CN112929382A - 用于光突发交换网络中的入侵检测方法 - Google Patents

Abstract

本发明公开了一种用于光突发交换网络中的入侵检测方法，包括获取基础数据并处理得到训练数据；特征提取；建立原始入侵检测模型；以特征为约束，采用训练数据对原始入侵检测模型训练得到入侵检测模型；在实际通信中采用入侵检测模型进行入侵检测。本发明提供的这种用于光突发交换网络中的入侵检测方法，将残差网络应用于光突发交换网络的入侵检测，实现了针对泛洪攻击的检测，而且准确率高，可靠性高、稳定性好且性能优异。

Description

用于光突发交换网络中的入侵检测方法

技术领域

本发明属于光通信技术领域，具体涉及一种用于光突发交换网络中的入侵检测方法。

背景技术

光突发交换(optical burst switching，OBS)是一种将光电路与光分组交换技术相结合的新型技术。光突发交换技术实现了数据分组与控制分组在全光互联网中时间与信道的独立传送，提高了资源的利用率与分配灵活性，是未来全光互联网中重点发展技术之一。

边缘节点、核心节点以及WDM链路构成了OBS网络。突发包是OBS网络的基本交换单元，包括突发数据包(Burst Data Packet，BDP)及与突发数据包对应的突发控制分组(Burst Control Packet，BCP)。OBS传输技术在光学域中对控制头信息进行复杂的电子处理，并将数据保存在里面。OBS传输技术将边缘节点(入口节点)的客户端传输的数据组合成数据突发。然后一个包含了 DB包信息(突发长度、到达时间、偏移时间等)的BHP通过专用的带外波分复用信道向前传输。BHP在DB之前的时间称为偏置时间，用于预留所需的资源。BHP进入中间节点的时候会进行光-电-光转换，并通过电子处理来分配进去光领域的数据突发资源。入口边缘节点以突发的形式发送数据，最终在目标边缘节点上被分解。

在数据传输过程中，BCP和BDP采用了分离物理传输信道的方法，BCP 占用控制信道，BDP占用数据信道。这种方法在很大程度上可以简化数据处理过程，但却导致网络容易受到攻击。攻击者通过恶意节点向网络发送大量的 BHPs时，目标节点开始为每个恶意BHP保留新的WDM信道。合法的DB到达且没有空闲的WDM信道可用时，到达的DB将会被核心交换机丢弃，在极端情况下，此攻击行为还会导致网络产生严重的拒绝服务。

但是，目前尚没有一种稳定可靠且高效的针对光突发交换网络的入侵检测方法。

发明内容

本发明的目的在于在于提供一种针对泛洪攻击能够进行高准确率识别，而且可靠性高、稳定性好且性能优异的用于光突发交换网络中的入侵检测方法。

本发明提供的这种用于光突发交换网络中的入侵检测方法，包括如下步骤：

S1.获取基础数据；

S2.对步骤S1获取的基础数据进行处理，并得到训练数据；

S3.对步骤S2获取的训练数据进行特征提取；

S4.建立原始入侵检测模型；

S5.以步骤S3获取的特征为约束，采用步骤S2得到的训练数据对步骤S4 建立的原始入侵检测模型进行训练，从而得到入侵检测模型；

S6.在实际通信中，采用步骤S5得到的入侵检测模型进行光突发交换网络中的入侵检测。

所述的用于光突发交换网络中的入侵检测方法，还包括如下步骤：

S7.计算分类精度CA、分类率RMC、灵敏度SNS、假阴性率FRN、假阳性率FPR、特异性SPC、预测准确率PRC、阴性预测值NPV和F1评分对入侵检测模型进行评价。

所述的计算分类精度CA、分类率RMC、灵敏度SNS、假阴性率FRN、假阳性率FPR、特异性SPC、预测准确率PRC、阴性预测值NPV和F1评分，具体为采用如下算式进行计算：

式中TP为正确识别的个数；TN为正确拒绝的个数；FN为错误拒绝的个数；FP 为错误识别的个数；Precision为准确率得值；Recall为召回率。

步骤S1所述的获取基础数据，具体为采用UCI机器学习库中的关于光突发交换网络中的BHP泛洪攻击数据集。

步骤S2所述的对步骤S1获取的基础数据进行处理，并得到训练数据，具体为采用如下步骤得到训练数据：

A.数据清洗：删除缺失值，同时删除数据包大小字节D11；

B.数据转换：转换四个分类{NB No Block、Block、No Block、NB Wait}和节点在黄台{表现、不表现、潜在不表现}到one-hot编码中；N位状态寄存器对应N个状态，每个状态由对应的独立的寄存器位控制，并且任何时候仅有一个编码有效；

C.数据归一化：将数据采用最小最大归一化方式进行标准化处理。

步骤S3所述的对步骤S2获取的训练数据进行特征提取，具体为采用如下步骤进行特征提取：

采用皮尔逊相关系数衡量两个变量之间的相关程度：皮尔逊相关系数越接近1或者-1，则表明两个变量之间的关联度越强；采用如下算式计算皮尔逊相关系数：

式中ρ_xy为变量x和变量y的皮尔逊相关系数；cov(X,Y)为两个变量之间的协方差；E()为数学期望；X、Y为变量；μα、μy为样本平均数；δxδy为两个变量之间的标准差；

然后，根据计算得到的皮尔逊相关系数值，选取训练数据的特征。

步骤S4所述的建立原始入侵检测模型，具体为采用如下步骤建立模型：

采用ResNet模型作为检测模型；

模型包括输入层、第一卷积层、池化层、残缺块、第二卷积层、第三卷积层、全连接层、Dropout层和Adam优化器；

输入层：用于将数据输入到模型中；输入层采用一维卷积，数据维度为1060，卷积核的维度为3，卷积核的数量为64，步长为1；卷积方式为same；对特征进行无监督的学习，学习方式为对每层输入与输出间的残差信息进行学习；

第一卷积层：通过不同卷积核对上层特征图进行不同特征提取，利用激励函数构建输出特征图；每一层输出都是对多输入特征的卷积操作，数学公式表达为

其中H_i为网络第i层特征向量图，且当i＝1时H_i为输入层；W_i为第i层卷积核权值向量；b_i为偏移量；f()为激励函数；

为卷积运算符，用于完成卷积核与第i-1层特征图的卷积运算；激励函数为ReLU函数：

池化层：采用最大池化法提高特征，同时降低网络过拟合； H_i＝f(β_idown(H_i-1)+b_i)，其中H_i为池化层输出；β_i为网络乘性偏置矩阵； down()为池化函数；

残差块：池化层后连接残差块；

第二卷积层和第三卷积层：用于对每层输入与输出间的残差信息进行学习；卷积大小为3，卷积方式为same的一维卷积；

全连接层：用于对所有具有目标类型区分性的局部信息的低维特征进行整合；采用softmax分类器o＝f(b_i+ω₀H_i)，ω₀为权值矩阵；神经元个数为128；

Dropout层：全连接层将数据输入Dropout层；

Adam优化器：用于采用学习率逐步降低的方法对卷积神经网络进行训练；设置网络的权重为截断正态分布，均值为0且方差为1；初始化偏置值为0.1； Dropout值设置为0.5；学习率初始值赋值为10^-3；网络迭代次数设置为2000。

本发明提供的这种用于光突发交换网络中的入侵检测方法，将残差网络应用于光突发交换网络的入侵检测，实现了针对泛洪攻击的检测，而且准确率高，可靠性高、稳定性好且性能优异。

附图说明

图1为本发明方法的方法流程示意图。

图2为本发明方法的入侵检测模型的结构示意图。

图3为本发明方法的PCC计算结果的可视化热力图。

图4为本发明方法与DCNN在训练准确率和验证准确率的对比结果示意图。

图5为本发明方法与DCNN在训练损失值和验证损失值的对比结果示意图。

具体实施方式

如图1所示为本发明方法的方法流程示意图：本发明提供的这种用于光突发交换网络中的入侵检测方法，包括如下步骤：

S1.获取基础数据；具体为采用UCI机器学习库中的关于光突发交换网络中的BHP泛洪攻击数据集，该数据集有1075个样本数据，每个样本数据包含 22个属性；

S2.对步骤S1获取的基础数据进行处理，并得到训练数据；具体为采用如下步骤得到训练数据：

A.数据清洗：删除缺失值，同时删除数据包大小字节D11；

B.数据转换：转换四个分类{NB No Block、Block、No Block、NB Wait}和节点在黄台{表现、不表现、潜在不表现}到one-hot编码中，这使得分类器在处理属性数据时更加高效，并且在一定功能上来说也扩展了函数的属性特征；N 位状态寄存器对应N个状态，每个状态由对应的独立的寄存器位控制，并且任何时候仅有一个编码有效，例如，NB No Block类的单热编码为{1，0，0，0}， Block类的单热编码为{0，1，0，0}；

C.数据归一化：将数据采用最小最大归一化方式进行标准化处理；从而消除数据特征之间的维度影响，消除不同数量级样本不同属性的影响，还可以加快梯度下降最优解的搜索速度，提高分类精度；

S3.对步骤S2获取的训练数据进行特征提取；具体为采用如下步骤进行特征提取：

特征选取是从给定的属性集中选择相关属性子集的过程；在现实任务中经常会遇到维度灾难问题，这是属性太多造成的；如果能从中选取重要的特征，后续的学习过程只需要对一部分特征建立模型，去掉无关的特征往往会降低学习任务的难度；采用皮尔逊相关系数衡量两个变量之间的相关程度：皮尔逊相关系数越接近1或者-1，则表明两个变量之间的关联度越强，同时如果两个属性有完全正的线性相关性，删除一个不会造成信息丢失；采用如下算式计算皮尔逊相关系数：

式中ρ_xy为变量x和变量y的皮尔逊相关系数；式中ρ_xy为变量x和变量y的皮尔逊相关系数；cov(X,Y)为两个变量之间的协方差；E()为数学期望；X、Y为变量；μα、μy为样本平均数；δxδy为两个变量之间的标准差；

对PCC的计算结果进行可视化，生成了图3中的热力图，图3(a)表示数据集特征选择前相关系数的热图，图3(b)表示数据集特征选择后相关系数的热图，其中的数字表示PCC相关系数的计算结果；

然后，根据计算得到的皮尔逊相关系数值，选取训练数据的特征；

S4.建立原始入侵检测模型(如图2所示)；具体为采用如下步骤建立模型：

采用ResNet模型作为检测模型；

模型包括输入层、第一卷积层、池化层、残缺块、第二卷积层、第三卷积层、全连接层、Dropout层和Adam优化器；

输入层：用于将数据输入到模型中；输入层采用一维卷积，数据维度为1060，卷积核的维度为3，卷积核的数量为64，步长为1；卷积方式为same；对特征进行无监督的学习，学习方式为对每层输入与输出间的残差信息进行学习；

第一卷积层：通过不同卷积核对上层特征图进行不同特征提取，利用激励函数构建输出特征图；每一层输出都是对多输入特征的卷积操作，数学公式表达为

其中H_i为网络第i层特征向量图，且当i＝1时H_i为输入层；W_i为第i层卷积核权值向量；b_i为偏移量；f()为激励函数；

为卷积运算符，用于完成卷积核与第i-1层特征图的卷积运算；激励函数为ReLU函数：

从而避免梯度爆炸和梯度消失、加快收敛速度；同时，ReLu 会使一部分神经元的输出为0，这样就造成了网络的稀疏性，并且减少了参数的相互依存关系，缓解了过拟合问题的发生；

池化层：采用最大池化法提高特征，同时降低网络过拟合； H_i＝f(β_idown(H_i-1)+b_i)，其中H_i为池化层输出；β_i为网络乘性偏置矩阵； down()为池化函数；

残差块：池化层后连接残差块；

第二卷积层和第三卷积层：用于对每层输入与输出间的残差信息进行学习；卷积大小为3，卷积方式为same的一维卷积；

图2中的BN即为Batch Normalization数据归一化加速训练过程，此方法经多个交替相连的卷积层和池化层完成特征提取后，为方便分类器准确分类，通过增加全连接层这一方法，来对所有具有目标类型区分性的局部信息的低维特征进行整合，输入目标分类层进行故障分类；

全连接层：用于对所有具有目标类型区分性的局部信息的低维特征进行整合；采用softmax分类器o＝f(b_i+ω₀H_i)，ω₀为权值矩阵；神经元个数为128；

Dropout层：全连接层将数据输入Dropout层；

Adam优化器：用于采用学习率逐步降低的方法对卷积神经网络进行训练；设置网络的权重为截断正态分布，均值为0且方差为1；初始化偏置值为0.1； Dropout值设置为0.5；学习率初始值赋值为10^-3；网络迭代次数设置为2000；

随着迭代次数增加，学习率由大逐步减小，不仅避免了因学习步长过大从而越过最优过早网络退化的现象，而且避免了学习步长过小导致网络收敛速度慢的问题；

S5.以步骤S3获取的特征为约束，采用步骤S2得到的训练数据对步骤S4 建立的原始入侵检测模型进行训练，从而得到入侵检测模型；

S6.在实际通信中，采用步骤S5得到的入侵检测模型进行光突发交换网络中的入侵检测；

S7.计算分类精度CA、分类率RMC、灵敏度SNS、假阴性率FRN、假阳性率FPR、特异性SPC、预测准确率PRC、阴性预测值NPV和F1评分对入侵检测模型进行评价；具体为采用如下算式进行计算：

式中TP为正确识别的个数；TN为正确拒绝的个数；FN为错误拒绝的个数；FP 为错误识别的个数；Precision为准确率得值；Recall为召回率。

以下，将本发明方法与现有技术进行对比：

将本发明方法与常用的KNN算法、NB算法、SVM算法以及DCNN对OBS 网络中的BHP泛洪攻击的检测效率进行比较。将五个算法经过属性的训练，通过仿真实验所得的数据进行测试。

表1展示了KNN和NB算法的混淆矩阵，表2展示了SVM和DCNN的混淆矩阵，表3展示了ResNet的混淆矩阵。

表1 KNN算法与NB算法的混淆矩阵示意表

表2 SVM算法和DCNN算法的混淆矩阵示意表

表3本发明方法的混淆矩阵示意表

计算得到性能评价指标以及分类结果。此处使用混淆矩阵与9个性能评价指标；表4显示了不同模型的分类性能度量，ResNet最大分类精度为100％， KNN、NB、SVM、DCNN的分类精度分别为96％、87％、89％和99％。KNN、NB、SVM的精度为92％、75％、78％，它们都存在过拟合现象，ResNet预测准确率为100％,相比KNN、NB、SVM、DCNN提升了3％、25％、22％、1％。ResNet 的敏感性100％，特异性100％，精密度100％，阴性预测值100％，f1评分100％。ResNet的其他机器学习性能指标也较好，误分类率最低为0，其中KNN、NB、 DCNN的误分类率分别为4％、13％、11％和1％。ResNet的假阳性率、假阴性率最低均为0。

表4 5种分类模型的性能指标示意表

	CA	RMC	SNS	FNR	FPR	SPC	PRC	NPV	F1
										KNN	0.96	0.04	0.92	0.08	0.03	0.97	0.92	0.97	0.92
NB	0.87	0.13	0.75	0.25	0.08	0.92	0.75	0.92	0.75
										SVM	0.89	0.11	0.78	0.22	0.07	0.93	0.78	0.93	0.78
DCNN	0.99	0.01	0.99	0.01	0.01	0.99	0.99	0.99	0.99
										ResNet	1.0	0	1.0	0	0	1.0	1.0	1.0	1.0

图4和图5展示了本发明提出的ResNet模型和DCNN的训练准确率和验证准确率训练损失值和验证损失值。本发明提出的ResNet模型当迭代次数达到750 时，损失函数开始趋于稳定，DCNN模型准确率呈现不同程度的下降，说明随着网络层数的增加，出现了退化问题。当迭代次数超过1500时，由于残差块的学习，将输入直接传到输出，保护了信息的完整性，解决了退化问题，使准确率不断提高直至稳定。本发明提出的ResNet模型和DCNN模型的的准确率刚开始就达到了非常高的数值，但本发明提出的ResNet模型比DCNN准确率一直更高，且训练和验证数据都更早的达到了稳定的高准确率，大大地缩短了训练时间，且训练和验证数据准确率达到了100％的精度水平。同时，随着迭代次数的增加，DCNN模型损耗水平逐渐降低，本发明提出的ResNet模型的损失值短暂升高，随后跳跃性的下降，并趋于稳定。相比DCNN模型来说，本发明提出的 ResNet模型损失值更快的下降到稳定水平，相比其他模型提高了检测准确率，降低了误报率。

Claims (7)

1.一种用于光突发交换网络中的入侵检测方法，包括如下步骤：

S1.获取基础数据；

S2.对步骤S1获取的基础数据进行处理，并得到训练数据；

S3.对步骤S2获取的训练数据进行特征提取；

S4.建立原始入侵检测模型；

S5.以步骤S3获取的特征为约束，采用步骤S2得到的训练数据对步骤S4建立的原始入侵检测模型进行训练，从而得到入侵检测模型；

S6.在实际通信中，采用步骤S5得到的入侵检测模型进行光突发交换网络中的入侵检测。

2.根据权利要求1所述的用于光突发交换网络中的入侵检测方法，其特征在于还包括如下步骤：

S7.计算分类精度CA、分类率RMC、灵敏度SNS、假阴性率FRN、假阳性率FPR、特异性SPC、预测准确率PRC、阴性预测值NPV和F1评分对入侵检测模型进行评价。

3.根据权利要求2所述的用于光突发交换网络中的入侵检测方法，其特征在于所述的计算分类精度CA、分类率RMC、灵敏度SNS、假阴性率FRN、假阳性率FPR、特异性SPC、预测准确率PRC、阴性预测值NPV和F1评分，具体为采用如下算式进行计算：

式中TP为正确识别的个数；TN为正确拒绝的个数；FN为错误拒绝的个数；FP为错误识别的个数；Precision为准确率得值；Recall为召回率。

4.根据权利要求1所述的用于光突发交换网络中的入侵检测方法，其特征在于步骤S1所述的获取基础数据，具体为采用UCI机器学习库中的关于光突发交换网络中的BHP泛洪攻击数据集。

5.根据权利要求1所述的用于光突发交换网络中的入侵检测方法，其特征在于步骤S2所述的对步骤S1获取的基础数据进行处理，并得到训练数据，具体为采用如下步骤得到训练数据：

A.数据清洗：删除缺失值，同时删除数据包大小字节D11；

B.数据转换：转换四个分类{NB No Block、Block、No Block、NB Wait}和节点在黄台{表现、不表现、潜在不表现}到one-hot编码中；N位状态寄存器对应N个状态，每个状态由对应的独立的寄存器位控制，并且任何时候仅有一个编码有效；

C.数据归一化：将数据采用最小最大归一化方式进行标准化处理。

6.根据权利要求1～5之一所述的用于光突发交换网络中的入侵检测方法，其特征在于步骤S3所述的对步骤S2获取的训练数据进行特征提取，具体为采用如下步骤进行特征提取：

采用皮尔逊相关系数衡量两个变量之间的相关程度：皮尔逊相关系数越接近1或者-1，则表明两个变量之间的关联度越强；采用如下算式计算皮尔逊相关系数：

式中ρ_xy为变量x和变量y的皮尔逊相关系数；式中ρ_xy为变量x和变量y的皮尔逊相关系数；式中ρ_xy为变量x和变量y的皮尔逊相关系数；cov(X,Y)为两个变量之间的协方差；E()为数学期望；X、Y为变量；μα、μy为样本平均数；δxδy为两个变量之间的标准差；

然后，根据计算得到的皮尔逊相关系数值，选取训练数据的特征。

7.根据权利要求6所述的用于光突发交换网络中的入侵检测方法，其特征在于步骤S4所述的建立原始入侵检测模型，具体为采用如下步骤建立模型：

采用ResNet模型作为检测模型；

模型包括输入层、第一卷积层、池化层、残缺块、第二卷积层、第三卷积层、全连接层、Dropout层和Adam优化器；

输入层：用于将数据输入到模型中；输入层采用一维卷积，数据维度为1060，卷积核的维度为3，卷积核的数量为64，步长为1；卷积方式为same；对特征进行无监督的学习，学习方式为对每层输入与输出间的残差信息进行学习；

第一卷积层：通过不同卷积核对上层特征图进行不同特征提取，利用激励函数构建输出特征图；每一层输出都是对多输入特征的卷积操作，数学公式表达为

其中H_i为网络第i层特征向量图，且当i＝1时H_i为输入层；W_i为第i层卷积核权值向量；b_i为偏移量；f()为激励函数；

为卷积运算符，用于完成卷积核与第i-1层特征图的卷积运算；激励函数为ReLU函数：

池化层：采用最大池化法提高特征，同时降低网络过拟合；H_i＝f(β_idown(H_i-1)+b_i)，其中H_i为池化层输出；β_i为网络乘性偏置矩阵；down()为池化函数；

残差块：池化层后连接残差块；

第二卷积层和第三卷积层：用于对每层输入与输出间的残差信息进行学习；卷积大小为3，卷积方式为same的一维卷积；

全连接层：用于对所有具有目标类型区分性的局部信息的低维特征进行整合；采用softmax分类器o＝f(b_i+ω₀H_i)，ω₀为权值矩阵；神经元个数为128；

Dropout层：全连接层将数据输入Dropout层；

Adam优化器：用于采用学习率逐步降低的方法对卷积神经网络进行训练；设置网络的权重为截断正态分布，均值为0且方差为1；初始化偏置值为0.1；Dropout值设置为0.5；学习率初始值赋值为10^-3；网络迭代次数设置为2000。

Images