CN109379379A - 基于改进卷积神经网络的网络入侵检测方法 - Google Patents

Abstract

一种基于改进卷积神经网络的网络入侵检测方法。其包括获取数据集、数值化、归一化处理、改进卷积神经网络模型训练、模型参数迭代优化、获得五分类器、输出五维混淆矩阵而作为分类结果和对分类结果进行评估等步骤；本发明提供的基于改进卷积神经网络的网络入侵检测方法以改进卷积神经网络模型为基础，结合跨层设计方式，利用预处理后的原始样本数据集进行模型训练，经过不断的特征提取和迭代优化，使模型达到良好的收敛效果，然后利用训练好的分类器进行分类测试，本方法能够提升入侵检测效果的可行性和有效性。

Description

基于改进卷积神经网络的网络入侵检测方法

技术领域

本发明属于网络信息安全技术领域，特别涉及一种基于改进卷积神经网络的网络入侵检测方法。

背景技术

网络入侵检测系统(Network Intrusion Detection System，NIDS)，是指对收集漏洞信息、造成拒绝访问及获取超出合法范围的系统控制权等危害计算机系统安全的行为进行检测的软件与硬件的组合。随着新型网络攻击特征的不断出现，适应性强且稳定有效的入侵检测方法成为一项迫切需要。目前，通用的网络身份验证机制和防火墙技术虽然能够满足用户基本的安全防护需求，但是防护能力相对较弱，一旦遭遇专业黑客的恶意攻击，这些防护措施就形同虚设。目前以误用检测和异常检为代表的入侵检测方法普遍存在检测精度低和特征提取效率低、误报率高等不足。随着人工智能方法在入侵检测系统(Intrusion Detection System，IDS)中的应用研究，基于人工智能的检测方法已经成为IDS研究的热点之一。

目前在入侵检测方法中应用的人工智能方法主要包括神经网络、遗传算法和免疫算法等，这些方法虽然在样本识别能力和性能上均有提升，但是在网络训练中存在过拟合和泛化能力差等不足，检测精度和检测效率还有待提高。

发明内容

为了解决上述问题，本发明的目的在于提供一种基于改进卷积神经网络的网络入侵检测方法。

为了达到上述目的，本发明提供的基于改进卷积神经网络的网络入侵检测方法包括按顺序进行的下列步骤：

1)获取数据集的S1阶段：从GitHub官网获取由训练集KDDTrain、测试集KDDTest+和测试集KDDTest-21共三个子数据集构成的NSL-KDD CUP数据集，然后进入S2阶段；

2)数值化处理的S2阶段：将步骤1)中获得的训练集和测试集数据分别进行数值化处理，对于protocol_type型特征的3种类型数据的属性：TCP，UDP和ICMP，将其分别编码为二进制特征向量(1,0,0)，(0,1,0)和(0,0,1)；将service型特征的数据所包含的70种符号属性通过编码变为70维二进制特征向量；将flag型特征的数据所包含的11种符号属性通过编码变为11维二进制特征向量，然后进入S3阶段；

3)归一化处理的S3阶段：将上述每个特征的数据取值范围统一线性映射在[0,1]区间内，由此获得预处理后的训练集和测试集；

4)改进卷积神经网络模型训练的S4阶段：将预处理后的训练集作为输入数据代入改进卷积神经网络模型而进行前向传播，利用改进卷积神经网络模型的自主学习能力进行特征提取，然后进入S5阶段；

5)模型参数迭代优化的S5阶段：利用Softmax层对预处理后的训练集的样本分类结果，计算出整体的误差参数值Loss，根据误差参数值Loss进行反向传播；在反向传播过程中，为了快速找到最优权重w和偏置b，使改进卷积神经网络的输出f(x)能够拟合所有的训练输入x，设定一个损失函数C(w,b)，用以找出最优的参数组合，以此量化改进卷积神经网络模型的拟合程度，通过最小化上述损失函数计算出损失函数值，然后进入S6阶段；

6)获得五分类器的S6阶段：经过步骤4)和步骤5)的模型训练和模型参数迭代优化过程，获得以Normal，Probe，DOS，U2R，R2L为5类标签训练出的五分类器，然后进入S7阶段；

7)输出五维混淆矩阵作为分类结果的S7阶段：将步骤3)中获得的预处理后的测试集KDDTest+数据中的五种类型数据Normal，Probe，DOS，U2R，R2L作为5类标签，代入上述五分类器进行分类检测，最终五分类器输出五维混淆矩阵作为分类结果，然后进入S8阶段；

8)对分类结果进行评估的S8阶段：以准确率、真正率和误报率作为评估指标对上述分类结果进行评估，以判断本基于改进卷积神经网络模型的网络入侵检测方法是否符合检测要求。

在步骤2)中，所述的对子数据集中的数据进行数值化处理时，采用独热编码方法，将子数据集中具有符号型特征的数据映射为数字特征向量。

在步骤5)中，所述的模型参数迭代优化的方法是采用跨层聚合的网络设计方式，从第二次卷积操作开始，将卷积后的结果保存，之后再单独进行卷积、池化、全连接操作，在对第3次卷积操作的输出结果执行同样操作后，使用Tensorflow中的concat()函数对跨层聚合网络的输出数据执行合并操作，根据SoftMax层的分类结果计算误差参数值Loss，进行反向传播，通过迭代优化网络权值和偏置，直至改进卷积神经网络模型达到良好的收敛效果。

在步骤5)中，所述的损失函数采用随机梯度下降算法进行最小化。

在步骤5)中，所述的损失函数值C(w,b)的计算步骤如下：

步骤1设置初始激活值a¹并输入；

步骤2计算加权和z^l＝w^la^l-1+b^l与各层节点激活值a^l＝σ(z^l)，其中l＝(1,2,3,…,L)，进行前向传播；

步骤3计算改进卷积神经网络的各输出层误差并输出；

步骤4根据获取的每一输出层误差δ^l＝((w^l+1)^Tδ^l+1⊙σ’z^l)进行反向传播，其中，l＝(L-1,L-2,…)；

步骤5计算并输出损失函数值的任意权重的变化率和任意偏置的变化率

步骤6将步骤5的结果，分别代入公式(2)和(3)获取最优权重w和偏置b，然后根据公式(1)获取损失函数值，通过反复执行步骤1到步骤5的过程，直至获取最优的权重和偏置集合，使损失函数值最小；

与现有技术相比，本发明提供的基于改进卷积神经网络的网络入侵检测方法以改进卷积神经网络模型为基础，结合跨层设计方式，利用预处理后的原始样本数据集进行模型训练，经过不断的特征提取和迭代优化，使模型达到良好的收敛效果，然后利用训练好的分类器进行分类测试，本方法能够提升入侵检测效果的可行性和有效性。

附图说明

图1为本发明提供的基于改进卷积神经网络的网络入侵检测方法流程图。

图2为本发明提供的基于改进卷积神经网络的网络入侵检测方法架构图。

图3为本发明提供的损失函数值计算流程图。

具体实施方式

下面结合附图及具体实施例对本发明做进一步的说明，但下述实施例绝非对本发明有任何限制。

如图1、图2所示，本发明提供的基于改进卷积神经网络的网络入侵检测方法包括按顺序进行的下列步骤：

1)获取数据集的S1阶段：从GitHub官网获取由训练集KDDTrain、测试集KDDTest+和测试集KDDTest-21共三个子数据集构成的NSL-KDD CUP数据集，然后进入S2阶段；

2)数值化处理的S2阶段：将步骤1)中获得的训练集KDDTrain、测试集KDDTest+和测试集KDDTest-21中的数据分别进行数值化处理，对于protocol_type型特征的3种类型数据的属性：TCP，UDP和ICMP，将其分别编码为二进制特征向量(1,0,0)，(0,1,0)和(0,0,1)；将service型特征的数据所包含的70种符号属性通过编码变为70维二进制特征向量；将flag型特征的数据所包含的11种符号属性通过编码变为11维二进制特征向量，然后进入S3阶段；

所述的对子数据集中的数据进行数值化处理时，采用独热即One-hot编码方法，将子数据集中具有符号型特征的数据映射为数字特征向量。

3)归一化处理的S3阶段：经过步骤2)的数值化处理后，为了便于运算处理和消除量纲，需要采用归一化的处理方法，将上述每个特征的数据取值范围统一线性映射在[0,1]区间内，由此获得预处理后的训练集和测试集；

4)改进卷积神经网络(ICNN)模型训练的S4阶段：该模型主要是通过前向传播过程对数据集进行特征提取。具体执行步骤为：将预处理后的训练集作为输入数据代入改进卷积神经网络模型而进行前向传播，利用改进卷积神经网络模型的自主学习能力进行特征提取，然后进入S5阶段；

