CN109309675A - 一种基于卷积神经网络的网络入侵检测方法 - Google Patents
一种基于卷积神经网络的网络入侵检测方法 Download PDFInfo
- Publication number
- CN109309675A CN109309675A CN201811108009.9A CN201811108009A CN109309675A CN 109309675 A CN109309675 A CN 109309675A CN 201811108009 A CN201811108009 A CN 201811108009A CN 109309675 A CN109309675 A CN 109309675A
- Authority
- CN
- China
- Prior art keywords
- characteristic
- data
- feature
- convolutional neural
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 57
- 238000013527 convolutional neural network Methods 0.000 title claims abstract description 39
- 238000000034 method Methods 0.000 claims abstract description 28
- 238000011176 pooling Methods 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 12
- 238000010606 normalization Methods 0.000 claims description 8
- 238000012360 testing method Methods 0.000 claims description 8
- 238000007781 pre-processing Methods 0.000 claims description 7
- 230000004913 activation Effects 0.000 claims description 6
- 230000002159 abnormal effect Effects 0.000 claims description 5
- 239000011159 matrix material Substances 0.000 claims description 3
- 230000008569 process Effects 0.000 abstract description 12
- 238000000605 extraction Methods 0.000 abstract description 8
- 230000000694 effects Effects 0.000 abstract description 2
- 239000000284 extract Substances 0.000 abstract description 2
- 238000005259 measurement Methods 0.000 abstract 1
- 238000005457 optimization Methods 0.000 abstract 1
- 238000012795 verification Methods 0.000 abstract 1
- 230000006399 behavior Effects 0.000 description 15
- 230000006870 function Effects 0.000 description 6
- 238000005070 sampling Methods 0.000 description 6
- 239000000523 sample Substances 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000005065 mining Methods 0.000 description 3
- 230000009467 reduction Effects 0.000 description 3
- 239000013598 vector Substances 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 238000007418 data mining Methods 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 239000000427 antigen Substances 0.000 description 1
