张利军

(兰州资源环境职业技术大学 甘肃 兰州 730000)

0 引言

在互联网科技快速发展的大环境中,计算机网络系统应用范围也逐渐拓展[1-2]。我们在使用网络所提供的便捷服务的同时,也深受网络安全问题困扰。当下很多网络安全风险事件层出不穷,结合已有的网络安全报告内容可知,现在网络入侵技术越发高明,对网络环境的安全性存在严重影响[3]。人们的多种个人敏感信息,都在网络环境中被黑客使用违法手段进行非法提取,对人们正常生活状态产生恶劣影响。

网络入侵检测技术目前也有几十年的使用时间,但以往的网络入侵检测技术,并不能解决目前网络安全保护问题[4]。网络入侵行为,对网络原始信息数据的完备性、隐私性以及安全性都存在负面影响[5]。为此,研究一种有效的网络入侵检测方法,对保护网络安全存在重要意义[6]。

网络入侵行为与正常行为所用流量数据存在差异,恶意入侵、安全漏洞等行为都可结合流量数据之间的差异而被发现。为了保障网络安全性不受到影响,当下也有很多研究人士对网络安全保护问题进行研究,如防火墙设计、数据加密等技术,都以被动方式实现网络安全保护,此类方法虽然可以检测、拦截很多入侵行为,但针对一些攻击行为的检测问题,还不具备精准检测能力。所以,入侵检测技术的出现,为某些攻击行为检测问题提供了可用技术,此类技术能够完成主动式防御,在复杂多变的网络环境中使用效果显著。

人工智能技术包含机器学习技术、深度学习技术、强化学习等多种智能化技术,人工智能技术是计算机学科中的核心分支。此技术可以分析利用人脑智能行为模式,完成问题智能分析。为此,本文在人工智能视角下,以实现网络入侵问题的智能化主动式检测为目的,研究了人工智能视角下网络入侵检测方法,以期为网络入侵问题提供更有效的检测工具。

1 入侵检测存在问题分析

网络入侵检测技术需要与目前的网络环境相辅相成,才能保证网络入侵行为检测效果能够满足应用需求。而随着网络环境的复杂化,在大规模复杂网络数据中,想要实现高效率、高精度的入侵检测,还是存在很大难度。结合目前已有的研究资料可知,当下入侵检测技术存在的疑难杂症主要内容如下。

1.1 误报率、漏报率显著

随着网络数据量的激增,网络数据库的更新与维护难度也随之提升。多样化、新型入侵行为的出现,导致已有网络入侵检测技术出现误报率、漏报率较高的问题。

1.2 检测速度慢

当下网络数据的更新速度极快,几秒内便会出现上亿网络数据。在此类环境中,网络入侵检测技术的实时性十分重要,而当下很多网络入侵检测技术的检测速度,与网络数据增长速度存在明显差距。网络入侵检测时,如果网络数据之间的关系并不明确,存在模糊性,便需要耗费很多时间处理大规模数据之间的关系,所以导致网络入侵检测速度慢,从而不能及时发现网络入侵行为[7]。

2 人工智能技术使用优势

计算机网络技术大范围使用时,因用户需求逐渐增多,网络技术也需要与时俱进,持续完善网络性能才能保证为用户提供较好的网络服务。人工智能技术的使用,不仅可以智能化收集网络信息,还可以实时检测网络异常行为。人工智能技术的使用不仅可以优化网络信息处理速度,还能够实现网络信息的科学化诊断,此技术在计算机网络管理问题中占据不可忽视的主导地位。查阅已有资料以及研究理论,总结人工智能技术使用优势如下:

2.1 模糊信息处理能力显著

人工智能技术具备显著的模糊信息处理能力,可使用分级管理数据的模式,不需要工作人员亲自筛选数据、分类数据,以及完成数据计算,人工智能技术仅在网络环境中,便可完成模糊信息数据智能化计算与处理,可优化网络数据的分析效果[8]。

2.2 学习能力与非线性问题处理能力显著

目前人们使用计算机网络进行学习、娱乐属于普遍行为,计算机网络信息众多,应用过程中难免存在冗余信息数据,人工智能技术能够以智能化数据处理方式,完成网络数据的有效提取。人工智能技术的学习能力与非线性问题处理能力显著,对网络数据的处理过程中,存在较好的数据整合能力,从而提高了网络信息处理效率。

综上所述,将人工智能技术使用于网络入侵检测问题中十分必要。为此,本文在人工智能视角下,为网络入侵检测问题,研究一种高效、高精度的网络入侵检测方法。

3 基于主成分分析的网络数据筛选方法

机器学习相关算法属于人工智能技术的一部分,而人工智能视角下,机器人学习主要分为分类技术、回归技术、聚类技术。主成分分析方法属于经典机器学习算法的其中一种,属于多变量统计式方法,网络数据维度存在多样化特征,若不进行有效处理,会导致网络数据样本中存在大量冗余数据,从而不能保证网络入侵检测效率。考虑到网络数据的规模性、复杂性特征,会影响网络入侵检测效率,为此,本文使用基于主成分分析的网络数据筛选方法,在网络入侵检测之前,将网络数据执行筛选处理。

主成分分析方法的操作内容主要分为以下几个步骤:

(1)网络数据集标准化处理;

(2)将标准化之后的网络数据集转换为矩阵模式,并运算矩阵相关系数矩阵R;

(1)

式(1)中,q、yi依次是网络数据矩阵的总行数、第i行网络数据矩阵向量;j、右上标T分别是网络数据矩阵的列、转置处理标志。

(3)提取网络数据相关系数矩阵特征值εj,以及此特征值的数据特征向量;

(4)提取网络数据主成分见式(2):

(2)

主成分分析时,会获取m个主成分,每个主成分方差存在递减性。结合主成分累积贡献率,在m个成分里提取m个贡献率显著的主成分。贡献率主要表示某主成分方差在所有方差中的占比,其数值较大,表示此主成分涵盖的原始网络数据特征较多。

(5)运算主成分矩阵:把步骤(1)处理后网络数据,和主成分相乘,便能获取包含主成分的最具代表性的网络数据。

4 基于改进卷积神经网络的入侵检测模型

4.1 网络入侵检测流程

基于改进卷积神经网络的入侵检测模型运行时,操作步骤简单,将2.3小节筛选的网络数据,输入改进的卷积神经网络模型,执行网络入侵检测,输出网络入侵检测的诊断结果。由于网络入侵问题属于分类问题,所以网络入侵检测问题,主要由人工智能技术中的卷积神经网络完成。在诊断检测之前需要使用粒子群算法对模型进行训练,调节模型超参数,保证模型结构合理,从而提高网络入侵检测精度。

4.2 改进卷积神经网络模型

如图1所示,改进卷积神经网络模型运行时,网络入侵检测任务会被分解为训练环节、入侵检测环节。

图1 改进卷积神经网络模型的运行结构示意图

基于改进卷积神经网络的入侵检测模型训练时,主要使用粒子群算法,寻优设置卷积神经网络模型的连接权重。在训练过程中,训练数据的诊断误差最小化,即为粒子群算寻优设置的目标函数。

基于改进卷积神经网络的入侵检测模型中,核心层为卷积层,此层的作用是提取网络数据特征。提取方法如式(3)所示:

(3)

基于改进卷积神经网络的入侵检测模型结构中,除了卷积层还有池化层、全连接层。

池化层属于特殊的卷积处理,可滑动运算网络数据特征,和卷积处理之间的差值是,池化操作不存在“核”。池化层能够滤除网络数据噪声,优化卷积神经网络的泛化性,且此层能够增加卷积核,优化网络数据特征的表达性能。池化层会把网络特征中的上限值作为池化输出结果。

全连接层结构分为神经元、分类器,其作用即为网络数据异常诊断,完成网络入侵检测。全连接层分为2层,首层神经元数目和网络数据数目一致,各网络数据样本和神经元存在对应性。末层的神经元数目与网络入侵识别类型数目一致。

分类器设置在末层,文章使用Softmax分类器,其应用时,对网络入侵检测结果如式(4)所示:

(4)

4.3 粒子群算法

此算法属于进化计算类的群智能算法,能够模拟鸟类觅食行为,分析个体和群体之间的协作关系、信息共享关系,结合此类关系在问题解域中寻优,提取问题最优解。

粒子群算法的操作难度小,收敛效率快,在卷积神经网络训练时,会在解域中以初始化的方式构建随机解,此类解即为粒子个体,粒子状态分为速度与位置。为了分析粒子位置是否最优,会设置2个变量φ、φ代表粒子寻优的局部最优位置、全局最优位置。针对各个粒子而言,其适应值即为局部最优解、全局最优解的判断依据。适应度即为卷积神经网络训练时,对训练样本的诊断误差最小化。在寻优过程中,粒子速度vj与位置ζj的更新方法如式(5)、式(6)所示:

ζj+1=ζj+vj+1

(6)

式(5)中,v是权重;d1、d2是学习因子;rand是随机数。

若粒子速度、位置超出最大速度、边界位置,便可停止寻优,将适应度最小的粒子作为最优解,将此粒子代表的卷积神经网络连接权重,作为卷积神经网络模型的各层连接权重,构建改进的卷积神经网络模型,将网络数据样本输入此模型,完成网络入侵检测。

5 实验分析

5.1 实验数据详情

为了测试人工智能视角下网络入侵检测方法的使用效果,实验将某企业运营网络数据作为检测数据样本,此网络数据样本中存在多种网络数据类型,如无入侵数据样本、DOS入侵数据样本、R2L入侵数据样本、Probe入侵数据样本、U2R入侵数据样本、Total入侵数据样本。具体详情如表1所示。

表1 实验数据详情

实验之前,把表1中的网络数据进行预处理,处理内容是:

5.1.1 网络数据归一化

因很多网络数据的某些字段取值范围存在很大差异,所以,需要将网络数据执行归一化处理,避免出现过拟合,将字段数据约束于[-1,1]内。

5.1.2 网络数据冗余属性滤除

很多网络数据部分属性取值存在重复性,为此,将此类重复的属性值滤除,避免出现无用功,保证网络数据后续处理效率。

5.2 网络入侵检测效率分析

本文方法使用前后,网络入侵检测时延对比结果如表2所示。

表2 本文方法对网络入侵检测时延测试结果

分析表2数据可知,多种入侵行为下,本文方法使用前网络入侵检测时延最大值为1.7 s,本文方法使用后,网络入侵检测时延最大值为0.3,网络入侵检测时延明显缩短,说明网络入侵检测效率提升。

5.3 网络入侵检测精度分析

本文方法使用粒子群算法训练卷积神经网络模型后,将表1中测试样本输入改进卷积神经网络,则本文方法对表1中的无入侵数据样本、DOS入侵数据样本、R2L入侵数据样本、Probe入侵数据样本、U2R入侵数据样本、Total入侵数据样本中测试集检测结果如表3所示。

表3 本文方法对网络入侵检测精度的测试结果

分析表3数据可知,无入侵以及多种入侵行为下,本文方法的网络入侵检测结果无误,网络入侵检测结果与实际样本数目匹配,说明网络入侵检测结果精准。

6 结语

网络安全问题是当下计算机网络技术体系的核心组分,网络入侵检测时,需要结合网络数据特征,分类诊断数据是否属于异常数据,此问题本质是一种数据分类问题。但网络数据不可避免地存在很多冗余数据,此类数据会对入侵检测结果起“反作用”,若不合理解决,便会影响入侵检测精度。为此,本文通过研究人工智能视角下网络入侵检测方法证明,把人工智能技术使用在网络入侵检测中是可行的,且能够提升网络入侵检测效率与精度。人工智能技术使用下,网络入侵检测行为属于主动防御行为,和以往的被动防御相比,此技术更具智能性,可在入侵行为产生严重后果之前便可发掘异常,从而削弱入侵行为带来的负面影响。此技术能够有效利用人工智能技术中主成分分析方法、改进的卷积神经网络,完成网络数据的智能化筛选、分类检测。在实验中,本文方法被验证的可用价值如下:(1)多种入侵行为下,本文方法使用前网络入侵检测时延最大值为1.7 s,本文方法使用后,网络入侵检测时延最大值为0.3,网络入侵检测效率明显提升;(2)无入侵以及多种入侵行为下,本文方法的网络入侵检测结果准确,不存在误识、漏识问题。

综上所述,本文方法研究内容,在网络入侵检测问题中具备可用价值。因篇幅有限,本文研究仅停留于网络数据预筛选、入侵检测范围,在后续的研究工作中,会将人工智能技术与防火墙等技术相结合,全方位提高网络安全。