基于GAN和特征选择技术的入侵检测数据增强

为了解决传统GAN模型的缺陷,更好地扩展网络入侵数据和缓解数据高维性问题,本文提出了GAN-CS数据增强模型。对数据进行预处理后,使用改进后的WGAN-GP对攻击数据进行增强,生成额外的攻击样本后,使用卡方检验方法选择最能够代表数据集的特征,生成用于分类器训练平衡后的数据集,最后使用多种不同的分类器对数据集进行分类,评估模型效果。本文基于UNSW-NB15分别进行了数据增强数据量选择实验、模型可行性实验、模型优越性比较等3个维度的实验。结果表明,在多个分类器下,本文提出的模型均表现出比同类模型更好的效果,可以有效提高入侵检测模型的检测性能。

一种基于GRU的半监督网络流量异常检测方法

入侵检测系统(IDS)是在出现网络攻击时能够发出警报的检测系统,检测网络中未知的攻击是IDS面临的挑战。深度学习技术在网络流量异常检测方面发挥着重要的作用,但现有的方法大多具有较高的误报率且模型的训练大多使用有监督学习的方式。为此,提出了一种基于门循环单元网络(GRU)的半监督网络流量异常检测方法(SEMI-GRU)。该方法将多层双向门循环单元神经网络(MLB-GRU)和改进的前馈神经网络(FNN)相结合,采用数据过采样技术和半监督学习训练方式,应用二分类和多分类方式检验网络流量异常检测的效果,并使用NSL-KDD,UNSW-NB15和CIC-Bell-DNS-EXF-2021数据集进行验证。与经典机器学习模型和DNN,ANN等深度学习模型相比,SEMI-GRU方法在准确率、精确率、召回率、误报率和F1分数等指标上的表现均表现更优。在NSL-KDD二分类和多分类任务中,SEMI-GRU在F1分数指标上领先于其他方法,分别为93.08%和82.15%;在UNSW-NB15二分类和多分类任务中,SEMI-GRU在F1分数上的表现优于对比方法,分别为88.13%和75.24%;在CIC-Bell-DNS-EXF-2021轻文件攻击数据集二分类任务中,SEMI-GRU对所有测试数据均分类正确。

基于机器学习的入侵检测模型对比研究

如今网络威胁不断衍变、隐蔽性越来越强,研究多种机器学习模型在现代流量数据上的入侵检测性能与特性,对提升入侵检测系统的时效性有较大意义.探索采用近些年高效机器学习模型,包括集成学习(如随机森林、LightGBM、XGBoost)与深度学习(如卷积、GRU、LSTM等)模型在公开数据集UNSW-NB15上进行入侵检测任务.详细阐述任务流程与实验配置,对比分析不同模型评估指标,得出各模型在入侵检测任务中的特性.实践表明,在10%抽样数据集下,实验模型中二分类任务性能效率最优模型为LightGBM,F1分数为0.897,准确率为89.86%,训练时间为1.98s,预测时间为0.11s;实验中多分类任务最全面的检测模型为XGBoost,F1分数为0.7907,准确率为75.96%,训练时间为144.79s,预测时间为0.21s.

A Novel Ensemble Learning System for Cyberattack Classification

Nowadays,IT systems rely mainly on artificial intelligence(AI)algorithms to process data.AI is generally used to extract knowledge from stored information and,depending on the nature of data,it may be necessary to apply different AI algorithms.In this article,a novel perspective on the use of AI to ensure the cybersecurity through the study of network traffic is presented.This is done through the construction of a two-stage cyberattack classification ensemble model addressing class imbalance following a one-vs-rest(OvR)approach.With the growing trend of cyberattacks,it is essential to implement techniques that ensure legitimate access to information.To address this issue,this work proposes a network traffic classification system for different categories based on several AI techniques.In the first task,binary models are generated to clearly differentiate each type of traffic from the rest.With binary models generated,an ensemble model is developed in two phases,which allows the separation of legitimate and illegitimate traffic(phase 1)while also identifying the type of illegitimate traffic(phase 2).In this way,the proposed system allows a complete multiclass classification of network traffic.The estimation of global performance is done using a modern dataset(UNSW-NB15),evaluated using two approaches and compared with other state-of-art works.Our proposal,based on the construction of a two-step model,reaches an F1 of 0.912 for the first level of binary classification and 0.7754 for the multiclass classification.These results show that the proposed system outperforms other state-of-the-art approaches(+0.75%and+3.54%for binary and multiclass classification,respectively)in terms of F1,as demon-strated through comparison together with other relevant classification metrics.

基于集成学习的网络入侵检测技术

随着计算机网络的大规模应用,网络入侵检测问题给工业部门、高校和运营商带来了巨大挑战,面对日益增长的网络入侵威胁,传统单一的机器学习算法在网络入侵检测领域的应用检测效果不佳,如何高效地从网络中识别入侵流量显得尤为重要。提出了一种基于BO-DEXL(Bayesian Optimization-DT-ET-XGboost-LightGBM)的集成学习算法的入侵检测算法,将开源的UNSW-NB15作为入侵检测数据集,使用标签编码对数据集进行预处理,然后利用基于随机森林的特征值选择算法,对特征重要度进行排序,选中前35个特征值作为数据,通过贝叶斯优化对集成学习中各个模型进行优化,准确率达到95.18%。

融合随机森林和梯度提升树的入侵检测研究

网络入侵检测系统作为一种保护网络免受攻击的安全防御技术,在保障计算机系统和网络安全领域起着非常重要的作用.针对网络入侵检测中数据不平衡的多分类问题,机器学习已被广泛用于入侵检测,比传统方法更智能、更准确.对现有的网络入侵检测多分类方法进行了改进研究,提出了一种融合随机森林模型进行特征转换、使用梯度提升决策树模型进行分类的入侵检测模型RF-GBDT,该模型主要分为特征选择、特征转换和分类器这3个部分.采用UNSW-NB15数据集对RF-GBDT模型进行了实验测试,与其他3种同领域的算法相比,RF-GBDT既缩短了训练时间,又具有较高的检测率和较低的误报率,在测试数据集上受试者工作特征曲线下的面积可达98.57%.RF-GBDT对于解决网络入侵检测数据不平衡的多分类问题具有较显著的优势,是一种切实可行的入侵检测方法.

A Hybrid Model Using Bio-Inspired Metaheuristic Algorithms for Network Intrusion Detection System

Network Intrusion Detection System(IDS)aims to maintain computer network security by detecting several forms of attacks and unauthorized uses of applications which often can not be detected by firewalls.The features selection approach plays an important role in constructing effective network IDS.Various bio-inspired metaheuristic algorithms used to reduce features to classify network traffic as abnormal or normal traffic within a shorter duration and showing more accuracy.Therefore,this paper aims to propose a hybrid model for network IDS based on hybridization bio-inspired metaheuristic algorithms to detect the generic attack.The proposed model has two objectives;The first one is to reduce the number of selected features for Network IDS.This objective was met through the hybridization of bioinspired metaheuristic algorithms with each other in a hybrid model.The algorithms used in this paper are particle swarm optimization(PSO),multiverse optimizer(MVO),grey wolf optimizer(GWO),moth-flame optimization(MFO),whale optimization algorithm(WOA),firefly algorithm(FFA),and bat algorithm(BAT).The second objective is to detect the generic attack using machine learning classifiers.This objective was met through employing the support vector machine(SVM),C4.5(J48)decision tree,and random forest(RF)classifiers.UNSW-NB15 dataset used for assessing the effectiveness of the proposed hybrid model.UNSW-NB15 dataset has nine attacks type.The generic attack is the highest among them.Therefore,the proposed model aims to identify generic attacks.My data showed that J48 is the best classifier compared to SVM and RF for the time needed to build the model.In terms of features reduction for the classification,my data show that the MFO-WOA and FFA-GWO models reduce the features to 15 features with close accuracy,sensitivity and F-measure of all features,whereas MVO-BAT model reduces features to 24 features with the same accuracy,sensitivity and F-measure of all features for all classifiers.

利用改进灰狼算法优化BP神经网络的入侵检测

神经网络技术被广泛应用于网络安全领域,在入侵检测中能够实现网络攻击的主动检测和攻击分类.然而随着恶意攻击的不断演化,神经网络技术存在的弊端日益显现.针对BP神经网络在入侵检测过程中存在的初始值随机性较大以及易陷入局部最优的问题,本文提出一种改进灰狼算法优化BP神经网络的入侵检测模型(IGWO-BP).首先,使用混沌映射初始化种群、设计非线性收敛因子以及动态权重策略对传统灰狼算法进行改进,并以此优化BP神经网络的初始权值和阈值,并运用改进BP神经网络对网络安全数据集进行实际检测.实验结果表明,IGWO-BP模型在NSL-KDD和UNSW-NB15数据集上取得了较优的检测结果,与其它现有模型相比性能也有较大提升.

联合多重卷积与注意力机制的网络入侵检测

利用深度学习方法建立一种网络入侵检测模型CAL.该模型通过多重卷积提取数据流的深层特征,利用注意力机制提取代表数据流结构特点的关键特征,以提高对不同数据流特点的表达能力,并通过池化计算压缩数据,提高模型泛化能力,使用基于CuDNN加速的长短时记忆网络,在学习数据流上下文特征和时序信息的同时,加速模型收敛.在数据集UNSW-NB15上进行实验,结果表明,CAL模型的识别准确率为90.37%,多类型入侵流的识别准确率为78.94%,性能表现优于其他已有方法.

不平衡数据下基于CNN的网络入侵检测

深度学习的自学习能力可以实现入侵检测系统的不断更新及扩展,增强入侵检测系统的防范能力,但目前大部分基于深度学习的网络入侵检测研究都未考虑到数据集类别不平衡问题.针对此问题,提出了一种类别重组技术结合Focal Loss损失函数的处理方法,用于原始网络入侵流量分类.该方法把原始流量生成灰度图输入卷积神经网络CNN进行特征提取学习,类别重组技术保证了训练集中攻击类别间的相对均衡,而Focal Loss损失函数通过影响类别权重提高了CNN模型对复杂样本的关注.在三个CNN模型上进行了实验,macro-f1分别提高了9.41%,1.65%和4.39%,结果表明该方法能够有效处理网络入侵检测中的类别不平衡问题,且明显提高了少数类样本的识别精度.

基于多种特征选择策略的入侵检测模型研究

入侵检测是防止主机和网络攻击的有效方法.入侵检测系统的使用弥补了传统防火墙技术、签名认证技术、访问控制技术在安全保护方面的不足.但是,由于入侵检测数据样本特征之间存在互冗余性,干扰了攻击检测的准确性和效率.特征选择方法能有效降低数据特征的维度和消除冗余特征,选出最优特征子集并提高网络流量异常检测的准确率.基于此,首先使用Kmeans聚类算法在真实流量数据集UNSW-NB15提取典型数据,生成具有典型数据特征的数据集作为特征提取的数据集,随后在该数据集上分别使用了9种不同策略的入侵检测模型进行了网络入侵检测实验.实验结果表明,该方法能够进行有效检测和分类,正常流量、恶意流量二分类精度为88.27%,高于其他机器学习算法.并且在进行多类分类研究时样本数据少的攻击类型的检测率均有提高.验证了该方法的有效性,易于使用.

利用麻雀搜索算法优化深度置信网络的入侵检测研究

针对人工经验设定深度置信网络的网络结构致使其很难达到最优,进而导致深度置信网络的性能无法完全发挥的问题,提出利用麻雀搜索算法优化深度置信网络的入侵检测模型。实验结果表明:相比未优化的深度置信网络,性能有显著提升,该模型优异的性能有效提高了入侵检测识别的效率。

基于PCA-LSTM的入侵检测研究

目前渗透利用、泛型攻击、SQL注入和APT等隐蔽攻击危害越来越严重,而对于这些隐蔽的攻击形式,浅层的机器学习已经不能很好地对其进行检测。文中设计了一种基于主成分分析优化的长短时记忆网络的入侵检测模型,该模型的主要原理是通过主成分分析去除样本数据中的噪声信息,利用长短时记忆网络的记忆功能和强大的序列数据学习能力进行学习。采用澳大利亚网络安全中心建立的UNSW-NB15数据集进行实验,通过对调整关键参数(时间步长、学习率和激活函数)进行模型分析,结果表明该模型比传统模型有更高的准确率。