- 102000036639 antigens Human genes 0.000 description 1
- 108091007433 antigens Proteins 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000000546 chi-square test Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000000875 corresponding effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000036039 immunity Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011946 reduction process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Molecular Biology (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Software Systems (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于卷积神经网络的网络入侵检测方法。该方法对原始的网络连接输入数据进行预处理,将网络连接数据中特征取值转化为统一的格式;然后进行网络连接数据中特征取值优化,通过卷积神经网络结构对优化选择特征集后的网络数据建模,提取网络攻击行为的特征;应用Softmax分类器将所得模型提取到的特征进行分类,判断数据为正常连接数据或具体某一攻击行为,产生最终的入侵检测结果。本发明改善了传统入侵检测系统中人工挖掘数据关联规则中对入侵行为特征提取不充分的特点所导致的检测率低、误报率高、泛化能力差的问题,同时避免传统解决方案对检测时效性和计算复杂度的负面影响。
Description
技术领域
本发明涉及一种入侵检测技术,特别是涉及一种基于卷积神经网络的网络入侵检测方法,该检测方法采用卷积神经网络提取网络连接数据特征。
背景技术
网络技术的发展和互联网的普及伴随着更多、更复杂的网络安全问题,网络黑客有更多的机会去窃取用户身份信息、商业机密等重要的数据。为了保证网络安全,网络安全技术应运而生。网络安全的本质在于保证网络信息系统的机密性、完整性和可用性。传统的网络安全解决方案通常采用漏洞扫描机、防火墙及入侵检测及防护等软、硬件安全产品来保护系统中的数据资源免受恶意的破坏、更改和泄露。其中,网络入侵检测是十分重要的一种手段。入侵检测系统(Intrusion Detection System,IDS)则是指实时监控和识别计算机系统或网络系统上的数据,根据一定的安全策略发现恶意网络攻击行为或企图入侵的迹象,进行入侵检测和响应的软件或者软、硬件结合的系统,入侵检测系统对保证网络安全极有意义。
目前的入侵检测方法很多,但普遍具有检测率低、误报率高、泛化能力差、时效性差等问题。
基于概率和规则统计的入侵检测方法是根据概率对用户行为建模,后期实时审计系统若发现用户行为违背模型中的行为习惯,即判定这样的行为是异常。但对用户行为进行建模和审计分析有明显的时间约束性,导致基于概率统计的模型不能实时检测,且不能表达入侵行为在时间序列上的关系,会导致大量误报、漏报。
基于数据挖掘入侵检测方法通过海量网络数据挖掘其中有价值知识的潜在信息,作为关联规则、规律、模式等,以此检测入侵行为。这种方法建立在对数据流的审计之上,需要指定实际的安全需求,且挖掘结果无法自动应用于入侵检测系统。
基于人工免疫的入侵检测方法通过辨识“自我(Self)”与“非我(Non‐self)”来检测不属于自体系统环境的入侵行为。但由于普遍缺少对抗原的有效识别方法,因此误判率较高。
发明内容
本发明的目的在于克服现有技术存在的上述不足,提供了基于卷积神经网络的入侵检测的方法,提高识别的准确率。
本发明目的通过如下技术方案实现:
一种基于卷积神经网络的网络入侵检测方法,包括如下步骤:
1)对原始的网络连接输入数据进行预处理:对特征取值为字符型的特征值进行数值化处理,使得到的数据集中特征取值均为数值型;对数值取值进行归一化处理,使连续型和离散型的特征取值均匀有序分布于[0,1]范围内;将网络连接数据中特征取值转化为统一的格式;
