入侵检测系统_【计算机系统应用】（第108期）基于深度学习的工业物联网智能入侵检测...

点击上方“ 蓝字”，关注我们吧！

随着工业物联网应用程度的加深, 复杂的网络环 境和层出不穷的攻击手段使得其面临许多挑战, 诸如 黑客入侵、安全漏洞攻击、蠕虫[1] 等. 工业物联网可 分为感知层、网络层、应用层, 其感知层安全需求主 要致力于保障数据安全, 表现为防止恶意节点攻击、 采集样本与节点数据伪造破坏等. 网络层安全表现为 阻止 Dos 攻击, 保证路由安全. 应用层安全则满足用户 隐私和访问控制等. 目前针对工业物联网的安全机制 大多偏向被动防御, 而入侵检测 (Intrusion Detection, ID) 是可以在不影响网络内部的情况下, 对网络的传输数 据进行实时监控并采取措施对入侵行为进行监测、分 析、预警等处理, 从而提高网络应对外部威胁的能力. 传统的基于深度学习的入侵检测研究不完善, 仍然存 在以下问题.

(1) 工业物联网环境复杂, 采集的网络流量数据是 高维度的, 目前许多的入侵检测模型手动选取特征, 不 够有效且依据较少, 可能会丢失重要特征而保留冗余 特征.

(2) 自适应能力差. 随着工业物联网运行环境和结 构变化, 要想检测出现的新型未知攻击, 需要不断更新 模型.

(3) 低频攻击检测困难. 在实际的网络环境中, 不 同类型的流量数据是不平衡的, 这使得分类器偏向于 数量大的类, 少数类的攻击检测难度大且检测率不高. 

(4) 模型拟合能力差. 传统机器学习模型结构简单, 特征提取及学习能力有限, 当面临大规模数据集时无 法对数据分布形成有效的非线性映射

考虑到上述因素, 本文提出堆叠降噪卷积自编码 神经网络 (SDCAENN) 入侵检测模型, 将降噪自编码 与卷积神经网络结合, 利用卷积神经网络 (Convolutional Neural Network, CNN) 的卷积特性, 充分学习网络特 征, 通过重构误差来求解模型, 同时采用在随机梯度下 降法 (Stochastic Gradient Descent, SGD) 改进下的自适 应算法 (Adam) 优化网络; 此外增加卷积自编码网络的 池化自适应能力, 使其尽可能地学习入侵特征; 并针对 低频攻击检测困难问题, 对数据进行区域自适应过采 样操作, 从算法角度平衡数据, 再转化为二维灰度图像 进入深度卷积自编码网络进行训练.

1   相关工作

随着互联网和工业物联网等的飞速发展, 网络安全成为信息安全国防系统基础设施中的重要部分. 为 了检测恶意入侵, 将深度学习应用在网络安全领域. 文 献 [2] 采用贪婪多层深度置信网络 (DBN) 模型, 首先 利用受限玻尔兹曼机 (RBM) 消除噪声和异常数据对 网络的负面影响, 然后采用反向传播 (BP) 算法来微调 DBN 实现分类任务. 文献 [3] 使用深度自动编码 (DAE) 模型, 其中前一层每个自动编码器的输出用作下一层 的输入, 以逐层贪婪的分层方式进行训练, 以避免过度 拟合和局部最优. 文献 [4] 中, 张宝安提出基于栈式稀 疏自编码网络并结合分阶段抽样算法的集成学习, 将 多分类集成学习加权融合, 在入侵病毒初期就能有很 好的检测. 文献 [5] 改进卷积神经网络, 与传统的“卷 积-池化-全连接”结构不同, 采用跨层聚合网络的设计, 将两层卷积