CN113395276B - 基于自编码器能量检测的网络入侵检测方法 - Google Patents

Abstract

本发明公开了一种基于自编码器能量检测的网络入侵检测方法，从网络中抓取正常数据流，提取时间相关特征构成数据流特征向量，构建包括自编码网络、相关系数计算模块、重构误差计算模块、特征融合模块、密度检测网络、高斯混合模型和能量计算模块的网络入侵检测模型，融合自编码网络的隐藏层输出特征、重构前后数据流特征向量的相关系数以及重构误差得到融合特征向量并计算其能量，根据正常数据流的数据流特征向量对网络入侵检测模型进行训练并得到异常检测阈值，当需要进行网络入侵检测时，获取数据流的数据流特征向量，输入网络入侵检测模型得到对应的能量并判定是否出现网络入侵。采用本发明可以提高网络入侵的效率和准确性。

Description

基于自编码器能量检测的网络入侵检测方法

技术领域

本发明属于网络入侵检测技术领域，更为具体地讲，涉及一种基于自编码器能量检测的网络入侵检测方法。

背景技术

近年来随着互联网的普及，人们对于网络的应用更加频繁，这也暴露了许多的安全问题。针对网络的攻击方式层出不穷，攻击手段呈现多样化，因此需要针对网络攻击设计识别更多未知的攻击类型为管理员做决策。作为网络安全的第二道屏障，异常检测系统则在识别这些威胁上显得至关重要。

目前主流的异常检测方法都是基于无监督模型的，因为它无需标签就可以建立正常行为的规则，通过选取合适的阈值作为判断异常的标准。因为监督学习有很多缺点：首先，监督学习需要人工标注，因此非常耗费精力，代价过高；其次，人工标注的数据有可能存在误分类，会影响训练的效果；另外，监督模型分类所需训练数据无法涵盖巨大的攻击种类，有新类型的攻击方法难以识别。

无监督模型虽然能检测未知的攻击行为，但是作为判断异常的阈值选取较为困难，并且准确率偏低，误报率较高，无法获得很好的测试效果。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于自编码器能量检测的网络入侵检测方法，构建基于自编码网络的网络入侵检测模型，融合自编码网络的隐藏层输出特征、相关系数以及重构误差作为融合特征向量，通过计算融合特征向量的能量来实现网络入侵检测，提高网络入侵的效率和准确性。

为实现上述发明目的，本发明基于自编码器能量检测的网络入侵检测方法包括以下步骤：

S1：从网络中抓取M个正常数据流，然后对于每个数据流分别统计时间相关特征，将时间相关特征构成数据流特征向量；

S2：构建网络入侵检测模型，包括自编码网络、相关系数计算模块、重构误差计算模块、特征融合模块、密度检测网络、高斯混合模型和能量计算模块，其中：

自编码网络包括输入层、L-2层隐藏层和输出层，构成编码器和解码器，L 表示自编码网络的层数，编码器用于对输入的数据流特征向量x进行编码得到压缩特征，解码器用于对压缩特征进行映射得到重构的数据流特征向量x′；

相关系数计算模块用于计算数据流特征向量x和自编码网络重构的数据流特征向量x′之间的相关系数ρ；

重构误差计算模块用于计算自编码网络中解码层与对应编码层之间的重构误差，得到长度为(L-1)/2的重构误差向量MRE，具体计算方法如下：

对于自编码网络中的第i层，

则对应的重构误差e_i的计算公式如下：

其中，i′＝L-i+1，D_i表示第i层输出特征的维数，y_i,d表示第i层输出特征中第d维特征值，x_i′,d表示第i′层输入特征中第d维特征值，d＝1,2,…,D_i；

根据(L-1)/2个重构误差e_i构建得到重构误差向量

特征融合模块用于将自编码网络每层隐藏层的输出特征向量、相关系数ρ、重构误差向量MRE组成融合特征向量c＝[h₁,…,h_L-2,ρ,MRE]^T，其中h_j表示自编码网络第j个隐藏层的输出特征向量，j＝1,2,…,L-2，上标T表示转置，记融合特征向量c的维度为G；

密度检测网络包括神经网络和softmax层，用于对融合特征向量c进行密度检测，输出K个softmax值；

高斯混合模型包括K个高斯模型，第k个高斯模型对应密度检测网络输出的第k个softmax值，k＝1,2,…,K；高斯混合模型采用以下公式表示：

其中，P(c)表示特征向量c的预测分布函数，

表示高斯混合模型中第k个高斯模型，

是第k个高斯模型对应的混合系数，满足

表示第k个softmax值对应的均值，

表示第k个softmax值对应的协方差矩阵；

能量计算模块用于根据高斯混合模型的参数计算得到融合特征向量c的能量E(c)，计算公式如下：

其中，exp表示自然常数e为底的指数函数，上标T表示转置，上标-1表示求逆；

S3：采用以下方法训练网络入侵检测模型：

S3.1：对网络入侵模型中的自编码网络和密度检测网络的参数分别进行初始化；

S3.2：初始化迭代次数t＝1，初始化阈值参数ω＝-∞；

S3.3：将步骤S1得到的每个数据流特征向量依次输入网络入侵检测模型，由网络入侵检测模型中的自编码网络、相关系数计算模块、重构误差计算模块和密度检测网络处理得到该数据流特征向量对应的融合特征向量c_m，以及K个 softmax值π_m,k，m＝1,2,…,M；

S3.4：对于每个维度的softmax值分别计算其高斯模型中的混合 系数

均值

协方差矩阵

S3.5：能量计算模块根据高斯混合模型的参数计算得到每个数据流特征向量对应的融合特征向量c_m的能量E(c_m)；

S3.6：采用以下公式计算损失函数L：

其中，L₁表示自编码网络的损失，λ₁、λ₂为预设的权重参数，

表示基于协方差矩阵的损失，其计算公式如下：

其中，

表示协方差矩阵

的逆矩阵

中坐标为(g,g)的协方差值；

S3.7：根据步骤S3.6计算得到的损失函数对网络入侵模型中自编码网络和密度检测网络的参数进行更新；

S3.8：判断是否迭代次数t＜t_max，t_max表示预设的最大迭代次数，如果是，进入步骤S3.9，否则进入步骤S3.11；

S3.9：从重构误差计算模块计算得到的每个数据流特征向量对应的重构误差向量

中，提取输出层对应的重构误差e_m,L，然后计算得到输出层重构误差均值

如果

则令

否则不作任何操作；

S3.10：令t＝t+1，返回步骤S3.3；

S3.11：固定自编码网络、密度检测网络以及高斯模型参数，令异常检测阈值W＝εω，ε为预设的阈值调节参数，其取值范围为ε＞0，从而得到训练好的网络入侵模型；

S4：当需要进行网络入侵检测时，从网络中抓取数据流，采用步骤S1中相同方法得到数据流特征向量，将其输入网络入侵检测模型，得到对应的能量，当能量大于异常检测阈值W时，则判定出现网络入侵，否则判定未出现网络入侵。

本发明基于自编码器能量检测的网络入侵检测方法，从网络中抓取正常数据流，提取时间相关特征构成数据流特征向量，构建包括自编码网络、相关系数计算模块、重构误差计算模块、特征融合模块、密度检测网络、高斯混合模型和能量计算模块的网络入侵检测模型，融合自编码网络的隐藏层输出特征、重构前后数据流特征向量的相关系数以及重构误差得到融合特征向量并计算其能量，根据正常数据流的数据流特征向量对网络入侵检测模型进行训练并得到异常检测阈值，当需要进行网络入侵检测时，获取数据流的数据流特征向量，输入网络入侵检测模型得到对应的能量并判定是否出现网络入侵。

本发明具有以下有益效果：

1)本发明融合自编码网络的隐藏层输出特征、重构前后数据流特征向量的相关系数以及重构误差得到融合特征向量，该融合特征向量能够充分表征数据流的特征，可以很好地区分正常和异常数据流，提高网络入侵检测的效率和准确性；

2)本发明中网络入侵检测模型采用无监督学习，避免了样本标注不充分造成的训练效果较差的问题。

附图说明

图1是本发明基于自编码器能量检测的网络入侵检测方法的具体实施方式流程图；

图2是本发明中网络入侵检测模型的结构图；

图3是NSL-KDD数据集中正常数据流和异常数据流的重构误差向量对比图；

图4是KDD99数据集中正常数据流和异常数据流的重构误差向量对比图；

图5是本实施例中正常数据和DDOS攻击数据流的能量对比图；

图6是本发明中训练网络入侵检测模型的流程图。

具体实施方式

下面结合附图对本发明的具体实施方式进行描述，以便本领域的技术人员更好地理解本发明。需要特别提醒注意的是，在以下的描述中，当已知功能和设计的详细描述也许会淡化本发明的主要内容时，这些描述在这里将被忽略。

实施例

图1是本发明基于自编码器能量检测的网络入侵检测方法的具体实施方式流程图。如图1所示，本发明基于自编码器能量检测的网络入侵检测方法的具体步骤包括：

S101：获取训练数据样本：

对于网络而言，其数据包能够反映用户来源、用户目的等信息，可以通过数据包来分析是否存在异常。如对异常数据来说，攻击者想用拒绝服务攻击 (DOS)或者分布式拒绝服务攻击(DDOS)攻击服务器，会制造虚假IP地址，然后向服务器发送TCP SYN包，服务器发送SYN作为回应却无法收到后续的确认包，致使服务器等待，消耗资源，以达到拒绝服务的目的。

因此，为了获取训练数据样本，从网络中抓取M个正常数据流，然后对于每个数据流分别统计时间相关特征，将时间相关特征构成数据流特征向量，每个数据流特征向量即为一个训练数据样本。

需要统计的时间相关特征可以根据实际需要进行设置，本实施例中时间相关特征从以下特征中选择：包括数据流持续时间，数据流中源到目的时间的平均值、最大值、最小值和标准差，数据流中目的到源时间的平均值、最大值、最小值和标准差，从活跃到空闲包数量的平均值、最大值、最小值和标准差，从空闲到活跃包数量的平均值、最大值、最小值和标准差，TCP标志位的位数，数据包包头长度的平均值、最大值、最小值和标准差，流内包数据大小的平均值、最大值、最小值和标准差，流内包尺寸的平均值、最大值、最小值和标准差，活跃到空闲时间的平均值、最大值、最小值和标准差，源到目的序列号的平均值、最大值、最小值和标准差，目的到源序列号的平均值、最大值、最小值和标准差，流内包速度(个/秒)，流内字节速度(字节/秒)。

在本实施例中，抓取数据包时采用libpcap抓取原始二进制数据包，然后 tcpdump将二进制格式转换为标准协议的包格式，存储在文件流中，文件格式为”.pcap”。设置100k作为pcap文件的存储最大值，超过100k则重新创建文件继续抓包。为了提高内存管理效率，本实施例中通过改写tcpdump源码，以便管理获取的pcap文件，即及时删除旧的pcap文件，创建新的文件持续抓包。

S102：构建网络入侵检测模型：

图2是本发明中网络入侵检测模型的结构图。如图2所示，本发明中网络入侵检测模型包括自编码网络、相关系数计算模块、重构误差计算模块、特征融合模块、密度检测网络、高斯混合模型和能量计算模块，其中：

自编码网络为3层及以上的神经网络，包括输入层、隐藏层和输出层。记自编码网络的层数为L，则自编码网络包括输入层、L-2层隐藏层和输出层，构成编码器(encoder)和解码器(decoder)，编码器用于对输入的数据流特征向量x进行编码得到压缩特征，解码器用于对压缩特征进行映射得到重构的数据流特征向量x′。如图2所示，本实施例中自编码网络采用5层结构，即包括输入层，3层隐藏层和输出层。

相关系数计算模块用于计算数据流特征向量x和自编码网络重构的数据流特征向量x′之间的相关系数ρ。相关系数可以反映重构前后数据流特征向量在统计上的线性关系，本实施例中相关系数采用皮尔森相关系数。

重构误差计算模块用于计算自编码网络中解码层与对应编码层之间的重构误差，得到长度为(L-1)/2的重构误差向量MRE，具体计算方法如下：

对于自编码网络中的第i层，

其对应的重构误差e_i的计算公式如下：

其中，i′＝L-i+1，D_i表示第i层输出特征的维数(由于自编码网络的对称性，D_i也是第i′层输入特征的维数)，y_i,d表示第i层输出特征中第d维特征值，x_i′,d表示第i′层输入特征中第d维特征值，d＝1,2,…,D_i。

根据(L-1)/2个重构误差e_i构建得到重构误差向量

为了说明重构误差向量的有效性，以5层自编码为例，获取NSL-KDD数据集和KDD99数据集中各数据流的重构误差向量。图3是NSL-KDD数据集中正常数据流和异常数据流的重构误差向量对比图。图4是KDD99数据集中正常数据流和异常数据流的重构误差向量对比图。如图3和图4所示，灰色点为正常数据流的重构误差向量，黑色点为异常数据流的重构误差向量，可见二者具有较为明显的聚集特性，采用重构误差向量可以很好地区分正常数据流和异常数据流。

特征融合模块用于将自编码网络每层隐藏层的输出特征向量、相关系数ρ、重构误差向量MRE组成融合特征向量c＝[h₁,…,h_L-2,ρ,MRE]^T，其中h_j表示自编码网络第j个隐藏层的输出特征向量，j＝1,2,…,L-2，上标T表示转置，即融合特征向量c为列向量，记融合特征向量c的维度为G。

密度检测网络包括神经网络和softmax层，用于对特征向量c进行密度检测，输出K个softmax值。密度检测网络将特征向量c转换成了一个K维的数据，以便后续进行能量检测。

本实施例中，自编码网络和密度检测网络中的激活函数均采用GELU函数，采用该函数不仅保留了概率性，同时也保留了对输入的依赖性。

高斯混合模型包括K个高斯模型，第k个高斯模型对应密度检测网络输出的第k个softmax值，k＝1,2,…,K。高斯混合模型采用以下公式表示：

其中，P(c)表示特征向量c的预测分布函数，

表示高斯混合模型中第k个高斯模型，

是第k个高斯模型对应的混合系数，满足

表示第k个softmax值对应的均值，

表示第k个softmax值对应的协方差矩阵。

能量计算模块用于根据高斯混合模型的参数计算得到融合特征向量c的能量E(c)，计算公式如下：

其中，exp表示自然常数e为底的指数函数，上标T表示转置，上标-1表示求逆，即

表示协方差矩阵

的逆矩阵。

以DDOS攻击为例，计算正常数据流和DDOS攻击数据流的能量。图5是本实施例中正常数据和DDOS攻击数据流的能量对比图。如图5所示，灰色点为正常数据流的能量，黑色点为DDOS攻击数据流的能量，可见二者存在明显的区别，采用能量可以很好地区分正常数据流和异常数据流，说明该融合特征向量能够充分表征数据流的特征。

S103：训练网络入侵检测模型：

图6是本发明中训练网络入侵检测模型的流程图。如图6所示，本发明中训练网络入侵检测模型的具体步骤包括：

S601：初始化参数：

对网络入侵模型中的自编码网络和密度检测网络的参数分别进行初始化。

S602：初始化迭代次数t＝1，初始化阈值参数ω＝-∞。

S603：获取softmax值：

将步骤S101得到的每个数据流特征向量依次输入网络入侵检测模型，由网络入侵检测模型中的自编码网络、相关系数计算模块、重构误差计算模块和密度检测网络处理得到该数据流特征向量对应的融合特征向量c_m，以及K个 softmax值π_m,k，m＝1,2,…,M。

S604：计算高斯模型参数：

对于每个维度的softmax值分别计算其高斯模型中的混合 系数

均值

协方差矩阵

显然，协方差矩阵

的大小为G×G。

S605：计算融合特征向量能量：

能量计算模块根据高斯混合模型的参数计算得到每个数据流特征向量对应的融合特征向量c_m的能量E(c_m)。

S606：计算损失函数：

为了综合考虑各方面的因素，本发明中设计了以下损失函数L：

其中，L₁表示自编码网络的损失，本实施例中采用以下公式计算：

其中，x_m表示步骤S101得到的第m个数据流的数据流特征向量，x′_m表示自编码网络对数据流特征向量x_m进行重构得到的数据流特征向量，||||表示求取范数。

λ₁、λ₂为预设的权重参数，本实施例中λ₁＝0.1，λ₂＝0.0001。

表示基于协方差矩阵的损失，其计算公式如下：

其中，

表示协方差矩阵

的逆矩阵

中坐标为(g,g)的协方差值。

S607：更新网络入侵模型参数：

根据步骤S606计算得到的损失函数对网络入侵模型中自编码网络和密度检测网络的参数进行更新。本实施例中采用常用的梯度下降法(SGD)进行参数更新。

S608：判断是否迭代次数t＜t_max，t_max表示预设的最大迭代次数，如果是，进入步骤S609，否则进入步骤S611。

S609：更新阈值参数：

从重构误差计算模块计算得到的每个数据流特征向量对应的重构误差向量

中，提取输出层对应的重构误差e_m,L，然后计算得到输出层重构误差均值

如果

则令

否则不作任何操作。

S610：令t＝t+1，返回步骤S603。

S611：确定网络入侵模型参数：

固定自编码网络、密度检测网络以及高斯模型参数，令异常检测阈值 W＝εω，ε为预设的阈值调节参数，其取值范围为ε＞0，从而得到训练好的网络入侵模型。

S104：网络入侵检测：

当需要进行网络入侵检测时，从网络中抓取数据流，采用步骤S101中相同方法得到数据流特征向量，将其输入网络入侵模型，得到对应的能量，当能量大于异常检测阈值W时，则判定出现网络入侵，否则判定未出现网络入侵。

尽管上面对本发明说明性的具体实施方式进行了描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

Claims (4)

1.一种基于自编码器能量检测的网络入侵检测方法，其特征在于，包括以下步骤：

S1：从网络中抓取M个正常数据流，然后对于每个数据流分别统计时间相关特征，将时间相关特征构成数据流特征向量；

S2：构建网络入侵检测模型，包括自编码网络、相关系数计算模块、重构误差计算模块、特征融合模块、密度检测网络、高斯混合模型和能量计算模块，其中：

自编码网络包括输入层、L-2层隐藏层和输出层，构成编码器和解码器，L表示自编码网络的层数，编码器用于对输入的数据流特征向量x进行编码得到压缩特征，解码器用于对压缩特征进行映射得到重构的数据流特征向量x′；

相关系数计算模块用于计算数据流特征向量x和自编码网络重构的数据流特征向量x′之间的相关系数ρ；

重构误差计算模块用于计算自编码网络中解码层与对应编码层之间的重构误差，得到长度为(L-1)/2的重构误差向量MRE，具体计算方法如下：

对于自编码网络中的第i层，

则对应的重构误差e_i的计算公式如下：

其中，i′＝L-i+1，D_i表示第i层输出特征的维数，y_i,d表示第i层输出特征中第d维特征值，x_i′,d表示第i′层输入特征中第d维特征值，d＝1,2,…,D_i；

根据(L-1)/2个重构误差e_i构建得到重构误差向量

特征融合模块用于将自编码网络每层隐藏层的输出特征向量、相关系数ρ、重构误差向量MRE组成融合特征向量c＝[h₁,…,h_L-2,ρ,MRE]^T，其中h_j表示自编码网络第j个隐藏层的输出特征向量，j＝1,2,…,L-2，上标T表示转置，记融合特征向量c的维度为G；

密度检测网络包括神经网络和softmax层，用于对融合特征向量c进行密度检测，输出K个softmax值；

高斯混合模型包括K个高斯模型，第k个高斯模型对应密度检测网络输出的第k个softmax值，k＝1,2,…,K；高斯混合模型采用以下公式表示：

其中，P(c)表示特征向量c的预测分布函数，

表示高斯混合模型中第k个高斯模型，

是第k个高斯模型对应的混合系数，满足

表示第k个softmax值对应的均值，

表示第k个softmax值对应的协方差矩阵；

能量计算模块用于根据高斯混合模型的参数计算得到融合特征向量c的能量E(c)，计算公式如下：

其中，exp表示自然常数e为底的指数函数，上标T表示转置，上标-1表示求逆；

S3：采用以下方法训练网络入侵检测模型：

S3.1：对网络入侵模型中的自编码网络和密度检测网络的参数分别进行初始化；

S3.2：初始化迭代次数t＝1，初始化阈值参数ω＝-∞；

S3.3：将步骤S1得到的每个数据流特征向量依次输入网络入侵检测模型，由网络入侵检测模型中的自编码网络、相关系数计算模块、重构误差计算模块和密度检测网络处理得到该数据流特征向量对应的融合特征向量c_m，以及K个softmax值π_m,k，m＝1,2,…,M；

S3.4：对于每个维度的softmax值分别计算其高斯模型中的混合 系数

均值

协方差矩阵

S3.5：能量计算模块根据高斯混合模型的参数计算得到每个数据流特征向量对应的融合特征向量c_m的能量E(c_m)；

S3.6：采用以下公式计算损失函数L：

其中，L₁表示自编码网络的损失，λ₁、λ₂为预设的权重参数，

表示基于协方差矩阵的损失，其计算公式如下：

其中，

表示协方差矩阵

的逆矩阵

中坐标为(g,g)的协方差值；

S3.7：根据步骤S3.6计算得到的损失函数对网络入侵模型中自编码网络和密度检测网络的参数进行更新；

S3.8：判断是否迭代次数t＜t_max，t_max表示预设的最大迭代次数，如果是，进入步骤S3.9，否则进入步骤S3.11；

S3.9：从重构误差计算模块计算得到的每个数据流特征向量对应的重构误差向量

中，提取输出层对应的重构误差e_m,L，然后计算得到输出层重构误差均值

如果

则令

否则不作任何操作；

S3.10：令t＝t+1，返回步骤S3.3；

S3.11：固定自编码网络、密度检测网络以及高斯模型参数，令异常检测阈值W＝εω，ε为预设的阈值调节参数，其取值范围为ε＞0，从而得到训练好的网络入侵模型；

S4：当需要进行网络入侵检测时，从网络中抓取数据流，采用步骤S1中相同方法得到数据流特征向量，将其输入网络入侵检测模型，得到对应的能量，当能量大于异常检测阈值W时，则判定出现网络入侵，否则判定未出现网络入侵。

2.根据权利要求1所述的网络入侵检测方法，其特征在于，所述步骤S1中数据流的时间相关特征从以下特征中选择：数据流持续时间，数据流中源到目的时间的平均值、最大值、最小值和标准差，数据流中目的到源时间的平均值、最大值、最小值和标准差，从活跃到空闲包数量的平均值、最大值、最小值和标准差，从空闲到活跃包数量的平均值、最大值、最小值和标准差，TCP标志位的位数，数据包包头长度的平均值、最大值、最小值和标准差，流内包数据大小的平均值、最大值、最小值和标准差，流内包尺寸的平均值、最大值、最小值和标准差，活跃到空闲时间的平均值、最大值、最小值和标准差，源到目的序列号的平均值、最大值、最小值和标准差，目的到源序列号的平均值、最大值、最小值和标准差，流内包速度，流内字节速度。

3.根据权利要求1所述的网络入侵检测方法，其特征在于，所述步骤S2的 相关系数计算模块中相关系数采用皮尔森相关系数。

4.根据权利要求1所述的网络入侵检测方法，其特征在于，所述步骤S3.6中自编码网络的损失L₁采用以下公式计算：

其中，x_m表示步骤S1得到的第m个数据流的数据流特征向量，x′_m表示自编码网络对数据流特征向量x_m进行重构得到的数据流特征向量，|| ||表示求取范数。

Images