CN111970259A - 一种基于深度学习的网络入侵检测方法和报警系统 - Google Patents

一种基于深度学习的网络入侵检测方法和报警系统 Download PDF

Info

Publication number
CN111970259A
CN111970259A CN202010774978.9A CN202010774978A CN111970259A CN 111970259 A CN111970259 A CN 111970259A CN 202010774978 A CN202010774978 A CN 202010774978A CN 111970259 A CN111970259 A CN 111970259A
Authority
CN
China
Prior art keywords
network
data
intrusion detection
processing
data set
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010774978.9A
Other languages
English (en)
Other versions
CN111970259B (zh
Inventor
赵晨洁
左羽
吴恋
崔忠伟
于国龙
桑海伟
王永金
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guizhou University
Guizhou Education University
Original Assignee
Guizhou University
Guizhou Education University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guizhou University, Guizhou Education University filed Critical Guizhou University
Priority to CN202010774978.9A priority Critical patent/CN111970259B/zh
Publication of CN111970259A publication Critical patent/CN111970259A/zh
Application granted granted Critical
Publication of CN111970259B publication Critical patent/CN111970259B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Molecular Biology (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Image Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种基于深度学习的网络入侵检测方法和报警系统,该基于深度学习的网络入侵检测方法和报警系统主要通过对入侵检测数据集进行归一化处理、可视化图像转换处理和滤波处理,以提高所述入侵检测数据集的纹理特征的清晰度,并且还构建和优化训练关于多层卷积和深度置信网络相结合的模型,并基于该模型对所述入侵检测数据集进行测试处理,以获得相应的网络入侵检测结果;可见,该基于深度学习的网络入侵检测方法和报警系统能够有效地解决现有技术直接在KDD CUP99数据集上应用入侵检测算法时,检测速度慢和准确率低下的问题。

Description

一种基于深度学习的网络入侵检测方法和报警系统
技术领域
本发明涉及网络安全的技术领域,特别涉及一种基于深度学习的网络入侵检测方法和报警系统。
背景技术
在大数据时代,互联网相关的应用呈现爆炸式的增长,伴随着更多、更复杂的网络安全问题暴露出来,再加上黑客的攻击和网络病毒的广泛传播,为了保证网络安全,网络安全技术应运而生。入侵检测技术作为一种主动的安全防御技术,可以检测网络中未经允许的操作或非法入侵。入侵检测(Intrusion Detection,ID)是通过收集和分析计算机网络或计算机系统中若干信息,检查网络或系统中是否存在违反安全策略的行为和遭到攻击的迹象,并采取相应的对抗措施。当前,国内外学者已提出大量的入侵检测算法,如统计方法、贝叶斯推理方法、机器学习方法、神经网络、数据挖掘、遗传算法、支持向量机等方法。评判入侵检测系统的参数主要有两个,即正确率和误检率。正确率是指检测到的入侵总数占数据集入侵总数的比率,而误检率是指将非入侵行为错检测为入侵行为的比率。
然而,现有技术的入侵检测方法都是直接在粗糙的入侵检测数据集KDD CUP99上应用入侵检测算法,但是这种入侵检测模式对应的数据集基本上是过时且不可靠的。此外,这种入侵检测模式的其中一些数据集缺乏流量的多样性和数量,另外一些数据集并未涵盖各种已知的攻击,这都无法有效地实现对网络入侵快速和准确的检测。
发明内容
针对现有技术存在的缺陷,本发明提供一种基于深度学习的网络入侵检测方法和报警系统,该基于深度学习的网络入侵检测方法和报警系统主要通过对入侵检测数据集进行归一化处理、可视化图像转换处理和滤波处理,以提高所述入侵检测数据集的纹理特征的清晰度,并且还构建和优化训练关于多层卷积和深度置信网络相结合的模型,并基于该模型对所述入侵检测数据集进行测试处理,以获得相应的网络入侵检测结果;可见,该基于深度学习的网络入侵检测方法和报警系统能够有效地解决现有技术直接在KDD CUP99数据集上应用入侵检测算法时,检测速度慢和准确率低下的问题,此外,其还具有如下优点:第一、其通过将卷积神经网络和深度置信网络结合,实现对网络入侵行为的精确和高效的检测;第二、其采用优化选择的网络入侵数据特征集,并对网络连接数据进行归一化处理和可视化为图像转换处理,使其适应深度学习多层卷积和深度置信网络模型,从而提高入侵检测模型提取异常行为特征的精确度和效率。
本发明提供一种基于深度学习的网络入侵检测方法,其特征在于,所述基于深度学习的网络入侵检测方法包括如下步骤:
步骤S1,获取关于网络的入侵检测数据集,并对所述入侵检测数据集进行归一化处理;
步骤S2,将经过所述归一化处理的所述入侵检测数据集进行可视化图像转换处理;
步骤S3,将经过所述可视化图像转换处理的所述入侵检测数据集进行滤波处理,以提高所述入侵检测数据集的纹理特征的清晰度;
步骤S4,构建关于多层卷积和深度置信网络相结合的模型,并对所述模型进行优化训练处理;
步骤S5,通过与经过所述优化训练处理的模型关联的分类器,对所述入侵检测数据集进行测试处理,以获得相应的网络入侵检测结果;
进一步,所述步骤S1具体包括,
步骤S101,获取关于网络的CSE-CIC-IDS-2017数据集以作为所述入侵检测数据集,其中,所述CSE-CIC-IDS-2017数据集包括网络中每一个机器对应捕获的网络流量信息和系统日志信息、以及通过CICFlowMeter-V3对应捕获的网络流量中的若干个特征;
步骤S102,通过下面公式(1),对所述CSE-CIC-IDS-2017数据集中的每一个数据进行关于极差变换的归一化计算,以使每一个数据的特征属性进行统计性的同一归纳
Figure BDA0002618061690000031
在上述公式(1)中,Xij为所述CSE-CIC-IDS-2017数据集中对应的第i条网络连接数据中的第j个特征的原取值,Xik为所述原取值对应的归一化计算值,Min为所述CSE-CIC-IDS-2017数据集中对应的第i条网络连接数据中所有特征对应的最小原取值,Max为所述CSE-CIC-IDS-2017数据集中对应的第i条网络连接数据中所有特征对应的最大原取值;
进一步,所述步骤S2具体包括,
步骤S201,确定经过所述归一化处理的所述入侵检测数据集的每一条数据对应的维度值;
步骤S202,将对应于所述维度值的数据进行关于均值填充、中位数填充或者-1填充的数据填充处理,以将对应于所述维度值的数据填充转换为9*9的可视化图像;
以及,
所述步骤S3中具体包括,
根据下面公式(2),采用3*3窗口大小的滤波器对所述9*9的可视化图像进行关于局部二值LBP的去噪处理
Figure BDA0002618061690000032
在上述公式(2)中,LBP(xc,yc)为所述去噪处理后得到的局部二值LBP,I(c)为所述9*9的可视化图像的中心像素点的灰度值,I(p)为所述9*9的可视化图像的第p个像素点的灰度值,其中p=1、2、…、8,s(x)的具体表达式如下面公式(3)
Figure BDA0002618061690000041
进一步,所述步骤S4具体包括,
步骤S401,通过对比散度算法将所述入侵检测数据集对应的权值进行初始化处理;
步骤S402,将经过所述初始化处理的权值通过下面公式(4)对应的能量函数公式计算得到所述入侵检测数据集中对应每一个数据对应的神经元
Figure BDA0002618061690000042
在上述公式(4)中,E(v,h|θ)为神经元的能量值,Wij为所述模型的可见层第i个神经元到隐藏层第j个神经元的连接权值,bj为可见层第j个神经元的偏置,ci为隐藏层第i个神经元的偏置,vj和hi均为预设联合概率;
步骤S403,将所述步骤S402得到的神经元对应的两层RBM与卷积神经网络相结合来对网络入侵行为进行建模,以构建一个包括输入层、输出层和五个隐含层的所述模型,其中,所述输入层将一维待检测数据转化为二维特征矩阵,以使对应的网络连接数据匹配于RBM网络结构;
步骤S404,对所述模型包含的两层RBM、卷积层、池化层和全连接层进行训练层,以实现所述模型的参数初始值;
进一步,所述步骤S5具体包括,
步骤S501,构建与经过所述优化训练处理的模型关联的Softmax分类器;
步骤S502,将所述模型中的卷积神经网络提取得到的关于所述入侵检测数据的网络审计数据特征输入至所述Softmax分类器进行激活处理;
步骤S503,根据所述激活处理的结果,输出网络入侵类型对应的暴力攻击、Heartbleed、僵尸网络、Dos、DDoS、Web攻击和网络内部渗透对应的概率值;
步骤S504,获取具有最大概率值的网络入侵类型的标签属性,以此作为所述网络入侵检测结果。
本发明还提供一种基于深度学习的网络入侵报警系统,其特征在于:
所述基于深度学习的网络报警系统包括实时流量获取模块、数据处理模块、数据检测模块和报警模块;其中,
所述实时流量获取模块用于获取当前用户在网络中的实时流量数据;
所述数据处理模块用于对所述实时流量数据进行所述归一化处理和所述可视化图像转换处理;
所述数据检测模块用于将所述数据处理模块处理后的数据,输入至所述关于多层卷积和深度置信网络相结合的模型,以进行所述测试处理;
所述报警模块用于根据所述测试处理的结果,对当前网络入侵状态进行适应性的报警提醒操作;
进一步,所述数据处理模块包括归一化处理子模块和可视化图像转换处理子模块;其中,
所述归一化处理子模块用于对所述实时流量数据进行所述归一化处理,以获得相应的归一化入侵检测数据集;
所述可视化图像转换处理子模块用于对所述归一化入侵检测数据集进行数据填充处理,以对应获得9*9的可视化图像;
进一步,所述数据检测模块包括模型构建子模块、模型优化训练子模块和测试处理子模块;其中,
所述模型构建子模块用于构建关于多层卷积和深度置信网络相结合的模型;
所述模型优化训练子模块用于对所述模型进行关于参数初始值设置的优化训练;
所述测试处理子模块用于通过经过优化训练的所述模型,对所述数据处理模块输出的数据进行所述测试处理;
进一步,所述测试处理子模块包括分类器单元、网络入侵类型概率确定单元和标签属性获取单元;其中,
所述分类器单元用于对经过优化训练的所述模型提取得到的网络审计数据特征进行Softmax分类激活处理;
所述网络入侵类型概率确定单元用于根据所述Softmax分类激活处理的结果,输出网络入侵类型对应的暴力攻击、Heartbleed、僵尸网络、Dos、DDoS、Web攻击和网络内部渗透对应的概率值;
所述标签属性获取单元用于获取具有最大概率值的网络入侵类型的标签属性,以此作为所述网络入侵检测结果;
进一步,所述报警模块包括阈值比较子模块、报警提醒子模块和强制关闭子模块;其中,
所述阈值比较子模块用于将所述测试处理的结果与预设阈值进行比较处理;
所述报警提醒子模块用于在所述比较处理确定所述测试处理的结果超过所述预设阈值时,进行适应性的报警提醒操作;
所述强制关闭子模块用于在所述报警提醒操作持续时间超过预设时长阈值时,将网络入侵对应的网络操作进行强制关闭。
相比于现有技术,该基于深度学习的网络入侵检测方法和报警系统主要通过对入侵检测数据集进行归一化处理、可视化图像转换处理和滤波处理,以提高所述入侵检测数据集的纹理特征的清晰度,并且还构建和优化训练关于多层卷积和深度置信网络相结合的模型,并基于该模型对所述入侵检测数据集进行测试处理,以获得相应的网络入侵检测结果;可见,该基于深度学习的网络入侵检测方法和报警系统能够有效地解决现有技术直接在KDD CUP99数据集上应用入侵检测算法时,检测速度慢和准确率低下的问题,此外,其还具有如下优点:第一、其通过将卷积神经网络和深度置信网络结合,实现对网络入侵行为的精确和高效的检测;第二、其采用优化选择的网络入侵数据特征集,并对网络连接数据进行归一化处理和可视化为图像转换处理,使其适应深度学习多层卷积和深度置信网络模型,从而提高入侵检测模型提取异常行为特征的精确度和效率。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种基于深度学习的网络入侵检测方法的流程示意图。
图2为本发明提供的一种基于深度学习的网络入侵报警系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1,为本发明实施例提供的一种基于深度学习的网络入侵检测方法的流程示意图。该基于深度学习的网络入侵检测方法包括如下步骤:
步骤S1,获取关于网络的入侵检测数据集,并对该入侵检测数据集进行归一化处理;
步骤S2,将经过该归一化处理的该入侵检测数据集进行可视化图像转换处理;
步骤S3,将经过该可视化图像转换处理的该入侵检测数据集进行滤波处理,以提高该入侵检测数据集的纹理特征的清晰度;
步骤S4,构建关于多层卷积和深度置信网络相结合的模型,并对该模型进行优化训练处理;
步骤S5,通过与经过该优化训练处理的模型关联的分类器,对该入侵检测数据集进行测试处理,以获得相应的网络入侵检测结果。
优选地,在该步骤S1中,获取关于网络的入侵检测数据集,并对该入侵检测数据集进行归一化处理具体包括,
步骤S101,获取关于网络的CSE-CIC-IDS-2017数据集以作为该入侵检测数据集,其中,该CSE-CIC-IDS-2017数据集包括网络中每一个机器对应捕获的网络流量信息和系统日志信息、以及通过CICFlowMeter-V3对应捕获的网络流量中的若干个特征;
步骤S102,通过下面公式(1),对该CSE-CIC-IDS-2017数据集中的每一个数据进行关于极差变换的归一化计算,以使每一个数据的特征属性进行统计性的同一归纳
Figure BDA0002618061690000081
在上述公式(1)中,Xij为该CSE-CIC-IDS-2017数据集中对应的第i条网络连接数据中的第j个特征的原取值,Xik为该原取值对应的归一化计算值,Min为该CSE-CIC-IDS-2017数据集中对应的第i条网络连接数据中所有特征对应的最小原取值,Max为该CSE-CIC-IDS-2017数据集中对应的第i条网络连接数据中所有特征对应的最大原取值。
优选地,在该步骤S2中,将经过该归一化处理的该入侵检测数据集进行可视化图像转换处理具体包括,
步骤S201,确定经过该归一化处理的该入侵检测数据集的每一条数据对应的维度值;
步骤S202,将对应于该维度值的数据进行关于均值填充或者中位数填充的数据填充处理,以将对应于该维度值的数据填充转换为9*9的可视化图像。
优选地,在该步骤S3中,将经过该可视化图像转换处理的该入侵检测数据集进行滤波处理,以提高该入侵检测数据集的纹理特征的清晰度具体包括,
根据下面公式(2),采用3*3窗口大小的滤波器对该9*9的可视化图像进行关于局部二值LBP的去噪处理
Figure BDA0002618061690000091
在上述公式(2)中,LBP(xc,yc)为该去噪处理后得到的局部二值LBP,I(c)为该9*9的可视化图像的中心像素点的灰度值,I(p)为该9*9的可视化图像的第p个像素点的灰度值,其中p=1、2、…、8,s(x)的具体表达式如下面公式(3)
Figure BDA0002618061690000092
优选地,在该步骤S4中,构建关于多层卷积和深度置信网络相结合的模型,并对该模型进行优化训练处理具体包括,
步骤S401,通过对比散度算法将该入侵检测数据集对应的权值进行初始化处理;
步骤S402,将经过该初始化处理的权值通过下面公式(4)对应的能量函数公式计算得到该入侵检测数据集中对应每一个数据对应的神经元
Figure BDA0002618061690000093
在上述公式(4)中,E(v,h|θ)为神经元的能量值,Wij为该模型的可见层第i个神经元到隐藏层第j个神经元的连接权值,bj为可见层第j个神经元的偏置,ci为隐藏层第i个神经元的偏置,vj和hi均为预设联合概率;
步骤S403,将该步骤S402得到的神经元对应的两层RBM与卷积神经网络相结合来对网络入侵行为进行建模,以构建一个包括输入层、输出层和五个隐含层的该模型,其中,该输入层将一维待检测数据转化为二维特征矩阵,以使对应的网络连接数据匹配于RBM网络结构;
步骤S404,对该模型包含的两层RBM、卷积层、池化层和全连接层进行训练层,以实现该模型的参数初始值。
优选地,在该步骤S5中,通过与经过该优化训练处理的模型关联的分类器,对该入侵检测数据集进行测试处理,以获得相应的网络入侵检测结果具体包括,
步骤S501,构建与经过该优化训练处理的模型关联的Softmax分类器;
步骤S502,将该模型中的卷积神经网络提取得到的关于该入侵检测数据的网络审计数据特征输入至该Softmax分类器进行激活处理;
步骤S503,根据该激活处理的结果,输出网络入侵类型对应的暴力攻击、Heartbleed、僵尸网络、Dos、DDoS、Web攻击和网络内部渗透对应的概率值;
步骤S504,获取具有最大概率值的网络入侵类型的标签属性,以此作为该网络入侵检测结果。
参阅图2,为本发明实施例提供的一种基于深度学习的网络入侵报警系统的结构示意图。该基于深度学习的网络报警系统包括实时流量获取模块、数据处理模块、数据检测模块和报警模块;其中,
该实时流量获取模块用于获取当前用户在网络中的实时流量数据;
该数据处理模块用于对该实时流量数据进行该归一化处理和该可视化图像转换处理;
该数据检测模块用于将该数据处理模块处理后的数据,输入至该关于多层卷积和深度置信网络相结合的模型,以进行该测试处理;
该报警模块用于根据该测试处理的结果,对当前网络入侵状态进行适应性的报警提醒操作。
优选地,该数据处理模块包括归一化处理子模块和可视化图像转换处理子模块;其中,
该归一化处理子模块用于对该实时流量数据进行该归一化处理,以获得相应的归一化入侵检测数据集;
该可视化图像转换处理子模块用于对该归一化入侵检测数据集进行数据填充处理,以对应获得9*9的可视化图像。
优选地,该数据检测模块包括模型构建子模块、模型优化训练子模块和测试处理子模块;其中,
该模型构建子模块用于构建关于多层卷积和深度置信网络相结合的模型;
该模型优化训练子模块用于对该模型进行关于参数初始值设置的优化训练;
该测试处理子模块用于通过经过优化训练的该模型,对该数据处理模块输出的数据进行该测试处理。
优选地,该测试处理子模块包括分类器单元、网络入侵类型概率确定单元和标签属性获取单元;其中,
该分类器单元用于对经过优化训练的该模型提取得到的网络审计数据特征进行Softmax分类激活处理;
该网络入侵类型概率确定单元用于根据该Softmax分类激活处理的结果,输出网络入侵类型对应的暴力攻击、Heartbleed、僵尸网络、Dos、DDoS、Web攻击和网络内部渗透对应的概率值;
该标签属性获取单元用于获取具有最大概率值的网络入侵类型的标签属性,以此作为该网络入侵检测结果。
优选地,该报警模块包括阈值比较子模块、报警提醒子模块和强制关闭子模块;其中,
该阈值比较子模块用于将该测试处理的结果与预设阈值进行比较处理;
该报警提醒子模块用于在该比较处理确定该测试处理的结果超过该预设阈值时,进行适应性的报警提醒操作;
该强制关闭子模块用于在该报警提醒操作持续时间超过预设时长阈值时,将网络入侵对应的网络操作进行强制关闭。
