Machine Translated by Google

IEEE  计算智能新兴主题交易，
卷。  2，
没有。  2018  年  2  月  1  日 41

网络的深度学习方法
入侵检测
内森肖恩 , Tran  Nguyen  Ngoc、
Vu  Dinh  Phai , and  Qi  Shi

摘要 网络入侵检测系统  (NIDS)  在防御计算机网络方面发挥着至关重要的作
用。 然而， 当面对现代网络的需求时， 人们担心当前方法的可行性和可持续性。 更具体 连通性、物联网的普及以及基于云的服务的广泛采用。处理这些数
地说， 这些担忧与所需人机交互水平的提高和检测精度水平的降低有关。 本文提出了 据量需要能够以越来越快速、高效和有效的方式分析数据的技术。
一种用于入侵检测的新型深度学习技术， 解决了这些问题。 我们详细介绍了我们提出 第二个原因是提高有效性和准确性所需的深入监控和粒度。  NIDS  
的用于无监督特征学习的非对称深度自动编码器  (NDAE)。 此外， 我们还提出了使用
分析需要更加详细和上下文感知，这意味着要摆脱抽象和高层次的
堆叠  NDAE  构建的新型深度学习分类模型。 我们提出的分类器已在支持图形处理单
元  (GPU)  的  TensorFlow  中实现，
并使用基准  KDD  Cup   99  和  NSL‑KDD  数据 观察。
例如，行为变化需要很容易归因于网络的特定元素，例如个人
集进行了评估。 到目前为止， 我们的模型已经取得了有希望的结果， 证明了对现有方法 用户、
操作系统版本或协议。最终原因是现代网络中不同协议的数量
的改进以及在现代  NIDS  中使用的强大潜力。 和数据的多样性。

这可能是最重大的挑战，并且在试图区分正常和异常行为时会带来
高度的困难和复杂性。
它增加了建立准确规范的难度，并扩大了潜在
索引词 深度学习、
异常检测、
自动编码器、
KDD、
网络安全。 利用或零日攻击的范围。

一、
引言 近年来，NIDS  研究的主要焦点之一是机器学习和浅层学习技术的应
用，
例如朴素贝叶斯、 决策树和支持向量机  (SVM)  [1]。
放大来看，
这些技术
网络安全的主要挑战之一是提供强大且有效的网络入侵检测
的应用提高了检测精度。 然而，
这些技术存在局限性， 例如需要相对较高水
一 系统  (NIDS)。
尽管  NIDS  技术取得了重大进步，但大多数解决方案
平的人类专家互动； 需要专业知识来处理数据， 例如识别有用的数据和模
仍然使用功能较弱的基于签名的技术运行， 而不是异常检测技术。这种不愿
式。
这不仅是一个劳动密集型和昂贵的过程， 而且还容易出错  [2]。同样，
操
转换的原因有几个， 包括高错误率（以及相关成本）、 难以获得可靠的训
作需要大量的训练数据（以及相关的时间开销）， 这在异构和动态环境中
练数据、
训练数据的寿命和系统的行为动态。 目前的情况将达到这样的程
可能变得具有挑战性。
度，
即依赖此类技术会导致无效和不准确的检测。

这一挑战的具体内容是创建一种被广泛接受的异常检测技术，
该技
为了解决上述局限性，
目前在多个领域受到广泛关注的研究领域
术能够克服现代网络中发生的持续变化所带来的限制。
是深度学习。
这是机器学习的高级子集，
可以克服浅层学习的一些局
限性。
我们关注三个主要局限性，
这些局限性导致了这一网络安全挑
战。
首先是网络数据量的急剧增长，
这种增长势必会持续下去。
到目前为止，
初步的深度学习研究表明，其优越的逐层特征学习可以更好
地或至少与浅层学习技术的性能相匹配  [3]。
它能够促进对网络数据的
这种增长主要归因于水平的提高
更深入分析和更快地识别任何异常。

稿件于  2017  年  6  月  30  日收到；  2017  年  9  月  29  日修订；
接受于  2017  年  11  月  3  日。
当前
版本日期为  2018  年  1  月  19  日。  （通讯作者： Nathan  Shone。）
在本文中， 我们提出了一种新颖的深度学习模型， 以在现代网络中实现  
N.  Shone  和  Q.  Shi  在英国利物浦  L3  5UA  利物浦约翰摩尔斯大学计算机科学系工作（电子 NIDS  操作。
我们提出的模型是深度学习和浅层学习的结合， 能够正确分析
邮件：n.shone@ljmu.ac.uk； q.shi@ljmu.ac.uk） .
广泛的网络流量。 更具体地说，
我们将我们提出的非对称深度自动编码器  
TN  Ngoc  和  VD  Phai  在越南河内  Le  Quy  Don  技术大学信息安全系工作，
邮编  100000（电 (NDAE)（深度学习）的堆叠能力与随机森林  (RF)  的准确性和速度相结合
子邮件： ngoctn@mta.edu.vn； dinhphai88@gmail.com）。

数字对象标识符  10.1109/TETCI.2017.2772792

2471‑285X  ©  2017  IEEE。
允许个人使用， 但再版/再分发需要  IEEE  许可。
有关详细信息， 请参阅  http://www.ieee.org/publications  standards/publications/rights/index.html。

授权许可使用仅限于：
马来亚大学。
下载于  2022  年  12  月  3  日  13:34:09  UTC  从  IEEE  Xplore。
限制适用。
Machine Translated by Google

42 IEEE  计算智能新兴主题交易，
卷。  2，
没有。  2018  年  2  月  1  日

（浅层学习）。
我们使用支持  GPU  的  TensorFlow  实际评估了我们的模型，
并通过分 3)多样性 近年来，
现代网络中使用的新协议或定制协议的数量有所增加。
这可以
析  KDD  Cup   99  和  NSL‑KDD  数据集获得了有希望的结果。
我们知道这些数据集的 部分归因于具有网络和/或互联网连接的设备数量。
因此，
区分正常和异常流量
局限性，
但它们仍然是类似作品中广泛使用的基准，
使我们能够进行直接比较。 和/或行为变得越来越困难。

本文提供了以下新颖的贡献：
1）一种用于无监督特征学习的新  NDAE  
技术，
与典型的自动编码器方法不同，
它提供了非对称数据降维。
因此，
与深度置信 4)动态‑  鉴于现代网络的多样性和灵活性，
行为是动态的并且难以预测。
网络  (DBN)  等领先方法相比，
我们的技术能够促进改进的分类结果。
反过来，
这导致难以建立可靠的行为规范。
它还引起了人们对学习模型寿命的
担忧。

5)低频攻击 这些类型的攻击经常阻碍以前的异常检测技术，
包括人工智能方法。
2)  一种利用堆叠  NDAE  和  RF  分类算法的新型分类器模型。
通过结合深度学习和 问题源于训练数据集的不平衡，
这意味着  NIDS  在面对这些类型的低频攻击时
浅层学习技术来发挥各自的优势并减少分析开销。
我们能够更好地或至少匹配 提供较弱的检测精度。
类似研究的结果，
同时显着减少训练时间。

