CN107104988A - 一种基于概率神经网络的IPv6入侵检测方法 - Google Patents
一种基于概率神经网络的IPv6入侵检测方法 Download PDFInfo
- Publication number
- CN107104988A CN107104988A CN201710548613.2A CN201710548613A CN107104988A CN 107104988 A CN107104988 A CN 107104988A CN 201710548613 A CN201710548613 A CN 201710548613A CN 107104988 A CN107104988 A CN 107104988A
- Authority
- CN
- China
- Prior art keywords
- data
- probabilistic neural
- neural network
- ipv6
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/047—Probabilistic or stochastic networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Biomedical Technology (AREA)
- Health & Medical Sciences (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Probability & Statistics with Applications (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及IPv6网络中入侵数据的检测,具体为一种基于概率神经网络的IPv6入侵检测方法。该方法包括以下步骤:第一步:获取数据并进行预处理:获取作为训练样本,用来构建概率神经网络的模型;第二步:提取训练样本特征值;第三步:选择有用的字段;第四步:有用的字段进行归一化处理,把所有数据都转化为[O,1]之间的数值;第五步:构建PNN概率神经网络,归一化处理后的数据供PNN概率神经网络训练,经过训练从而调节好PNN概率神经网络的参数;第六步:训练好的概率神经网络用于入侵检测。本发明不仅填补了将PNN应用于IPv6网络入侵检测的空白,而且有效解决了BP神经网络在入侵检测应用中收敛速度慢、误判率高的问题。
Description
技术领域
本发明涉及IPv6网络中入侵数据的检测,具体为一种基于概率神经网络的IPv6入侵检测方法。
背景技术
入侵检测技术是网络安全技术核心之一,在IPv4网络中,已经有了较为成熟的技术和较为广泛的应用,但是在下一代互联网IPv6网络中,入侵检测仍处于研究阶段,并没有形成成熟可操作的技术。随着网络规模日益的扩大与发展,IPv6网络必将日渐代替IPv4网络走向实际应用,这给IPv6网络入侵检测技术带来了广阔的研究前景。
随着异常入侵检测系统的发展,各种机器学习方法包括神经网络被引入到了网络异常检测中,如Lee提出的基于数据挖掘技术的检测方法,从审计数据或数据流中提取感兴趣的知识,并用这些知识去检测异常入侵和已知的入侵,这种方法可以适应处理大量数据的情况,但并不能高效地进行实时入侵检测;郑黎明提出的基于支持向量机SVM的入侵检测方法,解决了入侵检测系统先验知识较少情况下推广能力差的问题,使得入侵检测系统在小样本的条件下仍然具有良好的推广能力,但是当输入数据集很大时,SVM方法的计算速度也会下降较大,且单纯的支持向量机对于多元问题的处理仍没有很好的解决办法;李元兵提出的基于BP神经网络的检测方法,使得入侵检测系统在识别未知攻击方面具有更好的性能,BP神经网络是目前IPv6入侵检测采用最多也是最成熟的训练算法之一,但其存在收敛速度慢、误判率高的问题。
发明内容
本发明为了解决BP神经网络用于IPv6入侵检测存在收敛速度慢、误判率高的问题,提供了一种基于概率神经网络的IPv6入侵检测方法。
本发明是采用如下的技术方案实现的:一种基于概率神经网络的IPv6入侵检测方法,包括以下步骤:
第一步:获取数据并进行预处理:利用IPv6 网络攻击测试工具模拟攻击,选择攻击数据作为入侵行为数据,在网络中捕获攻击报文,再获取正常数据,捕获网络中的报文,从上述数据中分别随机抽取组成一组数据,作为训练样本,用来构建概率神经网络的模型;
第二步:提取训练样本特征值;
第三步:对于特征值中特征差别不明显的字段予以剔除,选择有用的字段;
第四步:利用最大最小法将特征值中选出的有用的字段进行归一化处理,把所有数据都转化为[O,1]之间的数值,取消各维数据间的数量级差别;
第五步:构建PNN概率神经网络,归一化处理后的数据供PNN概率神经网络训练,经过训练从而调节好PNN概率神经网络的参数,然后将调整好的参数交给概率神经网络分类模块使用;
第六步:将待检测的数据提取出特征值,输入训练好的概率神经网络,概率神经网络输出待检测的数据类型。
本方法基于PNN概率神经网络强大的非线性分类能力,可以非常准确地完成入侵攻击分类,在模式分类方面具有很大优势。用Matlab神经网络工具箱设计三组网络:BP网络、RBF网络和PNN网络,并将三组网络分别应用于IPv6网络的入侵检测中,从误判率、训练时间、检测时间和总时间四个性能指标对比分析,对比测试数据如下表:
各项性能指标综合分析表
| 网络类型 | 误判率(%) | 训练时间(s) | 检测时间(s) | 总时间(s) |
| BP网络 | 0.09-0.15 | 10-20 | 0.25-0.30 | 10-20 |
| RBF网络 | 0.06-0.15 | 7-10 | 0.30-0.40 | 7-10 |
| PNN网络 | 0-0.0015 | 0.60-0.65 | 3-5 | 4-6 |
通过测试数据可以看出,本发明不仅填补了将PNN应用于IPv6网络入侵检测的空白,而且有效解决了BP神经网络在入侵检测应用中收敛速度慢、误判率高的问题。
附图说明
图1为本发明的检测流程图。
具体实施方式
一种基于概率神经网络的IPv6入侵检测方法,包括以下步骤:
第一步:获取数据并进行预处理:利用IPv6 网络攻击测试工具THC-IPv6模拟攻击,选择其中的Dos-new-ipv6与Smurf6攻击数据作为入侵行为数据,在网络中捕获攻击报文ICMPv6;再获取正常数据,捕获网络中的TCP、UDP报文;从入侵行为数据和正常数据中分别随机抽取组成一组数据,作为训练样本,用来构建概率神经网络的模型。训练样本实例数据如下:
| 数据类型 | 训练样本 |
| Normal | 20000 |
| Dos-new-ipv6 | 3000 |
| Smurf6 | 3000 |
| Total | 26000 |
第二步:过滤提取出TCP、UDP与ICMPv6的特征值,如下表:
TCP特征值表
UDP特征值表
| 负载长度 | 下一个头 | 跳数限制 | 源端口 | 目的端口 | 长度 |
| IPv6.plen | IPv6.nxt | IPv6.hlim | udp.srcport | udp.dstport | udp.length |
ICMPv6特征值表
| 负载长度 | 下一个头 | 跳数限制 | 类型 | 代码 |
| IPv6.plen | IPv6.nxt | IPv6.hlim | Icmpv6.type | Icmpv6.code |
第三步:对于特征值中特征差别不明显的字段予以剔除,选择有用的字段。
第四步:利用最大最小法将特征值中选出的有用的字段进行归一化处理,把所有数据都转化为[O,1]之间的数值,取消各维数据间的数量级差别;为有用的字段中的最小值,为有用的字段中的最大值。
第五步:通过matlab构建PNN概率神经网络,归一化处理后的数据(TCP、UDP与ICMPv6)供PNN概率神经网络训练,PNN概率神经网络的输出层将三种数据类型分为[0、1、2],经过训练从而调节好PNN概率神经网络的参数,然后将调整好的参数交给概率神经网络分类模块使用。
在当前的参数值下,PNN概率神经网络分类模块一旦发现可疑攻击,便把数据交给模式匹配模块进行传统的分析。而模式匹配模块对于从数据库中获得的网络数据的所有分析结果,都要提供给神经网络训练模块。神经网络训练模块依靠不断获得的这些攻击或正常的网络数据信息,对自身进行自适应的调整.更新神经网络的权值,同时也就更新了神经网络分类模块的设置,进而提高了分类模块对于攻击的判断分析能力。
第六步:将待检测的数据提取出特征值,输入训练好的概率神经网络,概率神经网络输出待检测的数据类型。
Claims (1)
1.一种基于概率神经网络的IPv6入侵检测方法,其特征在于包括以下步骤:
第一步:获取数据并进行预处理:利用IPv6 网络攻击测试工具模拟攻击,选择攻击数据作为入侵行为数据,在网络中捕获攻击报文,再获取正常数据,捕获网络中的报文,从上述数据中分别随机抽取组成一组数据,作为训练样本,用来构建概率神经网络的模型;
第二步:提取训练样本特征值;
第三步:对于特征值中特征差别不明显的字段予以剔除,选择有用的字段;
第四步:利用最大最小法将特征值中选出的有用的字段进行归一化处理,把所有数据都转化为[O,1]之间的数值,取消各维数据间的数量级差别;
第五步:构建PNN概率神经网络,归一化处理后的数据供PNN概率神经网络训练,经过训练从而调节好PNN概率神经网络的参数,然后将调整好的参数交给概率神经网络分类模块使用;
第六步:将待检测的数据提取出特征值,输入训练好的概率神经网络,概率神经网络输出待检测的数据类型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710548613.2A CN107104988B (zh) | 2017-07-07 | 2017-07-07 | 一种基于概率神经网络的IPv6入侵检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710548613.2A CN107104988B (zh) | 2017-07-07 | 2017-07-07 | 一种基于概率神经网络的IPv6入侵检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107104988A true CN107104988A (zh) | 2017-08-29 |
| CN107104988B CN107104988B (zh) | 2020-04-07 |
Family
ID=59664084
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710548613.2A Expired - Fee Related CN107104988B (zh) | 2017-07-07 | 2017-07-07 | 一种基于概率神经网络的IPv6入侵检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107104988B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109150830A (zh) * | 2018-07-11 | 2019-01-04 | 浙江理工大学 | 一种基于支持向量机和概率神经网络的层次入侵检测方法 |
| CN110688287A (zh) * | 2019-05-13 | 2020-01-14 | 中国石油大学(华东) | 一种基于改进概率神经网络的工控网络态势评估方法 |
| CN111064724A (zh) * | 2019-12-13 | 2020-04-24 | 电子科技大学 | 一种基于rbf神经网络的网络入侵检测系统 |
| CN111209998A (zh) * | 2018-11-06 | 2020-05-29 | 航天信息股份有限公司 | 基于数据类型的机器学习模型的训练方法及装置 |
| CN111917781A (zh) * | 2020-08-05 | 2020-11-10 | 湖南匡楚科技有限公司 | 一种智能内部恶意行为网络攻击识别方法及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040225627A1 (en) * | 1999-10-25 | 2004-11-11 | Visa International Service Association, A Delaware Corporation | Synthesis of anomalous data to create artificial feature sets and use of same in computer network intrusion detection systems |
| CN101686235A (zh) * | 2008-09-26 | 2010-03-31 | 中联绿盟信息技术(北京)有限公司 | 网络异常流量分析设备和方法 |
| CN105809266A (zh) * | 2014-12-31 | 2016-07-27 | 郑静晨 | 一种地震伤亡人数初步评估预测方法 |
| CN105852886A (zh) * | 2016-05-10 | 2016-08-17 | 华南理工大学 | 面向大学生的精神压力评估及高危人群干预系统 |
| CN106161458A (zh) * | 2016-08-03 | 2016-11-23 | 辽宁师范大学 | 基于双加权在线极限学习机的网络入侵检测方法 |
-
2017
- 2017-07-07 CN CN201710548613.2A patent/CN107104988B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040225627A1 (en) * | 1999-10-25 | 2004-11-11 | Visa International Service Association, A Delaware Corporation | Synthesis of anomalous data to create artificial feature sets and use of same in computer network intrusion detection systems |
| CN101686235A (zh) * | 2008-09-26 | 2010-03-31 | 中联绿盟信息技术(北京)有限公司 | 网络异常流量分析设备和方法 |
| CN105809266A (zh) * | 2014-12-31 | 2016-07-27 | 郑静晨 | 一种地震伤亡人数初步评估预测方法 |
| CN105852886A (zh) * | 2016-05-10 | 2016-08-17 | 华南理工大学 | 面向大学生的精神压力评估及高危人群干预系统 |
| CN106161458A (zh) * | 2016-08-03 | 2016-11-23 | 辽宁师范大学 | 基于双加权在线极限学习机的网络入侵检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 麻书钦: "基于 Kohonen神经网络算法的网络入侵聚类算法的测试研究", 《中国测试》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109150830A (zh) * | 2018-07-11 | 2019-01-04 | 浙江理工大学 | 一种基于支持向量机和概率神经网络的层次入侵检测方法 |
