编辑推荐:
随着网络安全威胁日益复杂,传统入侵检测系统(IDS)渐显不足。研究人员开展了机器学习(ML)和深度学习(DL)模型用于网络入侵检测的研究。结果表明,随机森林(RF)和 XGBoost 表现优异。这为选择有效的 IDS 解决方案提供了依据。
在当今数字化时代,网络如同一张无形的大网,紧密地连接着世界的每一个角落。人们在享受网络带来的便捷时,却也面临着日益严峻的网络安全挑战。网络攻击的手段愈发复杂多样,分布式拒绝服务(DDoS)攻击等频繁出现,传统基于规则的入侵检测系统(IDS)常常难以招架,无法及时识别新型攻击向量。这就好比在一场激烈的战斗中,陈旧的防御武器渐渐失效,急需更先进、智能的防御手段来保护网络安全的 “堡垒”。
为了解决这些棘手的问题,来自未知研究机构的研究人员开展了一项关于机器学习(ML)和深度学习(DL)模型在入侵检测系统中应用的研究。研究人员利用两个公开数据集,一个是二进制标记的软件定义网络(SDN)数据集,另一个是基于 IEC 60870 - 5 - 104 协议的多分类工业控制系统数据集。经过一系列严谨的实验,研究发现,不同模型在不同数据集上的表现差异较大。随机森林(RF)模型在 IEC 60870 - 5 - 104 数据集上达到了 93.57% 的 F1 分数,而 XGBoost 在 SDN 数据集上获得了近乎完美的 99.97% 的 F1 分数。这一研究成果意义重大,为在不同场景下选择合适的入侵检测模型提供了有力的参考依据,就像是为网络安全卫士们提供了一份精准的武器选择指南,帮助他们更有效地抵御网络攻击。该研究成果发表在《Array》上。
研究人员在开展研究时,主要运用了以下关键技术方法:
- 数据集处理:使用公开的 SDN 和 IEC 60870 - 5 - 104 数据集,对数据进行归一化、标签编码处理,并按照 70:10:20 的比例进行训练集、验证集和测试集的划分。
- 模型训练:选择了包括随机森林(RF)、决策树(DT)、K 近邻(KNN)、XGBoost、卷积神经网络(CNN)、门控循环单元(GRU)和长短期记忆网络(LSTM)在内的七种模型进行训练。
- 性能评估:采用精度、召回率和 F1 分数等标准分类指标来评估模型性能。
下面来详细看看研究结果:
- 模型性能比较:在两个数据集上训练和测试不同模型,结果显示 RF、DT 和 KNN 在两个数据集上都表现出色;DL 模型如 CNN 和 GRU 在 SDN 数据集上表现良好,但在 IEC 60870 - 5 - 104 数据集上表现较差;LSTM 在 IEC 60870 - 5 - 104 数据集上表现不佳,但在 SDN 数据集上表现优异。同时,研究还发现 SDN 数据集上所有模型的结果普遍更好,而 IEC 60870 - 5 - 104 数据集对 DL 模型更具挑战性。
- 误差分析:在 SDN 数据集的二分类结果中,树基集成模型(如 RF 和 XGBoost)表现最为平衡和准确;在多分类评估中,经典集成模型(如 RF 和 XGBoost)在各种攻击类别上也优于其他模型。而 DL 模型(如 LSTM 和 GRU)在大多数类别上表现较差,尤其在处理具有相似特征的类别时容易混淆。
- 与文献对比:与近期文献中的模型相比,RF 和 XGBoost 在两个数据集上都表现更优,突出了其有效性和稳健性。
综合研究结论和讨论部分,该研究表明经典 ML 模型(如 RF 和 XGBoost)在处理结构化数据时表现出色,更适合用于入侵检测系统。这挑战了 DL 模型总是优于经典模型的传统观点,强调了模型选择应结合数据结构和实际应用场景的重要性。同时,研究还指出了 DL 模型在处理多分类任务和不平衡数据时存在的问题,以及特征工程对模型性能的重要影响。这一研究成果为网络安全领域的研究人员和从业者提供了宝贵的参考,有助于他们设计出更高效、更可靠的入侵检测系统,为网络安全筑起更坚固的防线。