6)适应性 现代网络采用了许多新技术来减少对静态技术和管理方式的依赖。
因
本文的其余部分的结构如下。 此，
容器化、
虚拟化和软件定义网络等动态技术的使用更为广泛。  NIDS  需要
第二部分介绍了相关的背景信息。
第三节审查现有研究。
第四部分详细说明了我们提出 能够适应此类技术的使用及其带来的副作用。
的解决方案，
随后在第五部分对其进行了评估。

第六节讨论了我们的评估结果。
最后，
本文在第七节中得出结论。

二。
背景
B.  深度学习
在本节中，
我们将提供必要的背景信息，
以了解我们的动机和本文提出的模型背后
深度学习是机器学习的一个高级子领域，
它使机器学习更接近人工智能。
它有助于
的概念。
使用多层次表示对复杂关系和概念  [6]  进行建模。
监督和非监督学习算法用于构建连
续的更高层次的抽象，
使用来自较低层次的输出特征定义[7]。

A.  NIDS  挑战

网络监控已广泛用于安全、
取证和异常检测等目的。
然而，
最近的进展为  NIDS  制造
了许多新的障碍。
1)  自动编码器：
目前在深度学习研究中使用的一种流行技术是自动编码器，
我们提出
一些最相关的问题包括：  1)容量 存储和通过网络传输 的解决方案使用了自动编码器（详见第  IV  节）。
自动编码器是一种无监督的基于神经
的数据量持续增加。
预计到  2020  年，
现存数据量将达到  44  ZB  [4]。
因此，
现代网络 网络的特征提取算法，
它学习重建其输出所需的最佳参数，
使其尽可能接近其输入。
它
的流量容量急剧增加，
以促进所观察到的流量。
许多现代骨干链路现在以  100   的一个理想特性是能够提供比主成分分析  (PCA)  更强大的非线性泛化。
Gbps  或更高的线速运行。
为说明这一点，
100  Gbps  链路每秒能够处理  
148,809,524  个数据包  [5]。
因此，
为了以线速运行，
NIDS  需要能够在  6.72  ns  
内完成对数据包的分析。
以这样的速度提供  NIDS  很困难，
确保令人满意的准
确性、
有效性和效率水平也提出了重大挑战。

这是通过应用反向传播并将目标值设置为等于输入来实现的。
换句话说，
它正在尝
试学习恒等函数的近似值。
自动编码器通常具有输入层、
输出层（与输入层具有相同的
维度）
和隐藏层。
该隐藏层通常具有比输入更小的维度（称为欠完整或稀疏自动编码
器）。
自动编码器的示例如图  1  所示。

2)准确度 要保持上述准确度水平，
不能依赖现有技术。
因此，
需要更高级别的粒
度、
深度和上下文理解才能提供更全面和准确的视图。
不幸的是，
这伴随着各 大多数研究人员  [8]‑[10]  使用自动编码器作为非线性变换来发现有趣的数据结构，
种财务、
计算和时间成本。 通过对网络施加其他约束，
并将结果与  PCA（线性变换）
的结果进行比较。
这些方法基
于编码器‑解码器范例。
输入是第一个

授权许可使用仅限于：
马来亚大学。
下载于  2022  年  12  月  3  日  13:34:09  UTC  从  IEEE  Xplore。
限制适用。
Machine Translated by Google

SHONE等人：
网络入侵检测的深度学习方法 43

图  1.  单个自动编码器的示例。

转化为典型的低维空间（编码器），然后扩展以再现初始数据（解码器）。
一旦一个层被训练，它的代码被馈送到下一个， 以更好地模拟输入中的高度非
图  2.  堆叠式自动编码器示例。
线性依赖性。该范例侧重于降低输入数据的维数。 为了实现这一点，在深度自
动编码器结构的中心有一个特殊的层 代码层[9]。 此代码层用作压缩特征向
更高的准确度  [6]。
每个隐藏层的输出用作逐步更高级别的输入。因此，
堆叠自
量，
用于分类或在堆叠式自动编码器  [8]  中进行组合。
动编码器的第一层通常学习原始输入中的一阶特征。 第二层通常学习与一阶
特征外观中的模式相关的二阶特征。 随后的更高层学习更高阶的特征。 图  2  显
示了堆叠式自动编码器的说明性示例。 这里，上标数字表示隐藏层身份，下标
数字表示该层的维度。

隐藏层用于创建高维数据的低维版本（称为编码）。
通过降低维度，
自动
编码器被迫捕获数据分布的最突出特征。
在理想情况下，
自动编码器生成的数
据特征将提供比原始数据本身更好的数据点表示。

三、
现有工作

自动编码器的目的是尝试学习（1）
中所示的函数。 深度学习正引起人们的极大兴趣， 其应用正在许多研究领域进行研究， 例
如：
医疗保健  [11]、
[12]；
汽车设计  [13]、
[14]；
制造  [15]  和执法  [16]、
[17]。

hW,b  (x)  ≈  x (1)

这里， h  是使用参数  W  的非线性假设 在  NIDS  的领域内也有一些现有的作品。

在本节中，
我们将讨论最新的著名
(weighting)  和  b  (bias)，
可以拟合给定的数据  (x)。 作品。
简单地说， 它试图学习函数的恒等式的近似值， 其中  x  与  x  最相似。
学习过
程被描述为重构误差最小化函数， 如（2）
所示。 Dong  和  Wang  在使用特定的传统  NIDS  技术和深度学习方法  [1]  之间
进行了文学和实验比较。 作者得出结论， 基于深度学习的方法在一系列样本大
小和交通异常类型中提供了更高的检测准确性。

L(x,  d(f(x))) (2)

这里，
L  是一个损失函数，
它惩罚  d(f(x))  与  x  不相似，
d  是一个解码函数， 作者还证明了与不平衡数据集相关的问题可以通过使用过采样来克服，
为此
f  是一个编码函数。 他们使用了合成少数过采样技术  (SMOTE)。

2)  Stacked  Auto‑Encoder：
与简单的自动编码器不同， 深度自动编码器由
两个对称的深度信念网络组成， 通常有四或五个浅层用于编码， 第二组四或五 赵等。  [2]  介绍了机器健康监测中深度学习应用的最先进调查。 他们通过
层用于编码解码。  Hinton  和  Salacukhudinov  [9]  的工作通过实施深度学 实验将传统的机器学习方法与四种常见的深度学习方法（自动编码器、 受限
习算法， 利用深度自动编码器将高维数据转换为低维数据， 取得了可喜的成果。 玻尔兹曼机  (RBM)、卷积神经网络  (CNN)  和递归神经网络  (RNN)）
进行了比
较。
他们的工作得出结论， 深度学习方法提供了更好的准确性活泼比传统的方
法。

深度学习可以应用于自动编码器，
其中隐藏层是简单的概念，
多个隐藏层用
于提供深度，
采用称为堆叠自动编码器的技术。
这种增加的深度可以减少计算 我们的文献综述确定了几种专门针对  NIDS  的深度学习方法。
成本和所需的训练数据量，
以及产生
Alrawashdeh  和  Purdy  [18]  提出使用具有一个隐藏层的  RBM  来执行
无监督特征缩减。

授权许可使用仅限于：
马来亚大学。
下载于  2022  年  12  月  3  日  13:34:09  UTC  从  IEEE  Xplore。
限制适用。
Machine Translated by Google

44 IEEE  计算智能新兴主题交易，
卷。  2，
没有。  2018  年  2  月  1  日

权重被传递到另一个  RBM  以生成  DBN。预训练的权重被传递到微调层， 该微 的数据集。具体来说，
基准  KDD  数据集涵盖了不同的不同类别的攻击，
而本文
调层由具有多类  soft‑max  的逻辑回归分类器（经过  10  个  epoch  训练）
组 中使用的数据集侧重于同一攻击的子类别。
成。
所提出的解决方案使用  KDD  Cup   99  数据集进行了评估。 作者声称检出
率为  97.90%，
假阴性率为  2.47%。
这是对类似论文作者声称的结果的改进。 你等人。  [16]  提出了一种用于短消息（SMS）
的自动安全审计工具。 他们
的方法基于  RNN  模型。作者声称他们的评估结果准确率为  92.7%，
从而改进
了现有的分类方法（例如  SVM  和朴素贝叶斯）。

Kim等人的工作。  [19]  渴望专门针对高级持续性威胁。 他们提出了一个
使用  100  个隐藏单元的深度神经网络  (DNN)，并结合了修正线性单元激活函 王等。  [27]  提出了一种检测恶意  JavaScript  的方法。
他们的方法使用具
数和  ADAM  优化器。他们的方法是使用  TensorFlow  在  GPU  上实现的，并使 有线性回归的  3  层  SdA。
它针对其他分类器技术进行了评估， 表明它具有最高
用  KDD  数据集进行了评估。 作者声称平均准确率为  99%， 并总结说  RNN  和 的真阳性率， 但第二好的假阳性率。
长短期记忆  (LSTM)  模型都需要改进未来的防御。

侯等人的工作。  [3]  概述了他们的商业  Android  恶意软件检测框架  
Deep4MalDroid。他们的方法涉及使用堆叠式自动编码器， 其最佳精度来自  
3  层。
使用了  10  折交叉验证，表明与浅层学习相比， 他们的方法提供了改进的
爪哇等。  [20]  提出了一种基于深度学习的方法来构建有效且灵活的   检测性能。
NIDS。他们的方法被称为自学学习  (STL)， 它结合了稀疏自动编码器和  
softmax  回归。
他们已经实施了他们的解决方案， 并根据基准  NSL‑KDD  数据
集对其进行了评估。 作者声称在二元分类和  5  类分类中都具有一些有前途的 李等。  [28]  提出了一种在半导体制造中进行故障监测的深度学习方法。
分类精度水平。 他们的结果表明， 他们的  5  级分类达到了  75.76%  的平均  f  分 他们使用堆叠式去噪自动编码器  (SdA)  方法来提供无监督学习解决方案。 与
数。 传统方法的比较表明， 在不同的用例中，
该方法可将准确性提高多达  14%。 在
不同的用例中。 他们还得出结论， 在分析的  SdAs（1‑4  层）
中，4  层的  SdAs  产
生了最好的结果。

Potluri  和  Diedrich  [21]  提出了一种使用  41  个特征的方法，他们的  DNN  
有  3  个隐藏层（2  个自动编码器和  1  个  soft‑max）。 获得的结果好坏参半，
关注较少类别的结果比关注较多类别的结果更准确。 我们的文献综述结果表明，尽管检测精度很高，但仍有改进的空间。 这些弱
点包括对人工操作员的依赖、长时间的训练、
不一致或平均的准确度水平以及
作者将此归因于某些课程的训练数据不足。 对数据集的大量修改（例如平衡或分析）。该领域仍处于初级阶段， 大多数研
究人员仍在尝试结合各种算法（例如训练、优化、激活和分类）和分层方法来为
科尔德罗等人。  [22]  提出了一种无监督的方法来学习正常网络流的模型。 特定数据集生成最准确、 最有效的解决方案。因此，我们相信本文提出的模型
他们使用  RNN、
自动编码器和深度学习的  dropout  概念。
他们提出的评估方 和工作将能够对当前的知识库做出有效的贡献。
法的确切准确性并未完全披露。

同样，唐等人。  [23]还提出了一种监测网络流量数据的方法。 该论文缺乏有
关其确切算法的详细信息， 但确实使用  NSL‑KDD  数据集进行了评估，作者声
称该数据集使用六个基本特征给出了  75.75%  的准确率。

Kang  和  Kang  [24]  提出使用无监督  DBN  来训练参数以初始化  DNN，
从 四、
拟议的方法
而产生改进的分类结果（该方法的具体细节尚不清楚）。 他们的评估显示在
A.  非对称深度自动编码器
分类错误方面的性能有所提高。
减少对人工操作员的依赖是面向未来的  NIDS  的关键要求。
因此，我们的目
标是设计一种能够提供可靠的无监督特征学习的技术， 它可以提高现有技术
霍多等人。  [25]  对利用深度和浅层学习的著名  NIDS  方法进行了全面的 的性能和准确性。
分类和调查。
他们还汇总了这些作品中一些最相关的结果。

本文介绍了我们的  NDAE，
它是一种具有非对称多个隐藏层的自动编码器。
此外， 还有其他相关工作， 包括Niyaz等人提出的DDoS检测系统。  [26]。
他 从根本上讲，这涉及到从编码器‑解码器范式（对称） 到仅利用编码器相位（非
们为软件定义网络  (SDN)  提出了基于深度学习的  DDoS  检测系统。 使用自定 对称）的转变。
这背后的原因是， 给定正确的学习结构， 可以减少计算和时间开
义生成的流量跟踪进行评估。 作者声称已经实现了  99.82%  的二分类准确率 销，
同时对准确性和效率的影响最小。  NDAE  可以用作分层的无监督特征提
和  95.65%  的  8  类分类准确率。然而， 我们认为由于上下文差异， 与本文进行 取器，可以很好地扩展以适应
比较是不公平的

授权许可使用仅限于：
马来亚大学。
下载于  2022  年  12  月  3  日  13:34:09  UTC  从  IEEE  Xplore。
限制适用。
Machine Translated by Google

SHONE等人：
网络入侵检测的深度学习方法 45

图  3.  典型自动编码器和  NDAE  的比较。

图  4.  堆叠式  NDAE  分类模型。
高维输入。
它使用与典型自动编码器类似的训练策略来学习重要特征。
图  3  
给出了一个示例。
因此， 我们将堆叠式  NDAE  的深度学习能力与浅层学习分类器相结合。 对于
所提出的  NDAE  采用输入向量  x  ∈  Rd ，
并使用下面  (3)  中所示的确定 我们的浅层学习分类器， 我们决定使用随机森林。 当前的比较研究， 例如  
性函数逐步将其映射到潜在表示hi  ∈  Rdi  （此处  d  表示向量的维度）： Choud  hury  和  Bhowal  [29]  以及  Anbar等人的研究。  [30]  表明  RF  是
入侵检测的最佳算法之一。 这些是我们自己的初始测试所复制的发现。 此外，
还有许多当前入侵检测研究的例子也利用  RF， 例如  [31]  和  [32]。

hi  =  σ(Wi.hi−1  +  bi);i  =  1,  n, (3)

这里，  h0  =  x，
σ  是一个激活函数（在这项工作中我们使用  sigmoid  函
数  σ(t)=1/(1  +  e−t )），
n  是隐藏层的数量。
RF  基本上是一种集成学习方法， 其原理是将“弱学习器”分组以形成“强
与传统的自动编码器和深度自动编码器不同，
所提出的  NDAE  不包含解 学习器” [33]。
码器，
其输出向量通过类似于（4）
的公式计算为潜在表示。 在这种情况下， 许多单独的决策树（弱学习器）组合在一起形成了森林。  RF  
可以被认为是这些未修剪的决策树的装袋（随机选择记录并替换原始数
据），
在每次拆分时随机选择特征。
它具有低偏差水平、 对异常值的稳健性和
过度拟合校正等优势，
所有这些都将在  NIDS  场景中发挥作用。
y  =  σ(Wn+1 .hn  +  bn+1 ) (4)

模型的估计器  θ  =  (Wi,  bi)可以通过最小化  m  个训练样本(x(i) ,  y(i) )m上的平方重构误差
来获得
我=  1 , 如（5）
所示。 在我们的模型中，
我们使用堆叠  NDAE  学习的编码表示来训练  RF  分类
米
器，
以将网络流量分类为正常数据和已知攻击。
2个

E(θ)  = (x(i)  −  y(i) ) (5)

我=1
在深度学习研究中，模型的确切结构决定了它的成功。目前，
研究人员无法
解释是什么造就了成功的深度学习结构。我们模型的确切结构是通过对多种
B.  堆叠式非对称深度自动编码器 结构成分进行实验以获得最佳结果而得出的。

在本小节中，我们详细介绍了我们为解决当前  NIDS  所发现的问题而创
建的新型深度学习分类模型。
我们提出的模型的最终结构如图  4  所示。
如图  4  所示，我们的模型使用堆叠排列的两个  NDAE， 并与  RF  算法相结
从根本上说， 我们的模型基于使用我们的  NDAE  技术（在第  IV‑A  节中概
合。
每个  NDAE  有  3  个隐藏层，每个隐藏层使用与特征相同数量的神经元（由
述）
进行深度学习。 这是通过堆叠我们的  NDAE  来创建深度学习层次结构来
图中的编号表示）。 这些确切的参数是通过交叉验证大量组合（即神经元和
实现的。
堆叠  NDAE  提供了一种分层无监督表示学习算法， 这将使我们的模
隐藏层的数量） 来确定的， 直到确定最有效的。这允许在没有过度拟合风险的
型能够学习不同特征之间的复杂关系。 它还具有特征提取功能， 因此能够通
情况下进行性能评估。
过优先描述最具描述性的特征来改进模型。

对于我们的实验，
我们使用  Scikit  Learn  在  NSL‑KDD  数据集上使用了  10  
由于我们设想该模型使用的数据， 我们设计了模型来处理大型和复杂的
折交叉验证方法。
我们最终模型结构的结果是  0.995999  +/‑  0.000556， 这
数据集（有关这方面的更多详细信息， 请参见第  VI  节）。
尽管  KDD  Cup   是一个非常有希望的结果。
99  和  NSL‑KDD  数据集中存在的  42  个特征相对较小， 但我们认为它提供
了模型能力的基准指示。

五、
评价与结果

然而， 与包括  RF、
KNN  和  SVM  在内的其他判别模型相比，
具有典型  soft‑ 与大多数现有的深度学习研究类似， 我们提出的分类模型（第  IV‑B  节）
max  层的堆叠自动编码器的分类能力相对较弱。 是使用  TensorFlow  实现的。
我们所有的评估都是使用

授权许可使用仅限于：
马来亚大学。
下载于  2022  年  12  月  3  日  13:34:09  UTC  从  IEEE  Xplore。
限制适用。
Machine Translated by Google

46 IEEE  计算智能新兴主题交易，
卷。  2，
没有。  2018  年  2  月  1  日

表一
支持  GPU  的  TensorFlow  在配备  Intel  Xeon  3.60GHz  处理
数据集的组成
器、 16  GB  RAM  和  NVIDIA  GTX  750  GPU  的  64  位  Ubuntu  
16.04  LTS  PC  上运行。
为了执行我们的评估， 我们使用了  KDD  Cup   99  和  NSL‑KDD  数据集。
这两个数
据集都被视为  NIDS  研究中的基准。此外， 使用这些数据集有助于与现有方法和研究
进行比较。

在本节中，
我们将使用以下定义的指标：
1)真阳性  (TP)  ‑  被正确分类为攻击的攻击
数据。

2)误报  (FP)  ‑  错误分类的正常数据
确定为攻击。
3)  True  Negative  (TN)  ‑  被正确分类为正常的正常数据。

4)假阴性  (FN)  ‑  被错误分类为正常的攻击数据。

我们将使用以下措施来评估我们提出的解决方案的性能：

TP+TN
精度  = (6)
TP  +  TN  +  FP  +  FN

准确率衡量正确分类总数的比例。 特性（例如协议类型、
数据包大小）、
领域知识特性（例如登录失败的次数）
和定时观
察特性（例如  SYN  错误连接的百分比）。
每个向量都被标记为正常或攻击（其中有  
TP 22  种特定的攻击类型，
如表  I  所示）。
精度  = (7)
TP  +  FP

精度衡量正确分类的数量受到不正确分类数量的惩罚。
通常的做法是使用全尺寸数据集的  10%，
因为这提供了一种合适的表示形式，
同时
减少了计算要求。
这  10%  的子集与原始数据集一起制作和传播。
在本文中，
我们使用  
TP
回忆= (8) 10%（此处称为  KDD  Cup   99）
子集，
其中包含  494,021  条训练记录和  311,029  条
TP  +  FN 测试记录。
确切的组成如表  I  所示。
召回衡量的是正确分类的数量受到错过条目数量的惩罚。

计划生育
误报= (9) KDD  Cup   99  数据集需要预处理才能成功地与我们提出的堆叠  NDAE  模型一
FP+TN
起使用。
这是因为我们的模型仅使用数值进行操作，
但数据集中的一条记录混合了数
误报衡量的是良性事件被错误分类为恶意事件的比例。 值和符号值，
因此需要进行数据转换来转换它们。

精准·召回
F  分数  =  2  · (10)
准确率  +  召回率 此外，
整数值也需要归一化，
因为它们与介于  0  和  1  之间的浮点值混合在一起，
这会使
学习变得困难。
F  分数衡量精度和召回率的调和平均值，
用作派生的有效性衡量标准。

2)  NSL‑KDD：
较新的  NSL‑KDD  数据集，
由  Tavallaee等人制作。
克服  KDD   99  
数据集的固有问题，
这些问题在  [35]  中进行了讨论。
A.  数据集

