CN110278189B - 一种基于网络流量特征权重图谱的入侵检测方法 - Google Patents
一种基于网络流量特征权重图谱的入侵检测方法 Download PDFInfo
- Publication number
- CN110278189B CN110278189B CN201910412297.5A CN201910412297A CN110278189B CN 110278189 B CN110278189 B CN 110278189B CN 201910412297 A CN201910412297 A CN 201910412297A CN 110278189 B CN110278189 B CN 110278189B
- Authority
- CN
- China
- Prior art keywords
- characteristic
- data set
- weight
- data
- map
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Image Analysis (AREA)
Abstract
本发明公开了一种基于网络流量特征权重图谱的入侵检测方法,对公开数据集进行预处理,利用预处理得到的数据集获得特征基准图谱,并利用每个样本和特征基准图谱得到样本特征权重图谱,将特征权重图谱导入神经网络进行训练,获得训练好的神经网络,利用训练好的神经网络来对待检测网络流量进行检测。由于在特征权重图谱中强化了重要的分类特征,类图形矩阵中图形轮廓加深后,能有更好的识别效果。相较于以往的方法,本发明提升了识别率。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种基于网络流量特征权重图谱的入侵检测方法。
背景技术
近几年,网络空间的信息流动量每年都在以惊人的速度增长,网络信息安全问题在近几年受到越来越多的关注,而基于机器学习算法的入侵检测模型建立是目前最主流的研究方向。
目前入侵检测系统(intrusion detection system,IDS)分为基于主机的IDS和基于网络的IDS,其中基于主机的IDS依赖于主机的可靠性,不能检测网络攻击,且所能检测的攻击类型较为有限。随着网络技术的发展,网络攻击手段越来越多样化,基于网络的IDS研究是迫切需要的。传统的基于网络流量的IDS模型针对不同类别的特征进行筛选,或者单纯输入样本全特征,并没有对不同流量类别进行特征权重的计算,难免会造成特征丢失或冗余。
发明内容
本发明的目的是提供一种基于网络流量特征权重图谱的入侵检测方法,针对不同流量类别进行了特征权重的计算,并生成一个特征基准图谱,通过特征基准图谱和流量样本获得样本特征权重图谱,对神经网络进行训练,利用训练得到的神经网络对网络流量进行检测识别。
为了实现上述目的,本发明技术方案如下:
一种基于网络流量特征权重图谱的入侵检测方法,包括:
对公开数据集进行预处理,利用预处理得到的数据集获得特征基准图谱,并利用每个样本和特征基准图谱得到样本特征权重图谱,将特征权重图谱导入神经网络进行训练,获得训练好的神经网络;
将待检测网络流量的特征值与特征基准图谱结合获得待检测网络流量对应的特征权重图谱;
将待检测网络流量对应的特征权重图谱输入训练好的神经网络识别,进行检测识别。
本发明的一种实现方式,所述利用预处理得到的数据集获得特征基准图谱,包括:
将权重矩阵C引入到共聚距离函数中,加上权重矩阵C的正则化函数可得如下目标函数:
上述公式的约束条件如下:
通过最小化目标函数所得的权重矩阵C即为所要求的特征基准图谱;
上述公式中,η是正则化参数,cg,j是第g行簇中第j列的权重值;U=[ui,g]N×K是数据集的行聚类矩阵,ui,g=1代表第i个数据分类在第g个行簇内;V=[vj,h]M×L是数据集的列聚类矩阵,vj,h=1代表数据第j特征分类在第h个列簇内;
Z=[zg,h]K×L是K×L共聚的中心距,距离d(xi,j,zg,h)的定义为:
d(xi,j,zg,h)=(xi,j-zg,h)2,
其中xi,j为数据集中第i条数据,第j个特征的数值,N为数据集的条数,M为数据的特征数量,K为行聚类矩阵的行簇数量,L为列聚类矩阵的列簇数量。
本发明的另一种实现方式,所述利用预处理得到的数据集获得特征基准图谱,包括:
构建目标函数:
及其约束条件:
其中,U=[ui,g]N×K是数据集的行聚类矩阵,ui,g=1代表第i个数据分类在第g个行簇内,通过最小化目标函数所得的权重矩阵C即为所要求的特征基准图谱;
其中,Eg,j是g行簇中关于第j个特征属性的均值;
Dg,j是g行簇中关于第j个特征属性的方差;
