文献标识码:A
DOI:10.19358/j.issn.2097-1788.2023.03.001
引用格式:李安娜,宗学军,何戡,等.基于残差网络和深度学习的入侵检测方法研究[J].网络安全与数据治理,2023,42(3):1-7.
0引言
在工业互联网不断向前迈进的过程中,网络安全成为了不容忽视的问题之一。信息技术在工业领域的快速成长和发展打破了以往工业控制系统的安全闭环环境,虽然新技术的融入提升了系统的整体性能,但是也将要面临严峻的信息安全问题。据统计全球每年的工业控制系统安全事件数量高达数百起,且呈现出上升趋势。以工业为背景的互联网攻击行为数据传输量巨大且复杂,并且具有极强的破坏性。2010年齐鲁石化、2011年大庆石化炼油厂均遭到了Conficker病毒的攻击,使其控制系统与服务器通信受阻。2017年“WannaCry”勒索病毒入侵我国石油化工和通信行业,造成某大型石油公司近2万座加油站无法使用银行卡和网上支付。所以,及时发现并阻拦网络攻击行为成为了热门研究方向,入侵检测就是据此提出的一种安全防御技术。
目前已有很多学者在入侵检测领域的研究中获得了成果,文献[3]将深度学习的算法应用到入侵检测模型中,选用了二分支的卷积神经网络,其结构特点能够在保持原有特征的前提下继续提取更深层次的特征,然后使用GRU网络提取时间维度上的特征,但多次的重复特征提取容易导致模型学习能力退化,发生梯度弥散或者梯度爆炸的现象。文献[4]将一种自适应的一维卷积神经网络算法应用到入侵检测模型中,选取了粒子群算法,自适应地优化所有卷积核数量以得到最优参数,并且搭建了深层一维卷积网络用以提取深层数据特征,但此方法忽略了数据集的时间特征,提取不够全面。文献[5]针对数据分布不平衡的问题将一种对抗生成网络应用到入侵检测模型中,对稀有攻击样本进行聚类处理,有效地分理出噪声样本并对其着重扩充以达到平衡数据的目的,然后使用基于决策树的XGBoost算法进行实验,但此方法涉及内容耗时较长,检测速度较慢。文献[6]将门控循环单元与递归神经网络融合应用到入侵检测模型中,此方法可以有效应对数据离散性较高和分布不均的问题,其中的门控循环单元在检测时间序列攻击行为时表现优异,但这种浅层结构难以精准提取出深层特征,具有一定的局限性。
综合分析了以上研究方法,针对存在的网络退化、难以提取深层特征和样本分布不平衡问题,本文提出一种基于残差网络和深度学习的入侵检测模型。深度学习部分包含了一维卷积神经网络和门控循环单元两种算法,较为适合本实验的数据类型,并且使用了Focal loss损失函数替代普通损失函数解决数据不平衡问题,最后使用残差网络连接整体网络结构,避免发生模型退化问题。
本文详细内容请下载:https://www.chinaaet.com/resource/share/2000005248
作者信息:
李安娜1,2,宗学军1,2,何戡1,2,连莲1,2
(1.沈阳化工大学信息工程学院,辽宁沈阳110142;
2.辽宁省石油化工行业信息安全重点实验室,辽宁沈阳110142)
