CN111275165A - 一种基于改进卷积神经网络的网络入侵检测方法 - Google Patents

一种基于改进卷积神经网络的网络入侵检测方法 Download PDF

Info

Publication number
CN111275165A
CN111275165A CN202010044972.6A CN202010044972A CN111275165A CN 111275165 A CN111275165 A CN 111275165A CN 202010044972 A CN202010044972 A CN 202010044972A CN 111275165 A CN111275165 A CN 111275165A
Authority
CN
China
Prior art keywords
channel
convolution
neural network
convolutional neural
pooling
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202010044972.6A
Other languages
English (en)
Inventor
潘甦
王健
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Posts and Telecommunications
Original Assignee
Nanjing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Posts and Telecommunications filed Critical Nanjing University of Posts and Telecommunications
Priority to CN202010044972.6A priority Critical patent/CN111275165A/zh
Publication of CN111275165A publication Critical patent/CN111275165A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/213Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
    • G06F18/2135Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods based on approximation criteria, e.g. principal component analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/2431Multiple classes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/25Fusion techniques
    • G06F18/253Fusion techniques of extracted features
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Image Analysis (AREA)

Abstract

本发明公开了一种基于改进卷积神经网络网络入侵检测方法,提出一种新型双通道卷积神经网络架构,应用于网络入侵检测场景;双通道卷积神经网络是对传统卷积神经网络模型的改进,双通道的两个分支网络分别独立提取特征,弥补了传统单通道卷积神经网络中丢失的特征信息;在卷积神经网络的最后,将双通道卷积融合起来,通过主成分分析算法,将融合特征维度降低,加快训练速度,再输出到一个全接连层,最后通过softmax分类器输出多分类结果。本发明能很好的应用于网络入侵检测场景,检测速度快,准确率高。

Description

一种基于改进卷积神经网络的网络入侵检测方法
技术领域
本发明属于网络信息安全技术领域,具体涉及一种基于改进卷积神经网络网络入侵检测方法。
背景技术
过去十年互联网应用的巨大增长,对信息网络安全的需求也急剧上升。网络入侵检测系统(Intrusion Detection System,IDS)在确保信息安全方面发挥着重要作用,关键技术是准确识别网络中的各种攻击。许多监督学习和无监督学习技术被提出,并运用于IDS中,以实现可靠的异常检测。深度学习是机器学习的一个重要领域,将神经元结构应用于学习任务的复杂模型结构。虽然机器学习被广泛应用在该领域中,但是大部分传统的机器学习算法属于浅层学习,并且经常强调特征的选取。这些方法不能有效地解决在真实网络应用环境中出现的大规模入侵数据分类问题。随着数据集的动态增长,多个分类任务将导致准确性降低。此外,浅层学习不适用于智能分析和大规模高维数据学习的预测要求。相比之下,深度学习可以从数据中提取更好的特征来创建更好的模型。
将卷积神经网络(Convolutional Neural Network,CNN)应用于IDS是一个比较新颖的研究领域。CNN是一个经典的深度学习算法。卷积神经网络不仅可以进行特征选择,而且可以对网络流量数据进行分类。相比于传统机器学习算法,CNN,自动学习更好的特征。网络流量数据越多,卷积神经网络学到有用的特征越多,分类效果越好。
现有的文献专注于利用增加CNN深度提高模型侦测网络入侵的准确率,忽视前面卷积步骤对特征信息提取还存在改进的空间。原因在于传统单通道CNN模型在对特征提取环节,存在特征信息丢失的情况。随着CNN深度的增加,训练时间也急剧增加。传统CNN模型的输入矩阵和卷积核(过滤器)进行点积运算,提取特征信息,但是输入矩阵的边缘相对于内部元素计算的次数较少,存在特征信息的丢失情况。
发明内容
发明目的:提供了一种基于改进卷积神经网络网络入侵检测方法,能很好的应用于网络入侵检测场景。
发明内容:本发明所述的一种基于改进卷积神经网络网络入侵检测方法,包括以下步骤:
(1)将经过预处理的数据输入双通道卷积神经网络,进行特征提取:以双通道为背景,计算上下两通道卷积输出;以双通道背景,计算上下两通道池化的输出;
(2)处理两通道末尾特征融合;
(3)将经过处理完的特征向量,进行PCA降维压缩;将经过PCA降维后的特征输入全连接层,最后经过softmax分类器,转化为网络入侵的多分类结果;
(4)根据新型双通道卷积神经网络架构,优化模型超参数:前向传递阶段,计算模型输出结果;反向传播阶段,调整模型权重。
进一步地,步骤(1)所述的双通道卷积神经网络上通道和下通道的结构一样,包含两层卷积和两层池化;所述上通道和下通道的卷积核设置不相同。
进一步地,所述步骤(1)实现过程如下:
卷积过程表示为,
Figure BDA0002369028060000021
其中,L表示新型CNN的层数,设定第i层上通道输出特征矩阵Mi,第i层下通道输出特征矩阵Ni(M0=N0=x),x是经过预处理数据集NSL-KDD的特征矩阵;wi表示第i层上通道卷积核的权重向量,Wi表示第i层下通道卷积核的权重向量
Figure BDA0002369028060000022
代表卷积运算,bi表示第i层上通道偏置向量,Bi表示第i层下通道偏置向量,f(x)表示激活函数,卷积层通过不同的滤波器对特征矩阵Mi和Ni进行卷积提取不同的特征信息;
池化过程表示为:
Figure BDA0002369028060000023
其中,sampling(x)表示池化方式选择,上下通道均选择最大池化,压缩卷积运算提取的特征。
进一步地,所述步骤(2)实现过程如下:
输入经过两个并联的卷积池化过程,再将经过卷积过程提取的特征融合处理,将上下两通道卷积池化处理提取的特征连接到一个长特征向量:
X=[Mj,Nj]
其中,j表示最后一次池化的层数,Mj和Nj是经过最后一次池化降维的特征矩阵,将他们按行展开,形成新的特征向量X。
进一步地,步骤(4)所述的模型权重调整通过将模型输出的结果yt与实际数据集中的结果y的差,按照最小化误差,采用随机梯度下降法调整全连接中的权值系数,直至模型收敛。
有益效果:与现有技术相比,本发明的有益效果:本发明提出一种新型双通道卷积神经网络架构,应用于网络入侵检测场景;双通道卷积神经网络是对传统卷积神经网络模型的改进,双通道的两个分支网络分别独立提取特征,弥补了传统单通道卷积神经网络中丢失的特征信息;在卷积神经网络的最后,将双通道卷积融合起来,通过主成分分析(Principal Component Analysis,PCA)算法,压缩掉冗余信息,将特征维度降低,加快训练速度,再输出到一个全接连层,最后通过softmax分类器输出多分类结果;能很好的应用于网络入侵检测场景,检测速度快,准确率高。
附图说明
图1为本发明的流程图;
图2为改进的卷积神经网络的模型图。
具体实施方式
下面结合附图对本发明作进一步详细说明,如图1所示,一种基于改进卷积神经网络网络入侵检测方法,包括以下步骤:
步骤1:将经过预处理的数据输入双通道卷积神经网络,进行特征提取:以双通道为背景,计算上下两通道卷积输出;以双通道背景,计算上下两通道池化的输出。
⑴对输入的数据集进行预处理,进行符号转数值和归一化处理;
⑵双通道卷积特征提取,分别输出卷积结果;
设定L表示新型CNN的层数,设定第i层上通道输出特征矩阵Mi,第i层下通道输出特征矩阵Ni(M0=N0=x),x是经过预处理数据集NSL-KDD的特征矩阵。
如图2所示,上下两通道分别进行特征提取,相互独立,互不干扰。上下两通道对于同一个输入,进行不同方式的卷积运算,上下卷积核的设置各不相同,以便每次卷积运算,提取出不同特征。
对数据特征进行双通道卷积特征提取由两部分组成,卷积过程表示为:
Figure BDA0002369028060000041
其中,wi表示第i层上通道卷积核的权重向量,Wi表示第i层下通道卷积核的权重向量
Figure BDA0002369028060000042
代表卷积运算,bi表示第i层上通道偏置向量,Bi表示第i层下通道偏置向量,f(x)表示激活函数,卷积层通过不同的滤波器对特征矩阵Mi和Ni进行卷积提取不同的特征信息。
⑶双通道池化过程
结合图2,池化过程表示为:
Figure BDA0002369028060000043
其中,sampling(x)表示池化方式选择,上下通道均选择最大池化,压缩卷积运算提取的特征。
对于双通道卷积神经网络架构,上通道和下通道的结构一样,包含两层卷积和两层池化。上下双通道的卷积核设置均不相同,避免提取特征的重复。
步骤2:处理两通道末尾特征融合。
输入经过两个并联的卷积池化过程,再将经过卷积过程提取的特征融合处理。将上下两通道卷积池化处理提取的特征连接到一个长特征向量。
X=[Mj,Nj]
其中,j表示最后一次池化的层数,Mj和Nj是经过最后一次池化降维的特征矩阵。将他们按行展开,形成新的特征向量X。
步骤3:将经过处理完的特征向量,进行PCA降维压缩。将经过PCA降维后的特征输入全连接层,最后经过softmax分类器。这样数据经过上述步骤,最终转化为网络入侵的多分类结果。
上下双通道卷积神经网络提取的特征,融合成新的特征向量,存在冗余特征信息,其次新的特征向量存在维度过高,造成学习时间加长。根据全连接层的输入,softmax分类器输出最终的结果。
步骤4:根据新型双通道卷积神经网络架构,优化模型超参数:前向传递阶段,计算模型输出结果;反向传播阶段,调整模型权重。
NSL-KDD数据集的样本数据,输入新型双通道卷积神经网络中运算,经过步骤1、2、3得出前向传递结果,模型输出的结果yt。将模型输出的结果yt与实际数据集中的结果y的差,按照最小化误差,用随机梯度下降法调整神经网络的权值系数,直至模型收敛。

Claims (5)

1.一种基于改进卷积神经网络的网络入侵检测方法,其特征在于,包括以下步骤:
(1)将经过预处理的数据输入双通道卷积神经网络,进行特征提取:以双通道为背景,计算上下两通道卷积输出;以双通道背景,计算上下两通道池化的输出;
(2)处理两通道末尾特征融合;
(3)将经过处理完的特征向量,进行PCA降维压缩;将经过PCA降维后的特征输入全连接层,最后经过softmax分类器,转化为网络入侵的多分类结果;
(4)根据新型双通道卷积神经网络架构,优化模型超参数:前向传递阶段,计算模型输出结果;反向传播阶段,调整模型权重。
2.根据权利要求1所述的一种基于改进卷积神经网络的网络入侵检测方法,其特征在于,步骤(1)所述的双通道卷积神经网络上通道和下通道的结构一样,包含两层卷积和两层池化;所述上通道和下通道的卷积核设置不相同。
3.根据权利要求1所述的一种基于改进卷积神经网络的网络入侵检测方法,其特征在于,所述步骤(1)实现过程如下:
卷积过程表示为,
Figure FDA0002369028050000011
其中,L表示新型CNN的层数,设定第i层上通道输出特征矩阵Mi,第i层下通道输出特征矩阵Ni(M0=N0=x),x是经过预处理数据集NSL-KDD的特征矩阵;wi表示第i层上通道卷积核的权重向量,Wi表示第i层下通道卷积核的权重向量
Figure FDA0002369028050000012
代表卷积运算,bi表示第i层上通道偏置向量,Bi表示第i层下通道偏置向量,f(x)表示激活函数,卷积层通过不同的滤波器对特征矩阵Mi和Ni进行卷积提取不同的特征信息;
池化过程表示为:
Figure FDA0002369028050000013
其中,sampling(x)表示池化方式选择,上下通道均选择最大池化,压缩卷积运算提取的特征。
4.根据权利要求1所述的一种基于改进卷积神经网络的网络入侵检测方法,其特征在于,所述步骤(2)实现过程如下:
输入经过两个并联的卷积池化过程,再将经过卷积过程提取的特征融合处理,将上下两通道卷积池化处理提取的特征连接到一个长特征向量:
X=[Mj,Nj]
其中,j表示最后一次池化的层数,Mj和Nj是经过最后一次池化降维的特征矩阵,将他们按行展开,形成新的特征向量X。
5.根据权利要求1所述的一种基于改进卷积神经网络的网络入侵检测方法,其特征在于,步骤(4)所述的模型权重调整通过将模型输出的结果yt与实际数据集中的结果y的差,按照最小化误差,采用随机梯度下降法调整全连接中的权值系数,直至模型收敛。
CN202010044972.6A 2020-01-16 2020-01-16 一种基于改进卷积神经网络的网络入侵检测方法 Withdrawn CN111275165A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010044972.6A CN111275165A (zh) 2020-01-16 2020-01-16 一种基于改进卷积神经网络的网络入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010044972.6A CN111275165A (zh) 2020-01-16 2020-01-16 一种基于改进卷积神经网络的网络入侵检测方法

Publications (1)

Publication Number Publication Date
CN111275165A true CN111275165A (zh) 2020-06-12

Family

ID=71003201

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010044972.6A Withdrawn CN111275165A (zh) 2020-01-16 2020-01-16 一种基于改进卷积神经网络的网络入侵检测方法

Country Status (1)

Country Link
CN (1) CN111275165A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111935134A (zh) * 2020-08-06 2020-11-13 中国交通通信信息中心 一种复杂网络安全风险监测方法和系统
CN111953712A (zh) * 2020-08-19 2020-11-17 中国电子信息产业集团有限公司第六研究所 一种基于特征融合及密度聚类的入侵检测方法及装置
CN112862837A (zh) * 2021-01-27 2021-05-28 南京信息工程大学 一种基于卷积神经网络的图像处理方法和系统
CN114157513A (zh) * 2022-02-07 2022-03-08 南京理工大学 基于改进卷积神经网络的车联网入侵检测方法及设备
CN115459996A (zh) * 2022-09-06 2022-12-09 重庆邮电大学 基于门控卷积和特征金字塔的网络入侵检测方法
CN116132078A (zh) * 2022-05-07 2023-05-16 河北工业大学 基于图神经演化的车辆can通信入侵检测方法

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111935134A (zh) * 2020-08-06 2020-11-13 中国交通通信信息中心 一种复杂网络安全风险监测方法和系统
CN111953712A (zh) * 2020-08-19 2020-11-17 中国电子信息产业集团有限公司第六研究所 一种基于特征融合及密度聚类的入侵检测方法及装置
CN111953712B (zh) * 2020-08-19 2022-03-29 中国电子信息产业集团有限公司第六研究所 一种基于特征融合及密度聚类的入侵检测方法及装置
CN112862837A (zh) * 2021-01-27 2021-05-28 南京信息工程大学 一种基于卷积神经网络的图像处理方法和系统
CN112862837B (zh) * 2021-01-27 2023-06-23 南京信息工程大学 一种基于卷积神经网络的图像处理方法和系统
CN114157513A (zh) * 2022-02-07 2022-03-08 南京理工大学 基于改进卷积神经网络的车联网入侵检测方法及设备
WO2023147786A1 (zh) * 2022-02-07 2023-08-10 南京理工大学 基于改进卷积神经网络的车联网入侵检测方法及设备
GB2622512A (en) * 2022-02-07 2024-03-20 Univ Nanjing Sci & Tech Internet-of-vehicles intrusion detection method and device based on improved convolutional neural network
CN116132078A (zh) * 2022-05-07 2023-05-16 河北工业大学 基于图神经演化的车辆can通信入侵检测方法
CN116132078B (zh) * 2022-05-07 2024-10-18 河北工业大学 基于图神经演化的车辆can通信入侵检测方法
CN115459996A (zh) * 2022-09-06 2022-12-09 重庆邮电大学 基于门控卷积和特征金字塔的网络入侵检测方法

Similar Documents

Publication Publication Date Title
CN111275165A (zh) 一种基于改进卷积神经网络的网络入侵检测方法
CN109472194B (zh) 一种基于cblstm算法模型的运动想象脑电信号特征识别方法
CN112839024B (zh) 一种基于多尺度特征注意力的网络流量分类方法及系统
CN107451565B (zh) 一种半监督小样本深度学习图像模式分类识别方法
CN111564163B (zh) 一种基于rnn的多种伪造操作语音检测方法
Sabrol et al. Fuzzy and neural network based tomato plant disease classification using natural outdoor images
CN113033309A (zh) 一种基于信号下采样及一维卷积神经网络的故障诊断方法
CN108596044B (zh) 基于深度卷积神经网络的行人检测方法
CN112183659A (zh) 一种基于卷积神经网络的未知信号辐射源识别方法
CN115037805A (zh) 一种基于深度聚类的未知网络协议识别方法、系统、装置及存储介质
CN110991554B (zh) 一种基于改进pca的深度网络图像分类方法
CN116842467A (zh) 基于双向门控卷积神经网络的网络流量异常检测分类方法
CN116340746A (zh) 一种基于随机森林改进的特征选择方法
CN116805051A (zh) 基于注意力机制的双卷积动态域适应设备故障诊断方法
CN115147341A (zh) 一种基于生物视觉启发的织物表面缺陷分类深度网络方法
CN113609480B (zh) 基于大规模网络流的多路学习入侵检测方法
CN111242028A (zh) 基于U-Net的遥感图像地物分割方法
CN117590173A (zh) 一种基于卷积神经网络的电缆局部放电模式识别方法
CN114884704B (zh) 一种基于对合和投票的网络流量异常行为检测方法和系统
CN113554010B (zh) 一种电网线路故障识别模型训练方法
CN115659323A (zh) 一种基于信息熵理论结合卷积神经网络的入侵检测方法
CN115348215A (zh) 一种基于时空注意力机制的加密网络流量分类方法
CN118657784B (zh) 一种基于无人机采集光伏组件图像的脱焊检测方法
CN110619366A (zh) 一种基于神经网络的真菌maldi—tof质谱数据识别方法
CN115035912B (zh) 基于moc模型的水声信号样本自动标注方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 210003 Gulou District, Jiangsu, Nanjing new model road, No. 66

Applicant after: NANJING University OF POSTS AND TELECOMMUNICATIONS

Address before: 210023 Jiangsu city of Nanjing province Ya Dong new Yuen Road No. 9

Applicant before: NANJING University OF POSTS AND TELECOMMUNICATIONS

CB02 Change of applicant information
WW01 Invention patent application withdrawn after publication

Application publication date: 20200612

WW01 Invention patent application withdrawn after publication