η是正则化参数,cg,j是第g行簇中第j列的权重值,xi,j为数据集中第i条数据,第j个特征的数值,N为数据集的条数,M为数据的特征数量,K为行聚类矩阵的行簇数量。
本发明提出的一种基于网络流量特征权重图谱的入侵检测方法,利用预处理得到的数据集获得特征基准图谱,并利用每个样本和特征基准图谱得到样本特征权重图谱,将特征权重图谱导入神经网络进行训练,获得训练好的神经网络,利用训练好的神经网络来对待检测网络流量进行检测。由于在特征权重图谱中强化了重要的分类特征,类图形矩阵中图形轮廓加深后,能有更好的识别效果。相较于以往的方法,本发明在识别率上有一定的提升。
附图说明
图1为本发明基于网络流量特征权重图谱的入侵检测方法流程图;
图2为本发明实施例正则化参数与识别率的变化示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅用以解释本申请,并不用于限定本申请。
在一个实施例中,如图2所示,提供的一种基于网络流量特征权重图谱的入侵检测方法,包括:
步骤S1、对公开数据集进行预处理,利用预处理得到的数据集获得特征基准图谱,并利用每个样本和特征基准图谱得到样本特征权重图谱,将特征权重图谱导入神经网络进行训练,获得训练好的神经网络。
本实施例选择的数据集为NSL-KDD数据集,NSL-KDD数据集分布不均衡,将其分成五大类后,其中normal类和dos类占极大比例。为了均衡训练集数据,将数据按一定比例随机分布为训练样本集合或测试样本集合,对训练集合中normal类和dos类等样本占比较大的类别进行随机抽样,减小其样本占比;对于其中占比小数量小的类别进行重复采样。
然后将样本的特征数据中字符特征进行量化处理,最后将数字特征样本进行归一化处理。
本实施例将预处理后的数据集采用矩阵X表示,假设数据集有N条数据,每条数据有M个特征,数据集每条数据的特征作为矩阵X一行,则数据集矩阵X为M×N的矩阵。如某条数据是正常的,则该数据对应表示为[1,0,0,0,0];如果某数据是第二类攻击,则该数据对应表示为[0,1,0,0,0]。
用于训练神经网络的数据集带有标签,标签表示数据的分类结果(例如属于哪种攻击种类),本实施例用U=[ui,g]N×K表示数据集的行聚类矩阵,U=[ui,g]N×K是一个分类的0或1矩阵,数据集共有N条数据,标签分为K类,其中ui,g=1代表第i个数据分类在第g个类别内,由于数据集是带标签的,因此U=[ui,g]N×K为已知的。
本实施例还采用V=[vj,h]M×L表示数据集的列聚类矩阵,V=[vj,h]M×L是一个列聚类的0或1矩阵,每条数据有M个特征,设定列聚类参数L=5(列簇),其中vj,h=1代表数据集中第j特征,分类在第h个列簇内。
本实施例利用预处理得到的数据集来获得特征基准图谱,这里列举了两种不同的算法。
实施例1、空间权重共聚法。
具体的方法是将权重矩阵C引入到共聚距离函数中,加上权重矩阵C的正则化函数可得如下目标函数:
公式(1)的约束条件如下:
通过最小化公式目标函数所得的权重矩阵C即为所求最佳权重矩阵C,也即本申请中所要求的特征基准图谱。
上述公式中,η是正则化参数,正则化参数η作用是约束权重矩阵C,防止权重矩阵C中出现过大权重值,越大的η可以使得矩阵C越平均。
Z=[zg,h]K×L是K×L共聚的中心距,距离d(xi,j,zg,h)的定义为:
d(xi,j,zg,h)=(xi,j-zg,h)2(3)
其中xi,j为数据集X中第i条数据,第j个特征的数值,N为数据集的条数,M为数据的特征数量,K为行聚类矩阵的行簇数量,L为列聚类矩阵的列簇数量。
其中,cg,j是第g行簇中第j列的权重值;U=[ui,g]N×K是一个行聚类的0或1矩阵,ui,g=1代表第i个数据分类在第g个行簇内;V=[vj,h]M×L是一个列聚类的0或1矩阵,vj,h=1代表数据第j特征分类在第h个列簇内。
可通过迭代求解以下3个最小化步骤来完成求解公式(1)的最小化:
为求V=[vj,h]M×L,本申请引进平均最小值的概念。在V=[vj,h]M×L的每一行中,分别计算平均最小值集合[h]。若t在集合[h]内,则vj,h=1;若t不在集合[h]内,则vj,h=0。
其中:
通过迭代上述三个步骤,直到公式(1)达到局部最小值,得出的权重矩阵C=[cg,j]K×M即为所求的特征基准图谱。
实施例2、特征权重矩阵算法。
众所周知,每个分类中有用特征属性应较为接近,即每个有用分类中特征属性的方差较小。所以,将每类中特征属性的方差结合该属性的均值进行对比,若出现较小方差、较大均值,则认为该属性在该分类中贡献明显,赋予其较大的权重值;若出现较小方差、较小均值或者较大方差,则最终赋予较小的权重值。
基于上述思想,给出目标函数:
约束条件:
其中:U=[ui,g]N×K是数据集的行聚类矩阵,ui,g=1代表第i个数据分类在第g个行簇内,通过最小化目标函数所得的权重矩阵C即为所要求的特征基准图谱;
其中,Eg,j是g行簇中关于第j个特征属性的均值;
Dg,j是g行簇中关于第j个特征属性的方差;
根据上述公式,可将问题转化为求出其最小值来优化P(C),进而得到权重矩阵C,η是正则化参数,cg,j是第g行簇中第j列的权重值,xi,j为数据集中第i条数据,第j个特征的数值,N为数据集的条数,M为数据的特征数量,K为行聚类矩阵的行簇数量。
本实施例权重矩阵C中的元素cg,j可由公式(13)求出:
在实施例2中,用U=[ui,g]N×K表示数据集的行聚类矩阵,U=[ui,g]N×K是一个分类的0或1矩阵,数据集共有N条数据,标签分为K类,其中ui,g=1代表第i个数据分类在第g个类别内,由于数据集是带标签的,因此U=[ui,g]N×K为已知的。
由于NSL-KDD数据集分为5大类,41维特征,所以得到的权重矩阵C=[cg,j]K×M的矩阵大小为5*41。将得到的C=[cg,j]K×M作为特征基准图谱,其中特征基准图谱一共分为5行,每一行代表一个分类中各个特征所占的权重值序列。将特征基准图谱每行的权重值序列中每个权重值分别对应相乘上每一条数据相应的特征值,即将单个数据向量放入基准图谱中去。这样,可将原本一维向量数据扩展成大小为5*41的特征图谱,得到样本特征权重图谱。
然后,将得到的样本特征权重图谱通过CNN神经网络来寻找特征与特征之间的隐藏特征关系,从而进行训练识别。设W为最小维度值,选用的卷积核大小为F×F,卷积步长为S,Padding用0填充的个数值为P,最大池化层大小为D×D时,输出最小边长N通过公式(14)、(15)计算可得:
在本实施例中,通过特征基准图谱行乘一维向量数据,从而产生特征图谱大小为5*41数值矩阵,所以最小边W=5。样本数据集中可以分为5大类,所以CNN神经网络最终输出为1*5的一维向量。设置模型参数数值为F=3,S=1,P=0,D=3,f=64。将上述基准图谱算法获得的样本特征权重图谱分别带入CNN网络中进行训练识别,能够训练得到CNN神经网络的各个参数,从而完成CNN神经网络的训练。关于神经网络的训练,在本领域是比较成熟的技术,这里不再赘述。
步骤S2、将待检测网络流量的特征值与特征基准图谱结合获得待检测网络流量对应的特征权重图谱。
对于待检测网络流量数据,采用与步骤S1中同样的方法进行预处理,并将其特征值与特征基准图谱结合获得待检测网络流量对应的特征权重图谱,这里不再赘述。
步骤S3、将待检测网络流量对应的特征权重图谱输入训练好的神经网络识别,进行检测识别。
最后,利用训练好的神经网络,将待检测网络流量对应的特征权重图谱输入训练好的神经网络识别,就可以对待检测网络流量进行检测分类。
应该理解的是,虽然图1的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在实验中,η是正则化参数,将不同参数η所产生的20个共簇结果带入网络中求出最终识别率,并做平均处理,用识别率率平均值大小来评估不同参数η所产生权重矩阵在模型中的性能,如图2所示。最终选取识别率最高的η值作为模型参数。
本申请在一个实验中,设定的实验参数如下:
参数 | 值 |
η | 0.1 |
CNN学习率 | 0.01 |
CNN迭代次数 | 500 |
表1
实验结果如下:
表2
在表2中,算法1为传统神经网络识别的结果,算法2为本申请技术方案实施例1的识别结果,算法2为本申请技术方案实施例2的识别结果.可以看到,对于各类攻击种类,在TPR、FPR和最终识别率三个性能指标上比传统神经网络识别方法好,可以看出本发明的方法具有更好的性能。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (1)
1.一种基于网络流量特征权重图谱的入侵检测方法,其特征在于,所述基于网络流量特征权重图谱的入侵检测方法,包括:
对公开数据集进行预处理,利用预处理得到的数据集获得特征基准图谱,并利用每个样本和特征基准图谱得到样本特征权重图谱,将特征权重图谱导入神经网络进行训练,获得训练好的神经网络;
将待检测网络流量的特征值与特征基准图谱结合获得待检测网络流量对应的特征权重图谱;
将待检测网络流量对应的特征权重图谱输入训练好的神经网络识别,进行检测识别;
其中,所述利用预处理得到的数据集获得特征基准图谱,包括:
将权重矩阵C引入到共聚距离函数中,加上权重矩阵C的正则化函数可得如下目标函数:
上述公式的约束条件如下:
通过最小化目标函数所得的权重矩阵C即为所要求的特征基准图谱;
上述公式中,η是正则化参数,cg,j是第g行簇中第j列的权重值;U=[ui,g]N×K是数据集的行聚类矩阵,ui,g=1代表第i个数据分类在第g个行簇内;V=[vj,h]M×L是数据集的列聚类矩阵,vj,h=1代表数据第j特征分类在第h个列簇内;
Z=[zg,h]K×L是K×L共聚的中心距,距离d(xi,j,zg,h)的定义为:
d(xi,j,zg,h)=(xi,j-zg,h)2,
其中xi,j为数据集中第i条数据,第j个特征的数值,N为数据集的条数,M为数据的特征数量,K为行聚类矩阵的行簇数量,L为列聚类矩阵的列簇数量;
或者,所述利用预处理得到的数据集获得特征基准图谱,包括:
构建目标函数:
及其约束条件:
其中,U=[ui,g]N×K是数据集的行聚类矩阵,ui,g=1代表第i个数据分类在第g个行簇内,通过最小化目标函数所得的权重矩阵C即为所要求的特征基准图谱;
其中,Eg,j是g行簇中关于第j个特征属性的均值;
Dg,j是g行簇中关于第j个特征属性的方差;
η是正则化参数,cg,j是第g行簇中第j列的权重值,xi,j为数据集中第i条数据,第j个特征的数值,N为数据集的条数,M为数据的特征数量,K为行聚类矩阵的行簇数量。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910412297.5A CN110278189B (zh) | 2019-05-17 | 2019-05-17 | 一种基于网络流量特征权重图谱的入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910412297.5A CN110278189B (zh) | 2019-05-17 | 2019-05-17 | 一种基于网络流量特征权重图谱的入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110278189A CN110278189A (zh) | 2019-09-24 |
CN110278189B true CN110278189B (zh) | 2021-12-10 |
Family
ID=67959849
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910412297.5A Active CN110278189B (zh) | 2019-05-17 | 2019-05-17 | 一种基于网络流量特征权重图谱的入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110278189B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111031071B (zh) * | 2019-12-30 | 2023-01-24 | 杭州迪普科技股份有限公司 | 恶意流量的识别方法、装置、计算机设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106203530A (zh) * | 2016-07-21 | 2016-12-07 | 长安大学 | 面向k近邻算法用于不平衡分布数据的特征权重确定方法 |
CN107316046A (zh) * | 2017-03-09 | 2017-11-03 | 河北工业大学 | 一种基于增量补偿动态自适应增强的故障诊断方法 |
CN109214175A (zh) * | 2018-07-23 | 2019-01-15 | 中国科学院计算机网络信息中心 | 基于样本特征训练分类器的方法、装置及存储介质 |
CN109617888A (zh) * | 2018-12-24 | 2019-04-12 | 湖北大学 | 一种基于神经网络的异常流量检测方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060224532A1 (en) * | 2005-03-09 | 2006-10-05 | Case Western Reserve University | Iterative feature weighting with neural networks |
-
2019
- 2019-05-17 CN CN201910412297.5A patent/CN110278189B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106203530A (zh) * | 2016-07-21 | 2016-12-07 | 长安大学 | 面向k近邻算法用于不平衡分布数据的特征权重确定方法 |
CN107316046A (zh) * | 2017-03-09 | 2017-11-03 | 河北工业大学 | 一种基于增量补偿动态自适应增强的故障诊断方法 |
CN109214175A (zh) * | 2018-07-23 | 2019-01-15 | 中国科学院计算机网络信息中心 | 基于样本特征训练分类器的方法、装置及存储介质 |
CN109617888A (zh) * | 2018-12-24 | 2019-04-12 | 湖北大学 | 一种基于神经网络的异常流量检测方法及系统 |
Non-Patent Citations (1)
Title |
---|
基于卷积神经网络的工控网络异常流量检测;张艳升等;《计算机应用》;20190510(第5期);1512-1517 * |
Also Published As
Publication number | Publication date |
---|---|
CN110278189A (zh) | 2019-09-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109345348B (zh) | 基于旅行社用户的多维信息画像的推荐方法 | |
CN111915437B (zh) | 基于rnn的反洗钱模型的训练方法、装置、设备及介质 | |
WO2017113232A1 (zh) | 一种基于深度学习的产品分类方法及装置 | |
CN109739844B (zh) | 基于衰减权重的数据分类方法 | |
Gwo et al. | Plant identification through images: Using feature extraction of key points on leaf contours1 | |
CN109190698A (zh) | 一种网络数字虚拟资产的分类识别系统及方法 | |
Belhaouari et al. | Optimized K‐Means Algorithm | |
CN111507385A (zh) | 一种可扩展的网络攻击行为分类方法 | |
CN112446340A (zh) | 结合行人局部特征和服饰属性分类的行人搜索方法、系统及存储介质 | |
CN109902754A (zh) | 一种高效的半监督多层次入侵检测方法及系统 | |
CN110278189B (zh) | 一种基于网络流量特征权重图谱的入侵检测方法 | |
Badapanda et al. | Agriculture data visualization and analysis using data mining techniques: application of unsupervised machine learning | |
CN107038593B (zh) | 一种基于防伪溯源系统的异常数据处理方法及系统 | |
KR102358357B1 (ko) | 시장규모추정장치 및 그 동작 방법 | |
Wu et al. | Mixed Pattern Matching‐Based Traffic Abnormal Behavior Recognition | |
CN111144280A (zh) | 一种监控视频树叶遮挡检测方法 | |
CN113706279B (zh) | 欺诈分析方法、装置、电子设备及存储介质 | |
Wororomi et al. | Performance of K-Means and DBSCAN Algorithm in Clustering Gross Regional Domestic Product | |
Sharify et al. | Improved lof algorithm using random point | |
CN116861226A (zh) | 一种数据处理的方法以及相关装置 | |
CN117217929A (zh) | 注册对象风险识别方法、装置、计算机设备和存储介质 | |
CN113919415A (zh) | 一种基于无监督算法的异常群组检测方法 | |
CN106874944A (zh) | 一种基于Bagging和离群点的分类结果置信度的度量方法 | |
Casalino et al. | Balancing data within incremental semi-supervised fuzzy clustering for credit card fraud detection | |
CN111401783A (zh) | 一种电力系统运行数据集成特征选择方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |