0引言

在工業(yè)互聯(lián)網(wǎng)不斷向前邁進(jìn)的過程中，網(wǎng)絡(luò)安全成為了不容忽視的問題之一。信息技術(shù)在工業(yè)領(lǐng)域的快速成長和發(fā)展打破了以往工業(yè)控制系統(tǒng)的安全閉環(huán)環(huán)境，雖然新技術(shù)的融入提升了系統(tǒng)的整體性能，但是也將要面臨嚴(yán)峻的信息安全問題。據(jù)統(tǒng)計(jì)全球每年的工業(yè)控制系統(tǒng)安全事件數(shù)量高達(dá)數(shù)百起，且呈現(xiàn)出上升趨勢。以工業(yè)為背景的互聯(lián)網(wǎng)攻擊行為數(shù)據(jù)傳輸量巨大且復(fù)雜，并且具有極強(qiáng)的破壞性。2010年齊魯石化、2011年大慶石化煉油廠均遭到了Conficker病毒的攻擊，使其控制系統(tǒng)與服務(wù)器通信受阻。2017年“WannaCry”勒索病毒入侵我國石油化工和通信行業(yè)，造成某大型石油公司近2萬座加油站無法使用銀行卡和網(wǎng)上支付。所以，及時(shí)發(fā)現(xiàn)并阻攔網(wǎng)絡(luò)攻擊行為成為了熱門研究方向，入侵檢測就是據(jù)此提出的一種安全防御技術(shù)。

目前已有很多學(xué)者在入侵檢測領(lǐng)域的研究中獲得了成果，文獻(xiàn)［3］將深度學(xué)習(xí)的算法應(yīng)用到入侵檢測模型中，選用了二分支的卷積神經(jīng)網(wǎng)絡(luò)，其結(jié)構(gòu)特點(diǎn)能夠在保持原有特征的前提下繼續(xù)提取更深層次的特征，然后使用GRU網(wǎng)絡(luò)提取時(shí)間維度上的特征，但多次的重復(fù)特征提取容易導(dǎo)致模型學(xué)習(xí)能力退化，發(fā)生梯度彌散或者梯度爆炸的現(xiàn)象。文獻(xiàn)［4］將一種自適應(yīng)的一維卷積神經(jīng)網(wǎng)絡(luò)算法應(yīng)用到入侵檢測模型中，選取了粒子群算法，自適應(yīng)地優(yōu)化所有卷積核數(shù)量以得到最優(yōu)參數(shù)，并且搭建了深層一維卷積網(wǎng)絡(luò)用以提取深層數(shù)據(jù)特征，但此方法忽略了數(shù)據(jù)集的時(shí)間特征，提取不夠全面。文獻(xiàn)［5］針對(duì)數(shù)據(jù)分布不平衡的問題將一種對(duì)抗生成網(wǎng)絡(luò)應(yīng)用到入侵檢測模型中，對(duì)稀有攻擊樣本進(jìn)行聚類處理，有效地分理出噪聲樣本并對(duì)其著重?cái)U(kuò)充以達(dá)到平衡數(shù)據(jù)的目的，然后使用基于決策樹的XGBoost算法進(jìn)行實(shí)驗(yàn)，但此方法涉及內(nèi)容耗時(shí)較長，檢測速度較慢。文獻(xiàn)［6］將門控循環(huán)單元與遞歸神經(jīng)網(wǎng)絡(luò)融合應(yīng)用到入侵檢測模型中，此方法可以有效應(yīng)對(duì)數(shù)據(jù)離散性較高和分布不均的問題，其中的門控循環(huán)單元在檢測時(shí)間序列攻擊行為時(shí)表現(xiàn)優(yōu)異，但這種淺層結(jié)構(gòu)難以精準(zhǔn)提取出深層特征，具有一定的局限性。

綜合分析了以上研究方法，針對(duì)存在的網(wǎng)絡(luò)退化、難以提取深層特征和樣本分布不平衡問題，本文提出一種基于殘差網(wǎng)絡(luò)和深度學(xué)習(xí)的入侵檢測模型。深度學(xué)習(xí)部分包含了一維卷積神經(jīng)網(wǎng)絡(luò)和門控循環(huán)單元兩種算法，較為適合本實(shí)驗(yàn)的數(shù)據(jù)類型，并且使用了Focal loss損失函數(shù)替代普通損失函數(shù)解決數(shù)據(jù)不平衡問題，最后使用殘差網(wǎng)絡(luò)連接整體網(wǎng)絡(luò)結(jié)構(gòu)，避免發(fā)生模型退化問題。

本文詳細(xì)內(nèi)容請(qǐng)下載：http://theprogrammingfactory.com/resource/share/2000005248

作者信息：

李安娜1,2，宗學(xué)軍1,2，何戡1,2，連蓮1,2

（1.沈陽化工大學(xué)信息工程學(xué)院,遼寧沈陽110142；

2.遼寧省石油化工行業(yè)信息安全重點(diǎn)實(shí)驗(yàn)室,遼寧沈陽110142）