CN113657520A - 一种基于深度置信网络和长短时记忆网络的入侵检测方法 - Google Patents
一种基于深度置信网络和长短时记忆网络的入侵检测方法 Download PDFInfo
- Publication number
- CN113657520A CN113657520A CN202110965845.4A CN202110965845A CN113657520A CN 113657520 A CN113657520 A CN 113657520A CN 202110965845 A CN202110965845 A CN 202110965845A CN 113657520 A CN113657520 A CN 113657520A
- Authority
- CN
- China
- Prior art keywords
- data
- network
- long
- intrusion detection
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 26
- 230000015654 memory Effects 0.000 title claims abstract description 24
- 230000009467 reduction Effects 0.000 claims abstract description 17
- 238000010606 normalization Methods 0.000 claims abstract description 11
- 238000012360 testing method Methods 0.000 claims abstract description 5
- 238000000034 method Methods 0.000 claims description 10
- 238000007781 pre-processing Methods 0.000 claims description 7
- 230000006870 function Effects 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 6
- 210000002569 neuron Anatomy 0.000 claims description 3
- 238000005457 optimization Methods 0.000 claims description 3
- 239000000126 substance Substances 0.000 claims description 3
- 230000007787 long-term memory Effects 0.000 abstract description 4
- 238000004880 explosion Methods 0.000 abstract description 3
- 230000006399 behavior Effects 0.000 abstract 1
- 238000013528 artificial neural network Methods 0.000 description 6
- 238000000605 extraction Methods 0.000 description 3
- 230000006403 short-term memory Effects 0.000 description 3
- 238000013135 deep learning Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 210000005036 nerve Anatomy 0.000 description 2
- 230000000306 recurrent effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006386 memory function Effects 0.000 description 1
- 238000013530 stochastic neural network Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2413—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
- G06F18/24133—Distances to prototypes
- G06F18/24137—Distances to cluster centroïds
- G06F18/2414—Smoothing the distance, e.g. radial basis function networks [RBFN]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Computing Systems (AREA)
- Molecular Biology (AREA)
- General Health & Medical Sciences (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Alarm Systems (AREA)
Abstract
本发明涉及一种基于深度置信网络和长短时记忆网络的入侵检测方法,属于网络中的入侵检测技术领域。本发明首先对数据集进行字符型数据转换成数值型数据、数据标准化、数据归一化操作;然后将数据集放入深度置信网络中进行降维处理,并将降维后的数据集分为训练集和测试集;最后将训练集放入长短时记忆网络中进行训练,再将测试集放入训练好的网络模型中得到分类结果。当出现入侵行为时,利用训练好的模型就可以区分出正常数据和攻击数据。该发明利用深度置信网络对数据做降维处理解决了长短时记忆网络梯度爆炸的问题,提高了入侵检测的效率。
Description
技术领域
本发明涉及一种基于深度置信网络和长短时记忆网络的入侵检测方法,属于网络中的入侵检测技术领域。
背景技术
近年来,随着网络技术的不断更迭和网络规模的不断扩大,国内外的网络安全事件频发,网络安全问题得到了更多的重视。在面对海量的复杂数据时,传统的机器学习方法在特征学习时容易受到时间复杂度和空间复杂度的制约,导致准确率低,误报率高。
发明内容
为了弥补现有技术的不足,本发明提供了一种基于深度置信网络和长短时记忆网络的入侵检测方法,深度学习在面对海量数据分析时有突出的表现,可用于复杂网络环境下的入侵检测问题。深度置信网络(Deep Belief Network,DBN)是深度学习中的一个经典模型,既可以用于非监督学习,也可以用于监督学习。深度置信网络在特征提取方面有较高的性能。
受限玻尔兹曼机(Restricted Boltzmann Machine,RBM)是一种随机神经网络,由一层可见层和一层隐藏层构成,一般可见层为输入层,隐藏层为输出层。受限玻尔兹曼机同一网络层内的神经单元无连接,相邻的网络层间的神经单元全连接。由数个受限玻尔兹曼机堆叠构成的神经网络就称为深度置信网络,深度置信网络中下一层的隐藏层就是上一层的可见层。深度置信网络在特征提取方面的性能较高,通过顶层反向传播神经网络的有监督训练可以对已知攻击类型的网络流量特征进行学习,对于未知的攻击类型也可以通过其在特征提取方面的优势提高检测率,适合用于需要处理大量网络数据的入侵检测中。
长短时记忆神经网络(Long Short Term Memory Networks,LSTM)是一种循环神经网络的特殊类型,是为了解决一般的循环神经网络(RNN)存在的长期依赖问题而专门设计出来的,长短时记忆网络可以在训练过程中对时序数据赋予一种记忆功能,可以更好的拟合网络中的数据,可以学习长期依赖信息。长短时记忆网络记忆单元具有遗忘门、输入门和输出门,记忆单元拥有长短时记忆机制。长短时记忆网络具有可处理时间序列数据,网络精度高等优点。
长短时记忆网络在面对高维度数据时,容易出现梯度爆炸等问题,利用深度置信网络对网络数据进行特征降维可以解决此问题。本发明先对网络数据进行预处理,利用深度置信网络进行特征降维,然后将处理后的数据放入长短时记忆网络模型中进行训练,从而区分出网络中正常类型的流量以及攻击类型的流量。
本发明采用的技术方案是:一种基于深度置信网络和长短时记忆网络的入侵检测方法,具体步骤如下:
第一步:对入侵检测数据集进行数据预处理;
第二步:将数据集用深度置信网络进行特征降维处理,得到低维数据;
第三步:将特征降维后的训练集传入长短时记忆网络模型进行训练,得到训练好的网络模型;
第四步:将特征降维后的测试集传入训练好的网络模型得到分类结果。
具体地,所述第一步对入侵检测数据集进行数据预处理具体过程如下:
(1)字符型数据转换成数值型数据;
(2)数据标准化;
首先计算各个特征数值的平均值和平均绝对误差,公式如下:
其中,
表示第k个属性的均值,Sk表示第k个特征的平均绝对误差,xik表示第i条记录的第k个属性,n表示特征的数量,然后对每条数据记录进行标准化度量,公式如下:
其中,Zik表示标准化后的第i条数据记录的第k个属性值;
(3)数据归一化:
对标准化处理后的数据再进行归一化处理,使数据的数值大小处于[0,1]区间内,以减小模型的计算量,归一化处理公式如下:
其中x为原始数据,x*为归一化处理后的数据,min为样本数据最小值,max为样本数据最大值。
具体地,所述第三步将特征降维后的训练集传入长短时记忆网络模型进行训练,得到训练好的网络模型具体过程如下:
(1)前向计算每个神经元的输出值;
(2)确定优化目标函数;
(3)根据损失函数的梯度指引,更新网络权值参数;
(4)重复以上三个步骤,直至网络误差小于给定值。
附图说明
图1是本发明中的方法流程图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现对照附图说明本发明的具体实施方式。
实施例1:如图1所示,一种基于深度置信网络和长短时记忆网络的入侵检测方法具体步骤如下:
步骤一:对入侵检测数据集进行数据预处理;
数据预处理又分为3个步骤:
1)字符型数据转换为数值型数据
由于入侵检测数据集中的某些特征是字符型数据,而深度置信网络只能处理数值型数据,因此先将该数据集中的字符型数据转换成数值型数据。
2)数据标准化
为了减小特征中数据分散度高以及数值大小对深度置信网络的影响,对转换后成数值型的数据进行标准化处理,首先计算各个特征数值的平均值和平均绝对误差,公式如下:
其中,
表示第k个属性的均值,Sk表示第k个特征的平均绝对误差,xik表示第i条记录的第k个属性,n表示特征的数量,然后对每条数据记录进行标准化度量,公式如下:
其中,Zik表示标准化后的第i条数据记录的第k个属性值。
3)数据归一化
对标准化处理后的数据再进行归一化处理,使数据的数值大小处于[0,1]区间内,以减小模型的计算量,归一化处理公式如下:
其中x为原始数据,x*为归一化处理后的数据,min为样本数据最小值,max为样本数据最大值。
步骤二:将数据集用深度置信网络进行特征降维处理,得到低维数据;
步骤三:将特征降维后的训练集传入长短时记忆网络模型进行训练,得到训练好的网络模型;
长短时记忆网络的训练又分为3个步骤:
1)前向计算每个神经元的输出值;
2)确定优化目标函数;
3)根据损失函数的梯度指引,更新网络权值参数;
4)重复以上三个步骤,直至网络误差小于给定值。
步骤四:将特征降维后的测试集传入训练好的网络模型得到分类结果。
本发明通过深度置信网络对网络数据进行降维处理,再将数据传入长短时记忆网络进行分类,解决了长短时记忆网络易发生梯度爆炸的问题,提高了入侵检测的效率。
以上结合附图对本发明的具体实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下作出各种变化。
Claims (3)
1.一种基于深度置信网络和长短时记忆网络的入侵检测方法,其特征在于:具体步骤如下:
第一步:对入侵检测数据集进行数据预处理;
第二步:将数据集用深度置信网络进行特征降维处理,得到低维数据;
第三步:将特征降维后的训练集传入长短时记忆网络模型进行训练,得到训练好的网络模型;
第四步:将特征降维后的测试集传入训练好的网络模型得到分类结果。
2.根据权利要求1所述的基于深度置信网络和长短时记忆网络的入侵检测方法,其特征在于:所述第一步对入侵检测数据集进行数据预处理具体过程如下:
(1)字符型数据转换成数值型数据;
(2)数据标准化;
首先计算各个特征数值的平均值和平均绝对误差,公式如下:
其中,
表示第k个属性的均值,Sk表示第k个特征的平均绝对误差,xik表示第i条记录的第k个属性,n表示特征的数量,然后对每条数据记录进行标准化度量,公式如下:
其中,Zik表示标准化后的第i条数据记录的第k个属性值;
(3)数据归一化:
