CN110300095A - 一种基于改进学习率的深度学习网络入侵检测方法 - Google Patents

Abstract

本发明涉及一种基于改进学习率的深度学习网络入侵检测方法，通过改进深度信念网络模型在训练中的学习率及迭代次数的确定方法，利用改进的深度信念网络模型和softmax回归函数的优点建立网络入侵检测用的深度信念网络‑softmax多分类组合模型，使用公开的网络入侵检测数据集的训练数据对模型进行训练，并使用训练完成的模型对网络入侵检测数据集的测试数据进行识别分类。本发明利用自适应学习率实现模型参数的快速收敛，将优化后的深度信念网络‑softmax多分类组合模型用于入侵检测系统，可以有效提高攻击行为的识别准确率，同时能够提高检测效率。

Description

一种基于改进学习率的深度学习网络入侵检测方法

技术领域

本发明涉及入侵检测网络安全领域，具体涉及一种基于改进学习率的深度学习网络入侵检测方法。

背景技术

入侵检测技术是一种保护用户隐私和数据的重要网络安全防御手段，为有效识别各种网络攻击，以往的研究者将各种机器学习的方法引入入侵检测中并取得突破性的进展。但是传统浅层机器学习方法在面对海量网络数据的分类问题时会受到时间和空间的限制，降低了安全防护效率。因此研究高效、可行的入侵检测方法对提高网络安全具有非常重要的意义。

基于此，面向海量数据的入侵检测方法的研究重点在于进行特征学习和降维。深度信念网络(Deep Belief Network，DBN)是由多层受限玻尔兹曼机(RestrictedBoltzmann Machine，RBM)网络和一层反向传播(Back Propagation，BP)网络依次叠加构成的一种深层神经网络，可以实现对大量无标签数据进行特征提取，显著降低数据维度，所以是解决入侵检测速度慢和分类性能低的一种极有前景的方法。

一般来说，训练DBN是一个计算上比较复杂的过程，因为它涉及到对几个RBM网络进行独立地训练，容易陷入局部最小值、收敛速度慢、模型训练难的缺陷。而随着数据量的增加，训练时带来的误差也会越来越大，预测的精度也会降低。因此选择适当的学习速率参数是提高DBN性能的重要因素。

发明内容

针对上述现有技术无法兼顾精准度高、效率高等情况，本发明提出一种基于改进学习率的深度学习网络入侵检测方法，此方法采用自适应学习速率(Adaptive LearningRate，ALR)减少训练网络模型时重建误差所需要的时间，构成改进的深度信念网络，使用softmax分类器来进行对网络入侵行为进行识别分类；将其应用到入侵检测系统中，相比以往的入侵检测技术，具有更高的准确率和更低的误检率，且能够提高检测的效率。

为实现上述目的，本发明具体技术方案如下：

一种基于改进学习率的深度学习网络入侵检测方法，包括如下步骤：

步骤1：改进深度信念网络(DBN)模型在训练中的学习率及迭代次数的确定方法；

步骤2：利用改进的深度信念网络模型和softmax回归函数建立网络入侵检测用的深度信念网络-softmax多分类组合模型；

步骤3：使用公开的网络入侵检测数据集的训练数据对步骤2的多分类组合模型进行训练；

步骤4：使用训练完成的多分类组合模型对网络入侵检测数据集的测试数据进行识别分类。

进一步地，上述步骤1包括以下步骤：

步骤1.1：令ε_ij为每个连接权重W_ij对应的学习速率，ε_ij(t)＝ψ(ε_ij(t-1))，其中ψ为ε_ij对应的变换映射规则，t为训练次数；

步骤1.2：若当前更新梯度grad(t)_ij和上一次更新梯度grad(t-1)_ij具有相同方向，进行步骤1.3；若当前更新梯度grad(t)_ij和上一次更新梯度grad(t-1)_ij具有相反方向，进行步骤1.4，若当前更新梯度grad(t)_ij或上一次更新梯度grad(t-1)_ij存在零值，则ε_ij(t)＝ε_ij(t-1)；

步骤1.3：ε_ij(t)＝με_ij(t-1)，其中，μ表示学习率的增量系数(μ＞1)；

步骤1.4：ε_ij(t)＝dε_ij(t-1)，其中，d表示学习速率的衰减系数(d＜1)；

步骤1.5：取当前重构误差err(t)和上一次的重构误差err(t-1)的差值的绝对值∈，当∈无限趋近于0，停止迭代，确定训练次数t。

进一步地，上述步骤1.2中，其中，v_i表示初始化受限玻尔兹曼机(RBM)可视层单元，v_i ⁽¹⁾表示v_i经过CD快速学习算法后重构的可视层单元。

进一步地，上述步骤2包括以下步骤：

步骤2.1：以改进后的深度信念网络模型与softmax回归函数建立深度信念网络-softmax多分类组合模型，利用深度信念网络进行特征降维，采用softmax分类器对网络入侵数据进行识别；

步骤2.2：输入网络数据x＝{x₁，x₂，...，x_n}，其中，任意一条网络数据包含n个属性；

步骤2.3：利用深度信念网络对输入网络数据x进行特征提取，其中，Θ表示抽象出更高层特征的函数，函数f用于提取出所述网络数据中每个属性对应的特征；

步骤2.4：输入Q至softmax分类器，最终获得输出预测值out＝argmax(Φ(Q))，其中，Φ表示softmax回归函数。

进一步地，上述步骤2.4中，假设网络数据类别数量为k，对于m个给定的Q，softmax回归的代价函数其中，λ是权重衰减项，1{·}是示性函数，取值规则：1{值为真的表达式}＝1，1{值为假的表达式}＝0，θ为softmax模型参数，n为输入特征数。

进一步地，上述步骤3中，使用网络数据进行训练包括以下步骤：

步骤3.1：输入网络数据X＝{x₁，x₂，...，x_m}，其中，x_i为对应的一条网络数据，x_i＝{x_i1，x_i2，...，x_in}，x_ij表示数据x_i的第j个属性；

步骤3.2：对输入的数据进行属性映射，将符号型特征转变成数值型数据，然后进行归一化处理，y＝(y-y_min)/(y_max-y_min)，其中，y为特征属性值，y_max，y_min分别为该属性的最大值和最小值；

步骤3.3：将归一化后的网络数据X输入模型，利用CD快速学习算法逐层训练RBM网络，更新每一层RBM模型参数θ，其中θ＝{W，a，b}，W为连接RBM网络中可视层v和隐藏层h之间的权重矩阵，a，b分别表示隐藏层和可视层的偏置向量；

步骤3.4：利用BP算法对模型中权值进行微调，直至DBN模型输出值和输入数据的期望值误差最小。

进一步地，上述步骤3.3中，RBM模型参数θ更新为：

其中，W_ij表示RBM网络中第i个可视层单元与第j个隐藏层单元的连接权重，a_i表示第i个可视层单元的偏置值，b_j表示第j个隐藏层单元的偏置值，ε表示可视层和隐藏层偏置值的固定学习率。

本发明提供了一种基于改进学习率的深度学习网络入侵检测方法，通过改进深度信念网络模型在训练中的学习率及迭代次数的确定方法，利用改进的深度信念网络模型和softmax回归函数的优点建立网络入侵检测用的深度信念网络-softmax多分类组合模型，使用公开的网络入侵检测数据集的训练数据对模型进行训练，并使用训练完成的模型对网络入侵检测数据集的测试数据进行识别分类。本发明利用自适应学习率实现模型参数的快速收敛，将优化后的深度信念网络-softmax多分类组合模型用于入侵检测系统，可以有效提高攻击行为的识别准确率，同时能够提高检测效率。

附图说明

图1为本发明中深度信念网络-softmax多分类组合模型总体框架。

图2为本发明中深度信念网络模型的示意图。

图3为本发明的检测方法的流程图。

具体实施方式

下面结合实施例对本发明做进一步的详细描述，但本发明的保护范围并不限于此。

步骤1：改进深度信念网络(DBN)模型在训练中的学习率及迭代次数的确定方法。

本发明中，在传统的算法中，学习率ε需要人为手动调整到一个误差控制和收敛速度都比较合适的值，这样做的缺点则是整个模型在训练过程中需要人为不断地进行调整。若学习速率过大将导致重构误差增加；而学习速率过小可以避免上述问题，但会使得训练收敛速度较慢。

本发明的步骤1包括以下步骤。

步骤1.1：令ε_ij为每个连接权重W_ij对应的学习速率，ε_ij(t)＝ψ(ε_ij(t-1))，其中ψ为ε_ij对应的变换映射规则，t为训练次数。

步骤1.2：若当前更新梯度grad(t)_ij和上一次更新梯度grad(t-1)_ij具有相同方向，进行步骤1.3，若当前更新梯度和上一次更新梯度具有相反方向，进行步骤1.4，若当前更新梯度或上一次更新梯度存在零值，则ε_ij(t)＝ε_ij(t-1)。

步骤1.2中，其中，v_i表示初始化受限玻尔兹曼机(RBM)可视层单元，表示v_i经过CD快速学习算法后重构的可视层单元。

步骤1.3：ε_ij(t)＝με_ij(t-1)，其中，μ表示学习率的增量系数(μ＞1)。

步骤1.4：ε_ij(t)＝dε_ij(t-1)，其中，d表示学习速率的衰减系数(d＜1)。

本发明中，如果两个相邻的更新梯度具有相同的方向，则当前模型参数的学习速率增加，而对于方向相反的参数更新梯度，则学习速率减小，从而可以有效避免训练过程中在非最优解处产生振荡。

步骤1.5：取当前重构误差err(t)和上一次的重构误差err(t-1)的差值的绝对值∈，当∈无限趋近于0，停止迭代，确定训练次数t。

步骤1.5中，∈∈[0.0001，0.01]。

步骤2：利用改进的深度信念网络模型和softmax回归函数建立网络入侵检测用的深度信念网络-softmax多分类组合模型。

本发明中，鉴于深度信念网络(DBN)适合高维空间数据特征学习，softmax回归函数训练和结构较为简单，且可以解决多分类问题。因此提出使用深度学习模型来进行数据的训练以提取出数据的特征，使用softmax分类器来进行数据分类及使用DBN-softmax多分类组合模型来进行网络入侵数据识别。

步骤2包括以下步骤。

步骤2.1：以改进后的深度信念网络模型与softmax回归函数建立深度信念网络-softmax多分类组合模型，利用深度信念网络进行特征降维，采用softmax分类器对网络入侵数据进行识别。

步骤2.2：输入网络数据x＝{x₁，x₂，...，x_n}，其中，任意一条网络数据包含n个属性。

步骤2.2中，属性包括网络连接时间、协议类型、目的主机服务类型等41个属性。

步骤2.3：利用深度信念网络对输入数据x进行特征提取，其中，Θ表示抽象出更高层特征的函数，函数f用于提取出所述网络数据中每个属性对应的特征。

本发明中，由于深度学习模型有多个隐藏层，数据通过每一个隐藏层后和权重、偏置进行运算并输入到激活函数进行计算，因此没有一个具体的函数能够表达数据从输入层到输出层之间的运算，故以Θ来表示数据在DBN模型中进行了运算。

步骤2.4：输入Q至softmax分类器，最终获得输出预测值out＝argmax(Φ(Q))，其中，Φ表示softmax回归函数。

本发明中，softmax回归函数的输入值就是通过DBN模型输出的数据Q，然后利用softmax回归函数对Q值进行计算，其输出值就是本发明的预测值。

所述步骤2.4中，假设网络数据类别数量为k，对于m个给定的Q，softmax回归的代价函数：其中，λ是权重衰减项，1{·}是示性函数，取值规则：1{值为真的表达式}＝1，1{值为假的表达式}＝0，θ为softmax模型参数，n为输入特征数。

步骤3：使用NSL-KDD数据集的训练数据对步骤2的多分类组合模型进行训练。

本发明中，利用改进的深度信念网络进行无监督地特征学习，通过逐层无监督贪婪训练RBM网络的预训练方法对原始入侵数据进行特征降维，利用反向传播算法微调权重值，获得最优低维表示。

本发明中，模型在训练时首先对数据进行预处理。

步骤3中，使用网络数据进行训练包括以下步骤。

步骤3.1：输入网络数据X＝{x₁，x₂，...，x_m}，其中，x_i为对应的一条网络数据，x_i＝{x_i1，x_i2，...，x_in}，x_ij表示数据x_i的第j个属性。

步骤3.2：对输入的数据进行属性映射，将符号型特征转变成数值型数据，然后进行归一化处理，y＝(y-y_min)/(y_max-y_min)，其中，y为特征属性值，y_max，y_min分别为该属性的最大值和最小值；

步骤3.3：将归一化后的网络数据X输入模型，利用CD快速学习算法逐层训练RBM网络，更新每一层RBM模型参数θ，其中θ＝{W，a，b}，W为连接RBM网络中可视层v和隐藏层h之间的权重矩阵，a，b分别表示隐藏层和可视层的偏置向量。

步骤3.3中，RBM模型参数θ更新为：

其中，W_ij表示RBM网络中第i个可视层单元与第j个隐藏层单元的连接权重，a_i表示第i个可视层单元的偏置值，b_j表示第j个隐藏层单元的偏置值，ε表示可视层和隐藏层偏置值的固定学习率，ε∈[0.001，0.05]。

步骤3.4：利用BP算法对模型中权值进行微调，直至DBN模型输出值和输入数据的期望值误差最小。

本发明中，当数据从深度信念网络输出时与原始输入数据的期望值存在误差，则将两个数据对应的值相减取平方后累加得到总的误差，对于DBN模型来说这个总的误差越小越好。

步骤4：使用训练完成的多分类组合模型对NSL-KDD数据集的测试数据进行识别分类。

本发明中，模型训练完成后，则可以使用模型进行预测，输入网络数据，预测出各个网络入侵行为类型的概率值，选取概率最大的分类进行规范化。

本发明提供了一种基于改进学习率的深度学习网络入侵检测方法，通过改进深度信念网络模型在训练中的学习率及迭代次数的确定方法，利用改进的深度信念网络模型和softmax回归函数的优点建立网络入侵检测用的深度信念网络-softmax多分类组合模型，使用NSL-KDD数据集的训练数据对模型进行训练，并使用训练完成的模型对NSL-KDD数据集的测试数据进行识别分类。本发明利用自适应学习率实现模型参数的快速收敛，将优化后的深度信念网络-softmax多分类组合模型用于入侵检测系统，可以有效提高攻击行为的识别准确率，同时能够提高检测效率。

Claims (7)

1.一种基于改进学习率的深度学习网络入侵检测方法，其特征在于，包括如下步骤：

步骤1：改进深度信念网络(DBN)模型在训练中的学习率及迭代次数的确定方法；

步骤2：利用改进的深度信念网络模型和softmax回归函数建立网络入侵检测用的深度信念网络-softmax多分类组合模型；

步骤3：使用公开的网络入侵检测数据集的训练数据对步骤2的多分类组合模型进行训练；

步骤4：使用训练完成的多分类组合模型对网络入侵检测数据集的测试数据进行识别分类。

2.如权利要求1所述的一种基于改进学习率的深度学习网络入侵检测方法，其特征在于：所述步骤1包括以下步骤：

步骤1.1：令ε_ij为每个连接权重W_ij对应的学习速率，ε_ij(t)＝ψ(ε_i，j(t-1))，其中ψ为ε_ij对应的变换映射规则，t为训练次数；

步骤1.2：若当前更新梯度grad(t)_ij和上一次更新梯度grad(t-1)_ij具有相同方向，进行步骤1.3；若当前更新梯度grad(t)_ij和上一次更新梯度grad(t-1)_ij具有相反方向，进行步骤1.4，若当前更新梯度grad(t)_ij或上一次更新梯度grad(t-1)_ij存在零值，则ε_ij(t)＝ε_ij(t--1)；

步骤1.3：ε_ij(t)＝με_ij(t-1)，其中，μ表示学习率的增量系数(μ＞1)；

步骤1.4：ε_ij(t)＝dε_ij(t-1)，其中，d表示学习速率的衰减系数(d＜1)；

步骤1.5：取当前重构误差err(t)和上一次的重构误差err(t-1)的差值的绝对值∈，当∈无限趋近于0，停止迭代，确定训练次数t。

3.如权利要求2所述的一种基于改进学习率的深度学习网络入侵检测方法，其特征在于：所述步骤1.2中，其中，v_i表示初始化受限玻尔兹曼机(RBM)可视层单元，表示v_i经过CD快速学习算法后重构的可视层单元。

4.如权利要求1所述的一种基于改进学习率的深度学习网络入侵检测方法，其特征在于：所述步骤2包括以下步骤：

步骤2.1：以改进后的深度信念网络模型与softmax回归函数建立深度信念网络-softmax多分类组合模型，利用深度信念网络进行特征降维，采用softmax分类器对网络入侵数据进行识别；

步骤2.2：输入网络数据x＝{x₁，x₂，...，x_n}，其中，任意一条网络数据包含n个属性；

步骤2.3：利用深度信念网络对输入网络数据x进行特征提取，其中，Θ表示抽象出更高层特征的函数，函数f用于提取出所述网络数据中每个属性对应的特征；

步骤2.4：输入Q至softmax分类器，最终获得输出预测值out＝arg max(Φ(Q))，其中，Φ表示softmax回归函数。

5.如权利要求4所述的一种基于改进学习率的深度学习网络入侵检测方法，其特征在于：所述步骤2.4中，假设网络数据类别数量为k，对于m个给定的Q，softmax回归的代价函数：其中，λ是权重衰减项，1{·}是示性函数，取值规则：1{值为真的表达式}＝1，1{值为假的表达式}＝0，θ为softmax模型参数，n为输入特征数。

6.如权利要求1所述的一种基于改进学习率的深度学习网络入侵检测方法，其特征在于：所述步骤3中，使用网络数据进行训练包括以下步骤：

步骤3.1：输入网络数据X＝{x₁，x₂，...，x_m}，其中，x_i为对应的一条网络数据，x_i＝{x_i1，x_i2，...，x_in}，x_ij表示数据x_i的第j个属性；

步骤3.2：对输入的数据进行属性映射，将符号型特征转变成数值型数据，然后进行归一化处理，y＝(y-y_min)/(y_max-y_min)，其中，y为特征属性值，y_max，y_min分别为该属性的最大值和最小值；

步骤3.3：将归一化后的网络数据X输入模型，利用CD快速学习算法逐层训练RBM网络，更新每一层RBM模型参数θ，其中θ＝{W，a，b}，W为连接RBM网络中可视层v和隐藏层h之间的权重矩阵，a，b分别表示隐藏层和可视层的偏置向量；

步骤3.4：利用BP算法对模型中权值进行微调，直至DBN模型输出值和输入数据的期望值误差最小。

7.如权利要求6所述的一种基于改进学习率的深度学习网络入侵检测方法，其特征在于：所述步骤3.3中，RBM模型参数θ更新为：

其中，W_ij表示RBM网络中第i个可视层单元与第j个隐藏层单元的连接权重，a_i表示第i个可视层单元的偏置值，b_j表示第j个隐藏层单元的偏置值，ε表示可视层和隐藏层偏置值的固定学习率。