2)网络连接数据中特征取值优化:对于特征x1和特征x2,逐个计算各个网络连接数据中特征取值的信息熵H(x1)和互信息H(x1|x2),以信息熵计算某一特征值对入侵检测结果的贡献率来确定优化特征集中的第一个特征维度,并以互信息计算原特征集中剩余特征与第一个特征的相关性,选择相关性大于设定阈值的特征作为第二个特征维度;然后,逐一计算原特征集中剩余特征与当前优化特征集合的相关性,构成初步优化特征集,得到有效特征集;然后,以卡方假设检验进一步验证每一个特征对检测结果影响的显著性,去除假设检验结果为0的特征,得到优化有效特征集;
3)通过卷积神经网络结构对优化选择特征集后的网络数据建模,提取网络攻击行为的特征;
4)应用Softmax分类器将步骤3)所得模型提取到的特征进行分类,判断数据为正常连接数据或具体某一攻击行为,产生最终的入侵检测结果。
为今后一步实现本发明目的,优选地,步骤1)所述字符型的特征值进行数值化处理是采用独热编码的方式将字符型特征值转换为数值;
优选地,步骤1)所述离散型的特征取值均匀有序分布于[0,1]范围内是采用极差变换法将离散型的特征取值均匀映射到[0,1]之间。
优选地,所述通过卷积神经网络结构对优化选择特征集后的网络数据建模是构建一个共9层的卷积神经网络结构,9层的卷积神经网络结构包括输入层、输出层和7个隐含层;其中,输入层将一维待检测数据转化为二维特征矩阵,以使网络连接数据适用于卷积神经网络结构;隐含层中以双卷积+池化层为小单元,循环设置,隐含层中第1、2、4、5、7层为卷积层,均采用ReLU作为激活函数,采用3*3的卷积核,且卷积过滤器的数量以32‐64‐128的形式增长;池化层中采用动态自适应的池化算法降维采样。
优选地,步骤4)所述的应用Softmax分类器将步骤3)所得模型提取到的特征进行分类是将卷积神经网络的建模输出给Softmax分类器,以Softmax函数作为激活函数,将数据分为正常或异常类型,得到检测结果。
本发明中,数据预处理具体方法是:数值化处理,将protocol_type、service和flag三个特征属性字符型的取值采用独热编码(one‐hot编码)的方式转换为数值。归一化处理,将离散型的特征取值均匀映射到[0,1]之间,消除网络连接中不同特征取值的量纲差异大对检测模型中提取特征信息造成的影响。
与现有技术相比,本发明具有如下优点和技术效果:
1)本发明以卷积神经网络对入侵检测数据建模,通过自主学习的方式提取网络连接数据的特征。与传统机器学习方法相比,节省了人工挖掘关联规则的成本,加强了对网络连接数据的理解和学习能力,提高识别的准确率。
2)本方法中去除了不相关特征和冗余特征对检测结果的影响,在使用卷积神经网络对网络入侵数据建模时更加精确,且节省时间。
3)相比于传统的卷积神经网络中卷积层与池化层交替设置的结构,本方法采用双卷积层的设置,加强了模型提取网络连接数据特征的能力,且在一定程度上避免了池化层设置密集带来的特征图像模糊的问题。
4)相比于传统的卷积神经网络中最大池采样和平均池采样的方法,引入动态自适应的池化方法后,减少了对网络连接数据建模过程中降维采样导致损失的特征信息。
附图说明
图1为本发明的基于卷积神经网络的网络入侵检测方法的流程图。
图2为卷积神经网络模型图。
具体实施方式
为更好地理解本发明,下面结合附图和实施例对本发明作进一步的说明,但本发明的实施方式不限如此。
实施例
图1为本发明基于卷积神经网络的网络入侵检测方法,具体包括101、102、103、104四个步骤:
步骤101:主要是对数据格式进行统一处理,即对原始的网络连接输入数据进行预处理,包括数值化处理和归一化处理,消除网络连接中不同特征取值的量纲差异大对检测模型中提取特征信息造成的影响;以KDD CUP99数据集中的一条网络连接数据为例:
"0,tcp,smtp,SF,2229,481,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,1,1,0.00,0.00,0.00,0.00,1.00,0.00,0.00,255,6,0.02,0.02,0.00,0.00,0.00,0.00,0.00,0.00,normal",每条网络连接数据具有完全相同的数据格式,记录具有完全相同的数据类型,每条数据包含1个标签和41项特征值,共42个属性。标签标记该条网络连接数据为正常数据或异常数据;41项特征值描述网络连接的基本属性、网络连接的内容属性、基于时间的网络流量统计属性和基于主机的网络流量统计属性的特征,其中protocol_type、service和flag3个特征属性的取值为离散的字符型,其他38个特征属性为数值型,且其中6个为离散型,32个为连续型。数据预处理过程将数据集中各个特征属性的取值统一处理为均匀映射在[0,1]区间的连续数值型数据,以提高入侵检测检测算法的效率。
该过程主要步骤为:
1)数值化处理:在网络连接数据中,特征属性protocol_type、service和flag为字符型,因此首先要将其转化为数值型。该过程主要采用独热编码(One‐hot Encoding)的方式,使该特征的每一个状态都有一个独立的寄存器来编码,即N个状态需对应N个寄存器。对于第二维特征protocol_type来说,其取值有3个,分别为TCP、UDP、ICMP。则需要将其转化为一个3维向量,即TCP=[1,0,0],UDP=[0,1,0],ICMP=[0,0,1]。对于service和flag特征同理。service有65个不同的取值,需要将其转化为65维的向量。flag有11个不同的取值,需要转化为11维的向量。
2)归一化处理:经过数值化处理后的数据集中,所有的特征属性均由数字表示。但其中一部分特征取值为连续型,而另一部分为离散型。该步骤目的是按照原有数据的统计分布特性,将每个特征属性的统计性统一归纳,使不同维度的数据特征之间具有可比性且对分类结果的贡献大小相同。实验中采用极差变换法对数据进行[0,1]标准化,具体处理过程为:
其中,Xik表示当前处理的数据为第i条网络连接数据其中的第k个特征的原取值,Xik′表示该值经过归一化处理后的值,Min表示所有数据中该特征属性的最小值,Max表示所有数据中该特征属性的最大值。经过归一化处理后的数据值域范围以一定的比例缩放,均匀地映射到[0,1]之间。等比例缩放后的数据以0和1作为最小值和最大值,被界定于该范围内,消除了原始数据中不同量纲和数量级对聚类结果的影响。转换后的数据集操作方便,可以直接导入模型中训练和测试。
步骤102:在原数据的特征集中去除不相关特征和冗余特征,构造有效特征集L,然后利用卡方检验对有效特征集L中的每一个特征进一步筛选,得到优化特征集L′。该过程的主要步骤为:
1)该步骤以信息熵表示某一特征属性中对入侵检测结果贡献的信息量,选择一个对入侵检测结果贡献足够大的特征属性作为有效特征集中的第一个有效特征。具体过程为从原始特征集中随机选取一个特征属性x1,计算其信息熵,计算公式如下:
其中,vi表示该特征属性中所包含的攻击信息量的可能取值,p(vi)表示取值vi可能出现的概率,计算信息熵H(x1),将第一个计算机结果大于等于设定的阈值ε1=0.1的特征x1作为第一个有效特征加入到有效特征集L中;其中ε1阈值的选择和设定标准涉及通讯专业和数学专业相关知识,可以根据实际情况设定,本实施例设计ε1=0.1;
2)根据有效特征集中的第一个有效特征,从原始特征集中选择与特征x1足够相关的属性作为第二个有效特征。以互信息计算第二个有效特征和第一个有效特征的信息覆盖程度,将第一个计算机结果大于等于设定的阈值的特征作为第二个有效特征加入到有效特征集中,根据有效特征集中的第一个有效特征,从原始特征集中选择与特征足够相关的属性作为第二个有效特征。在这里特征和特征的互信息计算公式为:
p(x1i,x2j)表示特征x1和特征x2取值为的联合概率(x1i,x2j)。若特征x1和特征x2的互信息结果大于等于设定的阈值ε2=0.1,即H(x1|x2)≥ε2,则将特征x2作为第二个有效特征加入到有效特征集L中,其中ε2阈值的选择和设定标准与ε1一样,本实施例设计ε2=0.1。否则继续该步骤;
3)逐一计算原始特征集中剩余特征属性与当前有效特征集L中特征的相关性,将强相关的特征加入到有效特征集L中,构造有效特征集L,该步骤中,首先构造集合C和集合F,集合C由有效特征集中现有的两个特征x1和x2组成,集合F为原始特征集中剩余的特征属性。然后,对集合F中的每一个特征属性Fi逐个进行筛选,计算Fi与C的相关性。若Fi与C强相关,则该特征对判断一条网络连接数据是否为异常行为有着非常关键的作用,必须将其加入到有效特征集L中;若为弱相关,说明该特征在某些条件下可以帮助判断一条数据的正常或异常属性,也将其加入到有效特征集L中。若Fi与C不相关或冗余的,说明该特征对检测结果几乎没有影响,不加入到有效特征集L中,以提高卷积神经网络的检测效率。记Si=F-{Fi},网络连接数据中的特征Fi与目前有效数据集C的相关性计算方式为:若P(C|Fi,Si)≠P(C|Si),则Fi与C强相关,若P(C|Fi,Si)=P(C|Si),且存在Si的子集Si′使得P(C|Fi,Si′)≠P(C|Si′),则Fi与C弱相关,若P(C|Fi,Si)=P(C|Si),且任意都使得P(C|Fi,Si′)=P(C|Si′),则Fi与C不相关,其中Si=F-{Fi}。
4)对有效特征集L进一步筛选,以卡方假设检验计算某一特征对入侵检测结果影响的显著性,去除假设检验结果为0的特征,得到优化选择的最终特征集L′。以卡方假设检验对网络连接特征对入侵检测结果影响的显著性计算方式如下:
其中,表示模型ym对入侵检测结果影响的显著性,且ym为有效特征集L中全部m个特征属性的模型,ym可表示为:
ym=β0+β1x1+β2x2+Λ+βmxm+ε,
表示模型yi对入侵检测结果影响的显著性,
ym=β+βx+βx+L+βmxm+ε
其中,ym为有效特征集L中全部m个特征属性的模型,yi为假设其中属性特征xi对入侵检测结果的没有显著影响,将xi剔除后构造的模型,yi可表示为:
yi=β0+β1x1+Λ+βi-1xi-1+βi+1xi+1Λ+βmxm+ε
越接近于0,表示特征xi对入侵检测的结果的影响越不显著,越大,则特征xi越重要。那么,在优化有效特征集的过程中,若则认为属性xi对检测结果几乎没有影响,则将其从有效特征属性集中剔除。对有效特征集L中的全部特征属性逐个检验,最终得到优化有效特征集L′。
步骤103中将优化网络连接数据特征选择的检测样本数据与卷积神经网络结合,对入侵行为建模。如图2所示,构建一个共9层的卷积神经网络结构,包括输入层、输出层和7个隐含层。其中,输入层将一维待检测数据转化为二维特征矩阵,以使网络连接数据适用于卷积神经网络结构;隐含层中以双卷积+池化层为小单元,循环设置,即隐含层中第1、2、4、5、7层为卷积层,第3层和第6层为池化层。卷积层以ReLU作为激活函数,采用3*3的卷积核,且卷积过滤器的数量以32‐64‐128的形式增长,将样本数据不断映射到高维空间,学习网络连接数据中的特征信息;池化层是一种非线性降采样,经过卷积层对输入样本提取特征之后,网路连接数据被映射到高维空间,在这个过程中,计算数据量不断积累,庞大的计算量会导致检测模型效率降低,且在网络学习过程中易出现过拟合现象,因此需要通过池化采样的方法进行降维,该过程采用动态自适应的池化算法降维采样,对提取到的特征降维采样,减小计算量,提高模型的检测效率;输出层将特征提取的结果映射为一维数组,以将卷积神经网络的建模结果可以输出给Softmax分类器。
步骤104将卷积神经网络的建模结果与Softmax分类器结合。将卷积神经网络的提取到的网络审计数据特征输出给Softmax分类器,以Softmax函数作为激活函数,输出为系统预测一条网络连接数据是Normal、Probe、DoS、U2R和R2L五种类型的概率,概率最大的分类即为系统预测的该条网络连接数据的标签属性,也就是入侵检测的结果。
本发明通过卷积神经网络和一系列网络连接数据的特征提取过程实现了网络入侵行为精确、高效的检测。传统的入侵检测方法多以人工挖掘数据中的关联规则,对网络入侵行为特征提取不充分,进而导致检测率低、误报率高、泛化能力差等,采用本文所提供的方法进行网络入侵检测可以使算法自主学习网络数据特征值与入侵检测行为之间的联系,并深入理解各个网络连接各个特征属性之间的复杂的关联规则,因此,相比于传统方法基于卷积神经网络的网络入侵检测算法可以提高检测准确率,同时避免传统解决方案对检测时效性和计算复杂度的负面影响。
本发明通过对网络连接数据进行数值化预处理和归一化预处理,使其适应卷积神经网络模型,且采用优化选择的网络入侵数据特征集与卷积神经网络结合,提高入侵检测模型提取异常行为特征的精确度和效率,在卷积神经网络的建模过程构建了双卷积+池化层的小单元循环设置结构,并采用动态自适应的降维采样算法,增强对网络连接数据特征的学习能力,减少降维过程中损失的入侵行为信息。
本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。
Claims (5)
1.一种基于卷积神经网络的网络入侵检测方法,其特征在于包括如下步骤:
1)对原始的网络连接输入数据进行预处理:对特征取值为字符型的特征值进行数值化处理,使得到的数据集中特征取值均为数值型;对数值取值进行归一化处理,使连续型和离散型的特征取值均匀有序分布于[0,1]范围内;将网络连接数据中特征取值转化为统一的格式;
2)网络连接数据中特征取值优化:对于特征x1和特征x2,逐个计算各个网络连接数据中特征取值的信息熵H(x1)和互信息H(x1|x2),以信息熵计算某一特征值对入侵检测结果的贡献率来确定优化特征集中的第一个特征维度,并以互信息计算原特征集中剩余特征与第一个特征的相关性,选择相关性大于设定阈值的特征作为第二个特征维度;然后,逐一计算原特征集中剩余特征与当前优化特征集合的相关性,构成初步优化特征集,得到有效特征集;然后,以卡方假设检验进一步验证每一个特征对检测结果影响的显著性,去除假设检验结果为0的特征,得到优化有效特征集;
3)通过卷积神经网络结构对优化选择特征集后的网络数据建模,提取网络攻击行为的特征;
4)应用Softmax分类器将步骤3)所得模型提取到的特征进行分类,判断数据为正常连接数据或具体某一攻击行为,产生最终的入侵检测结果。
2.根据权利要求1所述的一种基于卷积神经网络的网络入侵检测方法,其特征在于,步骤1)所述字符型的特征值进行数值化处理是采用独热编码的方式将字符型特征值转换为数值。
3.根据权利要求1所述的一种基于卷积神经网络的网络入侵检测方法,其特征在于,步骤1)所述离散型的特征取值均匀有序分布于[0,1]范围内是采用极差变换法将离散型的特征取值均匀映射到[0,1]之间。
4.根据权利要求1所述的一种基于卷积神经网络的网络入侵检测方法,其特征在于,所述通过卷积神经网络结构对优化选择特征集后的网络数据建模是构建一个共9层的卷积神经网络结构,9层的卷积神经网络结构包括输入层、输出层和7个隐含层;其中,输入层将一维待检测数据转化为二维特征矩阵,以使网络连接数据适用于卷积神经网络结构;隐含层中以双卷积+池化层为小单元,循环设置,隐含层中第1、2、4、5、7层为卷积层,均采用ReLU作为激活函数,采用3*3的卷积核,且卷积过滤器的数量以32-64-128的形式增长;池化层中采用动态自适应的池化算法降维采样。
5.根据权利要求1所述的一种基于卷积神经网络的网络入侵检测方法,其特征在于,步骤4)所述的应用Softmax分类器将步骤3)所得模型提取到的特征进行分类是将卷积神经网络的建模输出给Softmax分类器,以Softmax函数作为激活函数,将数据分为正常或异常类型,得到检测结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811108009.9A CN109309675A (zh) | 2018-09-21 | 2018-09-21 | 一种基于卷积神经网络的网络入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811108009.9A CN109309675A (zh) | 2018-09-21 | 2018-09-21 | 一种基于卷积神经网络的网络入侵检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109309675A true CN109309675A (zh) | 2019-02-05 |
Family
ID=65224035
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811108009.9A Pending CN109309675A (zh) | 2018-09-21 | 2018-09-21 | 一种基于卷积神经网络的网络入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109309675A (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110266636A (zh) * | 2019-04-28 | 2019-09-20 | 中国地震局地震研究所 | 一种基于上下文验证的地震行业网混合入侵信息识别方法 |
CN110719279A (zh) * | 2019-10-09 | 2020-01-21 | 东北大学 | 基于神经网络的网络异常检测系统及检测方法 |
CN110855682A (zh) * | 2019-11-18 | 2020-02-28 | 南京邮电大学 | 网络攻击检测方法 |
CN110929118A (zh) * | 2019-11-04 | 2020-03-27 | 腾讯科技(深圳)有限公司 | 网络数据处理方法、设备、装置、介质 |
CN111049828A (zh) * | 2019-12-13 | 2020-04-21 | 国网浙江省电力有限公司信息通信分公司 | 网络攻击检测及响应方法及系统 |
CN111431938A (zh) * | 2020-04-24 | 2020-07-17 | 重庆邮电大学 | 一种基于胶囊网络的工业互联网入侵检测方法 |
CN111614514A (zh) * | 2020-04-30 | 2020-09-01 | 北京邮电大学 | 一种网络流量识别方法及装置 |
CN111935134A (zh) * | 2020-08-06 | 2020-11-13 | 中国交通通信信息中心 | 一种复杂网络安全风险监测方法和系统 |
CN111988329A (zh) * | 2020-08-27 | 2020-11-24 | 国网湖北省电力有限公司 | 一种基于深度学习的网络入侵检测方法 |
CN112383516A (zh) * | 2020-10-29 | 2021-02-19 | 博雅正链(北京)科技有限公司 | 图神经网络构建方法、基于图神经网络的异常流量检测方法 |
CN112887302A (zh) * | 2021-01-22 | 2021-06-01 | 中汽创智科技有限公司 | 汽车控制器局域网络总线入侵检测方法和系统 |
CN113055334A (zh) * | 2019-12-26 | 2021-06-29 | 国网山西省电力公司信息通信分公司 | 终端用户的网络行为的监管方法和装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107341518A (zh) * | 2017-07-07 | 2017-11-10 | 东华理工大学 | 一种基于卷积神经网络的图像分类方法 |
US20180165305A1 (en) * | 2016-12-13 | 2018-06-14 | Shanghai United Imaging Healthcare Co., Ltd. | Systems and methods for image search |
CN108460337A (zh) * | 2018-01-30 | 2018-08-28 | 李家菊 | 基于自适应云模型的大雾场景空中图像融合识别方法 |
-
2018
- 2018-09-21 CN CN201811108009.9A patent/CN109309675A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180165305A1 (en) * | 2016-12-13 | 2018-06-14 | Shanghai United Imaging Healthcare Co., Ltd. | Systems and methods for image search |
CN107341518A (zh) * | 2017-07-07 | 2017-11-10 | 东华理工大学 | 一种基于卷积神经网络的图像分类方法 |
CN108460337A (zh) * | 2018-01-30 | 2018-08-28 | 李家菊 | 基于自适应云模型的大雾场景空中图像融合识别方法 |
Non-Patent Citations (3)
Title |
---|
FEI ZHAO: "A Filter Feature Selection Algorithm Based on Mutual Information for Intrusion Detection", 《MDPI》 * |
冉鹏: "改进Softmax分类器的深度卷积神经网络及其在人脸识别中的应用", 《上海大学学报》 * |
贾凡: "基于卷积神经网络的入侵检测算法", 《北京理工大学学报》 * |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110266636B (zh) * | 2019-04-28 | 2020-05-26 | 中国地震局地震研究所 | 一种基于上下文验证的地震行业网混合入侵信息识别方法 |
CN110266636A (zh) * | 2019-04-28 | 2019-09-20 | 中国地震局地震研究所 | 一种基于上下文验证的地震行业网混合入侵信息识别方法 |
CN110719279A (zh) * | 2019-10-09 | 2020-01-21 | 东北大学 | 基于神经网络的网络异常检测系统及检测方法 |
CN110929118A (zh) * | 2019-11-04 | 2020-03-27 | 腾讯科技(深圳)有限公司 | 网络数据处理方法、设备、装置、介质 |
CN110929118B (zh) * | 2019-11-04 | 2023-12-19 | 腾讯科技(深圳)有限公司 | 网络数据处理方法、设备、装置、介质 |
CN110855682A (zh) * | 2019-11-18 | 2020-02-28 | 南京邮电大学 | 网络攻击检测方法 |
CN111049828A (zh) * | 2019-12-13 | 2020-04-21 | 国网浙江省电力有限公司信息通信分公司 | 网络攻击检测及响应方法及系统 |
CN111049828B (zh) * | 2019-12-13 | 2021-05-07 | 国网浙江省电力有限公司信息通信分公司 | 网络攻击检测及响应方法及系统 |
CN113055334A (zh) * | 2019-12-26 | 2021-06-29 | 国网山西省电力公司信息通信分公司 | 终端用户的网络行为的监管方法和装置 |
CN111431938A (zh) * | 2020-04-24 | 2020-07-17 | 重庆邮电大学 | 一种基于胶囊网络的工业互联网入侵检测方法 |
CN111614514A (zh) * | 2020-04-30 | 2020-09-01 | 北京邮电大学 | 一种网络流量识别方法及装置 |
