基于GRU-LSTM方法的物联网数据入侵检测分析
基于GRU-LSTM方法的物联网数据入侵检测分析
王大蕾
江苏联合职业技术学院淮安生物工程分院,江苏淮安 223200
摘要:根据循环神经网络(Recurrent Neural Network, RNN)与长短期记忆网络(Long Short-Term Memory,?LSTM)运行特征,优化LSTM得到变体门控循环单元(Gate Recurrent Unit, GRU)网络,构建得到GRU-LSTM算法,并跟传统Softmax分类器进行了对比。研究结果表明:Dropout进行网络训练此实现减弱神经元间作用,有效防止过拟合。本实验测试GRU-LSTM和GRU-Softmax二个模型的dropout值分别为0.82与0.79。GRU-LSTM表现出了比GRU-Softmax更高控制精度,检测率也明显提升。GRU-Softmax算法能够在检测攻击时只存在较小的概率将其判断成正常行为,减小了入侵概率,获得了更优的精确度、检测率、误报率与AUC。本算法弥补了传统机器学习算法在处理数据量上的局限性。
关键词:GRU-LSTM网络;数据入侵;检测方法;误报率
中图分类号:TN91
Intrusion detection analysis of Internet of Things data based on GRU-LSTM method
Wang Dalei
Huaian Bioengineering Branch, Jiangsu United Vocational and Technical College, Huaian 223200, China
Abstract: According to the operation characteristics of Recurrent Neural Network (RNN) and Long Short-Term Memory network (LSTM), After optimizing the LSTM, a variant Gate Recurrent Unit (GRU) network is obtained, and the GRU-LSTM algorithm is constructed, and compared with the traditional Softmax classifier. The results of the study show that the network training by Dropout reduces the interneuronal interaction and effectively prevents overfitting. The dropout values of the GRU-LSTM and GRU-Softmax models are 0.82 and 0.79, respectively. The GRU-LSTM showed higher control accuracy than the GRU-Softmax, and the detection rate was also significantly improved. The GRU-Softmax algorithm can detect attacks with a small probability and judge them as normal behaviors, reduce the intrusion probability, and obtain better accuracy, detection rate, false positive rate and AUC. This algorithm makes up for the limitation of traditional machine learning algorithm in processing data volume.
Key words: GRU-LSTM network; Data intrusion; Detection method; False alarm rate
0 引言
当前,物联网络信息技术的广泛应用已经对人们的日常生活以及工业生产过程都产生重要影响,也为各类互联网应用技术的发展提供了可靠的基础[1]。网络通信技术的进步已对各行业都产生了明显影响,一旦离开网络所有行业都将无法正常运行,因此需要进一步提升网络的安全性能,这使得许多学者都开展了网络安全方面的研究工作[2-3]。为确保对网络威胁达到有效防范,提升网络安全性,需要建立可靠的入侵检测方法,除了需要对网络中的计算机进行监测以外,还需对各类数据传输也做好被切取的防范措施,对网络受到的攻击、信息窃取等行为进行严密监控,建立网络非法访问等行为的保护技术[4]。现阶段,防火墙已在各类网络系统中成为一类有效的防护措施,还能够对网络受到的各类攻击行为进行精确检测,由此实现网络安全性的大幅提升[5]。利用监测系统实现网络日志的自动收集,并对各项信息动态进行监听与自动处理,从中获取有用的内容,快速判断网络入侵行为[6-7]。综合考虑RNN和LSTM两种网络的各自运行性能,针对其不足之处进行了重新调整,并对LSTM实施优化获得新的GRU-LSTM高效算法,之后将其与传统形式的Softmax分类技术做了比较分析,结果发现算法获得了更优入侵检测性能。
1 GRU-LSTM算法
以SVM取代Softmax,作为GRU模型输出,并利用交叉熵函数计算出损失[8]。损失函数按照如下进行:
(1)
式中,y为输出,bi为偏移量,w为权重矩阵,C为激活函数,D为调节系数。
选择作为预测值进行输出。变换为如下形式:
(2)
