGRU入侵检测系统。额外的树分类器被用于在NSL-KDD入侵检测数据集上的FE,并且因此,生成了18个项目的减少的输入特征向量。为了进行性能评估,我们首先实现了标准的ML方法88S.M. Kasongo和Y.Sun/ICT Express 7(2021)81使用减少的特征向量。我们还实现了预处理的DL方法,包括FFDNN和DLSTM。与现有的ML和DL技术相比,本研究中提出的方法实现了更好的性能,验证准确率为99.35%,F-Measure为99.67%,测试准确率为88.42%。在今后的工作中,我们打算在UNSW-NB 15上应用DGRU IDS。此外,我们计划研究NSL-KDD和UNSW-NB 15数据集中单个类的验证和测试准确性,而不是研究整体测试准确性。竞合利益作者声明,他们没有已知的可能影响本文所报告工作致谢本 研 究 得 到 了 南 非 国 家 研 究 基 金 会 ( 编 号 :112108,112142)的部分支持;南非国家研究基金会奖励补助金(编号:95687);南非Eskom高等教育支持计划补助金;南非约翰内斯堡大学URC的研究补助金。引用[1] A. Kavianpour,M.C.安德森,无线网络安全概述,在:IEEE国际会议网络安全。云计算,2014年,第页306-309.[2] Y. Asai,IEEE 802.11 WLAN标准化的先进进展,在:IEEE亚太微波会议,2014年,第页911-913[3] P. Jindal,B. Singh,安全性能的定量分析在无线局域网中,J. King Saud Univ.- Comput.信息科学29(2017)246-268。[4] S.K. Gautam,H.基于计算机神经网络的入侵检测系统的研究.Sci. 8(2016)93-95。[5] S. Aljawarneh,M. Aldwairi,M.B.基于特征选择分析和混合高效模型的异常入侵检测系统,J。Comput. Sci. 25(2018)152[6] S.M. Kasongo,Y. Sun,基于深度长期短期记忆的无线入侵检测系统分类器,ICT Express(2019)。[7] S.M. Kasongo , Y. Sun , A deep learning method with filterbasedfeatureengineeringforwirelessintrusiondetectionsystem,IEEEAccess 7(2019)38597-38607。[8] T. Omrani,A. Dallali,B.C. Rhaimi,J. Fattahi,用于网络攻击检测的ANN和SVM分类器的融合,在:IEEE第18届国际会议科学。自动控制与计算技术。2017年,pp. 374-377.[9] M.C.贝拉瓦吉湾刘晓波,机器学习算法在入侵检测中的应用,北京:计算机科学出版社。Sci. 89(2016)117-123。[10] R. 帕 特 吉里 湾Varshney , T.阿 库 托塔 河Kunde , Aninvestigation on intrusion detection system using machinelearning , in : IEEE Symposium Series on Comput. 内 部 :SSCI,2018,pp.1684-1691年。[11] S. Naseer,Y.Saleem,S.Khalid,M.K.Bashir,J.Han,M.M.伊克巴尔,K. Han,基于深度神经网络的增强型网络异常检测,IEEEAccess 6(2018)48231-48246。[12] Keras Python Library : The Python Deep Learning Library[Online].可用:https://keras. 我同意。S.M. Kasongo和Y.Sun/ICT Express 7(2021)8189[13] C.M.许惠英作者:Hsieh,S.W. Prakosa,M.Z. Azhari,J.S. Leu,使用基于长短期记忆的卷积神经网络进行网络入侵检测,在:国际无线互联网会议,SpringerCham,2018,pp. 86比94[14] C. Xu,J. Shen,X.杜,F. Zhang,An intrusion detection systemusing adeep neural network with gated recurrent units,IEEE Access 6(2018)48697-48707.[15] Z. Li,A.L.G. 里奥斯湾许湖,加-地Trajko vic',用于对网络异常和入侵进行分类的机器学习技术,在:IEEE国际电路和系统研讨会上ISCAS,2019,pp.1比5。[16] NSL-KDD:NSL KDD数据集[在线]。可用:https://www. 联合湾ca/cic/datasets/nsl. HTML.[17] Scikit-learn : Python 中 的 机 器 学 习 [ 在 线 ] 。 Available : https ://scikit-learn. 或g/stable/。
我的内容管理
展开