| CN109150830B (zh) * | 2018-07-11 | 2021-04-06 | 浙江理工大学 | 一种基于支持向量机和概率神经网络的层次入侵检测方法 |
| CN111209998A (zh) * | 2018-11-06 | 2020-05-29 | 航天信息股份有限公司 | 基于数据类型的机器学习模型的训练方法及装置 |
| CN111209998B (zh) * | 2018-11-06 | 2023-08-18 | 航天信息股份有限公司 | 基于数据类型的机器学习模型的训练方法及装置 |
| CN110688287A (zh) * | 2019-05-13 | 2020-01-14 | 中国石油大学(华东) | 一种基于改进概率神经网络的工控网络态势评估方法 |
| CN111064724A (zh) * | 2019-12-13 | 2020-04-24 | 电子科技大学 | 一种基于rbf神经网络的网络入侵检测系统 |
| CN111917781A (zh) * | 2020-08-05 | 2020-11-10 | 湖南匡楚科技有限公司 | 一种智能内部恶意行为网络攻击识别方法及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107104988B (zh) | 2020-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107104988A (zh) | 一种基于概率神经网络的IPv6入侵检测方法 | |
| CN110011999B (zh) | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 | |
| CN109902709B (zh) | 一种基于对抗学习的工业控制系统恶意样本生成方法 | |
| CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| CN113283476B (zh) | 一种物联网网络入侵检测方法 | |
| CN112738015A (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
| CN104836702A (zh) | 一种大流量环境下主机网络异常行为检测及分类方法 | |
| CN108696543B (zh) | 基于深度森林的分布式反射拒绝服务攻击检测、防御方法 | |
| Amoli et al. | Unsupervised network intrusion detection systems for zero-day fast-spreading attacks and botnets | |
| CN110691073A (zh) | 一种基于随机森林的工控网络暴力破解流量检测方法 | |
| CN113162893A (zh) | 基于注意力机制的工业控制系统网络流量异常检测方法 | |
| CN109347863B (zh) | 一种改进的免疫的网络异常行为检测方法 | |
| CN105871861B (zh) | 一种自学习协议规则的入侵检测方法 | |
| CN110113348A (zh) | 一种基于机器学习进行物联网威胁检测的方法 | |
| CN114091020A (zh) | 基于特征分组和多模型融合的对抗攻击防御方法及系统 | |
| CN111600878A (zh) | 一种基于maf-adm的低速率拒绝服务攻击检测方法 | |
| CN1223941C (zh) | 一种基于相关特征聚类的层次入侵检测系统 | |
| CN113132391B (zh) | 一种用于工控蜜罐的恶意行为识别方法 | |
| CN113268735A (zh) | 分布式拒绝服务攻击检测方法、装置、设备和存储介质 | |
| CN111211948B (zh) | 基于载荷特征和统计特征的Shodan流量识别方法 | |
| Cheng et al. | DDoS attack detection algorithm using IP address features | |
| Abdullah et al. | TiSEFE: Time series evolving fuzzy engine for network traffic classification | |
| Vijayakumar et al. | Detection of network attacks based on multiprocessing and trace back methods | |
| Nguyen | A scheme for building a dataset for intrusion detection systems | |
| CN113298125B (zh) | 基于特征选择的物联网设备流量异常检测方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200407 Termination date: 20210707 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |