CN109639662A - 基于深度学习的机载网络入侵检测方法 - Google Patents
基于深度学习的机载网络入侵检测方法 Download PDFInfo
- Publication number
- CN109639662A CN109639662A CN201811489998.0A CN201811489998A CN109639662A CN 109639662 A CN109639662 A CN 109639662A CN 201811489998 A CN201811489998 A CN 201811489998A CN 109639662 A CN109639662 A CN 109639662A
- Authority
- CN
- China
- Prior art keywords
- onboard networks
- network
- detection method
- deep learning
- intrusion detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于深度学习的机载网络入侵检测方法。其包括数据包监听、数据包采集、时间戳标记、过滤采样、特征映射、字符型特征数值化、归一化处理、特征学习、性能评估等步骤。本发明提供的方法生成的机载网络入侵检测模型与传统的检测模型相比具有更好的检测性能,降低了由于漏检或误报而导致机载网络遭受攻击的概率。
Description
技术领域
本发明属于网络安全技术领域,特别是涉及一种基于深度学习的机载网络入侵检测方法。
背景技术
机载网络在全球范围内取得了飞速的发展,并预期在未来20年内打造一个价值1300亿美元的市场。但曾一度被认为是最后的网络孤岛的飞机,其网络开放性的增强同时也为复杂多变的网络攻击敞开了大门。开放性带来的安全问题给处于快速发展阶段的机载网络提出挑战,对机载网络安全问题的研究迫在眉睫。
Jacob基于多独立安全层(MILS)理念提出以标签、过滤、信息流控制等为例的中间服务,并使用分区通信系统来负责各MILS节点间的通信。Laarouchi等,提出类似“二极管”的解决方案,允许自上而下(即从风险等级较高向风险等级较低方向)的信息流,而对自下而上的信息流采取Totel完整性模型验证来确保其符合安全性要求。Silvia提出基于机器学习算法的机载网络异常检测模型,分别选取监督式学习中的单分类支持向量机算法和非监督式学习中的子空间聚类算法对模型进行了训练,并使用局部离群因子降低误报率。
然而由于网络入侵数据越来越呈现出复杂化、特征多样化的特点,受限于时间、空间复杂度的约束,传统的机器学习算法往往会表现得捉襟见肘,极易出现“维度爆炸”问题,导致检测模型的误报率、漏报率高和自适应能力差。深度学习凭借其强大的特征提取能力和对复杂数据的处理能力在近年来飞速发展,席卷计算机视觉、语音识别、人体行为识别、多模态学习等众多领域,均取得了优异的成果。
通过对以上文献的研究和分析发现,入侵检测作为一种主动的网络安全保障措施,以一个独立自治模块的形式接入机载网络环境中,不会给飞机原系统引入新的安全问题。同时,深度学习理论作为一种优秀的特征降维工具,可与传统机器学习方法相结合,解决过去检测性能的瓶颈问题。
发明内容
为了解决上述问题,本发明的目的在于提供一种基于深度学习的机载网络入侵检测方法。
为了达到上述目的,本发明提供的基于深度学习的机载网络入侵检测方法包括按顺序进行的下列步骤:
1)对机载网络交换的通信数据包进行监听和采集,并加上时间戳;
2)对步骤1)中获得的通信数据包进行特征映射,提取出包括协议类型、服务类型、连接状态在内的网络特征,并由这些网络特征生成特征数据集;
3)对上述特征数据集进行预处理,首先将字符型离散特征转换为数值型特征,然后进行归一化使特征无量纲且同量级;
4)从步骤3)获得的经过预处理的特征数据集中抽取20%的特征作为测试集,其余80%作为训练集;
5)设计深度置信网络的结构,首先确定多层受限玻尔兹曼机结构节点数,然后在受限玻尔兹曼机末端连接BP神经网络层;以步骤4)中得到的训练集作为首层受限玻尔兹曼机的输入,经迭代训练后,得到固化的深度置信网络模型;
6)设计支持向量机分类层,以步骤5)中受限玻尔兹曼机末层输出作为输入,经监督式训练后,得到固化的深度置信网络-支持向量机混合模型并作为机载网络入侵检测模型;
7)将步骤4)中得到的测试集输入上述固化的深度置信网络-支持向量机混合模型中得出最终分类结果;
8)从准确率、精确率、召回率和F1指标四个方面对上述最终分类结果进行评估,以判断上述机载网络入侵检测模型的性能是否符合检测要求;
9)在机载网络入侵检测模型经过性能评估达到要求的前提下,将待检测的机载网络交换的通信数据包输入机载网络入侵检测模型,根据机载网络入侵检测模型的输出即可确定出机载网络中是否出现恶意的入侵行为。
在步骤1)中,所述的采集机载网络交换的通信数据包的方法是:在乘客信息和娱乐服务域中接入一个设置为混杂模式的网卡,监听并采集经过该网卡的数据流。
在步骤3)中,所述的将字符型离散特征转换为数值型特征的方法是采用One Hot编码,将N个字符型离散特征状态用N位状态寄存器表示,每种特征状态都只对应一个有效寄存器位。
在步骤5)中,所述的深度置信网络模型采用4层受限玻尔兹曼机及单层BP神经网络结构。
在步骤6)中,所述的深度置信网络-支持向量机混合模型采用Rbf核函数,将样本映射到一个线性可分的高维空间。
与现有技术相比,本发明提供的基于深度学习的机载网络入侵检测方法生成的机载网络入侵检测模型与传统的检测模型相比具有更好的检测性能,降低了由于漏检或误报而导致的机载网络遭受攻击的概率。
附图说明
图1为本发明提供的基于深度学习的机载网络入侵检测方法流程图。
图2为本发明提供的混合深度置信网络结构图。
具体实施方式
下面结合附图及具体实施例对本发明做进一步的说明,但下述实施例绝非对本发明有任何限制。
如图1所示,本发明提供的基于深度学习的机载网络入侵检测方法包括按顺序进行的下列步骤:
1)对机载网络交换的通信数据包进行监听和采集,并加上时间戳;
在乘客信息和娱乐服务域(PIESD)中接入一个设置为混杂模式的网卡,监听并采集经过该网卡的数据流。
2)对步骤1)中获得的通信数据包进行特征映射,提取出包括协议类型、服务类型、连接状态在内的网络特征,并由这些网络特征生成特征数据集;
3)对上述特征数据集进行预处理,首先将字符型离散特征转换为数值型特征,然后进行归一化使特征无量纲且同量级;
所述的将字符型离散特征转换为数值型特征的方法是采用One Hot编码,将N个字符型离散特征状态用N位状态寄存器表示,每种特征状态都只对应一个有效寄存器位。
4)从步骤3)获得的经过预处理的特征数据集中抽取20%的特征作为测试集,其余80%作为训练集;
5)设计如图2所示的深度置信网络(DBN)的结构,首先确定多层受限玻尔兹曼机(RBM)结构节点数,然后在受限玻尔兹曼机末端连接BP神经网络层;以步骤4)中得到的训练集作为首层受限玻尔兹曼机的输入,经迭代训练后,得到固化的深度置信网络模型;
所述的深度置信网络模型采用4层受限玻尔兹曼机及单层BP神经网络结构。
6)设计支持向量机(SVM)分类层,以步骤5)中受限玻尔兹曼机末层输出作为输入,经监督式训练后,得到固化的深度置信网络-支持向量机(DBN-SVM)混合模型并作为机载网络入侵检测模型;
所述的深度置信网络-支持向量机混合模型采用Rbf核函数,将样本映射到一个线性可分的高维空间。
7)将步骤4)中得到的测试集输入上述固化的深度置信网络-支持向量机混合模型中得出最终分类结果;
8)从准确率、精确率、召回率和F1指标四个方面对上述最终分类结果进行评估,以判断上述机载网络入侵检测模型的性能是否符合检测要求;
9)在机载网络入侵检测模型经过性能评估达到要求的前提下,将待检测的机载网络交换的通信数据包输入机载网络入侵检测模型,根据机载网络入侵检测模型的输出即可确定出机载网络中是否出现恶意的入侵行为。
本发明提供的基于深度学习的机载网络入侵检测方法的具体实施过程如下:
首先,在PIESD中接入一个设置为混杂模式的网卡,监听所有经过该网卡的数据流。使用Python的Scapy库实现数据采集功能,捕获和解码网络协议数据包。使用其内置的sniff()函数从网络环境中读取数据包或离线读取pcap格式的数据包文件。使用Python内置的time模块生成时间戳,添加到数据包信息中,以便后期跟踪或查找。
其次,对采集的通信数据包进行特征映射,得到特征数据集。使用One Hot编码将字符型离散特征转换为数值型特征,使用Scikit-learn的MinMaxScaler进行归一化,以避免不同特征之间由于数量级和量纲不同产生的影响。
然后,从经过预处理的特征数据集中随机抽取80%的特征作为训练集,其余20%作为测试集。设计混合深度置信网络的结构,自下而上分为多个RBM层、BP神经网络层以及SVM分类层。以训练集为首层RBM的输入,使用对比散度算法非监督式逐层对RBM进行预训练,使用误差反向传播算法对BP网络进行权值微调。配置Rbf核SVM,以末层RBM输出为输入,监督式训练SVM,得到固化的DBN-SVM混合检测模型。
最后,将测试集输入到固化的DBN-SVM混合检测模型中,得到测试集的最终分类结果,并从准确率、精确率、召回率以及F1指标对最终分类结果进行评估,判断该入侵检测模型是否符合检测要求;先定义以下参数:真正类(True Positive,TP),表示入侵数据被分类为恶意的样本个数;假正类(False Positive,FP),表示良性数据被分类为恶意的样本个数;真负类(True Negative,TN),表示良性数据被分类为良性的样本个数;假负类(FalseNegative,FN),表示入侵数据被分类为良性的样本个数;准确率(Accuracy)=(TP+TN)/(TP+TN+FP+FN),用来衡量总体分类精度;精确率(Precision)=TP/(TP+FP),表示所有被标记为恶意数据的样本中实际为恶意的比例;召回率(Recall)=TP/(TP+FN),表示识别出的恶意数据占实际恶意数据的比例;F1指标=(2×Precision×Recall)/(Precision+Recall),表示准确率与召回率的调和平均值。
Claims (5)
1.一种基于深度学习的机载网络入侵检测方法,其特征在于:所述的检测方法包括按顺序进行的下列步骤:
1)对机载网络交换的通信数据包进行监听和采集,并加上时间戳;
2)对步骤1)中获得的通信数据包进行特征映射,提取出包括协议类型、服务类型、连接状态在内的网络特征,并由这些网络特征生成特征数据集;
3)对上述特征数据集进行预处理,首先将字符型离散特征转换为数值型特征,然后进行归一化使特征无量纲且同量级;
4)从步骤3)获得的经过预处理的特征数据集中抽取20%的特征作为测试集,其余80%作为训练集;
5)设计深度置信网络的结构,首先确定多层受限玻尔兹曼机结构节点数,然后在受限玻尔兹曼机末端连接BP神经网络层;以步骤4)中得到的训练集作为首层受限玻尔兹曼机的输入,经迭代训练后,得到固化的深度置信网络模型;
6)设计支持向量机分类层,以步骤5)中受限玻尔兹曼机末层输出作为输入,经监督式训练后,得到固化的深度置信网络-支持向量机混合模型并作为机载网络入侵检测模型;
7)将步骤4)中得到的测试集输入上述固化的深度置信网络-支持向量机混合模型中得出最终分类结果;
8)从准确率、精确率、召回率和F1指标四个方面对上述最终分类结果进行评估,以判断上述机载网络入侵检测模型的性能是否符合检测要求;
9)在机载网络入侵检测模型经过性能评估达到要求的前提下,将待检测的机载网络交换的通信数据包输入机载网络入侵检测模型,根据机载网络入侵检测模型的输出即可确定出机载网络中是否出现恶意的入侵行为。
2.根据权利要求1所述的基于深度学习的机载网络入侵检测方法,其特征在于:在步骤1)中,所述的采集机载网络交换的通信数据包的方法是:在乘客信息和娱乐服务域中接入一个设置为混杂模式的网卡,监听并采集经过该网卡的数据流。
3.根据权利要求1所述的基于深度学习的机载网络入侵检测方法,其特征在于:在步骤3)中,所述的将字符型离散特征转换为数值型特征的方法是采用One Hot编码,将N个字符型离散特征状态用N位状态寄存器表示,每种特征状态都只对应一个有效寄存器位。
4.根据权利要求1所述的基于深度学习的机载网络入侵检测方法,其特征在于:在步骤5)中,所述的深度置信网络模型采用4层受限玻尔兹曼机及单层BP神经网络结构。
5.根据权利要求1所述的基于深度学习的机载网络入侵检测方法,其特征在于:在步骤6)中,所述的深度置信网络-支持向量机混合模型采用Rbf核函数,将样本映射到一个线性可分的高维空间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811489998.0A CN109639662A (zh) | 2018-12-06 | 2018-12-06 | 基于深度学习的机载网络入侵检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811489998.0A CN109639662A (zh) | 2018-12-06 | 2018-12-06 | 基于深度学习的机载网络入侵检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109639662A true CN109639662A (zh) | 2019-04-16 |
Family
ID=66071866
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811489998.0A Pending CN109639662A (zh) | 2018-12-06 | 2018-12-06 | 基于深度学习的机载网络入侵检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109639662A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112751813A (zh) * | 2019-10-31 | 2021-05-04 | 国网浙江省电力有限公司 | 一种网络入侵检测方法及装置 |
| CN113067839A (zh) * | 2021-06-02 | 2021-07-02 | 中国人民解放军国防科技大学 | 一种基于多模态神经网络的恶意加密流量检测方法 |
| CN113079158A (zh) * | 2021-04-01 | 2021-07-06 | 南京微亚讯信息科技有限公司 | 一种基于深度学习的网络大数据安全防护方法 |
| CN117275157A (zh) * | 2023-11-21 | 2023-12-22 | 青岛民航凯亚系统集成有限公司 | 一种基于雷达和视频融合的围界入侵报警系统及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895465A (zh) * | 2010-07-05 | 2010-11-24 | 北京航空航天大学 | 一种具有分布式交换的机载网络及其在该机载网络下的信息通信方法 |
| CN104935600A (zh) * | 2015-06-19 | 2015-09-23 | 中国电子科技集团公司第五十四研究所 | 一种基于深度学习的移动自组织网络入侵检测方法与设备 |
| US20160132787A1 (en) * | 2014-11-11 | 2016-05-12 | Massachusetts Institute Of Technology | Distributed, multi-model, self-learning platform for machine learning |
-
2018
- 2018-12-06 CN CN201811489998.0A patent/CN109639662A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895465A (zh) * | 2010-07-05 | 2010-11-24 | 北京航空航天大学 | 一种具有分布式交换的机载网络及其在该机载网络下的信息通信方法 |
| US20160132787A1 (en) * | 2014-11-11 | 2016-05-12 | Massachusetts Institute Of Technology | Distributed, multi-model, self-learning platform for machine learning |
| CN104935600A (zh) * | 2015-06-19 | 2015-09-23 | 中国电子科技集团公司第五十四研究所 | 一种基于深度学习的移动自组织网络入侵检测方法与设备 |
Non-Patent Citations (2)
| Title |
|---|
| 安琪: "基于深度置信网络的入侵检测研究", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
| 王贵喜: "基于深度学习的支持向量机的信息安全检测和预警研究", 《研究与设计》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112751813A (zh) * | 2019-10-31 | 2021-05-04 | 国网浙江省电力有限公司 | 一种网络入侵检测方法及装置 |
| CN113079158A (zh) * | 2021-04-01 | 2021-07-06 | 南京微亚讯信息科技有限公司 | 一种基于深度学习的网络大数据安全防护方法 |
| CN113067839A (zh) * | 2021-06-02 | 2021-07-02 | 中国人民解放军国防科技大学 | 一种基于多模态神经网络的恶意加密流量检测方法 |
| CN117275157A (zh) * | 2023-11-21 | 2023-12-22 | 青岛民航凯亚系统集成有限公司 | 一种基于雷达和视频融合的围界入侵报警系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109639662A (zh) | 基于深度学习的机载网络入侵检测方法 | |
| CN103581186B (zh) | 一种网络安全态势感知方法及系统 | |
| CN112491796B (zh) | 一种基于卷积神经网络的入侵检测及语义决策树量化解释方法 | |
| CN109615116A (zh) | 一种电信诈骗事件检测方法和检测系统 | |
| CN110047506B (zh) | 一种基于卷积神经网络和多核学习svm的关键音频检测方法 | |
| CN108376151A (zh) | 问题分类方法、装置、计算机设备和存储介质 | |
| CN108537259A (zh) | 基于粗糙集-神经网络模型的列控车载设备故障分类与识别方法 | |
| CN109446804B (zh) | 一种基于多尺度特征连接卷积神经网络的入侵检测方法 | |
| CN108965340A (zh) | 一种工业控制系统入侵检测方法及系统 | |
| CN107766852A (zh) | 一种基于卷积神经网络的人机鼠标轨迹检测方法 | |
| CN113376516A (zh) | 一种基于深度学习的中压真空断路器运行故障自诊断与预警方法 | |
| CN110365639A (zh) | 一种基于深度残差网络的恶意流量检测方法及系统 | |
| CN110263822A (zh) | 一种基于多任务学习方式的图像情感分析方法 | |
| CN114662497A (zh) | 一种基于协同神经网络的虚假新闻检测方法 | |
| Khan et al. | Efficient behaviour specification and bidirectional gated recurrent units‐based intrusion detection method for industrial control systems | |
| CN117675384B (zh) | 一种智慧园区数据安全管理方法和系统 | |
| CN114915575B (zh) | 一种基于人工智能的网络流量检测装置 | |
| CN116662184A (zh) | 一种基于Bert的工控协议模糊测试用例筛选方法及系统 | |
| CN116488914A (zh) | 基于GCN-BiLSTM的动态权限访问控制方法 | |
| CN117633604A (zh) | 音视频智能处理方法、装置、存储介质和电子设备 | |
| Pan et al. | A unioned graph neural network based hardware Trojan node detection | |
| CN116318925A (zh) | 一种多cnn融合入侵检测方法、系统、介质、设备及终端 | |
| CN116226756A (zh) | 开放域社会事件分类方法、装置、电子设备和存储介质 | |
| CN106530199B (zh) | 基于窗口式假设检验的多媒体综合隐写分析方法 | |
| CN108768774A (zh) | 一种定量化的网络安全评估方法及评估系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190416 |