CN111107082A

CN111107082A - 一种基于深度信念网络的免疫入侵检测方法

Info

Publication number: CN111107082A
Application number: CN201911307783.7A
Authority: CN
Inventors: 杨海波; 张凤斌; 樊好义
Original assignee: Harbin University of Science and Technology
Current assignee: Harbin University of Science and Technology
Priority date: 2019-12-18
Filing date: 2019-12-18
Publication date: 2020-05-05

Abstract

本发明公开了一种基于深度信念网络的免疫入侵检测方法，该方法包括：将待检测数据进行归一化处理；将归一化处理后的待检测数据输入训练好的深度信念网络模型进行降维处理，输出降维后的待检测数据；采用RNSA算法生成优化后的成熟检测器集；利用成熟检测器集中的成熟检测器对所述降维后的待检测数据进行检测识别，得到识别结果。本发明提供的方法解决了现有的免疫入侵检测方法检测速率慢、检测实时性较差的问题。

Description

一种基于深度信念网络的免疫入侵检测方法

技术领域

本发明涉及网络安全技术领域，特别涉及一种基于深度信念网络的免疫入侵检测方法。

背景技术

当今社会是一个信息时代，信息安全与每个人息息相关。由于网络攻击方式层出不穷，保护网络安全十分重要。面对这些情况，传统的入侵检测技术已难以满足现实需要。于是基于免疫的入侵检测技术应运而生。它是将入侵检测技术与生物免疫系统相结合，通过否定选择算法生成成熟检测器集合，对外来数据集进行检测时，通过与自体匹配的方式对其进行更新。

然而，现有的免疫入侵检测方法以二进制形态空间或实值空间为根本，特征表示的局限性较大，且在高维数据上的分类性能较差，属性域维度的高低对检测效果影响较大，导致免疫入侵检测速率慢、检测实时性较差。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

为解决上述技术问题，本发明的目的在于提供一种基于深度信念网络的免疫入侵检测方法以解决现有的免疫入侵检测方法检测速率慢、检测实时性较差的问题。

本发明实施例提供一种基于深度信念网络的免疫入侵检测方法，包括：

将待检测数据进行归一化处理；

将归一化处理后的待检测数据输入训练好的深度信念网络模型进行降维处理，输出降维后的待检测数据；

采用RNSA算法生成优化后的成熟检测器集；

利用成熟检测器集中的成熟检测器对所述降维后的待检测数据进行检测识别，得到识别结果。

进一步地，所述深度信念网络模型包括多个受限玻尔兹曼机层和一个BP神经网络层，每个所述受限玻尔兹曼机层由可视层和隐藏层构成。

进一步地，所述将归一化处理后的待检测数据输入训练好的深度信念网络模型进行降维处理，输出降维后的待检测数据的步骤之前，所述方法还包括：

利用无标签训练数据集对所述深度信念网络模型的受限玻尔兹曼机层逐层进行无监督预训练；

将最后一层受限玻尔兹曼机层的输入向量和少量有标签数据集作为所述BP神经网络层的输入向量，通过BP神经网络进行反向误差传播微调所述深度信念网络模型的目标参数的参数值，得到训练好的深度信念网络模型。

进一步地，所述采用RNSA算法生成优化后的成熟检测器集，包括：

步骤一、将自体集数据归一化到超矩形空间；

步骤二、随机生成候选检测器，并计算所述候选检测器和自体集的亲和力，若所述亲和力小于预设阀值，则将所述候选检测器加入所述成熟检测器集，否则，删除所述候选检测器；

步骤三、计算所述成熟检测器集中成熟检测器的数量，若所述数量小于预设总数，重复执行步骤二直至所述成熟检测器的数量到达预设总数。

进一步地，利用无标签训练数据集对所述深度信念网络模型的受限玻尔兹曼机层逐层进行无监督预训练所采用的算法为对比散度快速学习算法。

有益效果

在本发明实施例中，通过将待检测数据进行归一化处理，并将归一化处理后的待检测数据输入训练好的深度信念网络模型进行降维处理，利用深度信念网络模型其自身非线性的结构进行特征提取，将数据从高维空间映射至低维空间，这种非线性降维方法可以在最大程度上保留原始数据的高维特征，能够在尽量不改变检测结果的前期下，提高检测的效率和性能，解决了现有的免疫入侵检测方法检测速率慢、检测实时性较差的问题。

附图说明

图1是根据本发明实施例的一种基于深度信念网络的免疫入侵检测方法的流程图；

图2是根据本发明实施例的深度信念网络模型结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

在本发明实施中，提供一种基于深度信念网络的免疫入侵检测方法，如图1所示，该方法包括如下步骤：

步骤S102，将待检测数据进行归一化处理。

其中，本发明方法应用于入侵检测系统(Intrusion Detection System，IDS)，入侵检测系统是指一个实现入侵检测功能的系统。IDS仅仅只能检测到入侵行为并进行应对，应对方式一般是制止或者遏制该行为，难以杜绝入侵行为的发生。免疫入侵检测就是系统检测入侵行为的过程中，借鉴人体免疫系统能够较好的抵挡外来的入侵，维持机体的正常生理活动的机制，来解决检测器生成算法等问题。在网络中入侵检测系统是对数据进行正常或异常的判断，和人工免疫系统相比，也就是识别人体内“自体”与“非自体”的过程。免疫入侵检测模型就是将网络中进入系统的数据定义为全集N，S表示自体集(正常行为)，T表示非自体集(异常行为)，M表示成熟检测器的集合。系统利用M中的成熟检测器对网络中的数据进行检测识别，对其进行判断，若为正常数据，则将其归类于S；反之，则将其归类于T。

其中，检测器对数据集进行检测时，由于网络中的数据是持续进入系统，因此，我们每捕获到一定量的数据就将其数字归一化，将待检测数据进行归一化形成标准数据集。

步骤S104，将归一化处理后的待检测数据输入训练好的深度信念网络模型进行降维处理，输出降维后的待检测数据。

其中，发明人发现在入侵检测中，由于初期数据数量庞大，数据的维数较高，从而导致这些数据进行检测时，检测速度难以提高，在尽量不改变检测结果的前期下，通过将高维数据降为低维数据，能够提高检测的效率和性能。

其中，如图2所示，深度信念网络的基本组成部件是受限玻尔兹曼机。RBM是具有两层结构、对称结构并且无自反馈的随机神经网络模型。

RBM可看做无向图模型，具有一个可见层和一个隐藏层，层间全连接，层内无连接。如图2所示，v为可见层，用于观察数据，h为隐藏层，可视为一些特征提取器，W为可见层与隐藏层之间的连接权重。若将可见层与隐藏层之间的权重矩阵表示为W_m×n(其中可见层的节点数为n，隐藏层的节点数为m)，一个可见层节点的偏移量表示为b＝(b₁，b₂，…，b_n)，一个隐藏节点偏置量表示为c＝(c₁，c₂，…，c_n)，RBM会使用这些参数将n维原始样本数据编码为一种m维的新样本。为了方便下面的描述，假设每个节点在集合{0，1}之间进行取值，即

第i个可见层节点状态为v_i，第j个隐藏层节点状态为h_j，则对网络状态(v，h)RBM能量函数计算方法如下：

其中，θ＝{W_ij，a_i，b_j}是RBM参数，W_ij为可见节点i与隐藏节点j之间的连接权重，a_i为可见节点i的偏置，b_j为隐藏节点j的偏置。当参数确定时，该能量函数可以得到(v，h)的联合概率分布：

其中Z(θ)为归一化因子。

对于实际问题，我们关心的是v的分布p(v|θ)，也就是似然函数：

由于RBM的特殊结构，当给定可见单元的状态时，各隐藏单元的状态之间是条件独立的，故第J个隐藏单元的激活概率为：

P(h_j＝1|v，θ)＝σ(b_j+∑_iv_iW_ij) (3-4)

其中，

为sigmoid的激活函数。

由RBM的结构对称可知，当给定隐藏单元的状态时，各可见单元的激活状态成为条件独立的。第i个可见单元的激活概率为：

P(v_i＝1|h，θ)＝σ(a_i+∑_jh_jW_ij) (3-5)

RBM的学习任务是求解参数值以拟合目标数据。参数可采用MLE(MaximumLikelihood Estimate，MLE)进行求解，假设T为训练样本的个数，似然函数为：

L(θ|v)＝Π_Tp(v(t)) (3-6)

对L(θ|v)求对数再求导数：

由公式(3-3)可得：

公式(3-8)带入公式(3-7)得出：

通过分析公式(3-9)可知，

是在概率p(h|v^(t))下的期望，第二项是

在概率p(hlv)下的期望。p(h|v^(t))表示的是在可见层已知情况下，隐藏层的概率分布。所以公式(3-9)的第一项可计算。p(h|v)表示可见层与隐藏层的联合概率分布，需要遍历v所有的值。但是v的分布情况获取困难导致了第二项计算难度大，只有利用某些采样算法进行近似估值。

深度信念网络中RBM采用的是对比散度(Contrastive Divergence，CD)快速学习算法。与Gibbs采样不同，给定样本初值状态v₀，仅需要较少的抽样步数就能达到足够好的近似目标样本分布的效果。表1给出RBM训练算法的步骤。

表1：CD快速学习算法

其中，表1中的CD快速学习算法涉及程序设计语言的相关表达，故在此不再赘述。

深度信念网络的结构是通过迭代多个受限玻尔兹曼机，每一层是一个受限玻尔兹曼机，基于深度学习理论，通过堆积多个受限玻尔兹曼机形成一个多层的深度学习结构。在最上层，设置一个BP神经网络作为深度学习中自顶向下监督学习，基于这个多层的结构特点，可以更容易的获得数据集的压缩编码，从而更好地得到优异的特征表达。

所以深度信念网络从结构上看是由多层受限玻尔兹曼机和一层有监督的反向传播网络构成。深度置信网络模型训练过程可以分为两步：

逐层训练受限玻尔兹曼机，受限玻尔兹曼机的每一个低层的的可视层向量通过映射可以得到隐藏层向量，随后这个隐藏层向量作为下一层的可视层向量再进行输入，依次类推训练多层的受限玻尔兹曼机，根据隐藏层和可视层的相关性差别来不断更新各层的权重，在这个训练过程中，第一层的受限玻尔兹曼机的误差会传递到第二层，依次类推，误差会传递到最后一层受限玻尔兹曼机。

在最后一层RBM之后添加一层BP神经网络，BP神经网络将最后一层受限玻尔兹曼机的输入向量作为输入向量，并且将一个标签集将被附加到该层，通过一个自上而下的过程来对整个网络的权值进行调整，从而达到微调整个深度置信网络。

预训练完成后，通过BP算法利用少量标签数据对DBN进行监督训练。BP算法将输出值与数据标签对比得到误差，并将其传播至每一层RBM，以最大似然函数为目标函数微调各层权重和偏置，使整个DBN网络达到全局最优。

其中，训练样本可以通过网络收集的真实数据集与KDD99入侵检测数据集相结合。

训练样本<v_i，t_i>，最大迭代次数T，对每一个样本v_i计算DBN的重构输出v_i′，反向传播误差；

对每个输出单元计算误差δ_k：

δ_k＝v_k(1-v_k)(v_k-v_k) (3-10)

对每个隐藏层单元计算误差δ_h：

更新参数：

θ_ji＝θ_ji+Δθ_ji (3-12)

其中Δθ_ji＝ηδ_jx_j，η为学习率。

步骤S106，采用RNSA算法生成优化后的成熟检测器集；

进一步地，采用RNSA算法生成优化后的成熟检测器集，包括：

步骤一、将自体集数据归一化到超矩形空间；

步骤二、随机生成候选检测器，并计算候选检测器和自体集的亲和力，若亲和力小于预设阀值，则将候选检测器加入成熟检测器集，否则，删除候选检测器；

步骤三、计算成熟检测器集中成熟检测器的数量，若数量小于预设总数，重复执行步骤二直至成熟检测器的数量到达预设总数。

其中，RNSA是人工免疫理论的核心方法，该方法是通过将数据进行归一化到超矩形空间[0，1]ⁿ，计算自体集与候选检测器之间的亲和力，如果计算出亲和力的值大于等于给定的阈值r，则将候选样本舍弃；否则认为其已经通过了耐受训练，放入成熟检测器集中。

步骤S108，利用成熟检测器集中的成熟检测器对降维后的待检测数据进行检测识别，得到识别结果。

其中，成熟检测器若检测到异常数据则发出警告，响应模块根据警告进行相对应的处理操作。

以上已经描述了本发明的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。本发明的范围由所附权利要求来限定。

Claims

1.一种基于深度信念网络的免疫入侵检测方法，其特征在于，包括：

将待检测数据进行归一化处理；

采用RNSA算法生成优化后的成熟检测器集；

2.根据权利要求1所述的基于深度信念网络的免疫入侵检测方法，其特征在于，所述深度信念网络模型包括多个受限玻尔兹曼机层和一个BP神经网络层，每个所述受限玻尔兹曼机层由可视层和隐藏层构成。

3.根据权利要求2所述的基于深度信念网络的免疫入侵检测方法，其特征在于，所述将归一化处理后的待检测数据输入训练好的深度信念网络模型进行降维处理，输出降维后的待检测数据的步骤之前，所述方法还包括：

4.根据权利要求2所述的基于深度信念网络的免疫入侵检测方法，其特征在于，所述采用RNSA算法生成优化后的成熟检测器集，包括：

步骤一、将自体集数据归一化到超矩形空间；

5.根据权利要求2所述的基于深度信念网络的免疫入侵检测方法，其特征在于，利用无标签训练数据集对所述深度信念网络模型的受限玻尔兹曼机层逐层进行无监督预训练所采用的算法为对比散度快速学习算法。