基于TabTransformer的网络入侵检测系统研究与实现
导读:
随着网络攻击手段日益复杂多样,传统入侵检测方法在复杂流量环境下面临性能瓶颈。针对网络流量数据中高维特征及复杂特征交互问题,文章设计并实现了一种基于TabTransformer的端到端网络入侵检测系统,通过引入特征嵌入和自注意力机制,捕获网络流量数据中复杂的非线性关系。基于CIC-IDS2017和UNSW-NB15公开数据集的对比实验表明,该系统在准确率、F1-Score、PR-AUC等指标上均优于CNN、RNN、LSTM等典型深度学习模型,在两个数据集的F1-Score均达到0.98以上,可为Transformer在入侵检测中的应用提供了一定参考。
作者信息:
易皓天, 楼其俊, 尹铭宇, 林濠浚:宁波工程学院网络空间安全学院,浙江 宁波
论文详情
系统设计与实现
为了实现从原始网络流量到入侵检测结果的端到端处理,本文设计并实现了一种基TabTransformer 的网络入侵检测系统,见图 1。
检测模型层是本系统的核心计算模块,负责从高维流量特征中识别恶意行为攻击模式。本文采用 TabTransformer 模型,在特征维度上引入自注意力机制以学习特征之间的复杂交互关系(见图 2)。
实验设计与结果分析
针对网络流量数据中严重的类别不平衡问题,单纯依靠准确率(Accuracy)难以全面反映模型对少数类攻击样本的检测能力。因此,本文引入 F1-Score 作为核心评价指标,其公式如下:
为进一步评估模型在不同分类阈值下的性能表现,本文引入精确率–召回率曲线下面积(PR-AUC)作 为辅助评价指标。
为验证所提出系统的有效性,本文在 UNSW-NB15 和 CIC-IDS2017 两个公开数据集上进行了实验, 并将 TabTransformer 架构与 CNN、RNN 及 LSTM 等典型深度学习方法进行了对比。
实验结果如表 1~3 所示。
为进一步分析模型对不同攻击类型的检测能力,本文对比了各模型在 CIC-IDS2017 数据集中六种攻击类型上的 F1-Score 值(见表 4)。
从表 1~3 的实验结果可以看出,本文所构建的基于 TabTransformer 的入侵检测系统在两个数据集 上均取得了优于对比模型的性能。
从表 4 中不同攻击类型的检测结果可以进一步观察到,TabTransformer 在 DDoS、DoS 及 Brute Force 等典型攻击类型上表现出较高的检测精度,F1-Score 均超过 0.95。然而,对于 Web Attack 和 Bots 等攻击类型,各模型整体表现均相对较低,其中 TabTransformer 虽优于其他模型,但 F1-Score 仍不足 0.5。这一 现象表明,此类攻击在特征空间中与正常流量具有较高相似性,导致模型难以有效区分。此外,这也反映出当前基于流量统计特征的方法在处理隐蔽攻击行为时仍存在一定局限性。
为进一步提高模型决策过程的可解释性,本文基于 CIC-IDS2017 测试集对 TabTransformer 模型进行了特征重要性分析。统计并绘制 Top-10 数值特征重要性结果(见图 3)。
结语
本文对 TabTransformer 在网络流量入侵检测中的应用进行了探索,并构建了完整的检测 系统,为基于 Transformer 的入侵检测系统设计提供了一定参考。后续工作可进一步结合实际网络环境, 开展实时检测与系统优化研究,以提升系统的实用性与推广价值。
基金项目:
国家级大学生创新创业训练项目(202511058021)
原文链接:
AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。
更多推荐
5
0- 0
已为社区贡献18条内容
所有评论(0)