第42卷第6期2021年6月哈㊀尔㊀滨㊀工㊀程㊀大㊀学㊀学㊀报Journal of Harbin Engineering UniversityVol.42ɴ.6Jun.2021基于GRU-RNN 的网络入侵检测方法李俊1,夏松竹2,兰海燕2,李守政2,孙建国2(1.国家工业信息安全发展研究中心,北京100040;2.哈尔滨工程大学计算机科学与技术学院,黑龙江哈尔滨150001)摘㊀要:针对数据集中少数分类用例过采样问题,本文依据网络入侵行为具有时序特征的特点,将门控循环单元记忆模块引入递归神经网络当中,提出了一种基于记忆和时序的入侵检测网络模型 GRU-RNN 模型㊂针对原始攻击数据具有离散性且分布较广的问题,对数据进行数值化及归一化的预处理操作,并对攻击的时序性进行分析,探讨门控循环单元在递归神经网络中应用于入侵检测的可行性,构建GRU-RNN 网络模型,选取最优的损失函数㊁分类函数,提出了基于时序的不平衡学习入侵检测模型,用于检测具有时序特征的攻击行为㊂将模型应用在KDD 数据集中进行实验测试,表明与其他不平衡学习方法相比,本模型具有更好的识别率与收敛性㊂关键词:入侵检测;时序神经网络;优化函数;门控循环单元;One-hot 编码;拒绝服务攻击;深度学习DOI :10.11990/jheu.202005001网络出版地址:http :// /kcms /detail /23.1390.u.20210322.1610.004.html 中图分类号:TP391㊀文献标志码:A㊀文章编号:1006-7043(2021)06-0879-06Network intrusion detection method based on GRU-RNNLI Jun 1,XIA Songzhu 2,LAN Haiyan 2,LI Shouzheng 2,SUN Jianguo 2(1.National Industrial Information Security Development Research Center,Beijing 100040,China;2.College of Computer Science andTechnology,Harbin Engineering University,Harbin 150001,China)Abstract :Aiming at the oversampling problem of a few classification use cases in datasets and according to the time-series characteristics of the network intrusion behavior,the gated recurrent unit (GRU)memory module is in-troduced into a recurrent neural network (RNN).A new intrusion detection network model,i.e.,GRU-RNN mod-el,is proposed in this paper based on memory and time series.The data are numericalized and normalized,which aims to solve the problem on discrete and widely distributed original attack data.The time-series characteristics of attacks are analyzed by the model,and the feasibility of the application of GRU in intrusion detection in RNNs is investigated.The GRU-RNN model is constructed,and the optimal loss function and classification function are se-lected.An imbalanced learning intrusion detection model is proposed based on the time series to detect attack be-haviors with time-series characteristics.The model is applied to the KDD dataset for testing.The results show that the model has a better recognition rate and convergence than other imbalanced learning methods.Keywords :intrusion detection;time-series neural network;optimization function;gated recurrent unit (GRU);one-hot encoding;denial-of-service attack(DOS);deep learning收稿日期:2020-05-01.网络出版日期:2021-03-23.基金项目:黑龙江省自然科学基金项目(F2018006).作者简介:李俊,男,研究员;兰海燕,女,讲师,博士.通信作者:兰海燕,E-mail:lanhaiyan@.㊀㊀网络安全包括承载载体的完整性㊁可用性及机密性㊂任何企图破坏机密性或者绕过网络安全机制的活动都可以视为网络入侵[1]㊂网络入侵检测系统是一种用于检测网络入侵的安全管理系统,是网络安全系统中不可或缺的一部分[2]㊂网络入侵检测系统通常会抓取检测特定网络中全部的出流量及入流量,以确定其中一些数据包是否含有入侵迹象[3]㊂近年来,机器学习的许多研究应用在入侵检测领域㊂例如,支持向量机㊁人工神经网络和遗传算法在入侵检测领域取得了不错的成绩㊂但是由于入侵呈现多样化,现有的机器学习方法暴露出很多局限性㊂尤其在自动提取入侵特征和分析中,需要更好的学习方法㊂Hinton 等[4]研究发现,深度学习被广泛应用在自然语言处理㊁图像识别和天气预报领域㊂深度学习中应用高度非线性结构,在处理复杂数据时表现出出色的识别能力㊂并行计算硬件设施的高速发展也为深度学习算法提供了强有力的硬件支撑㊂通过设计合理的网络结构,深度神经网络可有效控制神哈㊀尔㊀滨㊀工㊀程㊀大㊀学㊀学㊀报第42卷经网络的参数量,确保网络性能的同时,降低神经网络的运行成本[5]㊂由于训练和计算复杂性,递归神经网络(recur-rent neural network,RNN)在过去的一段时间未能成为主流深度学习的网络模型㊂近些年,RNN开始进入快速发展时期,在手写识别[6]和语音识别[7-8]领域有了广泛的应用㊂RNN的特点是同一层中的节点是连通的㊂因此,隐藏层的输入不仅包括上层的输出,还包含最后一个时间点的同一层的输出[9]㊂许多入侵行为可以抽象为来自底层网络的特定时间序列的时间㊂因此,RNN被认为适合用来构建入侵检测系统㊂本文将门控循环单元(gated recurrent unit, GRU)结构放在RNN神经网络中进行入侵检测,模型可以识别具有时序特性的入侵流量㊂分析并设计模型的层次结构,分析最优的损失函数㊁分类函数,提出了一种最适用于本文的优化函数,加快模型收敛速度㊂1㊀数据预处理1.1㊀数值化使用归一化㊁数值化方法处理元数据㊂KDD数据集中的数据是多组一维向量组成:[0,tcp,http,SF,219,1098,0,0,0,0,0,1,0,0, 0,0,0,0,0,0,0,0,1,1,0.00,0.00,0.00,0.00, 1.00,0.00,0.00,7,255,1.00,0.00,0.14,0.05, 0.00,0.01,0.00,0.00,normal]每列所代表内容为:[ duration , protocol_type , service , flag , src_bytes , dst_bytes , land , wrong_frag-ment , urgent , hot , num_failed_logins , log-ged_in , num_compromised , root_shell , su_at-tempted , num_root , num_file_creations , num_ shells , num_access_files , num_outbound_cmds , is_host_login , is_guest_login , count , srv_ count , serror_rate , srv_serror_rate , rerror_ rate , srv_rerror_rate , same_srv_rate , diff_srv_ rate , srv_diff_host_rate , dst_host_count , dst_ host_srv_count , dst_host_same_srv_rate , dst_host_ diff_srv_rate , dst_host_same_src_port_rate , dst_ host_srv_diff_host_rate , dst_host_serror_rate , dst_ host_srv_serror_rate , dst_host_rerror_rate , dst_ host_srv_rerror_rate , label ]其中4项是字符型的数据,需要对其进行数值化处理㊂例如最后一项数据类型label,共有5种,分别是普通行为㊁拒绝服务攻击㊁网络窥探㊁越权攻击㊁远程攻击㊂此部分数据离散化不能作为GRU-RNN模型的直接输入,需要将数据重新编码㊂可以采用One-hot编码方式㊂在用机器学习算法分类时,计算各个特征之间的距离非常重要㊂One-hot编码基本思想是将原数据的离散值转换为欧式空间中的一个点㊂label分类的转换可以如表1所示㊂表1㊀攻击分类one-hot编码表Table1㊀Attack classification one-hot code table标签序列化后One-hot编码Normal000001Probe100010Dos200100U2R301000R2L410000 1.2㊀归一化元数据的范围不一致,例如第一列数据在(0, 1)分布,第5列数据理论上可以达到无穷大㊂不利于神经网络的处理㊂如果数值过大会增加计算负担㊂所以对数据进行归一化处理,例如将第5列数据归一到(0,1),本文采用归一化式:X norm=X-X minX max-X min(1) 2㊀GRU-RNN网络结构2.1㊀RNN循环神经网络推出RNN的目的是因为人们想要利用带有顺序性的数据㊂在传统的神经网络中,假设所有输入和输出互相独立㊂但是对于许多的任务处理,这种处理方式得到的模型效果很差㊂例如某人想要预测句子的下一个单词,那么他最好知道之前的单词都是什么,否则无法完成预测㊂RNN之所以称之为递归,是因为它对序列的每个元素都执行相同的任务,它的输出受之前运算影响㊂RNN具有记忆功能,可以捕获到目前已经计算出来的所有有关的内容㊂RNN具有记忆功能,得益于RNN的模型结构设计,可以将之前的信息传递到后面的隐含层中,从而达到记忆的效果㊂RNN能够记住在时间t处理的信息,在随后的时间进行计算,RNN模型结构图如图1所示㊂图1㊀递归神经网络结构Fig.1㊀Recurrent neural network structure diagram RNN的模型结构比较简单,由输入层㊁隐藏层㊃088㊃第6期李俊,等:基于GRU-RNN 的网络入侵检测方法和输出层组成㊂输入层与隐含层和隐含层与输出层之间为全连接的状态,隐含层自身也有一个自循环结构㊂RNN 模型展开图如图2所示㊂图2㊀递归神经网络的层级展开Fig.2㊀Hierarchical expansion of recurrent neural networkRNN 展开图中t -1,t ,t +1代表时间顺序㊂输入层用x 表示,W 表示之前样本的权重矩阵,U 表示当前时刻输入样本的权重矩阵,V 表示输出的权重矩阵㊂S t 表示数据在时间点t 的隐藏状态,其计算过程受上一个时间点计算出来的状态影响:S t =f (W ∗S t -1+U ∗X t )(2)其中,f (㊃)为激活函数,采用tanh 函数㊂模型一般在t 时刻初始化各类初值,其余值初始化阶段:h 1=Ux 1+Ws 0(3)s 1=f (h 1)(4)o 1=g (Vs 1)(5)其中g (㊃)为激活函数,采用SOFTMAX 函数,在一次运算完成后,当前的状态将作为t 时刻的状态参与下一时刻的运算:h 2=Ux 2+Ws 1(6)s 2=f (h 2)(7)o 2=g (Vs 2)(8)㊀㊀由此可知,最终输出的式为:h t =Ux t +Ws t -1(9)s t =f (h t )(10)o t =g (Vs t )(11)㊀㊀可以将隐藏状态视为RNN 内存 ㊂捕获t 时间点前发生的所有事情,并基于t 时间点计算输出㊂RNN 在所有步骤中共享相同的参数(U ,W ,V ),减少了学习过程中需要学习的参数总数㊂2.2㊀门控制循环单元门控循环单元(gated recurrent unit,GRU)在多种应用领域中被证明是一种有效的LSTM 变体,其结构是LSTM 的简化和提升版[10]㊂使用复位门和更新门替代LSTM 结构中输入门㊁遗忘门和输出门㊂复位门来计算是否忘记之前计算状态,更新门决定将上一步多少信息继续迭代到当前步骤[11]㊂GRU 结构如图3所示㊂GRU 结构的主要计算式:r t =σ(W r x t +U r h t -1)(12)z t =σ(W z x t +U r h t -1)(13) h t =tanh(W h x t +U (r t ☉h t -1))(14)h t =(1-z t )h t -1+z t h ~t (15)式中:r t ㊁z t 代表重置门和更新门在t 时的输出;h t 和 h t 代表t 时间点的状态信息和候选状态信息㊂图3㊀门控循环单元结构Fig.3㊀gated recurrent unit structure diagramGRU 结构比LSTM 简单,在运算的速度和性能上比LSTM 更有优势[12],其展开图如图4所示㊂图4㊀门控循环单元展开Fig.4㊀Hierarchical expansion of gated recurrent unit2.3㊀GRU-RNN 网络设计传统网络入侵检测[13-14]被证明是非常有效的检测手段,但这类检测方式只对例如越权攻击有较好的检出率[15]㊂由于网络入侵有明显的时序性,例如DDOS 攻击就是在短时间内大量的访问某服务造成服务不可用的状态㊂传统的检测方式[16],无法对持续一段时间的攻击行为进行检测,会在迭代学习的过程中产生一种梯度消失的现象,即遗忘[17]㊂所以本文采用RNN 循环神经网络,结合GRU 模型,能够处理具有时序性的攻击信息㊂将GRU 与RNN 结合,构建GRU-RNN 网络入侵检测模型㊂如图5所示,该系统由数据预处理模块㊁过采样模块㊁GRU 模块㊁RNN 模块和输出模块组成㊂预处理模块负责将原数据转换为适合神经网络输入的数值;GRU 模块由2个GRU 层组成,每层含2个GRU 结构存储数据,是系统的核心部分;RNN 模块含15层隐含层,对GRU 模块的输出执行非线性映射,最终做出非线性的分类决策㊂KDD 数据集共有5种行为,分别是普通行为㊁拒绝服务攻击㊁网络窥探㊁越权攻击㊁远程攻击㊂所以输出层采用SOFTMAX 函数对结果进行分类处理,可标准化分类概率并将其输出为最终结果㊂在这些组件当中,GRU 和RNN 模块是2种不㊃188㊃哈㊀尔㊀滨㊀工㊀程㊀大㊀学㊀学㊀报第42卷同的神经网络模型㊂GRU结构复杂,计算量大㊂RNN结构简单,可以进行快速的计算且易于堆叠㊂所以本文采用2层GRU和15层RNN隐含层来实现㊂两者构成一个深层网络,实现更优化的结果㊂图5㊀GRU-RNN网络结构Fig.5㊀GRU-RNN network structure diagram㊀㊀输入层具有41个输入神经元,输入层连接到2个记忆模块的隐含层,输入层的神经元与隐含层是全连接的关系㊂1)输入层设计㊂将KDD-99数据集中的元数据数值化和归一化后输入GRU-RNN模型㊂其中protocol_type㊁service㊁flag和label元数据为字符型,利用One-hot编码成为标量㊂对src_bytes㊁dst_bytes等数据归一化成为(0,1)标量㊂元数据共41个维度,处理后对应41个输入神经元的输入层将元数据输入GRU-RNN㊂2)GRU与RNN隐含层设计㊂由2层记忆层组成,该部分负责存储数据,即模型最核心的创新点 记忆功能 ㊂用于识别持续时间较长的攻击行为㊂然后将数据导入一个15层的RNN隐含层进行特征识别㊂3)输出层㊂该KDD-99数据集中共有5种行为被标识,所以本系统采用一个5个输出神经元的输出层㊂3㊀实验3.1㊀测量方法对于分类问题,分类结果可以是正确的或不正确的,所有可能的结果可以分为表2中4个情况㊂表2㊀性能指标分类表Table2㊀Measure classification状态判断为攻击判断为正常攻击流量TP FP正常流量FN TN㊀㊀TP表示模型检测出攻击流量的数目,且该检测结果是正确的;FN表示检出为攻击流量的数目,但其检测结果错误,这些流量实际是正常流量;TN表示检出为正常流量的数目,且检测结果是正确的;FP表示检出为正常流量的数目,但其检测结果错误,实际该流量是攻击流量㊂其中,FP和FN称为误报㊂根据以上4个参数,通常可以得出4个指标衡量一个模型的实际性能㊂准确率:AR=TP+TNTP+TN+FN+FP(16)㊀㊀检出率:DR=TPTP+FP(17)㊀㊀正确检出率:CDR=TPTP+FN(18)㊀㊀漏报率:FCR=FPFP+TN(19)㊀㊀相关系数:RC=2(DR㊃CDR)DR+CDR(20)㊀㊀其中,式(16)代表正确判断所有入侵流量和正常流量的概率;式(17)㊁(18)代表攻击流量的检出率;式(19)代表攻击流量被当成正常流量的误报率;式(20)是衡量模型总体指标的衡量函数㊂3.2㊀数据集KDD数据集是美国空军模拟空军基地局域网,收集7个星期的训练数据和2个星期的测试数据㊂手机的数据总数包含200多个实例㊂流量被分类为正常流量或某种攻击类型㊂攻击被分成4个攻击类别:拒绝服务攻击(DOS)㊁网络探测(Probe)㊁远程攻击(R2L)和越权攻击(U2R)㊂3.3㊀GRU-RNN网络结构实验为进一步验证本文提出的GRU-RNN网络模型性能㊂与其他文献中入侵检测模型进行比较,包括不平衡学习㊁支持向量机㊁DNN等学习方法[18-19]㊂㊃288㊃第6期李俊,等:基于GRU-RNN 的网络入侵检测方法此外在本实验中,使用NSL-KDD 数据集进行实验,作为KDD 数据集的改进版,解决了KDD-CUP -99数据集s 一些固有问题[20]㊂但总体仍然存在一些问题,通常将2种数据集一起使用㊂如表3~5所示,实验测试了不同模型的整体检测性能㊂表3㊀与其他不平衡算法性能比较Table 3㊀Comparison with other imbalance algorithms算法准确率正确检出率误报率采用数据集训练用数据集大小CANN +SMOTE 98.9599.510.561NSL-KDD 125973MHCVF98.1495.53 1.37KDD-CUP-99494021DENDRON 97.6595.89 1.09NSL-KDD 125973I-NGSA 99.4599.36NSL-KDD 125973GRU-RNN 99.1398.850.129NSL-KDD73906表4㊀与其他传统算法性能比较Table 4㊀Compared with other traditional algorithms算法准确率正确检出率误报率采用数据集训练用数据集大小SVM94.3192.85 3.65KDD-CUP-99145585OS-ELM 98.6899.16 1.56NSL-KDD125973TLMD 93.2593.280.792KDD-CUP-9986000GA-LR 99.799.670.135KDD-CUP-99494021GRU-RNN 99.1398.850.129NSL-KDD 73906表5㊀与其他深度学习算法性能比较Table 5㊀Comparison with other deep learning algorithms算法准确率正确检出率误报率采用数据集训练用数据集大小CNN +LSTM 99.3597.650.09KDD-CUP-992466929S-NADE 97.9297.15 2.23KDD-CUP-99494021DNN99.1399.730.91NSL-KDD 125973SCDNN 92.2392.927.76NSL-KDD 62986GRU-RNN99.1398.430.129NSL-KDD73906㊀㊀与其他的不平衡学习方法相比,本文提出的GRU-RNN 模型使用最少的样本来获得最佳性能㊂在准确率和正确检出率方面,I-NGSA 与CANN +SMOTE 模型在不平衡学习模型中取得了比较好的效果㊂相比之下,本文提出的GRU-RNN 模型效果略逊色于上述2种模型,但由于均达到99%以上的检出率㊂所以可以忽略本部分的劣势,可以视为是较好的检测水平㊂与浅层学习相比,GA-LR 在浅层学习中所有指标均表现良好,总体效果要略好于本文提出的模型㊂但由于GA-LR 模型所需要的训练数据集大小为本模型的7倍㊂因此,在相同的数据量下,本模型的收敛性比GA-LR 模型好㊂表现出本算法在少量数据的时候,就能达到最优状态㊂与其他深度学习模型[21-22]相比,结果显示其他深度模型均有较好的性能㊂其中,CNN-LSTM 与DNN 模型总体上检测效果要好于本模型,与GA-LR 模型具有同样的问题,需要的数据量远大于本模型㊂S-NADE 模型,整体性能较差,需要的数据量也远超本模型㊂SCDNN 模型,正确检出率极低㊂4㊀结论1)实验结果验证了基于GRU 网络记忆模块的GRU-RNN 入侵检测系统,能够解决传统的入侵检测模型普遍无法对具有时序特征(尤其是持续时间较长的攻击)检出率不高的问题㊂2)对KDD 数据集的仿真实验表明,该模型能够在使用较少数据集的条件下,达到99%以上的准确率,且具有较好的准确率㊁检出率和漏报率㊂本文对所提出的模型主要进行了理论验证,为了验证该模型的实际应用,需要投入到大量的工程中运行㊂下一步的研究重点是优化模型,使其能够应用在网络入侵检测的实际场景中㊂参考文献:[1]LIAO H J,LIN C H R,LIN Y C,et al.Intrusion detectionsystem:a comprehensive review [J].Journal of network and computer applications,2013,36(1):16-24.[2]SHARMA S,GUPTA R K.Intrusion detection system:areview[J].International journal of security and its applica-tions,2015,9(5):69-76.[3]ALLEN J H,CHRISTIE A M,FITHEN W L,et al.Stateof the practice of intrusion detection technologies [R ].Pittsburgh:Carnegie Mellon University,Software Engineer-ing Institute,2000.[4]HINTON G E,OSINDERO S,TEH Y W.A fast learningalgorithm for deep belief nets [J ].Neural computation,㊃388㊃哈㊀尔㊀滨㊀工㊀程㊀大㊀学㊀学㊀报第42卷2006,18(7):1527-1554.[5]王振东,徐振宇,李大海,等.面向入侵检测的元图神经网络构建与分析[J/OL].自动化学报:1-24.[2021-03-14].DOI:10.16383/j.aas.c200819 WANG Zhendong,XU Zhenyu,LI Dahai,et al.Construc-tion and Analysis of Meta Graph Neural Network for Intru-sion Detection[J/OL].Acta automatica sinica:1-24. [2021-03-14].DOI:10.16383/j.aas.c200819.[6]GREGOR K,DANIHELKA I,GRAVES A,et al.DRAW:a recurrent neural network for image generation[C]//Pro-ceedings of the32nd International Conference on Interna-tional Conference on Machine Learning.Lille,France, 2015:1462-1471.[7]HANNUN A,CASEC,CASPER J,et al.Deep speech: scaling up end-to-end speech recognition[EB/OL].(2014-12-19).https:///abs/1412.5567. [8]袁文浩,胡少东,时云龙,等.一种用于语音增强的卷积门控循环网络[J].电子学报,2020,48(7):1276-1283. YUAN Wenhao,HU Shaodong,SHI Yunlong,et al.A con-volutional gated recurrent network for speech enhancement [J].Acta electronica sinica,2020,48(7):1276-1283.[9]刘文军,郭志民,吴春明,等.基于深度学习的配电网无线通信入侵检测系统[J].电子学报,2020,48(8): 1538-1544.LIU Wenjun,GUO Zhimin,WU Chunming,et al.A deep learning based intrusion detection system for electric distri-bution grids[J].Acta electronica sinica,2020,48(8): 1538-1544.[10]LE T T H,KIM J,KIM H.An effective intrusion detec-tion classifier using long short-term memory with gradient descent optimization[C]//2017International Conference on Platform Technology and Service(PlatCon).Busan, Korea(South),2017:1-6.[11]KIM J,THU H L T.Long short term memory recurrentneural network classifier for intrusion detection[C]//2016 International Conference on Platform Technology and Serv-ice(PlatCon).Jeju,Korea(South),2016:1-5. [12]HOCHREITER S,SCHMIDHUBER J.Long short-term mem-ory[J].Neural computation,1997,9(8):1735-1780.[13]POZI M S M,SULAIMAN N,MUSTAPHA N,et al.Im-proving anomalous rare attack detection rate for intrusiondetection system using support vector machine and genetic programming[J].Neural processing letters,2016,44(2):279-290.[14]HUSSAIN J,LALMUANAWMA S,CHHAKCHHUAK L.A two-stage hybrid classification technique for network in-trusion detection system[J].International journal of com-putational intelligence systems,2016,9(5):863-875.[15]SHEN Yanping,ZHENG Kangfeng,WU Chunhua,et al.An ensemble method based on selection using bat algo-rithm for intrusion detection[J].The computer journal, 2018,61(4):526-538.[16]ASLAHI-SHAHRI B M,RAHMANI M,CHIZARI M,etal.A hybrid method consisting of GA and SVM for intru-sion detection system[J].Neural computing and applica-tions,2016,27(6):1669-1676.[17]KANG M J,KANG J W.Intrusion detection system usingdeep neural network for in-vehicle network security[J].PLoS one,2016,11(6):e0155781.[18]ERFANI S M,RAJASEGARAR S,KARUNASEKERA S,et al.High-dimensional and large-scale anomaly detection using a linear one-class SVM with deep learning[J].Pat-tern recognition,2016,58:121-134.[19]JAVAID A,NIYAZ Q,SUN Weiqing,et al.A deeplearning approach for network intrusion detection system[C]//Proceedings of the9th EAI International Confer-ence on Bio-Inspired Information and Communications Technologies(Formerly BIONETICS).New York,NY, USA,2016:21-26.[20]IBRAHIM L M,BASHEER D T,MAHMOD M S.A com-parison study for intrusion database(KDD99,NSL-KDD)based on Self Organization map(SOM)artificial neural network[J].Journal of engineering science and technolo-gy,2013,8(1):107-119.[21]BAMAKAN S M H,WANG Huadong,TIAN Yingjie,etal.An effective intrusion detection framework based on MCLP/SVM optimized by time-varying chaos particle swarm optimization[J].Neurocomputing,2016,199:90-102.[22]ABUROMMAN A A,REAZ M B I.A novel SVM-kNN-PSO ensemble method for intrusion detection system[J].Applied soft computing,2016,38:360-372.本文引用格式:李俊,夏松竹,兰海燕,等.基于GRU-RNN的网络入侵检测方法[J].哈尔滨工程大学学报,2021,42(6):879-884.LI Jun,XIA Songzhu,LAN Haiyan,et work intrusion detection method based on GRU-RNN[J].Journal of Harbin Engineering University, 2021,42(6):879-884.㊃488㊃。
