随着信息技术的飞速发展,网络环境也在急剧恶化,各种形式的攻击行为层出不穷,网络安全问题日益凸显,加强网络安全防御建设势在必行。为了解决各类安全问题,研究者提出了大量检测和防御手段,包括防火墙的建设、恶意代码检测、入侵检测等。其中入侵检测作为一种积极主动的防御,是及时发现潜在网络威胁、制定合理防御策略的重要手段,是网络安全中常用的检测技术,在网络安全中起着重要的支撑作用,因此加强对入侵检测的研究,具有重要的意义。传统的入侵检测大多是基于特征匹配的,需要人工提取特征,随着大数据时代的到来,这类方法在处理海量数据时并不能发挥出好的性能。而深度学习具有从原始数据学习特征的优势,避免了人工提取,提高了性能。因此,深度学习算法在入侵检测领域的研究受到越来越多的关注。但深度学习在模型训练过程中存在训练速度慢、难收敛的问题,可能会导致准确率低误报率高。另外现有的数据集中的数据存在类别数据不平衡等方面的问题,使得已有入侵检测方法在对数据量少的类别进行判断时不够准确。针对以上问题,本文提出了一种基于卷积神经网络和双向长短期记忆网络的CNN-BiLSTM入侵检测模型。该模型对不平衡数据集进行了数据过采样处理,使得类别数据量差距减小,从而提升入侵检测模型的性能,对现有检测方法进行提升,弥补不足。本文的主要工作如下:1.对KDDCUP99数据集进行分析,发现其存在数据不平衡问题。现有的入侵检测模型对多数类数据具有很大偏向性,会对实验结果造成一定影响。本文主要从两个方面对不平衡数据集进行处理。一是使用SMOTE方法对数据进行过采样,使数据分布达到平衡。二是用优化的损失函数在算法层面对分类器进行优化处理,解决数据分布不合理的现象,使分类器更加关注错分代价更大的样本,提高了类别不平衡入侵数据的检测性能。2.针对深度学习在模型训练过程中存在训练速度慢、难收敛、潜在有用信息易丢失、没有对长期依赖信息进行学习等方面的不足,可能会导致准确率低误报率高等问题,本文提出一种将卷积神经网络和双向长短期记忆网络进行结合的检测方法。首先对KDDCUP99数据集进行预处理,包括数值化、SMOTE过采样均衡化、归一化等过程,使其符合检测模型的输入格式要求;其次使用CNN对样本数据进行卷积操作提取局部特征;再用LSTM从前后两个方向对长期依赖信息进行学习,最后使用softmax进行分类,在softmax层使用Focal Loss损失函数对模型进行优化。该方法综合考虑了入侵数据的时间和空间相关性,能挖掘出数据间未知的特征和内在依赖,提高网络入侵检测的准确率降低误报率。3.本文对提出的入侵检测模型进行了研究和实现,基于提出的入侵检测模型设计并实现了入侵检测系统,对系统的需求分析、总体架构设计、功能设计及各模块的设计与实现等内容进行了详细说明。实验结果表明,本文提出的基于CNN-BiLSTM入侵检测模型Accuracy达到94.27%,F1的值达到93.77%,与其他已有模型相比,具有更高的准确率和低误报率。