CN111614514B (zh) * | 2020-04-30 | 2021-09-24 | 北京邮电大学 | 一种网络流量识别方法及装置 |
CN111935134A (zh) * | 2020-08-06 | 2020-11-13 | 中国交通通信信息中心 | 一种复杂网络安全风险监测方法和系统 |
CN111988329A (zh) * | 2020-08-27 | 2020-11-24 | 国网湖北省电力有限公司 | 一种基于深度学习的网络入侵检测方法 |
CN112383516A (zh) * | 2020-10-29 | 2021-02-19 | 博雅正链(北京)科技有限公司 | 图神经网络构建方法、基于图神经网络的异常流量检测方法 |
CN112887302A (zh) * | 2021-01-22 | 2021-06-01 | 中汽创智科技有限公司 | 汽车控制器局域网络总线入侵检测方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109309675A (zh) | 一种基于卷积神经网络的网络入侵检测方法 | |
Min et al. | Network anomaly detection using memory-augmented deep autoencoder | |
CN110233849B (zh) | 网络安全态势分析的方法及系统 | |
CN112491796B (zh) | 一种基于卷积神经网络的入侵检测及语义决策树量化解释方法 | |
CN109302410B (zh) | 一种内部用户异常行为检测方法、系统及计算机存储介质 | |
US11704332B2 (en) | Systems and methods for configuring system memory for extraction of latent information from big data | |
CN111652290B (zh) | 一种对抗样本的检测方法及装置 | |
CN107256357B (zh) | 基于深度学习的安卓恶意应用的检测和分析方法 | |
CN111818198B (zh) | 域名检测方法、域名检测装置和设备以及介质 | |
CN109446804B (zh) | 一种基于多尺度特征连接卷积神经网络的入侵检测方法 | |
Sajedi | Steganalysis based on steganography pattern discovery | |
CN110351291A (zh) | 基于多尺度卷积神经网络的DDoS攻击检测方法及装置 | |
Chen et al. | Identifying tampering operations in image operator chains based on decision fusion | |
CN113746780B (zh) | 基于主机画像的异常主机检测方法、装置、介质和设备 | |
CN117082118A (zh) | 基于数据推导及端口预测的网络连接方法 | |
An et al. | Benchmarking the robustness of image watermarks | |
Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
Malik et al. | Performance evaluation of classification algorithms for intrusion detection on nsl-kdd using rapid miner | |
CN117040820A (zh) | 网络安全监控系统及其方法 | |
Luz et al. | Data preprocessing and feature extraction for phishing URL detection | |
CN116707859A (zh) | 特征规则提取方法和装置、网络入侵检测方法和装置 | |
Xin et al. | Research on feature selection of intrusion detection based on deep learning | |
CN115567224A (zh) | 一种用于检测区块链交易异常的方法及相关产品 | |
CN116248330A (zh) | 一种基于因果图的网络攻击路径识别方法 | |
CN116668045A (zh) | 一种多维度的网络安全综合预警方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190205 |