5)模型参数迭代优化的S5阶段：为了使步骤4)的改进卷积神经网络模型训练达到好的收敛效果，需要通过反向传播过程对模型参数进行优化。利用Softmax层对预处理后的训练集的样本分类结果，计算出整体的误差参数值Loss，根据误差参数值Loss进行反向传播；在反向传播过程中，为了快速找到最优权重w和偏置b，使改进卷积神经网络的输出f(x)能够拟合所有的训练输入x，设定一个损失函数C(w,b)，用以找出最优的参数组合，以此量化改进卷积神经网络模型的拟合程度，通过最小化上述损失函数计算出损失函数值，然后进入S6阶段；

具体方法是采用跨层聚合的网络设计方式，从第二次卷积操作开始，将卷积后的结果保存，之后再单独进行卷积、池化、全连接操作，在对第3次卷积操作的输出结果执行同样操作后，使用Tensorflow中的concat()函数对跨层聚合网络的输出数据执行合并操作，根据SoftMax层的分类结果计算误差参数值Loss，进行反向传播，通过迭代优化网络权值和偏置，直至改进卷积神经网络模型达到良好的收敛效果。

如图3所示，所述的损失函数值C(w,b)的计算步骤如下：

步骤1设置初始激活值a¹并输入；

步骤2计算加权和z^l＝w^la^l-1+b^l与各层节点激活值a^l＝σ(z^l)，其中l＝(1,2,3,…,L)，进行前向传播；

步骤3计算改进卷积神经网络的各输出层误差并输出；

步骤4根据获取的每一输出层误差δ^l＝((w^l+1)^Tδ^l+1⊙σ’z^l)进行反向传播，其中，l＝(L-1,L-2,…)；

步骤5计算并输出损失函数值的任意权重的变化率和任意偏置的变化率

步骤6将步骤5的结果，分别代入公式(2)和(3)获取最优权重w和偏置b，然后根据公式(1)获取损失函数值。

6)获得五分类器的S6阶段：经过步骤4)和步骤5)的模型训练和模型参数迭代优化过程，获得以Normal，Probe，DOS，U2R，R2L为5类标签训练出的五分类器，然后进入S7阶段；

7)输出五维混淆矩阵作为分类结果的S7阶段：将步骤3)中获得的预处理后的测试集KDDTest+数据中的五种类型数据Normal，Probe，DOS，U2R，R2L作为5类标签，代入上述五分类器进行分类检测，最终五分类器输出五维混淆矩阵作为分类检测结果，然后进入S8阶段；

8)对分类结果进行评估的S8阶段：以准确率、真正率和误报率作为评估指标对上述分类结果进行评估，以判断本基于改进卷积神经网络模型的网络入侵检测方法是否符合检测要求。

本发明提供的基于改进卷积神经网络的网络入侵检测方法的实施过程如下：

首先，从GitHub官网获取NSL-KDD CUP数据集，对数据集中的三个子数据集：训练集(KDDTrain)、测试集(KDDTest+)和测试集(KDDTest-21)中的数据分别进行数值化处理：对于protocol_type型特征的3种类型数据的属性：TCP，UDP和ICMP，将其分别编码为二进制特征向量(1,0,0)，(0,1,0)和(0,0,1)；将service型特征的数据所包含的70种符号属性通过编码变为70维二进制特征向量；将flag型特征的数据所包含的11种符号属性通过编码变为11维二进制特征向量。为了便于运算处理和消除量纲，采用归一化的处理方法，将每个特征的数据取值范围统一线性映射在[0,1]区间内，由此获得预处理后的训练集和测试集；

其次，将预处理后的训练集代入改进卷积神经网络模型，进行模型训练，具体执行步骤为：将预处理后的训练集作为输入数据进行前向传播，利用改进卷积神经网络模型的自主学习能力对训练集中的数据进行特征提取；

再次，为了使改进卷积神经网络模型达到良好的收敛效果，通过反向传播过程对模型参数进行迭代优化。利用SoftMax层对训练集的样本分类结果，计算出整体的误差参数值Loss，根据误差参数值Loss进行反向传播。为了快速找到最优权重w和偏置b，使改进卷积神经网络的输出f(x)能够拟合所有的训练输入x，设定一个损失函数C(w,b)，用以找出最优的参数组合，以此量化模型拟合程度，经过不断的迭代优化，直至改进卷积神经网络模型达到良好的收敛效果。

然后，经过模型训练和模型参数迭代优化过程，获得以Normal，Probe，DOS，U2R，R2L为5类标签训练出的五分类器，利用此分类器进行分类检测，将预处理后的测试集(KDDTest+)代入上述五分类器，最终输出五维混淆矩阵，即分类结果。

Claims (5)

1.一种基于改进卷积神经网络的网络入侵检测方法，其特征在于，所述的基于改进卷积神经网络的网络入侵检测方法包括按顺序进行的下列步骤：

1)获取数据集的S1阶段：从GitHub官网获取由训练集KDDTrain、测试集KDDTest+和测试集KDDTest-21共三个子数据集构成的NSL-KDD CUP数据集，然后进入S2阶段；

2)数值化处理的S2阶段：将步骤1)中获得的训练集和测试集数据分别进行数值化处理，对于protocol_type型特征的3种类型数据的属性：TCP，UDP和ICMP，将其分别编码为二进制特征向量(1,0,0)，(0,1,0)和(0,0,1)；将service型特征的数据所包含的70种符号属性通过编码变为70维二进制特征向量；将flag型特征的数据所包含的11种符号属性通过编码变为11维二进制特征向量，然后进入S3阶段；

3)归一化处理的S3阶段：将上述每个特征的数据取值范围统一线性映射在[0,1]区间内，由此获得预处理后的训练集和测试集；

4)改进卷积神经网络模型训练的S4阶段：将预处理后的训练集作为输入数据代入改进卷积神经网络模型而进行前向传播，利用改进卷积神经网络模型的自主学习能力进行特征提取，然后进入S5阶段；

5)模型参数迭代优化的S5阶段：利用Softmax层对预处理后的训练集的样本分类结果，计算出整体的误差参数值Loss，根据误差参数值Loss进行反向传播；在反向传播过程中，为了快速找到最优权重w和偏置b，使改进卷积神经网络的输出f(x)能够拟合所有的训练输入x，设定一个损失函数C(w,b)，用以找出最优的参数组合，以此量化改进卷积神经网络模型的拟合程度，通过最小化上述损失函数计算出损失函数值，然后进入S6阶段；

6)获得五分类器的S6阶段：经过步骤4)和步骤5)的模型训练和模型参数迭代优化过程，获得以Normal，Probe，DOS，U2R，R2L为5类标签训练出的五分类器，然后进入S7阶段；

7)输出五维混淆矩阵作为分类结果的S7阶段：将步骤3)中获得的预处理后的测试集KDDTest+数据中的五种类型数据Normal，Probe，DOS，U2R，R2L作为5类标签，代入上述五分类器进行分类检测，最终五分类器输出五维混淆矩阵作为分类结果，然后进入S8阶段；

8)对分类结果进行评估的S8阶段：以准确率、真正率和误报率作为评估指标对上述分类结果进行评估，以判断本基于改进卷积神经网络模型的网络入侵检测方法是否符合检测要求。

2.根据权利要求1所述的基于改进卷积神经网络的网络入侵检测方法，其特征在于：在步骤2)中，所述的对子数据集中的数据进行数值化处理时，采用独热编码方法，将子数据集中具有符号型特征的数据映射为数字特征向量。

3.根据权利要求1所述的基于改进卷积神经网络的网络入侵检测方法，其特征在于：在步骤5)中，所述的模型参数迭代优化的方法是采用跨层聚合的网络设计方式，从第二次卷积操作开始，将卷积后的结果保存，之后再单独进行卷积、池化、全连接操作，在对第3次卷积操作的输出结果执行同样操作后，使用Tensorflow中的concat()函数对跨层聚合网络的输出数据执行合并操作，根据SoftMax层的分类结果计算误差参数值Loss，进行反向传播，通过迭代优化网络权值和偏置，直至改进卷积神经网络模型达到良好的收敛效果。

4.根据权利要求1所述的基于改进卷积神经网络的网络入侵检测方法，其特征在于：在步骤5)中，所述的损失函数采用随机梯度下降算法进行最小化。

5.根据权利要求1所述的基于改进卷积神经网络的网络入侵检测方法，其特征在于：在步骤5)中，所述的损失函数值C(w,b)的计算步骤如下：

步骤1设置初始激活值a¹并输入；

步骤2计算加权和z^l＝w^la^l-1+b^l与各层节点激活值a^l＝σ(z^l)，其中l＝(1,2,3,…,L)，进行前向传播；

步骤3计算改进卷积神经网络的各输出层误差并输出；

步骤4根据获取的每一输出层误差δ^l＝((w^l+1)^Tδ^l+1⊙σ’z^l)进行反向传播，其中，l＝(L-1,L-2,…)；

步骤5计算并输出损失函数值的任意权重的变化率和任意偏置的变化率

步骤6将步骤5的结果，分别代入公式(2)和(3)获取最优权重w和偏置b，然后根据公式(1)获取损失函数值，通过反复执行步骤1到步骤5的过程，直至获取最优的权重和偏置集合，使损失函数值最小；