CN109688154B - 一种网络入侵检测模型建立方法及网络入侵检测方法 - Google Patents

一种网络入侵检测模型建立方法及网络入侵检测方法 Download PDF

Info

Publication number
CN109688154B
CN109688154B CN201910016149.1A CN201910016149A CN109688154B CN 109688154 B CN109688154 B CN 109688154B CN 201910016149 A CN201910016149 A CN 201910016149A CN 109688154 B CN109688154 B CN 109688154B
Authority
CN
China
Prior art keywords
individual
network
population
hidden layers
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910016149.1A
Other languages
English (en)
Other versions
CN109688154A (zh
Inventor
张颖
李培嵩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Maritime University
Original Assignee
Shanghai Maritime University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Maritime University filed Critical Shanghai Maritime University
Priority to CN201910016149.1A priority Critical patent/CN109688154B/zh
Publication of CN109688154A publication Critical patent/CN109688154A/zh
Application granted granted Critical
Publication of CN109688154B publication Critical patent/CN109688154B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/086Learning methods using evolutionary algorithms, e.g. genetic algorithms or genetic programming

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Biophysics (AREA)
  • Software Systems (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computational Linguistics (AREA)
  • Biomedical Technology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Artificial Intelligence (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Physiology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种网络入侵检测模型建立方法,方法包括:基于遗传算法,初始化产生种群,将深度置信网络的隐层数、每层神经元数编码在种群的每一个个体中;对个体进行交叉操作和变异操作;对种群中的每一个个体所代表的深度置信网络进行训练和测试;根据预设的与隐层相关的适应值函数,计算种群中每个个体的适应度值;采用轮盘赌选择法获得筛选后的个体,并判断当前迭代次数是否小于预设次数;迭代次数达到预设次数时从最后一代种群中选取适应度值最大的个体,根据所选取的个体解析后获得隐层数和每层神经元数;确定深度置信网络。以及提供一种网络入侵检测方法,应用本发明实施例产生最优的深度置信网络,其检测准确率高,隐层数少,且结构均衡。

Description

一种网络入侵检测模型建立方法及网络入侵检测方法
技术领域
本发明涉及网络安全检测技术领域,特别是涉及一种网络入侵检测模型建立方法及网络入侵检测方法。
背景技术
经过20多年的发展,物联网时代已经逐渐进入我们的生活,随着物联网技术的快速发展,物联网技术得到了广泛的应用,从传统设备到普通家庭应用,大大提高了人民的生活质量。针对物联网的研究和投入已逐渐成为当前高科技公司的共识。但是一方面由于以传感器为代表的感知设备、以RFID为代表的识别设备、GPS等定位追踪设备以及可能融合部分或全部上述功能的智能终端等物联网终端设备性能低下,单点计算能力不足;终端设备物理分布较广、开放性强,容易被敌手捕获;网络拓扑组网灵活,易于从网络内部发起攻击等特征,导致了传统的基于算法复杂度的安全协议设计方案将不再适合保护物联网设备的安全。另一方面,入侵检测系统是一种后验性安全防护方法,也是一种被学术和工业界高度认同的安全防护体制。
现有的物联网系统在安全性方面还不够完善,大部分物联网采用防火墙、认证或者加密等技术来提高其安全性,这些技术均属于被动防御,针对某些特定的攻击效果较好,不能主动发现攻击行为并及时采取处置或预防措施。常用的检测方法包括特征检测和异常检测。其中,特征检测是对入侵行为的特征做出确定性的描述,形成相应的规则并汇总成一个特征库,然后将采集的数据信息与特征库进行比对,如果相匹配则确认该行为为入侵行为,如果不匹配则确认该行为是正常行为。异常检测是对正常行为的特征做出确定性的描述,形成相应的规则并进行汇总形成规则库,然后将采集的数据信息与规则库进行比对,如果相匹配则确认此行为是正常行为,如果不匹配则确认此行为是入侵行为。
可见,现有的网络入侵检测方法不能准确地检测到入侵行为,存在检测的结果不可靠的技术问题。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种网络入侵检测模型建立方法及网络入侵检测方法,与传统网络入侵检测方法相比,通过采用改进的遗传算法,能够针对不同的攻击数据,得到最优的网络结构,提高深度置信网络的自适应性;以及采用遗传算法在达迭代结束后保留适应度值最高的个体,解析后产生最优的深度置信网络,其检测准确率高,隐层数少,且结构均衡。
为实现上述目的及其他相关目的,本发明提供一种网络入侵检测模型建立方法,所述方法包括:
(11)基于遗传算法,初始化产生种群,将深度置信网络的隐层数、每层神经元数编码在种群的每一个个体中;
(12)对个体进行交叉操作和变异操作;
(13)采用训练样本,对种群中的每一个个体所代表的深度置信网络进行训练和测试,并测试得到每个个体所代表的网络入侵检测率;
(14)根据预设的与隐层相关的适应值函数,计算种群中每个个体的适应度值;
(15)轮盘赌选择法操作:
(151)计算出每个个体被遗传到下一代群体中的概率;
(152)计算出每个个体的累积概率;
(153)采用轮盘赌选择法获得筛选后的个体,并判断当前迭代次数是否小于预设次数;如果是,执行步骤(12);否则,执行步骤(16);
(16)在迭代次数达到预设次数时,从最后一代种群中选取适应度值最大的个体,根据所选取的个体解析后获得隐层数和每层神经元数;
(17)基于所获得的隐层数和每层神经元数,确定深度置信网络。
本发明的一种实现方式中,所述将深度置信网络的隐层数、每层神经元数编码在种群的每一个个体中的步骤,包括:
确定深度置信网络的隐层数;
根据所述隐层数设置个体的长度,
将每层神经元数编码在种群的每一个个体中。
本发明的一种实现方式中,所述深度置信网络的隐层数为不大于三个。
本发明的一种实现方式中,对个体进行交叉操作的步骤,包括:
随机选择两个个体;
确定两个个体的相同隐层;
基于所确定的相同隐层进行交叉操作。
本发明的一种实现方式中,所述适应值函数,具体表达为:
f=w1×p+w2×l+w3×(1-σ*)
其中,f为适应值;p为当前深度置信网络的检测率;l为网络隐层数的倒数;w1、w2和w3是预先设置的权值,σ*表示归一化的多隐层网络结构的复杂度。
本发明的一种实现方式中,所述计算出每个个体被遗传到下一代群体中的概率所采用的公式具体表达为:
Figure GDA0003211175800000031
其中,p(xi)代表第i个个体被遗传到下一代群体中的概率,N为种群的大小,xi代表第i个个体,xj表示第j个个体,f(xi)是第i个个体的适应值。
本发明的一种实现方式中,所述计算出每个个体的累积概率所采用的公式为:
Figure GDA0003211175800000032
其中,qi是第i个个体的累计概率,p(xj)是第j个个体被遗传到下一代群体中的概率。
本发明的一种实现方式中,所述采用轮盘赌选择法获得筛选后的个体的步骤,包括:
(81)针对所选择的种群,在[0,1]区间内产生一个随机数r;
(82)若r小于第一个个体的累计概率,则选择个体1,否则执行:在q[k-1]<r≤q[k]成立时,选择个体k,其中,q[k-1]表示第k-1个个体的累计概率,q[k]表示第k个个体的累计概率,其中,k为整数,且k≥2;
(83)重复步骤(81)和步骤(82),直至所有种群判断完毕。
本发明的一种实现方式中,训练样本的采集步骤,包括:
获取网关的待测试流量数据,并对所述待测试流量数据进行分类,形成正常行为样本数据集和入侵行为样本数集,其中,所述入侵行为样本包含多种攻击类型样本。
以及,本发明实施例还公开了一种网络入侵检测方法,所述方法还包括:
采用流量抓包软件抓取网关的待检测流量数据;
对所述待检测流量数据进行编码和归一化处理,形成待测数据;
基于所确定的深度置信网络,对所述待测数据进行检测,得到检测结果。
如上所述,本发明实施例提供的一种网络入侵检测模型建立方法和网络入侵检测方法,与传统网络入侵检测方法相比,通过采用改进的遗传算法,能够针对不同的攻击数据,得到最优的网络结构,提高深度置信网络的自适应性;以及采用遗传算法在达迭代结束后保留适应度值最高的个体,解析后产生最优的深度置信网络,其检测准确率高,隐层数少,且结构均衡。
附图说明
图1是本发明实施例的一种网络入侵检测模型建立方法的一种流程示意图。
图2是本发明实施例的一种网络入侵检测模型建立方法的一种具体实施方式。
图3是本发明实施例的一种网络入侵检测模型建立方法的一种具体实施方式。
图4是本发明实施例的一种网络入侵检测方法的一种流程图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。
请参阅图1-4。需要说明的是,本实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
如图1所示,本发明实施例提供一种网络入侵检测模型建立方法,所述方法包括:
S11、基于遗传算法,初始化产生种群,将深度置信网络的隐层数、每层神经元数编码在种群的每一个个体中。
需要说明的是,本发明实施例以物联网为例进行说明。深度置信网络由多个限制波尔兹曼机(RBMs)构成,其模型是一个基于概率的能量模型。通过深度置信网络的输出对行为进行分类(正常类和异常类),每一类输出一个[0,1]之间的数字。根据输出的数字大小进行判断其所属的类别。
在使用遗传算法时,首先初始化产生种群,种群中的每个个体代表一个随机产生的网络结构,包括隐层数和每层神经元数。
一种实施例中,所述将深度置信网络的隐层数、每层神经元数编码在种群的每一个个体中的步骤,包括:
确定深度置信网络的隐层数;
根据所述隐层数设置个体的长度,
将每层神经元数编码在种群的每一个个体中。
具体实现中,具体的深度置信网络的隐层数为不大于三个,本领域技术人员可以理解的是,对于深度置信网络来说,最多三个隐藏层足以产生满足用户要求的结果,示例性的,直接将网络结构的三个隐层的节点数目直接编码在种群每一个个体当中。具体的,深度置信网络的隐层数也可以为其他值,本发明实施例在此不做具体限定。
如图2所示,每个个体的长度为18位:前6位保留给第一隐藏层,7-12位用于第二隐藏层,13-18位用于第三隐藏层。
S12、对个体进行交叉操作和变异操作。
传统的方法是相邻两条染色体进行交叉。但是,通过轮盘赌法选择出来的染色体,相邻的两条有时是相同的染色体,所以交叉操作后两条染色体仍不变,这样交叉操作就没有作用。
为解决这一问题,本发明的一种实现方式中,交叉操作的过程为:随机选择两个个体;确定两个个体的相同隐层;基于所确定的相同隐层进行交叉操作。示例性的,如果有n个个体,则第1个个体与第n/2+1个个体交叉,第2个个体与第n/2+2个个体交叉,依次类推;由于相交叉的个体的隐层数可能不同,对于这种情况,采取的方法是随机选择两个个体共有的某一层进行交叉。变异操作是对个体中的某一位进行改变,其编码从0改为1,或从1改为0。
S13、采用训练样本,对种群中的每一个个体所代表的深度置信网络进行训练和测试,并测试得到每个个体所代表的网络入侵检测率。
本发明的一种实现方式中,训练样本的采集步骤,包括:
获取网关的待测试流量数据,并对所述待测试流量数据进行分类,形成正常行为样本数据集和入侵行为样本数集,其中,所述入侵行为样本包含多种攻击类型样本。
将带标签的训练样本按照每条数据的标签进行分类,形成正常行为样本数据集和入侵行为样本数据集;入侵行为样本数据集再根据不同的攻击类型分类,形成不同攻击类型样本数据集。应用本发明实施例中,采用多种攻击类型样本,能够针对不同的攻击数据,得到最优的网络结构,具备很好的自适应性;通过深度置信网络,能够区分出正常数据和异常数据,同时也可以检测出一些未知的入侵行为。
采用训练样本对深度置信网络进行训练后,采用测试样本对训练后的深度置信网络进行测试,具体的测试样本可以与训练样本的采集过程相同,本发明实施例在此不做赘述。
深度置信网络会输出对测试样本的测试结果,结果是一个概率值,用来表达测试样本是入侵行为的概率。
因此,对于大量的测试样本会得到深度置信网络分类正确的个体数和分类错误的个体数量,因此,得到的深度置信网络的检测率P,具体表达为:
Figure GDA0003211175800000061
其中P,表示深度置信网络的检测率,Ncorrent表示正确分类的个体,Nall表示所有个体。
S14、根据预设的与隐层相关的适应值函数,计算种群中每个个体的适应度值。
本领域技术人员可以理解的是,适应值函数的选择要考虑深度置信网络的检测率,使得检测率高的网络结构更容易被保留下来。同时,还需要考虑在保证检测率的前提下,尽可能地减少隐层的层数,因为层数越多,训练所用的时间也就越久。通过计算标准差来得到多隐层网络结构的复杂度:
Figure GDA0003211175800000071
其中,xi表示第i层的神经元数,μ表示网络每层神经元数量的平均数(总神经元数/网络层数),N表示网络总的神经元数。
然后将多隐层网络结构的复杂度的归一化:
Figure GDA0003211175800000072
本发明的一种实现方式中,所述适应值函数,具体表达为:
f=w1×p+w2×l+w3×(1-σ*)
其中,p表示当前深度置信网络的检测率,范围为[0,1];l为网络隐层数的倒数,隐层数越少,其倒数越大,范围为[0,1];f为适应值大小,范围也要满足位于[0,1]区间内;w1、w2和w3是权值,经过不断的测试,最终令w1为0.995,w2为0.005,w3为0.005。
f=0.99×p+0.005×l+0.005×(1-σ*)
通过上式可以使得检测率越高且隐层数越少且紧凑型越好的个体更容易保留下来,因此,可以得到具有高检测率和少隐层数的网络结构。
S15、轮盘赌选择法操作:
轮盘赌选择法又称比例选择方法,其基本思想是:各个个体被选中的概率与其适应度值大小成正比。
首先,获取群体中每个个体的适应度值。
计算出每个个体被遗传到下一代群体中的概率,所采用的公式具体表达为:
Figure GDA0003211175800000081
其中,p(xi)代表第i个个体被遗传到下一代群体中的概率,N为种群的大小,xi代表第i个个体,xj表示第j个个体,f(xi)是第i个个体的适应值。
计算出每个个体的累积概率,所采用的公式为:
Figure GDA0003211175800000082
其中,qi是第i个个体的累计概率,p(xj)是第j个个体被遗传到下一代群体中的概率。
采用轮盘赌选择法获得筛选后的个体,并判断当前迭代次数是否小于预设次数;如果是,执行步骤S12;否则,执行步骤S16。
具体的,本发明的一种实现方式中,所述采用轮盘赌选择法获得筛选后的个体的步骤,包括:
(81)针对所选择的种群,在[0,1]区间内产生一个随机数r;
(82)若r小于第一个个体的累计概率,则选择个体1,否则执行:在q[k-1]<r≤q[k]成立时,选择个体k,其中,q[k-1]表示第k-1个个体的累计概率,q[k]表示第k个个体的累计概率,k为整数,且k≥2;
(83)重复步骤(81)和步骤(82),直至所有种群判断完毕。
示例性的,如图3所示,种群中有4个个体,每个个体被遗传到下一代群体中的概率分别为0.14,0.49,0.06,0.31,则累积概率为:0.14,0.63,0.69,1。若产生的随机数r为0.5,则第二个个体被选中进入下一次迭代,若r为0.8,则第四个个体被选中进入下一次迭代,因此,种群中有多少个个体,就会选择多少个个体进行下一次迭代,例如有20个个体,一次迭代就会产生20个最优的个体进行下一次的迭代。
S16、在迭代次数达到预设次数时,从最后一代种群中选取适应度值最大的个体,根据所选取的个体解析后获得隐层数和每层神经元数。
轮盘赌选择法筛后的个体进入下一次迭代,假设迭代结束的预设次数设置为100次,达到预设次数后,从最后一代种群中选取适应度值最大的个体,解析后产生最优的深度置信网络结构参数,即隐层数和每层神经元数,用于构建深度置信网络。
S17、基于所获得的隐层数和每层神经元数,确定深度置信网络。
需要说明的是,当通过遗传算法获得最优的隐层数和每层神经元数,就可以确定深度置信网络的结构,采用深度置信网络进行待检测的数据监测。
本发明实施例中,采用网络入侵检测模型建立方法确定的深度置信网络,不仅仅可以应用于互联网中,具体还可以应用物联网、车联网中,本发明实施例在此不对网络入侵检测模型建立方法的用途做具体限定。
以及,如图4所示,本发明实施例还公开了一种网络入侵检测方法,所述方法还包括:
S41,采用流量抓包软件抓取网关的待检测流量数据。
以物联网为例,数量众多的传感器、RFID标签设备、GPS定位设备以及网络摄像头等只具有简单计算和存储能力的感知设备将会被使用,大大扩展当前互联网的网络边界,为未来的网络提供信息采集和信息服务的功能。但是由于这些物联网节点收集、存储和处理私有信息,因此它们更易于成为恶意攻击者的目标。
现有技术中,采用异常检测能够检测出新的入侵行为,但具有较高的误报率,检测的结果不可靠,会导致后续的工作难度加大,并对系统的正常功能产生影响。
本发明实施例的网络入侵检测模型建立方法是基于物联网领域应用为例进行建立的,也可以应用于其他的领域,本发明实施例不做具体限定。
S42,对所述待检测流量数据进行编码和归一化处理,形成待测数据。
示例性的,智能家居网络系统的终端节点由传感器节点、路由节点、服务器、客户端等组成,采用流量抓包软件抓取智能家居网关带有标签的流量数据,将采集到的数据进行编码、归一化处理形成待检测数据。具体的,可以加入到本系统数据库中。
S43,基于所确定的深度置信网络,对所述待测数据进行检测,得到检测结果。
由于深度置信网络是基于本发明实施例提供的模型,所以待测数据输入到系统之后根据输出值的大小会被自动归类,来判断是属于正常数据还是异常数据。
由于将遗传算法和深度置信网络结合在一起,可达到误报率低、误检率低、检测准确率高的效果,对于未知的入侵行为也有较好的检测能力,并具有较好的自适应能力。
示例性的,数据通过程序调用对待检测流量进行训练和测试,待检测流量数据由物联网的终端节点采集,包括正常数据和异常数据,异常数据包括各种常见攻击类型。待检测流量数据可以包括:访问IP、访问时间、区域、请求大小、返回数据大小等多个信息。然后将待检测流量数据输入到深度置信网络,经深度置信网络进行测试后输出该待测试数据流量的概率值。现有技术中,直接获取的是该条待测试数据流量为正常数据的概率值,例如,设置阈值,当大于该阈值时,确定为正常数据,否则确定为异常数据。
本发明实施例中,由于在进行深度置信网络训练的时候,将入侵行为样本数据集根据不同的攻击类型分类,所以深度置信网络的输出也是针对不同攻击类型进行分类,例如:Dos:拒绝服务攻击,R2L:未授权的远程访问,Probe:端口监视或扫描,U2R:本地非授权用户获取本地服务。
示例性的,输入的待测试流量经过深度置信网络输出的概率为待测试流量为正常数据的概率P1、为Dos的概率P2、为R2L的概率P3、为Probe的概率P4、为U2R的概率P5,假设P1的值为0.7、P2的值为0.4、P3的值为0.2、P4的值为0.05、P5的值为0.3,由于最大值为P1,那么确定概率最大的为:待测试流量为正常数据的概率P1,所以,确定该条待测试数据流量为正常数据。
示例性的,设P1的值为0.4、P2的值为0.7、P3的值为0.1、P4的值为0.1、P5的值为0.1,那么确定概率最大的为:为Dos的概率P2,由于最大值为P2,所以,确定该条待测试数据流量为异常数据,且攻击类型为Dos。
本发明实施例是以物联网的待检测流量进行说明,实际使用中也可以使用在互联网的其他领域,或者车联网等领域中,不构成对本发明实施例的具体限定。
因此,应用本发明实施例,相比较现有技术提高了检测的多样性,提高了数据识别的准确率。
在传统的方法中,误报率普遍较高,本发明的方法可以使误报率降低到5%以下,同时在检测率方面,可以达到97%以上。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。

Claims (7)

1.一种网络入侵检测模型建立方法,其特征在于,所述方法包括:
(11)基于遗传算法,初始化产生种群,将深度置信网络的隐层数、每层神经元数编码在种群的每一个个体中;
(12)对个体进行交叉操作和变异操作;
(13)采用训练样本,对种群中的每一个个体所代表的深度置信网络进行训练和测试,并测试得到每个个体所代表的网络入侵检测率;
(14)根据预设的与隐层相关的适应值函数,计算种群中每个个体的适应度值;其中,所述适应值函数,具体表达为:
f=w1×p+w2×l+w3×(1-σ*)
其中,f为适应值;p为当前深度置信网络的检测率;l为网络隐层数的倒数;w1、w2和w3是预先设置的权值,σ*表示归一化的多隐层网络结构的复杂度;
(15)轮盘赌选择法操作:
(151)计算出每个个体被遗传到下一代群体中的概率;其中,所述计算出每个个体被遗传到下一代群体中的概率所采用的公式具体表达为:
Figure FDA0003211175790000011
其中,p(xi)代表第i个个体被遗传到下一代群体中的概率,N为种群的大小,xi代表第i个个体,xj表示第j个个体,f(xi)是第i个个体的适应值;
(152)计算出每个个体的累积概率;其中,所述计算出每个个体的累积概率所采用的公式为:
Figure FDA0003211175790000012
其中,qi是第i个个体的累计概率,p(xj)是第j个个体被遗传到下一代群体中的概率;
(153)采用轮盘赌选择法获得筛选后的个体,并判断当前迭代次数是否小于预设次数;如果是,执行步骤(12);否则,执行步骤(16);
(16)在迭代次数达到预设次数时,从最后一代种群中选取适应度值最大的个体,根据所选取的个体解析后获得隐层数和每层神经元数;
(17)基于所获得的隐层数和每层神经元数,确定深度置信网络。
2.根据权利要求1所述的网络入侵检测模型建立方法,其特征在于,所述将深度置信网络的隐层数、每层神经元数编码在种群的每一个个体中的步骤,包括:
确定深度置信网络的隐层数;
根据所述隐层数设置个体的长度,
将每层神经元数编码在种群的每一个个体中。
3.根据权利要求1或2所述的网络入侵检测模型建立方法,其特征在于,所述深度置信网络的隐层数为不大于三个。
4.根据权利要求1所述的网络入侵检测模型建立方法,其特征在于,对个体进行交叉操作的步骤,包括:
随机选择两个个体;
确定两个个体的相同隐层;
基于所确定的相同隐层进行交叉操作。
5.根据权利要求1所述的网络入侵检测模型建立方法,其特征在于,所述采用轮盘赌选择法获得筛选后的个体的步骤,包括:
(81)针对所选择的种群,在[0,1]区间内产生一个随机数r;
(82)若r小于第一个个体的累计概率,则选择个体1,否则执行:在q[k-1]<r≤q[k]成立时,选择个体k,其中,q[k-1]表示第k-1个个体的累计概率,q[k]表示第k个个体的累计概率,其中,k为整数,且k≥2;
(83)重复步骤(81)和步骤(82),直至所有种群判断完毕。
6.根据权利要求1所述的网络入侵检测模型建立方法,其特征在于,训练样本的采集步骤,包括:
获取网关的待测试流量数据,并对所述待测试流量数据进行分类,形成正常行为样本数据集和入侵行为样本数集,其中,所述入侵行为样本包含多种攻击类型样本。
7.基于权利要求1-6任一项所述的一种网络入侵检测方法,其特征在于,所述方法还包括:
采用流量抓包软件抓取网关的待检测流量数据;
对所述待检测流量数据进行编码和归一化处理,形成待测数据;
基于所确定的深度置信网络,对所述待测数据进行检测,得到检测结果。
CN201910016149.1A 2019-01-08 2019-01-08 一种网络入侵检测模型建立方法及网络入侵检测方法 Active CN109688154B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910016149.1A CN109688154B (zh) 2019-01-08 2019-01-08 一种网络入侵检测模型建立方法及网络入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910016149.1A CN109688154B (zh) 2019-01-08 2019-01-08 一种网络入侵检测模型建立方法及网络入侵检测方法

Publications (2)

Publication Number Publication Date
CN109688154A CN109688154A (zh) 2019-04-26
CN109688154B true CN109688154B (zh) 2021-10-22

Family

ID=66192624

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910016149.1A Active CN109688154B (zh) 2019-01-08 2019-01-08 一种网络入侵检测模型建立方法及网络入侵检测方法

Country Status (1)

Country Link
CN (1) CN109688154B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110290110B (zh) * 2019-05-28 2021-08-03 中国人民解放军战略支援部队信息工程大学 一种基于冗余检测架构的加密恶意流量识别方法及系统
CN110222505A (zh) * 2019-05-30 2019-09-10 北方工业大学 一种基于遗传算法的工控攻击样本扩张方法及系统
CN110689155B (zh) * 2019-10-15 2022-09-06 上海海事大学 一种考虑拥堵和排放的集卡预约系统多约束调度方法
CN112351033B (zh) * 2020-11-06 2022-09-13 北京石油化工学院 工控网络中基于双种群遗传算法的深度学习入侵检测方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102546624A (zh) * 2011-12-26 2012-07-04 西北工业大学 一种网络多路入侵检测防御方法及系统
CN104794534A (zh) * 2015-04-16 2015-07-22 国网山东省电力公司临沂供电公司 一种基于改进深度学习模型的电网安全态势预测方法
CN106254330A (zh) * 2016-07-29 2016-12-21 中国电子科技集团公司第五十四研究所 一种基于bp神经网络的软件定义网络入侵检测方法
CN106453416A (zh) * 2016-12-01 2017-02-22 广东技术师范学院 一种基于深信度网络的分布式攻击入侵的检测方法
CN106973038A (zh) * 2017-02-27 2017-07-21 同济大学 基于遗传算法过采样支持向量机的网络入侵检测方法
CN108280510A (zh) * 2017-12-05 2018-07-13 浙江海洋大学 基于遗传小波神经网络的安全预警模型

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10573003B2 (en) * 2017-02-13 2020-02-25 Amit Sethi Systems and methods for computational pathology using points-of-interest

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102546624A (zh) * 2011-12-26 2012-07-04 西北工业大学 一种网络多路入侵检测防御方法及系统
CN104794534A (zh) * 2015-04-16 2015-07-22 国网山东省电力公司临沂供电公司 一种基于改进深度学习模型的电网安全态势预测方法
CN106254330A (zh) * 2016-07-29 2016-12-21 中国电子科技集团公司第五十四研究所 一种基于bp神经网络的软件定义网络入侵检测方法
CN106453416A (zh) * 2016-12-01 2017-02-22 广东技术师范学院 一种基于深信度网络的分布式攻击入侵的检测方法
CN106973038A (zh) * 2017-02-27 2017-07-21 同济大学 基于遗传算法过采样支持向量机的网络入侵检测方法
CN108280510A (zh) * 2017-12-05 2018-07-13 浙江海洋大学 基于遗传小波神经网络的安全预警模型

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
An Intrusion Detection Model Based on Deep Belief Networks;Ni GAO et al;《2014 Second International Conference on Advanced Cloud and Big Data》;20141231;全文 *
Layered Approach for Intrusion Detection Systems Based Genetic Algorithm;M.Padmadas et al;《2013 IEEE International Conference on Computational Intelligence and Computing Research》;20131231;全文 *
基于深度置信网络的入侵检测研究;安 琪;《中国优秀硕士论文全文库信息科技辑》;20171215;全文 *

Also Published As

Publication number Publication date
CN109688154A (zh) 2019-04-26

Similar Documents

Publication Publication Date Title
CN109688154B (zh) 一种网络入侵检测模型建立方法及网络入侵检测方法
Aickelin et al. Immune system approaches to intrusion detection–a review
Gogoi et al. MLH-IDS: a multi-level hybrid intrusion detection method
Sun et al. An intrusion detection model for wireless sensor networks with an improved V-detector algorithm
CN109450842A (zh) 一种基于神经网络的网络恶意行为识别方法
CN107241358B (zh) 一种基于深度学习的智能家居入侵检测方法
Abd Jalil et al. Comparison of machine learning algorithms performance in detecting network intrusion
CN109150868A (zh) 网络安全态势评估方法及装置
Oke et al. Detecting denial of service attacks with bayesian classifiers and the random neural network
CN111641634B (zh) 一种基于蜜网的工业控制网络主动防御系统及其方法
CN114143037B (zh) 一种基于进程行为分析的恶意加密信道检测方法
CN109218321A (zh) 一种网络入侵检测方法及系统
Fries A fuzzy-genetic approach to network intrusion detection
CN110300127A (zh) 一种基于深度学习的网络入侵检测方法、装置以及设备
DeLooze Attack characterization and intrusion detection using an ensemble of self-organizing maps
Sajith et al. RETRATCED ARTICLE: Network intrusion detection system using ANFIS classifier
Subramani et al. Deep learning based IDS for secured routing in wireless sensor networks using fuzzy genetic approach
Lu et al. Botnets detection based on irc-community
Bahrepour et al. Fire data analysis and feature reduction using computational intelligence methods
CN114338088B (zh) 变电站电力监控系统网络安全等级的评估方法及评估系统
Devaraju et al. Performance comparison of intrusion detection system using various techniques–A review
CN116527307A (zh) 一种基于社区发现的僵尸网络检测算法
CN116366319A (zh) 一种检测网络安全的方法及系统
CN109257384A (zh) 基于访问节奏矩阵的应用层DDoS攻击识别方法
Liu et al. An integrated intrusion detection system by using multiple neural networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant