CN112104602A - 一种基于cnn迁移学习的网络入侵检测方法 - Google Patents
一种基于cnn迁移学习的网络入侵检测方法 Download PDFInfo
- Publication number
- CN112104602A CN112104602A CN202010773891.XA CN202010773891A CN112104602A CN 112104602 A CN112104602 A CN 112104602A CN 202010773891 A CN202010773891 A CN 202010773891A CN 112104602 A CN112104602 A CN 112104602A
- Authority
- CN
- China
- Prior art keywords
- model
- cnn
- training
- data
- intrusion detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 28
- 238000013526 transfer learning Methods 0.000 title claims abstract description 25
- 238000012549 training Methods 0.000 claims abstract description 67
- 238000012360 testing method Methods 0.000 claims abstract description 27
- 238000013508 migration Methods 0.000 claims abstract description 24
- 230000005012 migration Effects 0.000 claims abstract description 24
- 238000000034 method Methods 0.000 claims abstract description 11
- 238000002790 cross-validation Methods 0.000 claims description 12
- 230000000694 effects Effects 0.000 claims description 10
- 238000010200 validation analysis Methods 0.000 claims description 10
- 238000010606 normalization Methods 0.000 claims description 8
- 239000011159 matrix material Substances 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 4
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 238000007781 pre-processing Methods 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- 238000013527 convolutional neural network Methods 0.000 description 20
- 238000013135 deep learning Methods 0.000 description 9
- 230000002159 abnormal effect Effects 0.000 description 7
- 238000010801 machine learning Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 241000282414 Homo sapiens Species 0.000 description 3
- 238000012512 characterization method Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 210000004556 brain Anatomy 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Image Analysis (AREA)
Abstract
本发明公开了一种基于CNN迁移学习的网络入侵检测方法,包括:S1:获取公开数据集;S2:对公开数据集的基本特征进行选取,并构建CNN迁移学习模型;S3:用公开数据集对CNN迁移学习模型进行训练;S4:对训练好的CNN迁移学习模型进行测试;S5:用经过测试的CNN迁移学习模型进行网络入侵检测。本发明所述方法能自动提取多维网络威胁数据的高层特征,且适合于训练样本较少的情况,在面对训练样本较少的情况下,利用迁移学习的特点,构建一个训练高效的模型,提高网络入侵检测的准确率。
Description
技术领域
本发明涉及网络安全技术领域,更具体地,涉及一种基于CNN迁移学习的网络入侵检测方法。
背景技术
随着信息网络技术的迅猛发展,互联网已经深度融入了经济社会,并深刻地改变着人类的生活方式。人们的思维模式、行为方式和生活习惯,无不受到互联网的影响,因而互联网的安全稳定与每个人都息息相关。一个安全稳定的网络对于我们是必不可少的,网络安全已经成为现代信息社会中最重要的需求之一。然而,目前检测网络安全的手段还是比较单一,并且效率低下。伴随着互联网数据总量的大量增长,网络威胁的手段也愈发隐秘,当前形势下传统的网络威胁检测技术已经面临新的挑战。
而近几年,深度学习的得到快速发展,如何将深度学习应用到网络安全中,利用深度学习技术来帮助我们检测网络中的威胁,并将威胁排除在外从而构建一个更安全的网络,是一个值得研究的问题。其中,深度学习是机器学习中一种基于对数据进行表征学习的方法。它是机器学习研究中的一个新的领域,其动机在于建立、模拟人脑进行分析学习的神经网络,它模仿人脑的机制来解释数据,例如图像,声音和文本。
然而,当前的网络威胁检测手段面临模型训练时间长、训练效率低下、训练不充分的问题。并且由于网络攻击手段越来越复杂,一种新的攻击方式的产生往往面临着训练样本较少的问题。并且,对于监督学习,数据样本得有标签才能进行训练,而标注数据是一项枯燥无味且花费巨大的任务,这也是造成训练样本较少的原因。
发明内容
本发明为克服上述现有技术所述的网络入侵检测的训练效率低下、训练不充分和面对新型攻击手段时训练样本少等问题,提供一种基于CNN迁移学习的网络入侵检测方法。
所述方法包括以下步骤:
S1:获取公开数据集;
S2:对公开数据集的基本特征进行选取,并构建CNN迁移学习模型;
S3:用公开数据集对CNN迁移学习模型进行训练;
S4:利用公开数据集对训练好的CNN迁移学习模型进行测试;
S5:用经过测试的CNN迁移学习模型进行网络入侵检测。
优选地,S2包括以下步骤:
S2.1:对公开数据集进行预处理;
S2.2:构建ResNet迁移学习模型,并更改其最后的全连接层,由于ResNet模型是原本1000分类,入侵检测本质也是一个分类器,更改最后的全连接层就是更改输出的类别,例如可以改为2分类只识别正常或非正常的数据,也可根据攻击类型变成一个多分类问题。
S2.3:将公开数据集划分为训练数据和测试数据。
优选地,S2.1包括:
S2.1.1:网络数据包的转换:采用one-hot方法将公开数据集的非数值字符进行数值化,得到全为数值的数据;
S2.1.2:将数值数据进行标准化,然后再进行归一化处理;将每个数值归一化到[0,1]区间。
S2.1.3:将归一化后的数据,即特征信息转换为图像矩阵。
优选地,标准化计算公式为:
其中,X′ij表示Xij数值标准化后的值,i表示第几个样本,j表示样本维度,AVGj为平均值,STADj为平均绝对偏差;n表示样本数据总量,例如一个训练样本量为10000,那么n就是10000。
对上述计算做如下判断:
(1)如果AVGj等于0则X′ij=0;
(2)如果STADj等于0则X′ij=0。
优选地,归一化处理公式为:
Xmin=min{X′ij}
Xmax=max{X′ij}
将标准化的每个数值归一化到[0,1]区间;
其中,X″ij表示X′ij归一化后的值,Xmin表示所数据中该特征属性的最小值,Xmax表示所有数据中该特征属性的最大值。
优选地,S2.3具体为:
将公开数据集划分80%作为训练数据,剩下20%作为测试数据。
优选地,S3包括以下步骤:
S3.1:定义损失函数为交叉熵;
S3.2:定义优化器为随机梯度下降算法(SGD),进行反向传播开始训练模型;
S3.3:采用k-折交叉验证对训练数据来进行训练:k-折交叉验证将训练数据随机划分为k份,k-1份作为训练集,1份作为验证集,依次轮换训练集和验证集k次,验证误差最小的模型为所求模型。
优选地,S3.1中的损失函数为:
其中,p表示期望,q表示实际输出的结果。
优选地,S3.3包括以下步骤:
S3.3.1:随机将训练数据集S划分成k个不相交的子集,每个子集中样本数量为m/k个,其中m代表数据集的样本量,这些子集分别记作S1,...,Sk;
S3.3.2:对于每个模型(每个模型的架构是一样的,训练的数据不一样,导致最后模型的权重也不一样),进行如下操作:
对于每个模型Mj,将S1∪...∪Sj-1∪Sj+1∪...∪Sk作为训练集,训练模型Mj,得到相应的模型。
再将其作为验证集Sj,计算泛化误差;
S3.3.3:计算每个模型的平均泛化误差,选择泛化误差最小的模型为所求模型。
优选地,S4具体为:
将训练好的模型,用测试样本数据进行测试,判断测试效果是否满足预期,满足则完成训练,不满足则回S1。
与现有技术相比,本发明技术方案的有益效果是:
本发明在深度学习的基础上引入了迁移学习,使深度学习的训练变得更加高效;通过迁移学习可以从其他数据样本学习到与异常流量相类似的特征,在训练新的攻击样本时,通过已经学习得到的“知识”来再次训练,以此提高效率;通过交叉验证,扩充训练样本的多样性,也可缓解新样本量少的弊端;通过CNN迁移学习ResNet模型也可提取异常流量的高维度特征。
附图说明
图1是本实施例所述基于CNN迁移学习的网络入侵检测方法的流程图。
图2是本发明所述的CNN迁移学习模型的系统框架图。
图3是ResNet-34模型的结构示意图。
图4是3-折交叉验证的示意图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
为了更好说明本实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;
对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
下面结合附图和实施例对本发明的技术方案做进一步的说明。
实施例1
本发明实施例提供了一种基于CNN迁移学习的网络入侵的检测方法,所述方法能自动提取多维网络威胁数据的高维特征,并且由于利用了迁移学习(即从别处已经训练好的模型用来训练本次的模型)和k折交叉验证的方法(加大了训练样本量),因此,也适用于训练样本较少的情况。
本实施例中CNN迁移学习模型包含三个阶段,分别为:Ⅰ、特征提取阶段;Ⅱ、模型训练阶段;Ⅲ、模型测试阶段。请参考图2,图2为本实施例CNN迁移学习模型的系统框图。
其具体流程如下步骤:
S1:首先获取公开数据集;
本实施例所获取的公开数据集,例如KDD99数据集,KDD CUP是由ACM(Associationfor Computing Machiner)的SIGKDD(Special Interest Group on Knowledge Discoveryand Data Mining)组织的年度竞赛,KDD CUP 99dataset”就是KDD竞赛在1999年举行时采用的数据集。可从http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html下载KDD99数据集;
本实施例获取KDD’Cup99数据集,该数据集包含总共41个特征,其中38个特征是数字的,3个特征是符号。根据信息增益(IG)指标的评分,选取排名前32的特征信息(32at IG>0.119)。特征信息(特征信息如前面所述,代表样本每一项的值,挑选特征信息可以理解为挑选样本(41维)哪些维度(哪一项)进入模型训练,入选那一维度(项)的名称)如表1所示。
表1:网络流数据的基本特征信息表
| Rank | Feature | Rank | Feature |
| 1 | srv_serror_rate | 17 | dst_host_srv_diff_host_rate |
| 2 | serror_rate | 18 | root_shell |
| 3 | flag | 19 | wrong_fragment |
| 4 | logsed_in | 20 | dst_host_diff_srv_rate |
| 5 | dst_host_srv_serror_rate | 21 | dst_host_srv_count |
| 6 | diff_srv_rate | 22 | rerror_rate |
| 7 | dst_host_serror_rate | 23 | count |
| 8 | dst_bytes | 24 | urgent |
| 9 | hot | 25 | protocol_type |
| 10 | dst_host_same_srv_rate | 26 | dst_host_srv_rerror_rate |
| 11 | src_bytes | 27 | dst_host_count |
| 12 | same_srv_rate | 28 | dst_host_same_src_port_rate |
| 13 | srv_diff_host_rate | 29 | num_file_creations |
| 14 | service | 30 | num_shells |
| 15 | num_failed_logins | 31 | num_compromised |
| 16 | is_guest_login | 32 | num_root |
数据特征描述:
一个网络连接定义为在某个时间内从开始到结束的TCP数据包序列,并且在这段时间内,数据在预定义的协议下(如TCP、UDP)从源IP地址到目的IP地址的传递。每个网络连接被标记为正常(normal)或异常(attack),异常类型被细分为4大类共39种攻击类型。
4种异常类型分别是:
DOS,denial-of-service.拒绝服务攻击,例如ping-of-death,syn flood,smurf等;
R2L,unauthorized access from a remote machine to a local machine.来自远程主机的未授权访问,例如guessing password;
U2R,unauthorized access to local superuser privileges by a localunpivileged user.未授权的本地超级用户特权访问,例如buffer overflow attacks;
PROBING,surveillance and probing,端口监视或扫描,例如port-scan,ping-sweep等。
数据特征描述样本:
2,tcp,smtp,SF,1684,363,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,1,1,0.00,0.00,0.00,0.00,1.00,0.00,0.00,104,66,0.63,0.03,0.01,0.00,0.00,0.00,0.00,0.00,normal.
其中,每一项数字就是一项特征信息。
上面是公开数据集中的1条记录,以CSV格式写成,加上最后的标记(label),一共有42项。
Ⅰ、特征提取阶段:
S2:对公开数据集的基本特征进行选取,并构建CNN迁移学习模型。
S2.1:对公开数据集进行预处理,具体包括:
S2.1.1:网络数据包的符号转换:可采用one-hot方法进行数值化。
S2.1.2:数值数据的归一化。
其中,数值数据的归一化得先进行标准化。
数值标准化:
其中,X′ij表示Xij数值标准化后的值,i表示第几个样本,j表示样本维度,AVGj为平均值,STADj为平均绝对偏差;n表示样本数据总量,(例如一个训练样本量为10000,那么n就是10000)。
对上述计算做如下判断:
(1)如果AVGj等于0则X′ij=0;
(2)如果STADj等于0则X′ij=0。
数值数据的归一化:
Xmin=min{X′ij}
Xmax=max{X′ij}
将标准化的每个数值归一化到[0,1]区间;
其中,X″ij表示X′ij归一化后的值,Xmin表示所数据中该特征属性的最小值,Xmax表示所有数据中该特征属性的最大值。
S2.1.3:将特征信息转换为图像矩阵。
使用了32×32像素将特征信息转换为图像矩阵。
再将该图像矩阵反卷积成224×224矩阵。
S2.2:构建ResNet迁移学习模型,并更改其最后的全连接层。
在CNN模型中,目前有常见的LeNet-5、AlexNet、VGG、DenseNet、Resnet等模型,其中Resnet的效果普遍较好,ResNet能从增加的深度中获得准确率的提升,Resnet产生的结果也刷新了当时的记录。ResNet扩展性强,当网络增加到100层甚至1000层的时候,仍然不会出现退化问题。目前ResNet提出的有18层、34层、50层、101层和152层。本实施例选择ResNet-34模型用来做迁移学习。
ResNet-34模型架构的最后一层是全连接层。
ResNet-34的示意图如图3所示。
获取公开的Resnet-34模型,更改其最后的全连接层。由于采用featureextraction来进行迁移学习训练,因此不再改变预训练模型的参数,而是只更新改变过的部分模型参数。利用提取出来的特征做来完成训练任务。
其中,由于数据集中共包含39种攻击类型加上正常访问的类别,总共40个标签。因此这个模型为40分类问题,所以将最后的输出改为40。
S2.3:将公开数据集划分为训练数据和测试数据:本实施例将选取80%样本作为训练数据集,其余20%作为测试数据集。
Ⅱ、训练阶段。
S3:用公开数据集对CNN迁移学习模型进行训练。
S3.1:定义损失函数(Loss)为交叉熵(CrossEntropy Loss),其公式为
其中,p表示期望,q表示实际输出的结果,交叉熵的结果越低说明两种分布的结果越接近。
S3.2:定义优化器为随机梯度下降算法(SGD),进行反向传播开始训练模型。
S3.3:采用k-折交叉验证对80%的训练数据来进行训练。
k-折交叉验证将样本集随机划分为k份,k-1份作为训练集,1份作为验证集,依次轮换训练集和验证集k次,如图4所示,验证误差最小的模型为所求模型。具体方法如下:
S3.3.1:随机将训练数据集S划分成k个不相交的子集,每个子集中样本数量为m/k个,其中m代表数据集的样本量,这些子集分别记作S1,...,Sk;
S3.3.2:对于每个模型(每个模型的架构是一样的,训练的数据不一样,导致最后模型的权重也不一样),进行如下操作:
对于每个模型Mj,将S1∪...∪Sj-1∪Sj+1∪...∪Sk作为训练集,训练模型Mj,得到相应的模型。
再将其作为验证集Sj,计算泛化误差;
S3.3.3:计算每个模型的平均泛化误差,选择泛化误差最小的模型。
K-折交叉验证方法,每次留作验证的为总样本量的1/k,因此每次用于训练的样本量相应增加了。
选取k=5、8、10对训练样本进行训练。
优选的,选取准确率最高的模型进入下一阶段。
Ⅲ、测试阶段。
S4:对训练好的CNN迁移学习模型进行测试:将训练好的模型,用20%的测试样本数据进行测试,判断测试效果是否满足预期,满足则完成训练,不满足则回到开始阶段。
S5:用经过测试的CNN迁移学习模型进行网络入侵检测。
本实施例在面对训练样本较少的情况下,利用CNN迁移学习的特点,构建一个训练高效的模型,提高网络入侵检测的准确率。
由于传统的机器学习算法在数据样本的维度和数量较小的时候表现往往还不错,但是,当数据量和维度大量上升时,传统机器学习的性能却难以提升,而深度学习则可以继续不断优化。本发明在深度学习的基础上引入了迁移学习,使深度学习的训练变得更加高效;引入了交叉验证,扩充了样本的多样性,可缓解样本不足的情况;引入了ResNet(残差网络),使其更能学习数据的更高维度的数据特征,ResNet因其简单又实用的优点,现已在检测,分割,识别等领域被广泛的应用。面对日益复杂的网络形势,一种新的攻击出现其攻击样本往往较少以至于难以通过机器学习进行训练,通过迁移学习可以从其他数据样本找到异常流量类似的特征,迁移学习到新的样本数据,提高效率;交叉验证也可缓解新样本量少的弊端;通过ResNet也可提取异常流量的高维度特征。这些方法都是为了缓解层出不穷出现新的网络攻击导致一开始训练样本少难以进行训练的弊端,使机器学习更有及时性。另外,整个系统形成闭环,一次训练结果不满意可以持续不断得继续训练,不断优化,形成良性循环。
附图中描述位置关系的用语仅用于示例性说明,不能理解为对本专利的限制;
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。
Claims (10)
1.一种基于CNN迁移学习的网络入侵检测方法,其特征在于,所述方法包括以下步骤:
S1:获取公开数据集;
S2:对公开数据集的基本特征进行选取,并构建CNN迁移学习模型;
S3:用公开数据集对CNN迁移学习模型进行训练;
S4:利用公开数据集对训练好的CNN迁移学习模型进行测试;
S5:用经过测试的CNN迁移学习模型进行网络入侵检测。
2.根据权利要求1所述的基于CNN迁移学习的网络入侵检测方法,其特征在于,S2包括以下步骤:
S2.1:对公开数据集进行预处理;
S2.2:构建ResNet迁移学习模型,并更改其最后的全连接层,输出对应的类别;
S2.3:将公开数据集划分为训练数据和测试数据。
3.根据权利要求2所述的基于CNN迁移学习的网络入侵检测方法,其特征在于,S2.1包括:
S2.1.1:网络数据包的转换:采用one-hot方法将公开数据集的非数值字符进行数值化,得到全为数值的数据;
S2.1.2:将数值数据进行标准化,然后再进行归一化处理;
S2.1.3:将归一化后的数据转换为“图像矩阵”。
4.根据权利要求3所述的基于CNN迁移学习的网络入侵检测方法,其特征在于,标准化计算公式为:
其中,X′ij表示Xij数值标准化后的值,i表示第几个样本,j表示样本维度,AVGj为平均值,STADj为平均绝对偏差;n表示样本数据总量;
对上述计算做如下判断:
(1)如果AVGj等于0则X′ij=0;
(2)如果STADj等于0则X′ij=0。
5.根据权利要求4所述的基于CNN迁移学习的网络入侵检测方法,其特征在于,归一化处理公式为:
Xmin=min{X′ij}
Xmax=max{X′ij}
将标准化的每个数值归一化到[0,1]区间;
其中,X″ij表示X′ij归一化后的值,Xmin表示所数据中该特征属性的最小值,Xmax表示所有数据中该特征属性的最大值。
6.根据权利要求2-5任一项所述的基于CNN迁移学习的网络入侵检测方法,其特征在于,S2.3具体为:
将公开数据集划分80%作为训练数据,剩下20%作为测试数据。
7.根据权利要求6所述的基于CNN迁移学习的网络入侵检测方法,其特征在于,S3包括以下步骤:
S3.1:定义损失函数为交叉熵;
S3.2:定义优化器为随机梯度下降算法,进行反向传播开始训练模型;
S3.3:采用k-折交叉验证对训练数据来进行训练:k-折交叉验证将训练数据随机划分为k份,k-1份作为训练集,1份作为验证集,依次轮换训练集和验证集k次,验证误差最小的模型为所求模型。
8.根据权利要求7所述的基于CNN迁移学习的网络入侵检测方法,其特征在于,S3.1中的损失函数为:
其中,p表示期望,q表示实际输出的结果。
9.根据权利要求7或8所述的基于CNN迁移学习的网络入侵检测方法,其特征在于,S3.3包括以下步骤:
S3.3.1:随机将训练数据集S划分成k个不相交的子集,每个子集中样本数量为m/k个,其中m代表数据集的样本量,这些子集分别记作S1,...,Sk;
S3.3.2:对于每个模型,进行如下操作:
对于每个模型Mj,将S1∪...∪Sj-1∪Sj+1∪...∪Sk作为训练集,训练模型Mj,得到相应的模型。
再将其作为验证集Sj,计算泛化误差;
S3.3.3:计算每个模型的平均泛化误差,选择泛化误差最小的模型为所求模型。
10.根据权利要求9所述的基于CNN迁移学习的网络入侵检测方法,其特征在于,S4具体为:
将训练好的模型,用测试样本数据进行测试,判断测试效果是否满足预期,满足则完成训练,不满足则回S1。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010773891.XA CN112104602A (zh) | 2020-08-04 | 2020-08-04 | 一种基于cnn迁移学习的网络入侵检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010773891.XA CN112104602A (zh) | 2020-08-04 | 2020-08-04 | 一种基于cnn迁移学习的网络入侵检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112104602A true CN112104602A (zh) | 2020-12-18 |
Family
ID=73749527
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010773891.XA Pending CN112104602A (zh) | 2020-08-04 | 2020-08-04 | 一种基于cnn迁移学习的网络入侵检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112104602A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112749739A (zh) * | 2020-12-31 | 2021-05-04 | 天博电子信息科技有限公司 | 一种网络入侵检测方法 |
| CN112929382A (zh) * | 2021-03-01 | 2021-06-08 | 中南大学 | 用于光突发交换网络中的入侵检测方法 |
| CN114121161A (zh) * | 2021-06-04 | 2022-03-01 | 东莞太力生物工程有限公司 | 一种基于迁移学习的培养基配方开发方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110674866A (zh) * | 2019-09-23 | 2020-01-10 | 兰州理工大学 | 迁移学习特征金字塔网络对X-ray乳腺病灶图像检测方法 |
| CN110765458A (zh) * | 2019-09-19 | 2020-02-07 | 浙江工业大学 | 一种基于深度学习的恶意软件检测方法及其装置 |
| CN110875912A (zh) * | 2018-09-03 | 2020-03-10 | 中移(杭州)信息技术有限公司 | 一种基于深度学习的网络入侵检测方法、装置和存储介质 |
| CN111200575A (zh) * | 2018-11-16 | 2020-05-26 | 慧盾信息安全科技(苏州)股份有限公司 | 一种基于机器学习的信息系统恶意行为的识别方法 |
-
2020
- 2020-08-04 CN CN202010773891.XA patent/CN112104602A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110875912A (zh) * | 2018-09-03 | 2020-03-10 | 中移(杭州)信息技术有限公司 | 一种基于深度学习的网络入侵检测方法、装置和存储介质 |
| CN111200575A (zh) * | 2018-11-16 | 2020-05-26 | 慧盾信息安全科技(苏州)股份有限公司 | 一种基于机器学习的信息系统恶意行为的识别方法 |
| CN110765458A (zh) * | 2019-09-19 | 2020-02-07 | 浙江工业大学 | 一种基于深度学习的恶意软件检测方法及其装置 |
| CN110674866A (zh) * | 2019-09-23 | 2020-01-10 | 兰州理工大学 | 迁移学习特征金字塔网络对X-ray乳腺病灶图像检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 谢博: ""基于ResNet的入侵检测模型研究"", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112749739A (zh) * | 2020-12-31 | 2021-05-04 | 天博电子信息科技有限公司 | 一种网络入侵检测方法 |
| CN112929382A (zh) * | 2021-03-01 | 2021-06-08 | 中南大学 | 用于光突发交换网络中的入侵检测方法 |
| CN114121161A (zh) * | 2021-06-04 | 2022-03-01 | 东莞太力生物工程有限公司 | 一种基于迁移学习的培养基配方开发方法及系统 |
| CN114121161B (zh) * | 2021-06-04 | 2022-08-05 | 深圳太力生物技术有限责任公司 | 一种基于迁移学习的培养基配方开发方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11574077B2 (en) | Systems and methods for removing identifiable information | |
| TWI673625B (zh) | 統一資源定位符(url)攻擊檢測方法、裝置以及電子設備 | |
| CN112491796B (zh) | 一种基于卷积神经网络的入侵检测及语义决策树量化解释方法 | |
| CN112104602A (zh) | 一种基于cnn迁移学习的网络入侵检测方法 | |
| CN109104441A (zh) | 一种基于深度学习的加密恶意流量的检测系统和方法 | |
| CN111915437B (zh) | 基于rnn的反洗钱模型的训练方法、装置、设备及介质 | |
| CN106934042A (zh) | 一种知识图谱表示模型及其方法 | |
| Blount et al. | Adaptive rule-based malware detection employing learning classifier systems: a proof of concept | |
| CN111259219B (zh) | 恶意网页识别模型建立方法、识别方法及系统 | |
| CN111651762A (zh) | 一种基于卷积神经网络的pe恶意软件检测方法 | |
| CN112884204B (zh) | 网络安全风险事件预测方法及装置 | |
| CN113992349B (zh) | 恶意流量识别方法、装置、设备和存储介质 | |
| CN110830489B (zh) | 基于内容抽象表示的对抗式欺诈网站检测方法及系统 | |
| CN113821793A (zh) | 一种基于图卷积神经网络的多阶段攻击场景构建方法及系统 | |
| CN115186015A (zh) | 一种网络安全知识图谱构建方法及系统 | |
| CN114897085A (zh) | 一种基于封闭子图链路预测的聚类方法及计算机设备 | |
| Chkirbene et al. | Data augmentation for intrusion detection and classification in cloud networks | |
| CN111047428A (zh) | 基于少量欺诈样本的银行高风险欺诈客户识别方法 | |
| Li et al. | Semi-wtc: A practical semi-supervised framework for attack categorization through weight-task consistency | |
| Zhang et al. | Network traffic classification method based on improved capsule neural network | |
| CN115567224A (zh) | 一种用于检测区块链交易异常的方法及相关产品 | |
| CN112929380B (zh) | 结合元学习与时空特征融合的木马通信检测方法及系统 | |
| CN112733144B (zh) | 一种基于深度学习技术的恶意程序智能检测方法 | |
| Maseer et al. | Meta‐analysis and systematic review for anomaly network intrusion detection systems: Detection methods, dataset, validation methodology, and challenges | |
| Jingyi et al. | ELM network intrusion detection model based on SLPP feature extraction |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201218 |