从上述实施例的内容可知,该基于深度学习的网络入侵检测方法和报警系统主要通过对入侵检测数据集进行归一化处理、可视化图像转换处理和滤波处理,以提高该入侵检测数据集的纹理特征的清晰度,并且还构建和优化训练关于多层卷积和深度置信网络相结合的模型,并基于该模型对该入侵检测数据集进行测试处理,以获得相应的网络入侵检测结果;可见,该基于深度学习的网络入侵检测方法和报警系统能够有效地解决现有技术直接在KDD CUP99数据集上应用入侵检测算法时,检测速度慢和准确率低下的问题,此外,其还具有如下优点:第一、其通过将卷积神经网络和深度置信网络结合,实现对网络入侵行为的精确和高效的检测;第二、其采用优化选择的网络入侵数据特征集,并对网络连接数据进行归一化处理和可视化为图像转换处理,使其适应深度学习多层卷积和深度置信网络模型,从而提高入侵检测模型提取异常行为特征的精确度和效率。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种基于深度学习的网络入侵检测方法,其特征在于,所述基于深度学习的网络入侵检测方法包括如下步骤:
步骤S1,获取关于网络的入侵检测数据集,并对所述入侵检测数据集进行归一化处理;
步骤S2,将经过所述归一化处理的所述入侵检测数据集进行可视化图像转换处理;
步骤S3,将经过所述可视化图像转换处理的所述入侵检测数据集进行滤波处理,以提高所述入侵检测数据集的纹理特征的清晰度;
步骤S4,构建关于多层卷积和深度置信网络相结合的模型,并对所述模型进行优化训练处理;
步骤S5,通过与经过所述优化训练处理的模型关联的分类器,对所述入侵检测数据集进行测试处理,以获得相应的网络入侵检测结果。
2.如权利要求1所述的基于深度学习的网络入侵检测方法,其特征在于:
所述步骤S1具体包括,
步骤S101,获取关于网络的CSE-CIC-IDS-2017数据集以作为所述入侵检测数据集,其中,所述CSE-CIC-IDS-2017数据集包括网络中每一个机器对应捕获的网络流量信息和系统日志信息、以及通过CICFlowMeter-V3对应捕获的网络流量中的若干个特征;
步骤S102,通过下面公式(1),对所述CSE-CIC-IDS-2017数据集中的每一个数据进行关于极差变换的归一化计算,以使每一个数据的特征属性进行统计性的同一归纳
Figure FDA0002618061680000011
在上述公式(1)中,Xij为所述CSE-CIC-IDS-2017数据集中对应的第i条网络连接数据中的第j个特征的原取值,Xik为所述原取值对应的归一化计算值,Min为所述CSE-CIC-IDS-2017数据集中对应的第i条网络连接数据中所有特征对应的最小原取值,Max为所述CSE-CIC-IDS-2017数据集中对应的第i条网络连接数据中所有特征对应的最大原取值。
3.如权利要求1所述的基于深度学习的网络入侵检测方法和报警系统,其特征在于:
所述步骤S2具体包括,
步骤S201,确定经过所述归一化处理的所述入侵检测数据集的每一条数据对应的维度值;
步骤S202,将对应于所述维度值的数据进行关于均值填充或者中位数填充的数据填充处理,以将对应于所述维度值的数据填充转换为9*9的可视化图像;
以及,
所述步骤S3具体包括,
根据下面公式(2),采用3*3窗口大小的滤波器对所述9*9的可视化图像进行关于局部二值LBP的去噪处理
Figure FDA0002618061680000021
在上述公式(2)中,LBP(xc,yc)为所述去噪处理后得到的局部二值LBP,I(c)为所述9*9的可视化图像的中心像素点的灰度值,I(p)为所述9*9的可视化图像的第p个像素点的灰度值,其中p=1、2、…、8,s(x)的具体表达式如下面公式(3)
Figure FDA0002618061680000022
4.如权利要求1所述的基于深度学习的网络入侵检测方法和报警系统,其特征在于:
所述步骤S4具体包括,
步骤S401,通过对比散度算法将所述入侵检测数据集对应的权值进行初始化处理;
步骤S402,将经过所述初始化处理的权值通过下面公式(4)对应的能量函数公式计算得到所述入侵检测数据集中对应每一个数据对应的神经元,
Figure FDA0002618061680000031
在上述公式(4)中,E(v,h|θ)为神经元的能量值,Wij为所述模型的可见层第i个神经元到隐藏层第j个神经元的连接权值,bj为可见层第j个神经元的偏置,ci为隐藏层第i个神经元的偏置,vj和hi均为预设联合概率;
步骤S403,将所述步骤S402得到的神经元对应的两层RBM与卷积神经网络相结合来对网络入侵行为进行建模,以构建一个包括输入层、输出层和五个隐含层的所述模型,其中,所述输入层将一维待检测数据转化为二维特征矩阵,以使对应的网络连接数据匹配于RBM网络结构;
步骤S404,对所述模型包含的两层RBM、卷积层、池化层和全连接层进行训练层,以实现所述模型的参数初始值。
5.如权利要求1所述的基于深度学习的网络入侵检测方法和报警系统,其特征在于:
所述步骤S5具体包括,
步骤S501,构建与经过所述优化训练处理的模型关联的Softmax分类器;
步骤S502,将所述模型中的卷积神经网络提取得到的关于所述入侵检测数据的网络审计数据特征输入至所述Softmax分类器进行激活处理;
步骤S503,根据所述激活处理的结果,输出网络入侵类型对应的暴力攻击、Heartbleed、僵尸网络、Dos、DDoS、Web攻击和网络内部渗透对应的概率值;
步骤S504,获取具有最大概率值的网络入侵类型的标签属性,以此作为所述网络入侵检测结果。
6.一种根据权利要求1-5中任一项所述基于深度学习的网络入侵检测方法的报警系统,其特征在于:包括:
实时流量获取模块,所述实时流量获取模块用于获取当前用户在网络中的实时流量数据;
数据处理模块,所述数据处理模块用于对所述实时流量数据进行所述归一化处理和所述可视化图像转换处理;
数据检测模块,所述数据检测模块用于将所述数据处理模块处理后的数据,输入至所述关于多层卷积和深度置信网络相结合的模型,以进行所述测试处理;
报警模块,所述报警模块用于根据所述测试处理的结果,对当前网络入侵状态进行适应性的报警提醒操作。
7.如权利要求6所述的报警系统,其特征在于:
所述数据处理模块包括,
归一化处理子模块,所述归一化处理子模块用于对所述实时流量数据进行所述归一化处理,以获得相应的归一化入侵检测数据集;
可视化图像转换处理子模块,所述可视化图像转换处理子模块用于对所述归一化入侵检测数据集进行数据填充处理,以对应获得9*9的可视化图像。
8.如权利要求6所述的报警系统,其特征在于:
所述数据检测模块包括,
模型构建子模块,所述模型构建子模块用于构建关于多层卷积和深度置信网络相结合的模型;
模型优化训练子模块,所述模型优化训练子模块用于对所述模型进行关于参数初始值设置的优化训练;
测试处理子模块,所述测试处理子模块用于通过经过优化训练的所述模型,对所述数据处理模块输出的数据进行所述测试处理。
9.如权利要求8所述的报警系统,其特征在于:
所述测试处理子模块包括,
分类器单元,所述分类器单元用于对经过优化训练的所述模型提取得到的网络审计数据特征进行Softmax分类激活处理;
网络入侵类型概率确定单元,所述网络入侵类型概率确定单元用于根据所述Softmax分类激活处理的结果,输出网络入侵类型对应的暴力攻击、Heartbleed、僵尸网络、Dos、DDoS、Web攻击和网络内部渗透对应的概率值;
标签属性获取单元,所述标签属性获取单元用于获取具有最大概率值的网络入侵类型的标签属性,以此作为所述网络入侵检测结果。
10.如权利要求6所述的报警系统,其特征在于:
所述报警模块包括,
阈值比较子模块,所述阈值比较子模块用于将所述测试处理的结果与预设阈值进行比较处理;
报警提醒子模块,所述报警提醒子模块用于在所述比较处理确定所述测试处理的结果超过所述预设阈值时,进行适应性的报警提醒操作;
强制关闭子模块,所述强制关闭子模块用于在所述报警提醒操作持续时间超过预设时长阈值时,将网络入侵对应的网络操作进行强制关闭。
CN202010774978.9A 2020-08-05 2020-08-05 一种基于深度学习的网络入侵检测方法和报警系统 Active CN111970259B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010774978.9A CN111970259B (zh) 2020-08-05 2020-08-05 一种基于深度学习的网络入侵检测方法和报警系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010774978.9A CN111970259B (zh) 2020-08-05 2020-08-05 一种基于深度学习的网络入侵检测方法和报警系统

Publications (2)

Publication Number Publication Date
CN111970259A true CN111970259A (zh) 2020-11-20
CN111970259B CN111970259B (zh) 2022-04-29

Family

ID=73363456

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010774978.9A Active CN111970259B (zh) 2020-08-05 2020-08-05 一种基于深度学习的网络入侵检测方法和报警系统

Country Status (1)

Country Link
CN (1) CN111970259B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112653675A (zh) * 2020-12-12 2021-04-13 海南师范大学 一种基于深度学习的智能入侵检测方法及其装置
CN113839930A (zh) * 2021-09-06 2021-12-24 哈尔滨工业大学 一种基于图像处理的网络入侵检测方法和系统
CN114928477A (zh) * 2022-04-28 2022-08-19 深圳信息职业技术学院 一种网络入侵检测方法、装置、可读存储介质及终端设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180189612A1 (en) * 2016-12-29 2018-07-05 Paypal, Inc. System and method for learning from the images of raw data
CN109768985A (zh) * 2019-01-30 2019-05-17 电子科技大学 一种基于流量可视化与机器学习算法的入侵检测方法
CN110351244A (zh) * 2019-06-11 2019-10-18 山东大学 一种基于多卷积神经网络融合的网络入侵检测方法及系统
CN110875912A (zh) * 2018-09-03 2020-03-10 中移(杭州)信息技术有限公司 一种基于深度学习的网络入侵检测方法、装置和存储介质
CN111343182A (zh) * 2020-02-26 2020-06-26 电子科技大学 一种基于灰度图的异常流量检测方法
CN111428789A (zh) * 2020-03-25 2020-07-17 广东技术师范大学 一种基于深度学习的网络流量异常检测方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180189612A1 (en) * 2016-12-29 2018-07-05 Paypal, Inc. System and method for learning from the images of raw data
CN110875912A (zh) * 2018-09-03 2020-03-10 中移(杭州)信息技术有限公司 一种基于深度学习的网络入侵检测方法、装置和存储介质
CN109768985A (zh) * 2019-01-30 2019-05-17 电子科技大学 一种基于流量可视化与机器学习算法的入侵检测方法
CN110351244A (zh) * 2019-06-11 2019-10-18 山东大学 一种基于多卷积神经网络融合的网络入侵检测方法及系统
CN111343182A (zh) * 2020-02-26 2020-06-26 电子科技大学 一种基于灰度图的异常流量检测方法
CN111428789A (zh) * 2020-03-25 2020-07-17 广东技术师范大学 一种基于深度学习的网络流量异常检测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
YE PENG等: "Evaluating Deep Learning Based Network Intrusion Detection System in Adversarial Environment", 《2019 IEEE 9TH INTERNATIONAL CONFERENCE ON ELECTRONICS INFORMATION AND EMERGENCY COMMUNICATION(ICEIEC)》 *
吴恋等: "基于深度学习的入侵检测算法", 《物联网技术》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112653675A (zh) * 2020-12-12 2021-04-13 海南师范大学 一种基于深度学习的智能入侵检测方法及其装置
CN113839930A (zh) * 2021-09-06 2021-12-24 哈尔滨工业大学 一种基于图像处理的网络入侵检测方法和系统
CN114928477A (zh) * 2022-04-28 2022-08-19 深圳信息职业技术学院 一种网络入侵检测方法、装置、可读存储介质及终端设备

Also Published As

Publication number Publication date
CN111970259B (zh) 2022-04-29

Similar Documents

Publication Publication Date Title
Abusitta et al. A deep learning approach for proactive multi-cloud cooperative intrusion detection system
CN111970259B (zh) 一种基于深度学习的网络入侵检测方法和报警系统
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
Liu et al. An intrusion detection model with hierarchical attention mechanism
Qadir et al. The role of machine learning in digital forensics
Yue et al. An ensemble intrusion detection method for train ethernet consist network based on CNN and RNN
CN113556319B (zh) 物联网下基于长短期记忆自编码分类器的入侵检测方法
CN114697096A (zh) 基于空时特征和注意力机制的入侵检测方法
Lata et al. A comprehensive survey of fraud detection techniques
CN115687758A (zh) 一种用户分类模型训练方法、用户检测方法
Sun et al. Detection and classification of network events in LAN using CNN
Lee et al. CoNN-IDS: Intrusion detection system based on collaborative neural networks and agile training
Naqvi et al. Adversarial attacks on visual objects using the fast gradient sign method
Corchado et al. Detecting compounded anomalous SNMP situations using cooperative unsupervised pattern recognition
CN114970694B (zh) 一种网络安全态势评估方法及其模型训练方法
Zhang et al. Research on unknown threat detection method of information system based on deep learning
Salek et al. Intrusion detection using neuarl networks trained by differential evaluation algorithm
Dong et al. A-CAVE: Network abnormal traffic detection algorithm based on variational autoencoder
CN114615056B (zh) 一种基于对抗鲁棒性学习的Tor恶意流量检测方法
Shekokar et al. Analysis of Intelligent Techniques for Financial Fraud Detection
Bui et al. One-class fusion-based learning model for anomaly detection
Kumar An Efficient Network Intrusion Detection Model Combining CNN and BiLSTM
Nandurdikar et al. A Survey on Intelligent and Effective Intrusion Detection system using Machine Learning Algorithm
Liu et al. Statistical based waveform classification for cloud intrusion detection
Nema et al. Robust Anomaly Detection in Network Traffic using Deep Learning Models

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant