CN111988329B - 一种基于深度学习的网络入侵检测方法 - Google Patents

Abstract

本发明提供了一种基于深度学习的网络入侵检测方法，该方法将每条流量数据中的特征视为在时间轴上顺序排列的若干个一维特征，并作为A‑1D‑CNN模型的输入。特别地，由于事先无法获知最佳超参数，在构建A‑1D‑CNN模型时，利用PSO对每个卷积层的卷积核数量进行优化，自适应地获得最优网络超参数；实现了端到端的深层特征学习和类型识别，避免了人为选择特征带来的不足，提高了模型对不同任务的自适应能力。

Description

一种基于深度学习的网络入侵检测方法

技术领域

本发明提供了一种基于深度学习的网络入侵检测方法，属于网络入侵检测领域。

背景技术

入侵检测作为一种重要的主动安全防御技术，旨在通过收集网络数据并设计相应的处理算法，实现对网络攻击事件的检测和识别。目前已有较多将机器学习(MachineLearning,ML)算法引入网络入侵检测的研究成果出现。例如一种基于支持向量机(SupportVector Machine,SVM)的电网通信入侵检测方法，首先根据特征间的互信息选择对分类贡献大的参量，再综合多个SVM的输出得到最终的识别结果；另一种采用BP神经网络用于电力调度自动化系统的入侵检测，其特点是使用PSO算法优化神经网络的初始权重，使得训练过程更易收敛至全局最优。此外，还有学者基于决策树、k近邻等机器学习算法设计了相应的入侵检测方法。但上述方法本质上仍属于浅层学习，存在以下方面的不足：1)分类器所需特征参量要靠人为指定，具有较强的主观性；2)浅层学习难以表征高维异构数据与类型标签之间复杂的非线性映射关系；3)泛化能力有限。

近年来，以卷积神经网络为代表的深度学习(Deep Learning,DL)在学术界和工业界均受到广泛关注，其突出特点是无需人工干预的深层特征提取能力。当前，已有学者将DL算法应用于入侵检测中，取得了优于传统浅层学习的效果。例如一种基于非对称深度自编码器(Deep Autoencoder,DAE)的入侵检测方法，其关键步骤在于利用堆栈式自编码器网络对流量数据进行无监督学习，获取数据中的深层特征量，最后采用随机森林(RandomForest,RF)算法完成特征的分类。该方法具有良好的网络入侵识别能力，但也存在对样本数少的攻击类型识别率差的不足。此外，还引入了深度信念网络(Deep Belief Network,DBN)，其训练过程包含用于提取特征的无监督学习(即训练多层受限玻尔兹曼机)和用于特征分类的有监督学习(即训练BP神经网络)。相应的实验结果显示DBN在入侵检测中同样具有优于传统ML的性能。

发明内容

本发明针对上述存在的问题，提出一种基于自适应一维CNN(A-1D-CNN)的网络入侵检测方法，该方法将每条流量数据中的特征视为在时间轴上顺序排列的若干个一维特征，并作为1D-CNN模型的输入。特别地，由于事先无法获知最佳超参数，在构建1D-CNN模型时，利用PSO对每个卷积层的卷积核数量进行优化，自适应地获得最优网络超参数。

本发明解决技术问题所采用的技术方案：一种基于自适应一维CNN的网络入侵检测方法。具体步骤如下：

步骤一：采用KDD CUP 99数据集作为网络入侵检测的输入数据，并利用机器学习算法将所述输入数据进行数据类型转换，完成数据类型转换后，进行归一化处理；

步骤二：构建A-1D-CNN模型；

步骤三：采用PSO优化算法对A-1D-CNN模型进行优化；

步骤四：将经PSO优化后的参数作为A-1D-CNN模型的最终参数，采用训练集进行重新训练，并使用测试集数据验证训练模型的性能。

其中所述步骤一中的所述输入数据包括将10％数据集作为训练集，将带正确标签的测试数据作为测试集，每组数据的前41维为特征量，第42维为类型标记，特征量由以下几部分组成：1)TCP连接的基本特征：包含了网络连接的基本属性，如持续时间、协议类型、传送的字节数等信息，由数据的第1-9维特征组成；2)TCP连接的内容特征：从数据内容里抽取的部分可反映入侵行为的内容特征，如登录失败次数、root用户访问次数等，由数据的第10-22维特征组成；3)基于时间的网络流量统计特征：可反映网络攻击事件的时间相关性的特征量，由数据的第23-31维特征组成；4)主机网络流量统计特征：前100个连接记录中与当前连接具有相同目标主机的统计信息，由数据的第32-41维特征组成。

所述步骤一中的所述归一化处理采用min-max方法，即将所有数值归一化到[0,1]范围内，计算式如下：

其中，x_min和x_max分别表示某个特征属性中所有数值的最小和最大值。

其中所述步骤二中的所述A-1D-CNN模型采用串联形式的CNN结构，包括6种深度学习层，即输入层、一维卷积层、一维最大池化层、全连接层、展平层和随机丢弃层。首先，将所述输入数据的特征转化成维度为(119,1)的张量后输入至所述输入层；然后，经过多个所述一维卷积层特征抽取和一维最大池化层特征降维后，利用所述展平层将二维特征图展平为一维特征向量；最后，使用2个随机丢弃层完成对特征的识别，且中间添加了Dropout正则化层以避免网络陷入某些不希望的偶然模式。

其中当为2分类问题时，最后一个全连接层使用Sigmoid激活函数，且该层神经元个数为1；

其中当为5分类问题时，最后一个全连接层使用Softmax激活函数，层神经元个数为5。

Sigmoid函数和Softmax函数的计算式如下：

所述步骤三采用PSO优化算法对A-1D-CNN模型进行优化的过程为：将每个一维卷积层中卷积核数量作为待优化对象，根据CNN模型构建的规则，沿着数据流传递方向，卷积层的输出特征图大小逐渐减小，而卷积核数量应逐渐增多。另外，将预测概率分布和样本概率分布的交叉熵作为PSO的适应度函数，最大迭代次数设置为20。

其中，交叉熵公式为：

H(A,B)＝-∑P_A(x_i)log(P_B(x_i))

P_A(x_i)和P_B(x_i)分别是A和B中某变量的发生概率；

其中，所述PSO优化算法的具体优化过程如下所示：

首先在解空间中生成一群粒子，每个粒子的属性包括位置、速度和适应度值。其中，位置表示优化问题的解，速度代表位置的移动，适应度函数则用于判断解的优劣。当粒子在解空间运动时，通过跟踪个体极值P_best和群体极值G_best来更新个体位置。

假设在D维搜索空间中，由N个粒子组成的种群表示为X＝(X₁,X₂,...,X_N)，其中第k个粒子X_k为D维向量，代表着优化问题的某个潜在解。将X_k的速度和个体极值分别表示为V_k＝[V_k1,V_k2,,...,V_kD]^T和P_k＝[P_k1,P_k2,...,P_kD]^T，k＝1,2,...,N。根据优化问题的适应度函数确定所有P_k中最优解作为群体极值，记为P_g＝[P_g1,P_g2,,...,P_gD]^T。在每一次迭代中，第k个粒子根据自身所在位置与P_k和P_g的距离计算下一次迭代的速度，进而更新位置。该过程可由如下公式表示：

式中w为惯性权重，d＝1,2,...,D，m为当前迭代次数，

和

分别表示第k个粒子的第d维特征的速度和位置。c₁、c₂为加速度因子，r₁、r₂为取值在[0,1]之间的随机数。另外，为防止粒子盲目搜索，一般将其位置和速度限制在一定范围内，即：

X_k∈[X_min,X_max],V_k∈[V_min,V_max] (6)。

本发明的有益效果为：利用A-1D-CNN模型实现了端到端的深层特征学习和类型识别，避免了人为选择特征带来的不足；通过引入PSO算法实现了对卷积层卷积核数量的优化，提高了模型对不同任务的自适应能力。

附图说明

图1为A-1D-CNN方法流程图。

图2为PSO算法的流程图。

图3为A-1D-CNN模型的基本结构。

具体实施方式

下面通过具体的实施例并结合附图对本发明做进一步的详细描述。

本申请解决技术问题所采用的技术方案：一种基于自适应一维CNN的网络入侵检测方法。具体步骤如下所示：

步骤一：采用KDD CUP 99数据集作为网络入侵检测的输入数据，并利用机器学习算法将所述输入数据进行数据类型转换，完成数据类型转换后，进行归一化处理；

步骤二：构建A-1D-CNN模型；

步骤三：采用PSO优化算法对A-1D-CNN模型进行优化；

步骤四：将经PSO优化后的参数作为A-1D-CNN模型的最终参数，采用训练集进行重新训练，并使用测试集数据验证训练模型的性能。

其中所述步骤一中的所述输入数据如表1所示，包括将10％数据集作为训练集，将带正确标签的测试数据作为测试集，每组数据的前41维为特征量，第42维为类型标记，特征量由以下几部分组成：1)TCP连接的基本特征：包含了网络连接的基本属性，如持续时间、协议类型、传送的字节数等信息，由数据的第1-9维特征组成；2)TCP连接的内容特征：从数据内容里抽取的部分可反映入侵行为的内容特征，如登录失败次数、root用户访问次数等，由数据的第10-22维特征组成；3)基于时间的网络流量统计特征：可反映网络攻击事件的时间相关性的特征量，由数据的第23-31维特征组成；4)主机网络流量统计特征：前100个连接记录中与当前连接具有相同目标主机的统计信息，由数据的第32-41维特征组成。

表1 训练集和测试集数据构成

所述步骤一中的所述归一化处理采用min-max方法，即将所有数值归一化到[0,1]范围内，计算式如下：

其中，x_min和x_max分别表示某个特征属性中所有数值的最小和最大值。

其中所述步骤二中的所述A-1D-CNN模型采用串联形式的CNN结构，如图2所示，包括6种深度学习层，即Input Layer(输入层)、Conv1D Layer(一维卷积层)、MaxPool1DLayer(一维最大池化层)、Dense Layer(全连接层)、Flatten Layer(展平层)和DropoutLayer(随机丢弃层)。该模型处理数据的流程如下：首先，将所述输入数据的特征转化成维度为(119,1)的张量后输入至所述输入层；然后，经过多个所述一维卷积层特征抽取和一维最大池化层特征降维后，利用所述展平层将二维特征图展平为一维特征向量；最后，使用2个随机丢弃层完成对特征的识别，且中间添加了Dropout正则化层以避免网络陷入某些不希望的偶然模式。

其中当为2分类问题时，最后一个全连接层使用Sigmoid激活函数，且该层神经元个数为1；

其中当为5分类问题时，最后一个全连接层使用Softmax激活函数，层神经元个数为5。

Sigmoid函数和Softmax函数的计算式如下：

所述步骤三采用PSO优化算法对A-1D-CNN模型进行优化的过程为：将每个一维卷积层中卷积核数量作为待优化对象，根据CNN模型构建的规则，沿着数据流传递方向，卷积层的输出特征图大小逐渐减小，而卷积核数量应逐渐增多。另外，将预测概率分布和样本概率分布的交叉熵作为PSO的适应度函数，最大迭代次数设置为20。

其中，交叉熵公式为：

H(A,B)＝-∑P_A(x_i)log(P_B(x_i))

其中，所述PSO优化算法首先在解空间中生成一群粒子，每个粒子的属性包括位置、速度和适应度值。其中，位置表示优化问题的解，速度代表位置的移动，适应度函数则用于判断解的优劣。当粒子在解空间运动时，通过跟踪个体极值P_best和群体极值G_best来更新个体位置。所述PSO优化算法的具体优化过程如图3所示：

假设在D维搜索空间中，由N个粒子组成的种群表示为X＝(X₁,X₂,...,X_N)，其中第k个粒子X_k为D维向量，代表着优化问题的某个潜在解。将X_k的速度和个体极值分别表示为V_k＝[V_k1,V_k2,,...,V_kD]^T和P_k＝[P_k1,P_k2,...,P_kD]^T，k＝1,2,...,N。根据优化问题的适应度函数确定所有P_k中最优解作为群体极值，记为P_g＝[P_g1,P_g2,,...,P_gD]^T。在每一次迭代中，第k个粒子根据自身所在位置与P_k和P_g的距离计算下一次迭代的速度，进而更新位置。该过程可由如下公式表示：

式中w为惯性权重，d＝1,2,...,D，m为当前迭代次数，

和

分别表示第k个粒子的第d维特征的速度和位置。c₁、c₂为加速度因子，r₁、r₂为取值在[0,1]之间的随机数。另外，为防止粒子盲目搜索，一般将其位置和速度限制在一定范围内，即：

X_k∈[X_min,X_max],V_k∈[V_min,V_max] (6)。

为全面评估入侵检测算法的性能，将使用准确率(Accuracy，AC)、精确率(Precision，PR)、召回率(Recall，RE)和F1-score(F1)作为评价指标，计算式如下：

其中：TP、FP、TN和FN分别为真阳性、假阳性、真阴性和假阴性，其物理含义见表2。

表2 几种术语的物理含义

所谓2分类实验，即将KDD Cup 99数据分为“正常”和“异常”2类，前者是标签为“normal”的样本，后者则包含标签为“DoS”、“Probe”、“R2L”和“U2R”的所有数据。算法先通过PSO迭代选出满足适应度函数最小的参数，仅在6次迭代后就确定了最优参数，大幅提升了效率。

为避免过拟合，设置在连续5次epoch后性能无改善的情况下，自动保存最优模型。最终完成训练的模型在训练集上的loss低至0.0012，准确率高达99.97％。

为检验所提方法对具体攻击类型的识别能力，将KDD Cup 99数据分为“Normal”、“DoS”、“Probe”、“R2L”和“U2R”5类进行训练和测试。同样，先利用PSO对参数进行优化，在9次迭代后趋于收敛，得到最优参数。与上述2分类实验比较可知，5分类问题的收敛速度稍慢，且最优参数均高于2分类问题的最优参数，这是由于5分类的复杂程度更高，需要更多的卷积核学习数据中的时空特征信息。另外，对每层卷积核数量的上限进行规定，防止模型过于复杂导致过拟合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种基于深度学习的网络入侵检测方法，其特征在于：

步骤一：采用KDD CUP 99数据集作为网络入侵检测的输入数据，并利用机器学习算法将所述输入数据进行数据类型转换，完成数据类型转换后，进行归一化处理；

步骤二：构建自适应一维CNN模型；所述自适应一维CNN模型采用串联形式的CNN结构，包括6种深度学习层，即输入层、一维卷积层、一维最大池化层、全连接层、展平层和随机丢弃层；首先，将所述输入数据的特征转化成维度为(119,1)的张量后输入至所述输入层；然后，经过多个所述一维卷积层特征抽取和一维最大池化层特征降维后，利用所述展平层将二维特征图展平为一维特征向量；最后，使用2个随机丢弃层完成对特征的识别，且中间添加了Dropout正则化层以避免网络陷入偶然模式；

步骤三：采用PSO优化算法对自适应一维CNN模型进行优化；将每个一维卷积层中卷积核数量作为待优化对象，根据CNN模型构建的规则，沿着数据流传递方向，卷积层的输出特征图大小逐渐减小，而卷积核数量逐渐增多；将预测概率分布和样本概率分布的交叉熵作为PSO的适应度函数，最大迭代次数设置为20；

其中，所述PSO优化算法的具体优化过程如下所示：

首先在解空间中生成一群粒子，每个粒子的属性包括位置、速度和适应度值；其中，位置表示优化问题的解，速度代表位置的移动，适应度函数则用于判断解的优劣；当粒子在解空间运动时，通过跟踪个体极值P_best和群体极值G_best来更新个体位置；

假设在D维搜索空间中，由N个粒子组成的种群表示为X＝(X₁,X₂,...,X_N)，其中第k个粒子X_k为D维向量，代表着优化问题的某个潜在解；将X_k的速度和个体极值分别表示为V_k＝[V_k1,V_k2,,...,V_kD]^T和P_k＝[P_k1,P_k2,...,P_kD]^T，k＝1,2,...,N；根据优化问题的适应度函数确定所有P_k中最优解作为群体极值，记为P_g＝[P_g1,P_g2,,...,P_gD]^T；在每一次迭代中，第k个粒子根据自身所在位置与P_k和P_g的距离计算下一次迭代的速度，进而更新位置；该过程可由如下公式表示：

式中w为惯性权重，d＝1,2,...,D，m为当前迭代次数，

和

分别表示第k个粒子的第d维特征的速度和位置；c₁、c₂为加速度因子，r₁、r₂为取值在[0,1]之间的随机数；另外，为防止粒子盲目搜索，一般将其位置和速度限制在一定范围内，即：

X_k∈[X_min,X_max],V_k∈[V_min,V_max] (4)

步骤四：将经PSO优化后的参数作为自适应一维CNN模型的最终参数，采用训练集进行重新训练，并使用测试集数据验证训练模型的性能。

2.根据权利要求1所述的一种基于深度学习的网络入侵检测方法，其特征在于：所述步骤一中的所述输入数据包括训练集和测试集，其中，将10％数据集作为训练集，将带正确标签的测试数据作为测试集，每组数据的前41维为特征量，第42维为类型标记。

3.根据权利要求2所述的一种基于深度学习的网络入侵检测方法，其特征在于：所述特征量由以下几部分组成：1)TCP连接的基本特征：包含了网络连接的基本属性，包括持续时间、协议类型、传送的字节数信息，由数据的第1-9维特征组成；2)TCP连接的内容特征：从数据内容里抽取的部分可反映入侵行为的内容特征，包括登录失败次数、root用户访问次数，由数据的第10-22维特征组成；3)基于时间的网络流量统计特征：反映网络攻击事件的时间相关性的特征量，由数据的第23-31维特征组成；4)主机网络流量统计特征：前100个连接记录中与当前连接具有相同目标主机的统计信息，由数据的第32-41维特征组成。

4.根据权利要求1所述的一种基于深度学习的网络入侵检测方法，其特征在于：所述步骤一中的所述归一化处理采用min-max方法，即将所有数值归一化到[0,1]范围内，计算式如下：

其中，x_min和x_max分别表示某个特征属性中所有数值的最小和最大值。

5.根据权利要求1所述的一种基于深度学习的网络入侵检测方法，其特征在于：当为2分类问题时，最后一个全连接层使用Sigmoid激活函数，且该层神经元个数为1。

6.根据权利要求1所述的一种基于深度学习的网络入侵检测方法，其特征在于：当为5分类问题时，最后一个全连接层使用Softmax激活函数，层神经元个数为5。

7.根据权利要求1所述的一种基于深度学习的网络入侵检测方法，其特征在于：使用AC、PR、RE和F1作为评价指标，计算式如下：

其中：AC为准确率、PR为精确率、RE为召回率、F1为F1-score；TP、FP、TN和FN分别为真阳性、假阳性、真阴性和假阴性。

Images