对标准化处理后的数据再进行归一化处理,使数据的数值大小处于[0,1]区间内,以减小模型的计算量,归一化处理公式如下:
其中x为原始数据,x*为归一化处理后的数据,min为样本数据最小值,max为样本数据最大值。
3.根据权利要求1所述的基于深度置信网络和长短时记忆网络的入侵检测方法,其特征在于:所述第三步将特征降维后的训练集传入长短时记忆网络模型进行训练,得到训练好的网络模型具体过程如下:
(1)前向计算每个神经元的输出值;
(2)确定优化目标函数;
(3)根据损失函数的梯度指引,更新网络权值参数;
(4)重复以上三个步骤,直至网络误差小于给定值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110965845.4A CN113657520A (zh) | 2021-08-23 | 2021-08-23 | 一种基于深度置信网络和长短时记忆网络的入侵检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110965845.4A CN113657520A (zh) | 2021-08-23 | 2021-08-23 | 一种基于深度置信网络和长短时记忆网络的入侵检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113657520A true CN113657520A (zh) | 2021-11-16 |
Family
ID=78492535
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110965845.4A Withdrawn CN113657520A (zh) | 2021-08-23 | 2021-08-23 | 一种基于深度置信网络和长短时记忆网络的入侵检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113657520A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117061255A (zh) * | 2023-10-12 | 2023-11-14 | 国网江苏省电力有限公司苏州供电分公司 | 电力信息系统的入侵检测方法、模型训练方法及装置 |
-
2021
- 2021-08-23 CN CN202110965845.4A patent/CN113657520A/zh not_active Withdrawn
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117061255A (zh) * | 2023-10-12 | 2023-11-14 | 国网江苏省电力有限公司苏州供电分公司 | 电力信息系统的入侵检测方法、模型训练方法及装置 |
| CN117061255B (zh) * | 2023-10-12 | 2024-01-19 | 国网江苏省电力有限公司苏州供电分公司 | 电力信息系统的入侵检测方法、模型训练方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111273623B (zh) | 基于Stacked LSTM的故障诊断方法 | |
| CN108875771B (zh) | 一种基于稀疏高斯伯努利受限玻尔兹曼机和循环神经网络的故障分类模型及方法 | |
| CN109034194B (zh) | 基于特征分化的交易欺诈行为深度检测方法 | |
| CN111562108A (zh) | 一种基于cnn和fcmc的滚动轴承智能故障诊断方法 | |
| CN113865868B (zh) | 基于时频域表达的滚动轴承故障诊断方法 | |
| CN112113755B (zh) | 一种基于深度卷积-峭度神经网络的机械故障智能诊断方法 | |
| CN113743016B (zh) | 基于自编码器和回声状态网络的发动机剩余寿命预测方法 | |
| CN112733447B (zh) | 一种基于域自适应网络的水下声源定位方法及系统 | |
| CN114358123B (zh) | 一种基于深度对抗迁移网络的广义开放集故障诊断方法 | |
| CN115758212A (zh) | 一种基于并行网络和迁移学习的机械设备故障诊断方法 | |
| CN115758290A (zh) | 一种基于lstm的风机齿轮箱高速轴温度趋势预警方法 | |
| CN112147432A (zh) | 基于注意力机制的BiLSTM模块、变压器状态诊断方法和系统 | |
| CN112507479B (zh) | 一种基于流形学习和softmax的石油钻机健康状态评估方法 | |
| CN107832789A (zh) | 基于平均影响值数据变换的特征加权k近邻故障诊断方法 | |
| CN115293197A (zh) | 一种基于长短期记忆网络的钻孔应变数据异常检测方法 | |
| CN114844840A (zh) | 一种基于计算似然比的分布外网络流量数据检测方法 | |
| CN110765788A (zh) | 一种基于隐式翻译模型的知识图谱嵌入方法 | |
| CN114897138A (zh) | 基于注意力机制和深度残差网络的系统故障诊断方法 | |
| CN115688864A (zh) | 一种盾构机刀盘健康评估方法、系统、介质、设备及终端 | |
| Chou et al. | SHM data anomaly classification using machine learning strategies: A comparative study | |
| CN113657520A (zh) | 一种基于深度置信网络和长短时记忆网络的入侵检测方法 | |
| CN113987910A (zh) | 一种耦合神经网络与动态时间规划的居民负荷辨识方法及装置 | |
| CN116383747A (zh) | 基于多时间尺度深度卷积生成对抗网络的异常检测方法 | |
| CN116662899A (zh) | 一种基于自适应策略的含噪数据异常检测方法 | |
| CN116842358A (zh) | 一种基于多尺度卷积和自适应特征融合的软测量建模方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20211116 |