引言

网络入侵检测系统（Intrusion Detection System, IDS）［1］主要用于监控网络活动，以便迅速识别潜在的恶意行为、攻击事件以及违反系统安全策略的行为。网络入侵检测在现代信息安全体系中具有举足轻重的地位。随着网络技术的飞速发展和信息化程度的不断提高，网络攻击手段变得日益复杂和多样化，给企业和个人的信息安全带来了严峻的挑战。网络入侵检测技术通过对网络流量和系统日志的实时监控和分析，能够及时发现和阻止潜在的安全威胁，有效防范数据泄露、服务中断和资源滥用等安全事件的发生。随着人工智能技术的进步，近年来研究人员已经不断应用深度学习技术来解决网络入侵检测中的若干复杂问题。这些研究不仅着眼于提高检测准确率，还致力于降低误报率，以提升整体系统的效率。特别是卷积神经网络（CNN）［2］和递归神经网络（RNN）［3］在处理大量复杂数据时表现出色，被广泛用于特征提取和异常行为识别。此外，自监督学习［4］、时间卷积网络(TCN)［5］等新兴方法的引入，也为网络入侵检测领域带来了新的希望和发展方向。

Li［6］等人将GRU-RNN网络模型引入入侵检测任务中，提升了模型数据时序特征的检测能力。Imrana［7］等人提出了基于双向长短时记忆网络（LSTM）的入侵检测方法，利用正反两个方向的LSTM网络捕捉正反时序特征，并对提取的双向特征进行融合，显著提升了检测性能，但对于训练数据标注具有较高的要求，模型泛化能力不足。张安琳［8］等人将卷积神经和双向门控循环结合，对融合后的特征进行时序特征的提取，提升了模型的检测能力。Halbouni［9］等人提出了一种混合神经网络，利用CNN来提取网络流量数据的空间特征，并结合LSTM来捕捉时间特征。这种混合模型在处理复杂网络流量数据方面具有高效性和准确性。但此种方法计算复杂性高，尤其是处理大规模数据集时，需要大量的计算资源和时间。Wang［10］提出了一种自监督学习的入侵检测方法，该方法无需标签数据？大大减少了数据标注的成本。通过数据增强、特征表示、特征投影和对比学习等步骤，提高模型的检测能力，但该方法在复杂的网络攻击场景下，模型可能会产生较高的误报率。

尽管这些研究在网络入侵检测方面取得了一定的成果，但仍然存在一些问题。首先，现有方法在对网络数据特征提取单一，学习数据的本质特征不全面。同时在不同任务上表现差异较大，模型泛化能力差，缺少各种场景下的适应能力。为了解决上述问题，本文提出了一种基于自监督图神经网络和混合神经网络的入侵检测。该方法准确地对网络数据进行特征提取，并对时序特征进行了高效的上下文处理，提高网络入侵检测的性能。

本文的主要贡献如下：

（1）提出了一种基于自监督学习的图神经网络（GNN），利用图卷积网络（GCN）有效地捕捉节点之间的复杂关系，提高入侵检测的性能。同时自监督学习可以在没有标注数据的情况下，通过设计预训练任务来学习数据的潜在特征，增强了模型的泛化能力。

（2）开发了一种混合神经网络模型，结合CNN和LSTM，能够有效提取时间序列的空间特征和时间依赖性，提升对时序特征的处理能力。

（3）设计了一种特征融合策略，将GNN和混合卷积神经网络-循环神经网络（CNNLSTM）模型的输出进行融合，可以具有丰富特征表示，通过融合不同模型的特征，可以降低模型对特定特征模式的过拟合，提高了网络入侵检测系统的准确性和鲁棒性。

本文详细内容请下载：

https://www.chinaaet.com/resource/share/2000006159

作者信息：

王明

（河北科技师范学院网络技术中心，河北秦皇岛066000）