CN106453416A - 一种基于深信度网络的分布式攻击入侵的检测方法 - Google Patents

一种基于深信度网络的分布式攻击入侵的检测方法 Download PDF

Info

Publication number
CN106453416A
CN106453416A CN201611094419.3A CN201611094419A CN106453416A CN 106453416 A CN106453416 A CN 106453416A CN 201611094419 A CN201611094419 A CN 201611094419A CN 106453416 A CN106453416 A CN 106453416A
Authority
CN
China
Prior art keywords
flow
dbn
network
layer
detection method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201611094419.3A
Other languages
English (en)
Inventor
罗建桢
蔡君
戴青云
赵慧民
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Polytechnic Normal University
Original Assignee
Guangdong Polytechnic Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Polytechnic Normal University filed Critical Guangdong Polytechnic Normal University
Priority to CN201611094419.3A priority Critical patent/CN106453416A/zh
Publication of CN106453416A publication Critical patent/CN106453416A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于深信度网络的分布式攻击入侵的检测方法,其特征在于包括以下步骤:一、采集分布式攻击流量作为训练流量;二、对训练集的网络流量提取基本特征;三、将基本特征输入到DBN的第一层后进行逐层训练以获取最优网络参数;四、监测并提取实时流量的基本特征;五、将实时流量的基本特征作为DBN可视层输入,利用优化后的DBN参数由下向上多层次地学习并提取被监测网络流量的抽象特征;六、在DBN的最顶层进行SoftMax回归分类,以获得被监测流量的检测结果。该方法采用多隐层的神经网络对网络流量进行多层特征抽象,抽取流量的深层本质特征,以更好地识别攻击流量,为提高分布式攻击入侵检测准确率提供一种有效的途径。