本文使用  KDD  Cup   99  和  NSL‑KDD  基准数据集。
两者都已广泛用于涉及正常 虽然，
这个新版本的数据集仍然存在  McHugh  在  [36]  中讨论的一些问题，
并且可能
和异常连接流量的  IDS  研究。 不是现有真实网络的完美代表。
大多数当前的  NIDS  研究仍在使用该数据集，
因此我
们相信它仍然是帮助研究人员比较不同方法的有效基准。

1)  KDD  Cup   99：  KDD  Cup   99  数据集用于  DARPA  的  IDS  评估程序  [34]。

数据由  7  周网络流量产生的  4  GB  压缩  tcpdump  数据组成。
这可以处理成大约  500  
万条连接记录，
每条约  100  字节。
它由大约  4,900,000  个单连接向量组成，
每个连接向 NSL‑KDD  数据集与  KDD  Cup   99  数据集的结构基本相同（即它有  22  种攻击
量包含  41  个特征。
这些包括基本 模式或正常流量，
以及  41  种特征的字段）。
我们将使用整个  NSL‑KDD  数据集进行评
估，
其组成也显示在表  I  中。

授权许可使用仅限于：
马来亚大学。
下载于  2022  年  12  月  3  日  13:34:09  UTC  从  IEEE  Xplore。
限制适用。
Machine Translated by Google

SHONE等人：
网络入侵检测的深度学习方法 47

表二
KDD  CUP   99表演

攻击类号  训练号  攻击 准确性  （％） 精确  （％） 记起  （％） F  分数  (%) 误报  (%)

DBN  S‑NDAE  DBN  S‑NDAE  DBN  S‑NDAE  DBN  S‑NDAE  DBN  S‑NDAE

普通的 97278   60593   99.49   99.49   94.51   100.00   99.49   99.49   96.94   99.75   5.49   8.92  
从 391458   223298   99.65 99.79   98.74   100.00   99.65   99.79   99.19   99.89   1.26   0.04  
探测 4107   2377   14.19 98.74   86.66   100.00   14.19   98.74   24.38   99.36   13.34   10.83  
R2L 1126   5993 89.25   9.31   100.00   100.00   89.25   9.31   94.32   17.04   0.00   0.71
U2R 52   39   7.14   0.00   38.46   0.00   7.14   0.00   12.05   0.00   61.54   100.00  
全部的 494021 292300 97.90 97.85 97.81 99.99 97.91 97.85 97.47 98.15 2.10 2.15

表三
在表  I  中，
突出显示了一些攻击模式。
KDD   99培训时间
这表示在数据集中包含少于  20  个出现次数的攻击模式。  20  是准确级别
的培训和评估所需的最低阈值。 因此，本文省略了这些攻击。
No.  隐藏层中的神经元 训练时间 节省时间  （％）

DBN  S‑NDAE

目前在深度学习研究中使用的最突出的技术之一是  DBN  [1]、 [2]、
[7]。  
54660   2024   96.30  
Alrawashdeh  和  Purdy  [18]  发表了一篇关于该技术的著名文章，其中作者 8   122460   2381   98.06  
建议对  NIDS  使用  DBN  模型。 14  22 204900 2446 98.81

因此，
对于我们的评估，
我们直接比较了从我们提出的模型和  DBN  模型中获
得的结果。
我们还将把我们模型的结果与  Alrawashdeh  和  Purdy  发表的
结果进行比较。

B.KDD杯 99

在本节中， 我们使用上一小节中概述的  KDD  Cup   99  数据集，

根据  
[18]  中发布的  DBN  模型评估我们提出的分类模型的  5  类分类性能。

通过[18]中的  DBN  模型和我们的堆叠  NDAE  模型对  KDD  Cup   99  数
据集进行的  5  类分析获得的结果如表  II  所示。 通过比较两个模型的结果， 我
们可以看到， 总体而言， 我们的堆叠  NDAE  模型的有效性和准确性优于或与  
图  5.  NSL‑KDD  5  级的  ROC  曲线。
[18]  中的模型所取得的结果相当。 然而， 值得注意的例外是“U2R” 和“R2L”
类，
它们将在第  VI  节中讨论。
之前讨论的  TensorFlow  DBN  模型进行比较。
为了最大限度地提高可比性， 我们根据  (a)  KDD  Cup   99  中使用的5  级分
类和  (b)  NSL‑KDD的  13  级分类（此选择在第  VA  节中进行了解释） 进行了
时间效率是我们模型的一个重要考虑因素， 尤其是在  NIDS  中应用时。 因 两次单独的评估。
此，
我们测量了我们的堆叠  NDAE  模型和  DBN  模型分析  KDD   99  数据集
所需的训练时间。
然而，由于所使用的硬件和软件的差异， 在这方面与  [18]  进 1)  5‑Class  Classification：
通过使用与  KDD  Cup   99  数据集中使用的
行比较是不公平的。 相同的  5  个通用类别标签， 我们可以比较两个模型在两个数据集之间的性
能。
它还有助于与采用此策略的类似作品进行比较。

因此， 我们在  TensorFlow  中实现了一个  DBN  模型，
得到的结果如表  III  所 性能结果显示在表  IV  中，
并由图  5  中的接受者操作特征  (ROC)  曲线说明。
示。
如表  III  所示，我们模型的非对称方法能够显着减少所需的训练时间， 平均 从表中可以明显看出，
与  DBN  方法相比，
我们的模型提供了更高的准确
减少  97.72%。 因此，我们的模型有望保持高水平的准确性， 同时大大减少所 性、
精确度、
召回率、
有效性（F  分数）
和误报率。
需的训练时间。
2)  13  类分类：
如前所述，
我们的模型旨在处理更大、
更复杂的数据集。

因此，
我们评估了我们模型在  13  类数据集上的分类能力。这  13  个标签是那
些条目数超过最少  20  个的标签。
此分析的目的是比较我们的模型在攻击类
C.  NSL‑KDD
别数量增加时的稳定性。
因此，
我们不比较这些结果
不幸的是，
论文  [18]  没有提供使用  NSL‑KDD  数据集的评估。
因此我们将
使用

授权许可使用仅限于：
马来亚大学。
下载于  2022  年  12  月  3  日  13:34:09  UTC  从  IEEE  Xplore。
限制适用。
Machine Translated by Google

48岁 IEEE  计算智能新兴主题交易，
卷。  2，
没有。  2018  年  2  月  1  日

表IV
NSL‑KDD  5  级性能

攻击类号  训练号  攻击 准确性  （％） 精确  （％） 记起  （％） F  分数  (%) 误报  (%)

DBN  S‑NDAE  DBN  S‑NDAE  DBN  S‑NDAE  DBN  S‑NDAE  DBN  S‑NDAE

从 45927   5741   87.96   94.58   100.00   100.00   87.96   94.58   93.60   97.22   8.80   1.07  
普通的 67343   9711 95.64   97.73   100.00   100.00   95.64   97.73   97.77   98.85   24.29 20.62  
探测 11656 1106   72.97   94.67   100.00   100.00   72.97   94.67   84.37   97.26   18.40   16.84  
R2L 995   2199   0.00   3.82   0.00   100.00   0.00   3.82   0.00   7.36   0.00   3.45  
U2R 52 37   0.00   2.70   0.00   100.00   0.00   2.70   0.00   5.26   0.00   50.00  
全部的 125973 18794 80.58 85.42 88.10 100.00 80.58 85.42 84.08 87.37 19.42 14.58

表五
NSL‑KDD  13  级性能

标签 号培训 号攻击 准确性  （％） 精确  （％） 记起  （％） F  分数  (%) 误报  (%)

back    956   359   36.77   100.00   36.77   53.77   0.00  

buffer_overflow    30   20   0.00   0.00   0.00   0.00   100.0  
guess_password    53   1231   0.00   0.00   0.00   0.00   0.00  
ipsweep    neptune    3599   141   98.58   100.00   98.58   99.29   6.71  
nmap    normal    41214   4657   98.05   100.00   98.05   99.01   0.00  
pod    portsweep    1493   73   100.00   100.00   100.00   100.00   0.00  
satan    smurf    67343   9711   97.91   100.00   97.91   98.94   14.70  
teardrop    201   41   92.68   100.00   92.68   96.20   28.30  
warezclient 2931   157   95.54   100.00   95.54   97.72   44.03  
3633   735   82.45   100.00   82.45   90.38   13.92  
2646   665   99.10   100.00   99.10   99.55   0.15  
892   12   100.00 100.00   100.00   100.00   75.51  
890   0   0.00   0.00   0.00   0.00   0.00  
全部的 125881 17802 89.22 92.97 89.22 90.76 10.78

表六
A.  5  级  KDD  Cup   99  分类
NSL‑KDD时间比较
关于  KDD  Cup   99  数据集评估，结果表明我们的模型能够提供  
No.  隐藏层中的神经元 训练时间  (s)  节省时间  (%)
97.85%  的平均准确率。 更具体地说， 结果表明，在  5  个类别中的  3  个类别
DBN  S‑NDAE 中， 我们的准确性优于或与  [18]  中的工作相当。 这也是对其他深度学习方法
（例如  [23]）的重大改进。 然而，值得注意的是，“R2L” 和“U2L”
攻击类别的
1198.08  722.54  1644.84  
0984.04   46.18  
8   1091.97 21731.76   93.42   结果是异常的。
14  22 94.98

堆叠式  NDAE  模型需要更多的数据来学习。 不幸的是， 由于可用的训练数据

针对另一个模型。 相应的性能分析如表  V  所示。
当这些结果与表  IV（ 5  级 数量较少， 所获得的结果不太稳定。 尽管如此， 从性能分析中可以明显看出，
性能） 中的结果进行比较时， 可以明显看出它总体上表现更好，平均准确率从   我们的模型可以提供更高的精度、 召回率和  F  分数，
尤其是对于较大的类。
85.42%  提高到  89.22%。
我们最初的目标之一是支持现代网络所需的粒度。
因此， 这些结果是一个很有希望的迹象， 表明我们的模型在面对更详细和更
细粒度的数据集时可以表现得更好。
此外，我们的模型设法产生了这些可比较的性能结果，
同时持续将所需的
训练时间平均减少了  97.72%。

及时性在现代  NIDS  中至关重要，
因此我们还评估了  NSL‑KDD  数据集
所需的训练时间。
比较的结果示于表VI。
B.  5  级  NSL‑KDD  分类

从这些结果中，我们可以看出，
通过不同的隐藏层组成，
与  DBN  相比，
我 关于  NSL‑KDD  数据集，我们可以从结果中看出， 在所有测量中， 我们的模
们的模型能够持续减少所需的训练时间。 型在  5  个类别中的  3  个类别中产生了卓越的性能水平。 值得注意的是，该模
型的总准确率为  85.42%， 比  DBN  模型提高了不到  5%。它还将误报率降低
了  4.84%。结果还再次强调了这一点， 即我们的模型也不能处理较小的类
（“R2L” 和“U2R”）。
六。
讨论

我们的评估表明我们提出的堆叠  NDAE  模型
产生了一组有希望的结果。

授权许可使用仅限于：
马来亚大学。
下载于  2022  年  12  月  3  日  13:34:09  UTC  从  IEEE  Xplore。
限制适用。
Machine Translated by Google

SHONE等人：
网络入侵检测的深度学习方法 49

另一个重要因素是训练我们的模型所需的时间大大减少， 与  DBN  相比平均 在评估中， 我们使用了基准  KDD  Cup   99  和  NSL‑KDD  数据集，

并取得了非
节省了  78.19%  的时间。
这对于在  NIDS  中的应用尤其重要。 常有希望的结果。
我们的结果表明， 我们的方法提供了高水平的准确度、 精确度和召回率，同时
减少了训练时间。 最值得注意的是， 我们将我们的堆叠式  NDAE  模型与主流  
DBN  技术进行了比较。 这些比较表明， 我们的模型在准确性方面提高了  5%，
训练时间减少了  98.81%。
与大多数以前的工作不同， 我们已经根据两个基准
C.  13  级  NSL‑KDD  分类
数据集评估了我们模型的能力， 揭示了一致的分类准确度水平。
13  类分类评估的结果表明，
我们的模型仅通过使用更细化的数据集就能
够将其自身的准确性提高  3.8%。

这支持了我们的说法，
即该模型能够更有效地处理更大、
更复杂的数据集。
尽管我们的模型取得了上述有希望的结果，
但我们承认它并不完美，
还有进
此外，
更大的数据集可以更好地洞察我们模型中的弱点。从结果中可以看 一步改进的空间。
出，
每个标签的训练数据集大小与准确率/错误率之间存在直接相关性。
这支
持了我们的观察， 即使用我们的模型， 较小的类（在本例中为“back”、 在我们未来的工作中，探索改进的第一个途径将是评估和扩展我们的模型
“guess_password”、
“tear_drop”
和“warez_client”）
产生的准确度 处理零日攻击的能力。然后，
我们将通过利用真实世界的骨干网络流量来展示
较低。 扩展模型的优点，从而扩展我们现有的评估。

然而，
还必须注意的是，
较大的班级在整个表演过程中产生了始终如一的高
比率 致谢

措施。
作者要感谢皇家工程学院通过牛顿研究合作计划提供的支持。

D.  与相关作品的比较

我们还将堆叠式  NDAE  模型的结果与类似的基于深度学习的  NIDS  获得 参考
的结果进行了比较。
[1]  B.  Dong  和  X.  Wang， “深度学习方法与用于网络入侵检测的传统方法的比较”，  Proc。
第  8  届  IEEE  Int。
在  [26]  中，
作者声称他们对  NSL‑KDD  数据集的  5  类分类产生了  75.76%   会议。 公社。 软件网络， 北京， 中国， 六月。  2016  年， 第  101‑1  页581–585。
的  f  分数。他们的召回率和准确率结果未列出， 但条形图显示它们分别约为   [2]  R.  Zhao、 R.  Yan、Z.  Chen、
K.  Mao、
P.  Wang  和  RX  Gao， “深度学习及其在机器健康监测
中的应用： 一项调查”，
69%  和  83%。
我们的模型通过提供  87.37%  的  f  分数、
85.42%  的召回率和  
提交给IEEE  Trans。 神经网络。 学。  Syst.,  2016.  [在线]。
100.00%  的精度产生了卓越的结果。 可用： http://arxiv.org/abs/1612.07640
[3]  S.  Hou、A.  Saas、
L.  Chen  和  Y.  Ye，
“Deep4MalDroid： 基于  linux  内核系统调用图的  
android  恶意软件检测深度学习框架”，  Proc。  IEEE/WIC/ACM  诠释。 会议。网络智
能。 研讨会， 美国内布拉斯加州奥马哈， 2016  年  10  月，
第  104‑111  页。
唐等。  [23]  声称他们的深度神经网络  (DNN)  方法在对  NSL‑KDD  数据集
执行  5  类分类时达到了  75.75%  的准确率。
这个结果低于我们实现的   [4]  IDC，“执行摘要： 数据增长、 商业机会和  IT  势在必行 机会的数字世界： 丰富的数据和物
85.42%  的准确率。 联网不断增加的价值”， IDC， 美国马萨诸塞州弗雷明汉， 技术。 众议员  IDC_1672， 2014  
年。 [在线]。 可用： https://www.emc.com/leadership/digital‑universe/2014iview/
executive‑summary.htm  [5]  瞻博网络， “瞻博网络 每个端口每秒需要多少数据包
在对  KDD  Cup   99  数据集进行分类时，
Kim等人。  [37]  声称他们已经 才能实现线速？ ”， 2015  年。 [在线]。 可用：https://kb.juniper.net/InfoCenter/index?
page=content&id=KB14737  [6]  I.  Goodfellow、 Y.  Bengio  和  A.  Courville，
深度学习。 美
达到了  96.93%  的准确率。
国马萨诸塞州坎布里奇： 麻省理工学院出版社， 2016  年。 [在线]。 可用： http://www.  
还有高等人。  [38]  声称他们的深度学习  DBN  模型达到了  93.49%  的准确 deeplearningbook.org  [7]  L.  Deng，
“深度学习： 方法和应用”， 发现。 趋势信号
率。
这两个结果都低于我们的模型完成的  97.85%。

这些比较表明，
与当前其他基于深度学习的方法相比，
我们模型的结果非常
有前途。 过程， 卷。  7，没有。  3/4， 第  197–387  页， 2014  年  8  月。
[8]  P.  Vincent、
H.  Larochelle、I.  Lajoie、
Y.  Bengio  和  P.‑A。  Manzagol，
“堆叠式去噪自动
编码器： 使用局部去噪标准在深度网络中学习有用的表示”，  J.  Mach。 学。
水库，
卷。  11，
第  3371–3408  页， 2010  年。

七。
结论和未来的工作
[9]  GE  Hinton  和  RR  Salakhutdinov，“使用神经网络降低数据的维度”，
科学，
卷。  
313， 没有。  5786， 第  504–507  页，
2006  年。
在本文中，我们讨论了现有  NIDS  技术所面临的问题。 为此，
我们提出了用
于无监督特征学习的新型  NDAE  方法。 然后， 我们在此基础上提出了一种新的 [10]  Y.  Wang、H.  Yao  和  S.  Zhao，
“基于自动编码器的降维”， 神经计算，
卷。  184，
第  232–
242  页，2016  年。
分类模型，
该模型由堆叠的  NDAE  和  RF  分类算法构成。
[11]  Z.  Liang、
G.  Zhang、 JX  Huang  和  QV  Hu，
“使用  EMR  进行医疗保健决策的深度学
习”，  Proc。  IEEE  诠释。 会议。 生物信息学。
生物医学，  2014  年  11  月，
第  556–559  页。
[12]  SP  Shashikumar、
AJ  Shah、
Q.  Li、
GD  Clifford  和  S.  Nemati，
“使用可穿戴技术监测和
检测心房颤动的深度学习方法”，  Proc。  IEEE  EMBS  Int。 会议。
生物医学。
我们已经在  TensorFlow  中实施了我们提出的模型，
并对其功能进行了广
泛的评估。
对于我们的 Health  Informat，
佛罗里达州，
美国，
2017  年，
pp.  141–144。

授权许可使用仅限于：
马来亚大学。
下载于  2022  年  12  月  3  日  13:34:09  UTC  从  IEEE  Xplore。
限制适用。
Machine Translated by Google

50 IEEE  计算智能新兴主题交易，
卷。  2，
没有。  2018  年  2  月  1  日

[13]  F.  Falcini、G.  Lami  和  AM  Costanza， “汽车软件中的深度学习”，  IEEE  软件， 卷。  34， [33]  L.  Breiman，

“随机森林”，
马赫。
学习，
卷。  45，
没有。  1，
第  5‑32  页，
没有。  3， 第  56–63  页， 2017  年  5  月。 [在线]。 2001.
可用： http://ieeexplore.ieee.org/document/7927925/  [14]  A.   [34]  SJ  Stolfo、W.  Fan、 W.  Lee、
A.  Prodromidis  和  PK  Chan，
“基于成本的欺诈和入侵检测
Luckow、 M.  Cook、 N.  Ashcraft、E.  Weill、
E.  Djerekarov  和  B.  Vorster，
“汽车中的深度学习 建模： JAM  项目的结果”，  Proc。  DARPA  信息生存能力会议。 世博会，  2000  年，
第  
行业： 应用程序和工具，” 在Proc。  IEEE  诠释。 会议。 大数据，  2016  年  12  月，
第  3759– 130‑144  页。
3768  页。  [在线的]。 [35]  M.  Tavallaee、 E.  Bagheri、W.  Lu  和  A.‑A。  Ghorbani，“KDD  CUP  99  数据集的详细分
可用： http://ieeexplore.ieee.org/document/7841045/  [15]  H.   析”，  Proc。 第二届  IEEE  症状。 计算。 智能。
Lee、 Y.  Kim  和  CO  Kim， “使用传感器测量噪声进行鲁棒晶圆故障监测的深度学习模型”，   安全防御应用程序，  2009  年，
第  53‑58  页。
IEEE  Trans。 半导体。 [36]  J.  McHugh，
“测试入侵检测系统： 对林肯实验室  1998  年和  1999  年  DARPA  入侵检测系
制造商，
卷。  30，
没有。
第  1  页2017  年  2  月  23‑31  日。 统评估的评论”，  ACM  Trans。
信息。
系统。安全， 卷。  3、没有。  4， 第  262–294  页，
2000  
[16]  L.  You、
Y.  Li、
Y.  Wang、
J.  Zhang  和  Y.  Yang，
“一种基于深度学习的  RNN  模型，用于短信 年。
的自动安全审计”，  Proc。 第  16  国际症状。 公社。
信息。  Technol.，
青岛，
中国，
2016  年  
9  月，第  225–229  页。 [37]  J.  Kim、
J.  Kim、HLT  Thu  和  H.  Kim，
“用于入侵检测的长短期记忆递归神经网络分类
器”， 载于Proc。 诠释。
[17]  R.  Polishetty、M.  Roopaei  和  P.  Rad， “用于智能城市的下一代基于安全云的深度学习 会议。 平台技术服务，  2016  年  2  月， 第  1‑5  页。
车牌识别”，  Proc。 第  15  届  IEEE  Int。
会议。
马赫。学。  Appl.，
美国加利福尼亚州阿纳海 [38]  N.  Gao、L.  Gao、
Q.  Gao  和  H.  Wang，“基于深度信念网络的入侵检测模型”，  Proc。
第
姆市， 2016  年  12  月，
第  286‑293  页。 二诠释。 会议。 进阶云大数据，  2014  年  11  月， 第  247‑252  页。

[18]  K.  Alrawashdeh  和  C.  Purdy，
“基于深度学习的在线异常入侵检测系统”，  Proc。 第  
15  届  IEEE  Int。
会议。 马赫。 学。  Appl.，
美国加利福尼亚州阿纳海姆市，
2016  年  12  月，
第  
195‑200  页。

[19]  J.  Kim、N.  Shin、
SY  Jo  和  SH  Kim，
“使用深度神经网络进行入侵检测的方法”，  Proc。  
IEEE  诠释。 会议。 大数据智能计算， 中国香港，
2017  年  2  月，
第  313‑316  页。
Nathan  Shone获得博士学位。 网络安全学位，
专注于复杂系统
系统中的不当行为检测， 来自英国利物浦的利物浦约翰摩尔斯大
[20]  A.  Javaid、
Q.  Niyaz、
W.  Sun  和  M.  Alam，
“网络入侵检测系统的深度学习方法”，  Proc。
学  (LJMU)  他目前是  LJMU  计算机科学系的讲师。他的研究兴趣
第九届  EAI  Int.Conf。 生物启发信息公社。 技术，  2016  年，
第  21‑26  页。  [在线的]。 可用：
包括异常检测、 不当行为监控、 物联网安全和安全监控。
http://dx.doi.org/10.4108/eai.3‑12‑2015.2262516  [21]  S.  Potluri  和  C.  Diedrich，
“用于增强入侵检测系统的加速深度神经网络”，  Proc。  IEEE  第  21  届国际会议。

会议。
出现。
技术。  Factory  Autom.，
德国柏林，
2016  年  9  月，
第  1‑8  页。

[22]  C.  Garcia  Cordero、
S.  Hauke、
M.  Muhlhauser  和  M.  Fischer，
“使用复制器神经网络分
析基于流的异常入侵检测”，  Proc。 第十四年。 会议。 隐私与安全。  Trust，
新西兰奥克
兰， 2016  年  12  月，
第  317‑324  页。
Tran  Nguyen  Ngoc获得博士学位。在俄罗斯顿河畔罗斯托夫的
[23]  TA  Tang、L.  Mhamdi、D.  McLernon、
SAR  Zaidi  和  M.  Ghogho，
“软件定义网络中网络 顿州立技术大学获得系统分析、 控制和信息处理学位。他目前是
入侵检测的深度学习方法”，  Proc。 诠释。 会议。 无线网络。  Mobile  Commun.，  2016   越南河内  Le  Quy  Don  技术大学信息安全系主任。
他的研究兴
年  10  月，第  258‑263  页。 趣包括模式识别、 网络安全和人工智能。

[24]  M.‑J。
康和  J.‑W。  Kang，
“使用深度神经网络实现车载网络安全的入侵检测系统”，  
PLoS  One，卷。  11，没有。  6，
2016年6月，
艺术。
不。  e0155781。

[25]  E.  Hodo、XJA  Bellekens、A.  Hamilton、 C.  Tachtatzis  和  RC  Atkin  son，
浅层和深层网
络入侵检测系统： 分类学和调查， 提交给  ACM  调查， 2017  年， [在线]。 可用： http://
arxiv.org/abs/1701.02145  [26]  Q.  Niyaz、 W.  Sun  和  AY  Javaid， 软件定义网络  (SDN)  
中基于深度学习的  DDOS  检测系统， 提交给  EAI  Endorsed  Transactions  on  Security  
and  Safety， 出版中， 2017  年，[在线]。

Vu  Dinh  Phai于  2016  年获得越南河内  Le  Quy  Don  技术大
可用： http://arxiv.org/abs/1611.07400 学  (LQDU)  的信息系统硕士学位。 他目前是  LQDU  信息安全系
[27]  Y.  Wang,  W.‑D.蔡和  P.‑C。  Wei，
“一种检测恶意  JavaScript  代码的深度学习方法”，   的研究员。 自  2013  年以来， 他一直参与  LQDU  的各种研究项目
Security  Commun。 网络， 卷。  9，没有。  11，
第  1520–1534  页，
2016  年  7  月。 和教学。 他的研究兴趣包括网络安全、 无线安全和机器学习。

[28]  H.‑W。李， N.‑R。金和  J.‑H。  Lee，“基于无监督学习和辍学的深度神经网络自我训练”，  
Int。  J.  模糊逻辑告诉。 系统， 卷。  17， 没有。  1，第  1‑9  页，
2017  年  3  月。
[在线]。 可用：
http://www.ijfis.org/journal/view.html?doi=10.5391/IJFIS.2017.17.1.1  [29]  S.  
Choudhury  和  A.  Bhowal，“机器学习算法与网络分类器的比较分析入侵检测，” 在
Proc。

诠释。 会议。 智能技术。 管理。  Comput.,  Commun.,  Controls,  Energy  Mater.，  2015  

年  5  月，第  89‑95  页。
[30]  M.  Anbar、
R.  Abdullah、IH  Hasbullah、
YW  Chong  和  OE  Elejla，
“入侵检测系统分类算
法的比较性能分析”，  Proc。 第十四年。 会议。 隐私， Security  Trust，  2016  年  12  月， 齐石获得博士学位。
大连理工大学计算机专业，
大连，
中国。
第  282‑288  页。
他目前是英国利物浦约翰摩尔斯大学计算机科学系的计算机安
[31]  Y.  Chang、
W.  Li  和  Z.  Yang，
“基于随机森林和支持向量机的网络入侵检测”，  Proc。   全教授。他的研究兴趣包括安全协议设计、
普适计算安全、云安
IEEE  诠释。会议。 计算机。 科学。  Eng./IEEE  Int.会议。
嵌入式普适计算，  2017  年  7  月， 全、
传感器网络安全、计算机取证和入侵检测。
第  635–638  页。

[32]  YY  Aung  和  MM  Min， “基于随机森林算法的网络入侵检测系统分析”，  Proc。 第  18  届  

IEEE/ACIS  Int。
会议。 软件工程， Artif。
智能，网络。
并行/分布式。
计算机，
君。  2017  年，
第  101‑1  页127–
132。

授权许可使用仅限于：
马来亚大学。
下载于  2022  年  12  月  3  日  13:34:09  UTC  从  IEEE  Xplore。
限制适用。