Anomaly Classification Using Genetic Algorithm-Based Random Forest Modelfor Network Attack Detection

Anomaly classification based on network traffic features is an important task to monitor and detect network intrusion attacks.Network-based intrusion detection systems(NIDSs)using machine learning(ML)methods are effective tools for protecting network infrastructures and services from unpredictable and unseen attacks.Among several ML methods,random forest(RF)is a robust method that can be used in ML-based network intrusion detection solutions.However,the minimum number of instances for each split and the number of trees in the forest are two key parameters of RF that can affect classification accuracy.Therefore,optimal parameter selection is a real problem in RF-based anomaly classification of intrusion detection systems.In this paper,we propose to use the genetic algorithm(GA)for selecting the appropriate values of these two parameters,optimizing the RF classifier and improving the classification accuracy of normal and abnormal network traffics.To validate the proposed GA-based RF model,a number of experiments is conducted on two public datasets and evaluated using a set of performance evaluation measures.In these experiments,the accuracy result is compared with the accuracies of baseline ML classifiers in the recent works.Experimental results reveal that the proposed model can avert the uncertainty in selection the values of RF’s parameters,improving the accuracy of anomaly classification in NIDSs without incurring excessive time.

物联网中一种基于多种特征提取策略的入侵检测模型

文章利用机器学习方法提出了一种智能入侵检测系统。为了对网络数据进行特征表示,提升系统性能,通过特征提取等方法对数据进行处理。文章提出了一种包含6种不同策略的入侵检测模型框架,并使用UNSW-NB15数据集进行了网络入侵检测实验。实验结果表明,该入侵检测模型检测效果优良,易于使用。

一种混合采样与膨胀卷积相结合的入侵检测模型设计

基于机器学习的入侵检测模型在网络环境的安全保护中起着至关重要的作用。然而,入侵检测数据集存在不平衡类问题,限制了分类器对少数类的检测性能,降低了少数类的检测率。为了解决入侵检测数据集数据不平衡的问题,提出一种新的混合采样技术(SSG),由基于支持向量机(SVM)合成少数类过采样(SMOTE)算法和高斯混合模型(GMM)欠采样聚类技术相结合。其次,为了解决网络入侵数据特征学习不充分的问题,运用特征提取功能强的膨胀卷积神经网络模型(DCNN),使用膨胀卷积来增大对信息的感受野,从而提取高级特征。在UNSW-NB15数据集进行多分类实验,取得了97.04%的检测准确率,实验结果优于其他模型和现有的方法,为大规模不平衡的网络数据入侵检测提供了一个有效的方案。

基于EQPSO-GS优化SVM的入侵检测模型研究

支持向量机(Support Vector Machine,SVM)的惩罚因子C和核参数σ影响模型分类精度和泛化性能。传统进化算法优化支持向量机时主要存在早熟收敛、优收敛速度慢、收敛精度低以及泛化性能不高等问题。针对这些问题,将精英策略与量子粒子群算法融合,提出了精英量子粒子群算法(Elite Quantum Particle Swarm Optimization Algorithm,EQPSO),既提高了种群收敛速度,也一定程度上避免了算法局部收敛,凭借其全局探索能力初探参数范围,并通过网格搜索算法(Grid Search Algorithm,GS)提高开发能力做进一步的优化,将优化好的SVM模型用于入侵检测。利用入侵检测数据集UNSW-NB15对传统的进化算法优化支持向量机模型进行仿真实验,通过交叉验证对比EQPSO-GS-SVM、QPSO-SVM、PSO-SVM、DE-SVM模型,得出EQPSO-GS优化的SVM模型具有更好的泛化性能。

基于独热编码和卷积神经网络的异常检测

目前基于深度学习的网络异常检测是入侵检测领域新的研究方向,但是大部分研究都是利用数据挖掘处理后的特征数据进行特征学习和分类。该文利用UNSWNB15作为主要研究数据集,利用独热编码对数据集中的原始网络包进行编码,维度重构后形成二维数据,并利用GoogLeNet网络进行特征提取学习,最后训练分类器模型进行检测。实验结果表明:该方法能有效处理原始网络包并进行网络攻击检测,检测精度达到99%以上,高于基于特征数据进行的深度学习检测方法。