图1为GRU-LSTM模型结构示意。图2为GRU-LSTM模型处理流程。将所有数据输入模型内,再利用网络进行处理,实现对权重与偏差的控制。判断损失函数与理想值之间的偏差,并对权值与偏差进行多次迭代,练获得到最佳的网络模型。
图1 GRU-LSTM模型示意图
图2 GRU-LSTM模型流程图
2 结果分析
从表1中可以看到通过本实验获得的各项参数,可以明显发现,模型训练精度及其所需的训练时间受到储量、训练次数参数的综合影响。为获得更高训练效率,进行了多次测试,结果显示在储量为256的条件下表现出了最优状态,能够实现对下降过程的精确控制,震荡幅度显著减小。为消除训练阶段网络出现的过拟合现象,可选择dropout方法来有效避免以上问题。Dropout进行网络训练时,按照恒定概率不断去除无效的网络神经元,由此实现减弱神经元间作用,形成更简单的结构,有效防止过拟合的问题。根据本实验测试结果可知,GRU-LSTM和GRU-Softmax二个模型的dropout值分别为0.82与0.79。
表1 GRU-LSTM模型参数表
表2是对各模型入侵检测得到的参数,按照同样的过程完成模型的训练,总共实施10次训练次数,网络流量数据都是30000行,测试次数为10次。表2显示,GRU-LSTM表现出了比GRU-Softmax更高控制精度,同时检测率也明显提升,通过对比发发现,综合运用LSTM网络与GRU网络进行处理时相对于传统GRU-Softmax方法达到了更优二分类优势。
表2 算法参数设置
不同攻击类型下测试对比结果见表3所示。由表3可知,整体性能上GRU-LSTM算法优于GRU-Softmax算法。在对Generic类型测试时达到了最高的精度,占比较小的Analysis算法表现出了更小检测率。说明GRU-Softmax算法能够在检测攻击时只存在较小概率,减小了入侵概率。
表3 不同攻击类型下测试对比结果
在网络入侵行为被发现时,系统便会把报警信息迅速反馈给用户,从而避免整个系统出现运行异常的情况,并且也能够有效保护系统中的储存数据[9]。考虑到检测网络入侵时需要记录多方面的数据信息,因此形成的数据量很大,从而形成明显的噪声,导致系统算法无法正常运行,出现训练结果存在明显偏差的问题。网络能够满足自主学习以及良好的适应性要求,使入侵检测阶段存在的各类潜在问题被充分克服[10-11]。
为了进一步分析算法的可靠性,在NSL-KDD数据集上进行了各性能测试,检测结果见表4。由表4可知:相比较GRU-LSTM算法,在GRU-Softmax各项性能上均表现出来优异的状态。可见采用SVM替换Softmax能提高算法整体的运算能力。
表4 在NSL-KDD数据对比
3 结论
本文开展基于GRU-LSTM方法的物联网数据入侵检测分析,取得如下有益结果:
1)Dropout进行网络训练此实现减弱神经元间作用,有效防止过拟合。本实验测试GRU-LSTM和GRU-Softmax二个模型的dropout值分别为0.82与0.79。RU-SVM表现出了比GRU-Softmax更高控制精度,检测率也明显提升。
2)GRU-Softmax算法能够在检测攻击时只存在较小的概率将其判断成正常行为,减小了入侵概率,获得了更优的精确度、检测率、误报率与AUC。
该研究能够弥补了传统机器学习算法在处理数据量上的局限性,但在面对海量数据时存在计算冗长的问题,期待后续引入深度学习算法进行进一步的加强。
参考文献
[1] 郑育靖, 何强, 张长伦, 等. 基于GRU-Attention的无监督多变量时间序列异常检测[J]. 山西大学学报(自然科学版), 2020, 43(04): 756-764.
[2] Wang C R, Xu R F, Lee S et al. Network intrusion detection using equality constrained-optimization- based extreme learning machines [J]. Knowledge-Based Systems, 2018, 147(1): 68-80.
[3] 王振东, 刘尧迪, 杨书新, 等. 基于天牛群优化与改进正则化极限学习机的网络入侵检测[J]. 自动化学报, 2020: 1-20.
[4] 石乐义, 朱红强, 刘祎豪, 等. 基于相关信息熵和CNN-BiLSTM的工业控制系统入侵检测[J]. 计算机 研究与发展, 2019, 56(11): 2330-2338.
[5] 刘金平, 何捷舟, 天雨, 等. 基于KELM选择性集成的复杂网络环境入侵检测[J]. 电子学报, 2019, 47(5): 1070-1078.
[6] 江峰, 王凯郦, 于旭, 等. 基于粗糙熵的离群点检测方法及其在无监督入侵检测中的应用[J]. 控制与决策, 2020, 35(5): 1199-1204.
[7] 霍爱清, 张文乐, 李浩平. 基于深度残差网络和GRU的SqueezeNet模型的交通路标识别[J]. 计算机工程与科学, 2020, 42(11): 2030-2036.
[8] 何瑞江. 基于GRU-LSTM神经网络的大数据入侵检测方法研究[J]. 微型电脑应用, 2022, 38(02):127-129.
[9] 关生, 周延森. 拆分降尺度卷积神经网络入侵检测方法[J]. 科学技术与工程,2022, 22(36):16108-16115.
[10] 梁欣怡, 行鸿彦, 侯天浩. 基于自监督特征增强的CNN-BiLSTM网络入侵检测方法[J]. 电子测量与仪器学报, 2022, 36(10):65-73.
[11] 张志飞, 王露漫. 基于机器学习的网络入侵检测算法研究[J]. 计算机应用与软件, 2022, 39(10):336-343.
作者简介:王大蕾,男,1984.-,江苏淮安人,硕士,讲师,主要从事于软件技术和物联网技术。
基于GRU-LSTM方法的物联网数据入侵检测分析.doc