Description

一种基于深信度网络的分布式攻击入侵的检测方法
技术领域
本发明涉及一种基于深信度网络的分布式攻击入侵的检测方法。
背景技术
网络攻击所产生危害也越来越大,如信息安全机构Ponemon发布的《2015年网络犯罪损失报告》称,2015年美国平均每家企业因网络犯罪损失达1540万美元,较2010年的650万美元成倍上涨,其中由于分布式攻击手段的隐蔽性和攻击过程的多变性以及目前检测方法的滞后性,其对网络的危害性程度和感染的主机的数量都是最大的。如据国家互联网应急中心发布的安全动态周报表明,2016年1-2月中国境内平均每周约67万主机感染网络病毒,其中65%的主机被分布式攻击控制。因此,分布式攻击入侵检测是目前网络安全的重要任务之一。然而,现有分布式入侵检测技术存在较多不足,例如由于缺乏全网感能力而导致难以获得全面的分布式攻击特征,导致其检测准确率较低。同时,部署成本较高、维护效率较低,配置不灵活。
发明内容
本发明针对现有技术的不足,提供一种基于深信度网络的分布式攻击入侵的检测方法。该方法采用多隐层的神经网络对网络流量进行多层特征抽象,抽取流量的深层本质特征,以更好地识别攻击流量,为提高分布式攻击入侵检测准确率提供一种有效的实现途径。
为了达到上述目的,本发明一种基于深信度网络的分布式攻击入侵的检测方法,主要包括以下步骤:
第一步,采集分布式攻击流量作为训练流量;
第二步,对训练集的网络流量提取基本特征,以作为深度学习的可视层的输入;
第三步,将所提取的基本特征输入到DBN的第一层中,即RBM的可视层中,然后对DBN进行逐层训练以获取最优网络参数;
第四步,监测网络流量中的实时流量,并提取实时流量的基本特征;
第五步,将监测并提取的实时流量的基本特征作为DBN可视层输入,利用训练优化后的DBN参数由下向上多层次地学习并提取被监测网络流量的抽象特征;
第六步,在DBN的最顶层进行SoftMax回归分类,以获得被监测流量的检测结果。
优选地,所述第三步中对DBN进行逐层训练所选取的层数为两层。
作为上述方案的进一步改进,所述DBN第一层学习率选取值为0.002,迭代次数选取值为50;第二层学习率选取值为0.003,迭代次数选取值为50。
网络中的流定义为两个进程之间通信时传输的字节流,也可以认为是两个进程之间通信时在同一方向上传递的报文序列。根据Moore等人的研究,网络流的特征可达248种,这已被广泛认同。本发明第二步中可基于网络流的特征可达248种的研究结果,提取网络流量的所有基本特征作为深度学习的可视层的输入。
分布式攻击采用的协议具有多个协议交互参与者通过多个连接通道进行通信交互的协议。例如基于MegaD协议的僵尸网络。分布式攻击协议交互是一个混合时空关系、综错复杂的过程,不仅表现在报文的时间序列上,还呈现出空间上特有的特征。例如协议的交互方之间通信的顺序可能是有先行后继的规律,也有可能是完全无序,也有可能会出现多个交互方并发连接通信。
限制波尔兹曼机(RBM),是一种深度学习模型,其定义联合组态能量表示为:
给定RBM的隐层h,可视层v的概率为:
给定RBM可视层v的基础上,隐层h的概率为:
给定一个满足独立同分布的训练集:D={v(1),v(2),…,v(N)},可采用最大似然概率法来求解RBM模型参数θ={W,a,b}:
对最大对数似然函数求导,即可得到L最大时对应的参数W:
深信度网络(DBN),由一系列自底向上组合的多个RBM组成的,采用逐层学习的方法,即将数据输入到可视层v,经过学习得到的w加权变换给隐含层h1,再将隐含层h1的输出经过学习得到的权值w1的加权变换后作为隐含层h2的输入,依此类推。训练过程一般采用非监督贪婪逐层方法:首先将可视向量值通过加权变换给隐单元,经过隐单元的重建,再将重建后的向量再次给隐单元。反复迭代此过程,权值根据隐层激活单元与可视层输入之间的相关性差别进行更新。
本发明提出基于多隐层的深信度网络的入侵检测方法,提高入侵检测的准确性,同时,借助SDN技术,将入侵检测的功能分布式地分散在可编程的SDN交换机上,组成一个具有入侵检测功能的弹性网络,降低部署和维护的成本、增强系统稳定性。
附图说明
图1为本发明基于深信度网络的分布式攻击入侵的检测方法的实施流程示意图。
具体实施方式
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
本发明采用网络功能虚拟化的方法,将基于DBN的分布式攻击入侵检测系统以软件定义的方式部署在SDN的虚拟节点上,根据用户或网络的需求,不同的区域按需求生成针对不同分布式攻击的入侵检测虚拟节点,构成一个大规模的弹性网络。SDN控制器通过下发流表规则,在交换机的配合下,将监测流量引流到虚拟节点上,实现网络流的采样及原始数据的简单特征提取。紧接着,虚拟节点对采集的简单流量特征进行深度学习,抽取流量的抽象特征,并执行入侵检测。
参照图1,本发明实施例一种基于深信度网络的分布式攻击入侵的检测方法,主要包括以下步骤:
第一步,采集分布式攻击流量作为训练流量。
第二步,对训练集的网络流量提取基本特征,以作为深度学习的可视层的输入。
第三步,将所提取的基本特征输入到DBN的第一层中,即RBM的可视层中,然后对DBN进行逐层训练以获取最优网络参数。
所述对DBN进行逐层训练所选取的层数为两层。所述DBN第一层学习率选取值为0.002,迭代次数选取值为50;第二层学习率选取值为0.003,迭代次数选取值为50。
第四步,监测网络流量中的实时流量,并提取实时流量的基本特征。
第五步,将监测并提取的实时流量的基本特征作为DBN可视层输入,利用训练优化后的DBN参数由下向上多层次地学习并提取被监测网络流量的抽象特征。
第六步,在DBN的最顶层进行SoftMax回归分类,以获得被监测流量的检测结果。
网络中的流定义为两个进程之间通信时传输的字节流,也可以认为是两个进程之间通信时在同一方向上传递的报文序列。根据Moore等人的研究,网络流的特征可达248种,这已被广泛认同。本发明实施例第二步中可基于网络流的特征可达248种的研究结果,提取网络流量的所有基本特征作为深度学习的可视层的输入。
分布式攻击采用的协议具有多个协议交互参与者通过多个连接通道进行通信交互的协议。例如基于MegaD协议的僵尸网络。分布式攻击协议交互是一个混合时空关系、综错复杂的过程,不仅表现在报文的时间序列上,还呈现出空间上特有的特征。例如协议的交互方之间通信的顺序可能是有先行后继的规律,也有可能是完全无序,也有可能会出现多个交互方并发连接通信。
限制波尔兹曼机(RBM),是一种深度学习模型,其定义联合组态能量表示为:
给定RBM的隐层h,可视层v的概率为:
给定RBM可视层v的基础上,隐层h的概率为:
给定一个满足独立同分布的训练集:D={v(1),v(2),…,v(N)},可采用最大似然概率法来求解RBM模型参数θ={W,a,b}:
对最大对数似然函数求导,即可得到L最大时对应的参数W:
深信度网络(DBN),由一系列自底向上组合的多个RBM组成的,采用逐层学习的方法,即将数据输入到可视层v,经过学习得到的w加权变换给隐含层h1,再将隐含层h1的输出经过学习得到的权值w1的加权变换后作为隐含层h2的输入,依此类推。训练过程一般采用非监督贪婪逐层方法:首先将可视向量值通过加权变换给隐单元,经过隐单元的重建,再将重建后的向量再次给隐单元。反复迭代此过程,权值根据隐层激活单元与可视层输入之间的相关性差别进行更新。
本发明提出基于多隐层的深信度网络的入侵检测方法,提高入侵检测的准确性,同时,借助SDN技术,将入侵检测的功能分布式地分散在可编程的SDN交换机上,组成一个具有入侵检测功能的弹性网络,降低部署和维护的成本、增强系统稳定性。c
本发明采用多隐层的神经网络对网络流量进行多层特征抽象,抽取流量的深层本质特征,以更好地识别攻击流量,为提高分布式攻击入侵检测准确率提供一种有效的实现途径。
以上已将本发明做一详细说明,但显而易见,本领域的技术人员可以进行各种改变和改进,而不背离所附权利要求书所限定的本发明的范围。

Claims (3)

1.一种基于深信度网络的分布式攻击入侵的检测方法,其特征在于,主要包括以下步骤:
第一步,采集分布式攻击流量作为训练流量;
第二步,对训练集的网络流量提取基本特征,以作为深度学习的可视层的输入;
第三步,将所提取的基本特征输入到DBN的第一层中,然后对DBN进行逐层训练以获取最优网络参数;
第四步,监测网络流量中的实时流量,并提取实时流量的基本特征;
第五步,将监测并提取的实时流量的基本特征作为DBN可视层输入,利用训练优化后的DBN参数由下向上多层次地学习并提取被监测网络流量的抽象特征;
第六步,在DBN的最顶层进行SoftMax回归分类,以获得被监测流量的检测结果。
2.根据权利要求1所述的一种基于深信度网络的分布式攻击入侵的检测方法,其特征在于,所述第三步中对DBN进行逐层训练所选取的层数为两层。
3.根据权利要求2所述的一种基于深信度网络的分布式攻击入侵的检测方法,其特征在于,所述DBN第一层学习率选取值为0.002,迭代次数选取值为50;第二层学习率选取值为0.003,迭代次数选取值为50。
CN201611094419.3A 2016-12-01 2016-12-01 一种基于深信度网络的分布式攻击入侵的检测方法 Pending CN106453416A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611094419.3A CN106453416A (zh) 2016-12-01 2016-12-01 一种基于深信度网络的分布式攻击入侵的检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611094419.3A CN106453416A (zh) 2016-12-01 2016-12-01 一种基于深信度网络的分布式攻击入侵的检测方法

Publications (1)

Publication Number Publication Date
CN106453416A true CN106453416A (zh) 2017-02-22

Family

ID=58223579

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611094419.3A Pending CN106453416A (zh) 2016-12-01 2016-12-01 一种基于深信度网络的分布式攻击入侵的检测方法

Country Status (1)

Country Link
CN (1) CN106453416A (zh)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106921676A (zh) * 2017-04-20 2017-07-04 电子科技大学 一种基于OPCClassic的入侵检测方法
CN107587955A (zh) * 2017-07-28 2018-01-16 大连理工大学 基于深信度网络的火箭发动机推力偏移量的标定方法
CN107612948A (zh) * 2017-11-08 2018-01-19 国网四川省电力公司信息通信公司 一种入侵防御系统及方法
CN107911346A (zh) * 2017-10-31 2018-04-13 天津大学 一种基于极限学习机的入侵检测方法
CN108040073A (zh) * 2018-01-23 2018-05-15 杭州电子科技大学 信息物理交通系统中基于深度学习的恶意攻击检测方法
CN108683658A (zh) * 2018-05-11 2018-10-19 上海交通大学 基于多rbm网络构建基准模型的工控网络流量异常识别方法
CN108881192A (zh) * 2018-06-04 2018-11-23 上海交通大学 一种基于深度学习的加密型僵尸网络检测系统及方法
CN109688154A (zh) * 2019-01-08 2019-04-26 上海海事大学 一种网络入侵检测模型建立方法及网络入侵检测方法
CN110719289A (zh) * 2019-10-14 2020-01-21 北京理工大学 一种基于多层特征融合神经网络的工控网络入侵检测方法
CN111368647A (zh) * 2020-02-14 2020-07-03 中北大学 一种基于dbn分布集成与冲突证据合成的遥感地物识别方法
CN111614609A (zh) * 2020-03-26 2020-09-01 诺得物流股份有限公司 一种基于ga-pso-dbn的入侵检测方法
CN111935168A (zh) * 2020-08-19 2020-11-13 四川大学 面向工业信息物理系统的入侵检测模型建立方法
CN111970272A (zh) * 2020-08-14 2020-11-20 上海境领信息科技有限公司 一种apt攻击操作识别方法
CN112734000A (zh) * 2020-11-11 2021-04-30 江西理工大学 一种入侵检测方法、系统、设备及可读存储介质
CN109861993B (zh) * 2019-01-15 2021-08-13 中国电子科技网络信息安全有限公司 一种基于sdn的流量安全采集方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101431449A (zh) * 2008-11-04 2009-05-13 中国科学院计算技术研究所 一种网络流量清洗系统
CN101980506A (zh) * 2010-10-29 2011-02-23 北京航空航天大学 一种基于流量特征分析的分布式入侵检测方法
CN103729459A (zh) * 2014-01-10 2014-04-16 北京邮电大学 一种构建情感分类模型的方法
CN104935600A (zh) * 2015-06-19 2015-09-23 中国电子科技集团公司第五十四研究所 一种基于深度学习的移动自组织网络入侵检测方法与设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101431449A (zh) * 2008-11-04 2009-05-13 中国科学院计算技术研究所 一种网络流量清洗系统
CN101980506A (zh) * 2010-10-29 2011-02-23 北京航空航天大学 一种基于流量特征分析的分布式入侵检测方法
CN103729459A (zh) * 2014-01-10 2014-04-16 北京邮电大学 一种构建情感分类模型的方法
CN104935600A (zh) * 2015-06-19 2015-09-23 中国电子科技集团公司第五十四研究所 一种基于深度学习的移动自组织网络入侵检测方法与设备

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106921676A (zh) * 2017-04-20 2017-07-04 电子科技大学 一种基于OPCClassic的入侵检测方法
CN106921676B (zh) * 2017-04-20 2020-05-08 电子科技大学 一种基于OPCClassic的入侵检测方法
CN107587955B (zh) * 2017-07-28 2019-03-05 大连理工大学 基于深信度网络的火箭发动机推力偏移量的标定方法
CN107587955A (zh) * 2017-07-28 2018-01-16 大连理工大学 基于深信度网络的火箭发动机推力偏移量的标定方法
CN107911346A (zh) * 2017-10-31 2018-04-13 天津大学 一种基于极限学习机的入侵检测方法
CN107911346B (zh) * 2017-10-31 2020-12-29 兵棋思学(天津)教育科技有限公司 一种基于极限学习机的入侵检测方法
CN107612948A (zh) * 2017-11-08 2018-01-19 国网四川省电力公司信息通信公司 一种入侵防御系统及方法
US11777957B2 (en) 2018-01-23 2023-10-03 Hangzhou Dianzi University Method for detecting malicious attacks based on deep learning in traffic cyber physical system
CN108040073A (zh) * 2018-01-23 2018-05-15 杭州电子科技大学 信息物理交通系统中基于深度学习的恶意攻击检测方法
CN108683658A (zh) * 2018-05-11 2018-10-19 上海交通大学 基于多rbm网络构建基准模型的工控网络流量异常识别方法
CN108683658B (zh) * 2018-05-11 2020-11-03 上海交通大学 基于多rbm网络构建基准模型的工控网络流量异常识别方法
CN108881192A (zh) * 2018-06-04 2018-11-23 上海交通大学 一种基于深度学习的加密型僵尸网络检测系统及方法
CN108881192B (zh) * 2018-06-04 2021-10-22 上海交通大学 一种基于深度学习的加密型僵尸网络检测系统及方法
CN109688154A (zh) * 2019-01-08 2019-04-26 上海海事大学 一种网络入侵检测模型建立方法及网络入侵检测方法
CN109688154B (zh) * 2019-01-08 2021-10-22 上海海事大学 一种网络入侵检测模型建立方法及网络入侵检测方法
CN109861993B (zh) * 2019-01-15 2021-08-13 中国电子科技网络信息安全有限公司 一种基于sdn的流量安全采集方法及系统
CN110719289A (zh) * 2019-10-14 2020-01-21 北京理工大学 一种基于多层特征融合神经网络的工控网络入侵检测方法
CN111368647A (zh) * 2020-02-14 2020-07-03 中北大学 一种基于dbn分布集成与冲突证据合成的遥感地物识别方法
CN111368647B (zh) * 2020-02-14 2023-02-17 中北大学 一种基于dbn分布集成与冲突证据合成的遥感地物识别方法
CN111614609A (zh) * 2020-03-26 2020-09-01 诺得物流股份有限公司 一种基于ga-pso-dbn的入侵检测方法
CN111614609B (zh) * 2020-03-26 2022-05-13 诺得物流股份有限公司 一种基于ga-pso-dbn的入侵检测方法
CN111970272A (zh) * 2020-08-14 2020-11-20 上海境领信息科技有限公司 一种apt攻击操作识别方法
CN111935168A (zh) * 2020-08-19 2020-11-13 四川大学 面向工业信息物理系统的入侵检测模型建立方法
CN112734000A (zh) * 2020-11-11 2021-04-30 江西理工大学 一种入侵检测方法、系统、设备及可读存储介质

Similar Documents

Publication Publication Date Title
CN106453416A (zh) 一种基于深信度网络的分布式攻击入侵的检测方法
CN107682216B (zh) 一种基于深度学习的网络流量协议识别方法
US11777957B2 (en) Method for detecting malicious attacks based on deep learning in traffic cyber physical system
CN106373397B (zh) 基于模糊神经网络的遥感图像道路通行情况分析方法
CN109492582A (zh) 一种基于算法对抗性攻击的图像识别攻击方法
CN103795723B (zh) 一种分布式物联网安全态势感知方法
CN104217216B (zh) 生成检测模型的方法和设备、用于检测目标的方法和设备
CN109598891B (zh) 一种利用深度学习分类模型实现烟雾检测的方法和系统
CN109450845B (zh) 一种基于深度神经网络的算法生成恶意域名检测方法
CN106845424A (zh) 基于深度卷积网络的路面遗留物检测方法
CN109698836A (zh) 一种基于深度学习的无线局域网入侵检测方法和系统
CN107808139A (zh) 一种基于深度学习的实时监控威胁分析方法及系统
CN108108622A (zh) 基于深度卷积网络和控制流图的漏洞检测系统
CN104935600A (zh) 一种基于深度学习的移动自组织网络入侵检测方法与设备
CN106874863A (zh) 基于深度卷积神经网络的车辆违停逆行检测方法
CN107241358A (zh) 一种基于深度学习的智能家居入侵检测方法
CN104486141A (zh) 一种误报自适应的网络安全态势预测方法
CN107992836A (zh) 一种矿工不安全行为的识别方法及系统
CN106951473A (zh) 面向视觉障碍人士的深度视觉问答系统的构建方法
CN104767692A (zh) 一种网络流量分类方法
CN110135558B (zh) 基于可变强度组合测试的深度神经网络测试充分性方法
CN104954210A (zh) 配电通信网中的不同业务类型与无线通信方式的匹配方法
CN103605992B (zh) 一种电力内外网交互中的敏感图像识别方法
CN106997475A (zh) 一种基于并行卷积神经网络的害虫图像识别方法
CN101478534A (zh) 一种基于人工免疫原理的网络异常检测方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20170222