CN113839930A - 一种基于图像处理的网络入侵检测方法和系统 - Google Patents

一种基于图像处理的网络入侵检测方法和系统 Download PDF

Info

Publication number
CN113839930A
CN113839930A CN202111039468.8A CN202111039468A CN113839930A CN 113839930 A CN113839930 A CN 113839930A CN 202111039468 A CN202111039468 A CN 202111039468A CN 113839930 A CN113839930 A CN 113839930A
Authority
CN
China
Prior art keywords
flow
network
data
gray level
image
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111039468.8A
Other languages
English (en)
Inventor
赵志衡
罗思婕
刘洋
胡琦渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Institute of Technology
Original Assignee
Harbin Institute of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Institute of Technology filed Critical Harbin Institute of Technology
Priority to CN202111039468.8A priority Critical patent/CN113839930A/zh
Publication of CN113839930A publication Critical patent/CN113839930A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2411Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

本发明公开了一种基于图像处理的网络入侵检测方法和系统,属于工业互联网安全技术领域,解决现有网络入侵检测系统对网络流量特征的可解释性欠缺的问题。本发明的方法包括:获取网络流量数据,对所述网络流量数据进行预处理;将所述预处理后的网络流量数据转换为流量灰度图像;提取所述流量灰度图像的HOG特征;将所述HOG特征输入到训练后的SVM分类器,判断所述网络流量数据是否异常。本发明适用于对网络入侵的检测和监测,减低网络入侵风险,对于揭示网络流量的时空特征,提高网络入侵检测系统的可解释性,保障工业互联网网络安全具有重要指导意义。

Description

一种基于图像处理的网络入侵检测方法和系统
技术领域
本申请涉及工业互联网安全技术领域,尤其涉及一种基于图像处理的网络入侵检测方法和系统。
背景技术
工业互联网是一种新兴信息通信技术与先进制造业深度融合的新模式,是我国工业转型发展和新基建的重要部分。而如今工业自动化管理水平不断上升,工控网络逐渐与外网产生接口,导致要求高可靠性的工控网络可能会面对较高的网络入侵风险。
近年来,网络入侵检测逐渐引入基于机器学习或深度学习的识别手段,对系统正常运行时的网络流量状态进行建模。当出现未知攻击类型时,由检测模型识别通信过程中的异常流量状态。然而上述建模方式缺少对网络流量的特征和趋势的进一步揭示,导致网络入侵检测系统在可解释性上有所欠缺。因此,网络流量可视化对了解网络流量的时空特征,侦测入侵流量有着重要意义。
发明内容
本发明目的是为了解决现有网络入侵检测系统对网络流量特征的可解释性欠缺的问题,提供了一种基于图像处理的网络入侵检测方法和系统。
本发明是通过以下技术方案实现的,本发明一方面,提供一种基于图像处理的网络入侵检测方法,所述方法包括:
获取网络流量数据,对所述网络流量数据进行预处理;
将所述预处理后的网络流量数据转换为流量灰度图像;
提取所述流量灰度图像的HOG特征;
将所述HOG特征输入到训练后的SVM分类器,判断所述网络流量数据是否异常。
进一步地,所述对所述网络流量数据进行预处理,具体包括:
对所述网络流量数据进行清洗,获取无效值和缺失值,并对所述无效值和所述缺失值进行处理;
对所述清洗后的网络流量数据的流量特征和流量标签进行数值化,将所述流量特征的维数由41变成122;
对所述数值化的流量特征进行标准化和归一化;
对所述标准化和归一化的流量特征中的每个连续型特征进行离散化。
进一步地,所述将所述预处理后的网络流量数据转换为流量灰度图像,具体包括:
对所述预处理后的流量特征进行二值化,所述流量特征维数由122维变成416维;
基于数据填充方式,将所述二值化的流量特征转换为8*8的流量灰度图像。
进一步地,所述提取所述流量灰度图像的HOG特征,具体包括:
计算所述流量灰度图像中每个像素点的梯度幅值和梯度方向;
将所述流量灰度图像看作由多个细胞单元组成,统计每个细胞单元的梯度方向直方图;
将2×2个细胞单元合并为一个区块,获取所述区块的梯度直方图,并采用L2范数对所述区块进行归一化处理;
将所述流量灰度图像中所有区块的梯度直方图合并,得到所述流量灰度图像的HOG特征。
进一步地,所述获取网络流量数据,对所述网络流量数据进行预处理的步骤之前,还包括构建所述训练后的SVM分类器,所述构建方法包括:
获取公开网络流量数据集NSL-KDD,并对所述公开网络流量数据集NSL-KDD进行预处理,所述公开网络流量数据集NSL-KDD包括训练集和测试集;
将所述预处理后的公开网络流量数据集NSL-KDD转换为流量灰度图像;
提取所述流量灰度图像的HOG特征;
利用所述训练集,对所述SVM分类器进行训练;
利用所述测试集,对所述所述SVM分类器进行测试,根据测试结果对所述SVM分类器的参数进行调整;
根据所述调整后的参数,建立所述训练后的SVM分类器。
第二方面,本发明提供一种基于图像处理的网络入侵检测系统,所述系统包括:
数据预处理模块,用于获取网络流量数据,对所述网络流量数据进行预处理;
流量数据图像化模块,用于将所述预处理后的网络流量数据转换为流量灰度图像;
HOG特征提取模块,用于提取所述流量灰度图像的HOG特征;
网络流量检测模块,用于将所述HOG特征输入到训练后的SVM分类器,判断所述网络流量数据是否异常。
进一步地,所述数据预处理模块包括:
数据清洗单元,用于对所述网络流量数据进行清洗,获取无效值和缺失值,并对所述无效值和所述缺失值进行处理;
数值化单元,用于对所述清洗后的网络流量数据的流量特征和流量标签进行数值化,将所述流量特征的维数由41变成122;
标准归一化单元,用于对所述数值化的流量特征进行标准化和归一化;
离散化单元,用于对所述标准化和归一化的流量特征中的每个连续型特征进行离散化。
进一步地,所述流量数据图像化模块包括:
二值化单元,用于对所述预处理后的流量特征进行二值化,所述流量特征维数由122维变成416维;
转换单元,用于基于数据填充方式,将所述二值化的流量特征转换为8*8的流量灰度图像。
进一步地,所述HOG特征提取模块包括:
计算单元,用于计算所述流量灰度图像中每个像素点的梯度幅值和梯度方向;
统计单元,用于将所述流量灰度图像看作由多个细胞单元组成,统计每个细胞单元的梯度方向直方图;
区块归一化单元,用于将2×2个细胞单元合并为一个区块,获取所述区块的梯度直方图,并采用L2范数对所述区块进行归一化处理;
合并单元,用于将所述流量灰度图像中所有区块的梯度直方图合并,得到所述流量灰度图像的HOG特征。
第三方面,本发明还提供了一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行如上文所述的一种基于图像处理的网络入侵检测方法。
本发明的有益效果:
首先,本发明基于图像处理和HOG-SVM的网络入侵检测系统通过将流量可视化,获得流量特征图,即为本发明中的流量灰度图像,便于研究人员对网络流量进行直观理解和数据分析,提高了入侵检测系统的可解释性。
其次,本发明的网络入侵检测系统能够有效检测入侵流量,并且具有较高的准确率和较好的实时性。
通过本发明提出的一种基于图像处理的网络入侵检测方法和系统,对于揭示网络流量的时空特征,提高网络入侵检测系统的可解释性,保障工业互联网网络安全具有重要指导意义。
本发明适用于对网络入侵的检测和监测,减低网络入侵风险。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的一种基于图像处理的网络入侵检测系统的结构示意图;
图2为本发明的实施例二中的一种基于图像处理的网络入侵检测系统的结构示意图;
图3为基于本发明的正常流量的流量灰度图像;
图4为基于本发明的Probe攻击流量的流量灰度图像;
图5为基于本发明的DoS攻击流量的流量灰度图像。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
实施方式一,本实施方式提供了一种基于图像处理的网络入侵检测方法,该方法包括:
需要说明,本实施方式采用的基准数据为公开网络流量数据集NSL-KDD,NSL-KDD数据集是由41个流量特征以及1个流量标签构成。在将该方法应用在某种具体场合下时,需要将带检测的原始网络流量数据进行处理,得到NSL-KDD数据集相应流量特征和流量标签。
步骤1、获取网络流量数据,对所述网络流量数据进行预处理,具体包括:
步骤1.1、对所述网络流量数据进行清洗,获取无效值和缺失值,并对所述无效值和所述缺失值进行处理。
对网络流量数据进行数据清洗,通过对网络流量数据的原始数据集进行检查和验证,对该数据集中的无效值和缺失值进行处理,纠正或剔除错误数据和异常数据,提高数据质量和数据一致性。
步骤1.2、对所述清洗后的网络流量数据的流量特征和流量标签进行数值化,将所述流量特征的维数由41变成122;
NSL-KDD数据集由41个流量特征以及1个流量标签构成,则网络流量数据也由41个流量特征以及1个流量标签构成。在41个流量特征中,协议类型(protocol_type)、目标主机的网络服务类型(service)、连接状态(flag)和流量标签(label)是字符型特征,需要对其进行数值化处理。其中,协议类型(protocol_type)有3类、目标主机的网络服务类型(service)有70类、连接状态(flag)有11类,对它们进行独热编码,转换为哑变量,流量特征维数由41变成122。对流量标签(label)进行标签编码,转换为整型数值。
步骤1.3、对所述数值化的流量特征进行标准化和归一化;
采用标准化和归一化对数值化的流量特征进行处理,可消除不同特征量纲不一致的影响,加快梯度下降寻优速度,提高模型收敛速度。采用Z-score方法进行标准化,基于公式(1)进行计算,使数据符合均值为0,标准差为1的正太分布。
Figure BDA0003248551050000051
其中x为数值化的流量特征,μ和σ分别为该数值化的流量特征的均值和标准差,x*为标准化后的数据。
采用Min-Max方法进行归一化,基于公式(2)进行计算,将数值区间映射至[0,1]。
Figure BDA0003248551050000052
其中,x为标准化后的流量特征,xmin和xmax分别为标准化后的最小值和最大值,x*为归一化化后的流量特征。
步骤1.4、对所述标准化和归一化的流量特征中的每个连续型特征进行离散化。
在网络流量数据的41个流量特征中,有39个数值型特征,其中6个离散型特征,32个连续型特征。基于数据分箱方法,将每个连续型特征离散为10个区间。
步骤2、将所述预处理后的网络流量数据转换为流量灰度图像;
步骤2.1、对所述预处理后的流量特征进行二值化,所述流量特征维数由122维变成416维;
基于独热编码,对离散型特征和离散化后的连续型特征进行二值化,特征由步骤1.2所述的122维变成416维。
步骤2.2、基于数据填充方式,将所述二值化的流量特征转换为8*8的流量灰度图像;
基于数据填充方式,将网络流量数据转换为图像数据。每8位作为一个灰度像素,一个416维的二进制向量转换为8*8的灰度图,空相素处进行补0。
步骤3、如图3-图5所示,提取所述流量灰度图像的HOG特征;
步骤3.1、计算所述流量灰度图像中每个像素点的梯度幅值和梯度方向;
首先根据公式(3)计算图像中每个像素点的梯度方向值,提取局部纹理特征。
Gx(x,y)=H(x+1,y)-H(x-1,y)
Gy(x,y)=H(x,y+1)-H(x,y-1) (3)
其中,H(x,y)表示待处理图像中像素点(x,y)处的像素值,Gx(x,y)表示该点的水平方向梯度幅值,Gy(x,y)则表示该点的垂直方向梯度幅值。
根据公式(3),可由公式(4)计算像素点(x,y)处的梯度幅值G(x,y),由公式(5)计算像素点(x,y)处的梯度方向α(x,y)。
Figure BDA0003248551050000061
Figure BDA0003248551050000062
步骤3.2、将所述流量灰度图像看作由多个细胞单元组成,统计每个细胞单元的梯度方向直方图;
将所述流量灰度图像看作由多个细胞单元(cell)组成,根据公式(4)和(5)计算cell中每个像素点的梯度幅值和梯度方向,获取每个细胞单元(cell)的梯度直方图。接着将梯度直方图划分9个区域,则每个区域的角度大小为20°。然后,按梯度方向的大小,将每个cell中的像素点映射至这9个区域内,并将每个区域内像素点的梯度幅值求和作为该区域的幅值。最后,以9个区域的角度范围作为直方图的X轴,以每个区域的幅值作为直方图的Y轴,即每个cell可获得特征维度为9的梯度直方图。
步骤3.3、将2×2个细胞单元合并为一个区块,获取所述区块的梯度直方图,并采用L2范数对所述区块进行归一化处理;
一个区块(block)由多个cell构成,将2×2个特征维度为9的cell合并成一个block,则每个block所提取到的HOG特征维度为36;采用L2范数对图像中所有block进行归一化处理,提高其鲁棒性。
步骤3.4、将所述流量灰度图像中所有区块的梯度直方图合并,得到所述流量灰度图像的HOG特征;
将图像中所有block的梯度直方图进行合并,得到图像的HOG特征,特征维度根据公式(6)计算。
Figure BDA0003248551050000063
其中ImgSize、BlockSize、CellSize和BinNum分别为流量灰度图像大小、block大小、cell大小和角度区间数,Dim为流量灰度图像HOG特征维数。本实施例中,ImgSize=8×8,BlockSize=2×2,CellSize=2×2,BinNum=9,Dim=324。
步骤4、将所述HOG特征输入到训练后的SVM分类器,判断所述网络流量数据是否异常。
需要说明的是,所述训练后的SVM分类器是在实施本实施方式的方法前,就已设置完成的。
即在步骤1之前,还包括构建所述训练后的SVM分类器,所述构建方法包括:
步骤a、获取公开网络流量数据集NSL-KDD,并对所述公开网络流量数据集NSL-KDD进行预处理,所述公开网络流量数据集NSL-KDD包括训练集和测试集;
步骤b、将所述预处理后的公开网络流量数据集NSL-KDD转换为流量灰度图像;
步骤c、提取所述流量灰度图像的HOG特征;
需要说明的是,步骤a、步骤b和步骤c与步骤1、步骤2和步骤3的原理是相同的,只需将网络流量数据替换为公开网络流量数据集NSL-KDD。
步骤d、利用所述训练集,对所述SVM分类器进行训练;
步骤d1、确定SVM分类器的输入数据集(xi,yi),i=0,1,2...n,x∈Rn,其中xi为流量灰度图像的HOG特征,yi={1,-1}为对应的流量标签,当yi=1时,表示正常流量(normal);yi=-1时,表示攻击流量(attack)。
步骤d2、训练SVM分类器旨在寻找一个最大边距超平面wx+b=0,w∈Rn,b∈R,将网络流量划分为正常流量和攻击流量。公式(7)描述了SVM需要解决的基本问题,即求解可以对数据集进行准确划分的超平面,且距离超平面最近的数据与超平面的几何间隔最远,即解决如公式(7)所描述的基本问题。
Figure BDA0003248551050000071
为简化求解,引入拉格朗日因子α,应用拉格朗日对偶性,建立拉格朗日方程,如公式(8)所示。
Figure BDA0003248551050000072
将凸二次优化问题转换为其对偶问题,如公式(9)所示。
Figure BDA0003248551050000073
Figure BDA0003248551050000074
步骤d3、在解决本实施例为非线性二分类问题时,SVM通过非线性映射,将输入数据映射到一个高维空间内,在这个高维空间中,非线性问题转变成线性可分问题。与此同时也出现了另一个问题,即映射至高维空间后,计算量变得十分复杂。为避免该问题,在SVM分类器训练过程中引入多项式核函数。
步骤e、利用所述测试集,对所述所述SVM分类器进行测试,根据测试结果对所述SVM分类器的参数进行调整;
使用训练好的SVM分类器对标准测试集进行检测,输出网络流量属于正常流量或者攻击流量,整个测试集输入进去进行判断,得到本次测试的结果,如果结果不好,对参数进行优化,优化后再次测试,直到测试的结果满足预设条件。
步骤f、根据所述根据所述调整后的参数,建立所述训练后的SVM分类器。
实施方式二,如图1和图2所示,本实施方式提供了一种基于图像处理的网络入侵检测系统,该系统包括:
数据预处理模块,用于获取网络流量数据,对所述网络流量数据进行预处理;
所述数据预处理模块包括:
数据清洗单元,用于对所述网络流量数据进行清洗,获取无效值和缺失值,并对所述无效值和所述缺失值进行处理;
数值化单元,用于对所述清洗后的网络流量数据的流量特征和流量标签进行数值化,将所述流量特征的维数由41变成122;
标准归一化单元,用于对所述数值化的流量特征进行标准化和归一化;
离散化单元,用于对所述标准化和归一化的流量特征中的每个连续型特征进行离散化。
流量数据图像化模块,用于将所述预处理后的网络流量数据转换为流量灰度图像;
所述流量数据图像化模块包括:
二值化单元,用于对所述预处理后的流量特征进行二值化,所述流量特征维数由122维变成416维;
转换单元,用于基于数据填充方式,将所述二值化的流量特征转换为8*8的流量灰度图像。
HOG特征提取模块,用于提取所述流量灰度图像的HOG特征;
述HOG特征提取模块包括:
计算单元,用于计算所述流量灰度图像中每个像素点的梯度幅值和梯度方向;
统计单元,用于将所述流量灰度图像看作由多个细胞单元组成,统计每个细胞单元的梯度方向直方图;
区块归一化单元,用于将2×2个细胞单元合并为一个区块,获取所述区块的梯度直方图,并采用L2范数对所述区块进行归一化处理;
合并单元,用于将所述流量灰度图像中所有区块的梯度直方图合并,得到所述流量灰度图像的HOG特征。
网络流量检测模块,用于将所述HOG特征输入到训练后的SVM分类器,判断所述网络流量数据是否异常。
所述系统还包括SVM分类器训练模块,所述SVM分类器训练模块用于构建所述训练后的SVM分类器,,所述SVM分类器训练模块包括:
KDD数据预处理单元,用于获取公开网络流量数据集NSL-KDD,并对所述公开网络流量数据集NSL-KDD进行预处理,所述公开网络流量数据集NSL-KDD包括训练集和测试集;
KDD流量数据图像化单元,用于将所述预处理后的公开网络流量数据集NSL-KDD转换为流量灰度图像;
KDD HOG特征提取单元,用于提取所述流量灰度图像的HOG特征;
KDD训练单元,用于利用所述训练集,对所述SVM分类器进行训练;
KDD测试单元,用于利用所述测试集,对所述所述SVM分类器进行测试,根据测试结果对所述SVM分类器的参数进行调整;
KDD分类器构建单元,用于根据所述调整后的参数,建立所述训练后的SVM分类器。
实施方式二的系统和上述实施方式一的方法是基于相同的发明构思实现的,因此实施方式二的系统的具体内容和有益效果请参照上述实施方式一的方法的具体内容和有益效果,在此不一一赘述。
HOG特征结合不同核函数的SVM分类器的检测结果,如下表所示:
Figure BDA0003248551050000091
从表中可以看到,本发明提出的一种基于图像处理的网络入侵检测方法和系统能够有效检测入侵流量,并且具有较高的准确率和较好的实时性。
实施方式三,本实施方式提供了一种计算机设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行如上文实施方式二中所述的一种基于图像处理的网络入侵检测方法。

Claims (10)

1.一种基于图像处理的网络入侵检测方法,其特征在于,所述方法包括:
获取网络流量数据,对所述网络流量数据进行预处理;
将所述预处理后的网络流量数据转换为流量灰度图像;
提取所述流量灰度图像的HOG特征;
将所述HOG特征输入到训练后的SVM分类器,判断所述网络流量数据是否异常。
2.根据权利要求1所述的一种基于图像处理的网络入侵检测方法,其特征在于,所述对所述网络流量数据进行预处理,具体包括:
对所述网络流量数据进行清洗,获取无效值和缺失值,并对所述无效值和所述缺失值进行处理;
对所述清洗后的网络流量数据的流量特征和流量标签进行数值化,将所述流量特征的维数由41变成122;
对所述数值化的流量特征进行标准化和归一化;
对所述标准化和归一化的流量特征中的每个连续型特征进行离散化。
3.根据权利要求2所述的一种基于图像处理的网络入侵检测方法,其特征在于,所述将所述预处理后的网络流量数据转换为流量灰度图像,具体包括:
对所述预处理后的流量特征进行二值化,所述流量特征维数由122维变成416维;
基于数据填充方式,将所述二值化的流量特征转换为8*8的流量灰度图像。
4.根据权利要求3所述的一种基于图像处理的网络入侵检测方法,其特征在于,所述提取所述流量灰度图像的HOG特征,具体包括:
计算所述流量灰度图像中每个像素点的梯度幅值和梯度方向;
将所述流量灰度图像看作由多个细胞单元组成,统计每个细胞单元的梯度方向直方图;
将2×2个细胞单元合并为一个区块,获取所述区块的梯度直方图,并采用L2范数对所述区块进行归一化处理;
将所述流量灰度图像中所有区块的梯度直方图合并,得到所述流量灰度图像的HOG特征。
5.根据权利要求4所述的一种基于图像处理的网络入侵检测方法,其特征在于,所述获取网络流量数据,对所述网络流量数据进行预处理的步骤之前,还包括构建所述训练后的SVM分类器,所述构建方法包括:
获取公开网络流量数据集NSL-KDD,并对所述公开网络流量数据集NSL-KDD进行预处理,所述公开网络流量数据集NSL-KDD包括训练集和测试集;
将所述预处理后的公开网络流量数据集NSL-KDD转换为流量灰度图像;
提取所述流量灰度图像的HOG特征;
利用所述训练集,对所述SVM分类器进行训练;
利用所述测试集,对所述SVM分类器进行测试,根据测试结果对所述SVM分类器的参数进行调整;
根据所述调整后的参数,建立所述训练后的SVM分类器。
6.一种基于图像处理的网络入侵检测系统,其特征在于,所述系统包括:
数据预处理模块,用于获取网络流量数据,对所述网络流量数据进行预处理;
流量数据图像化模块,用于将所述预处理后的网络流量数据转换为流量灰度图像;
HOG特征提取模块,用于提取所述流量灰度图像的HOG特征;
网络流量检测模块,用于将所述HOG特征输入到训练后的SVM分类器,判断所述网络流量数据是否异常。
7.根据权利要求6所述的一种基于图像处理的网络入侵检测系统,其特征在于,所述数据预处理模块包括:
数据清洗单元,用于对所述网络流量数据进行清洗,获取无效值和缺失值,并对所述无效值和所述缺失值进行处理;
数值化单元,用于对所述清洗后的网络流量数据的流量特征和流量标签进行数值化,将所述流量特征的维数由41变成122;
标准归一化单元,用于对所述数值化的流量特征进行标准化和归一化;
离散化单元,用于对所述标准化和归一化的流量特征中的每个连续型特征进行离散化。
8.根据权利要求7所述的一种基于图像处理的网络入侵检测系统,其特征在于,所述流量数据图像化模块包括:
二值化单元,用于对所述预处理后的流量特征进行二值化,所述流量特征维数由122维变成416维;
转换单元,用于基于数据填充方式,将所述二值化的流量特征转换为8*8的流量灰度图像。
9.根据权利要求8所述的一种基于图像处理的网络入侵检测系统,其特征在于,所述HOG特征提取模块包括:
计算单元,用于计算所述流量灰度图像中每个像素点的梯度幅值和梯度方向;
统计单元,用于将所述流量灰度图像看作由多个细胞单元组成,统计每个细胞单元的梯度方向直方图;
区块归一化单元,用于将2×2个细胞单元合并为一个区块,获取所述区块的梯度直方图,并采用L2范数对所述区块进行归一化处理;
合并单元,用于将所述流量灰度图像中所有区块的梯度直方图合并,得到所述流量灰度图像的HOG特征。
10.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行如权利要求1-5中任一项中所述的一种基于图像处理的网络入侵检测方法。
CN202111039468.8A 2021-09-06 2021-09-06 一种基于图像处理的网络入侵检测方法和系统 Pending CN113839930A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111039468.8A CN113839930A (zh) 2021-09-06 2021-09-06 一种基于图像处理的网络入侵检测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111039468.8A CN113839930A (zh) 2021-09-06 2021-09-06 一种基于图像处理的网络入侵检测方法和系统

Publications (1)

Publication Number Publication Date
CN113839930A true CN113839930A (zh) 2021-12-24

Family

ID=78962254

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111039468.8A Pending CN113839930A (zh) 2021-09-06 2021-09-06 一种基于图像处理的网络入侵检测方法和系统

Country Status (1)

Country Link
CN (1) CN113839930A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115021997A (zh) * 2022-05-26 2022-09-06 广州中南网络技术有限公司 一种基于机器学习的网络入侵检测系统
CN117274879A (zh) * 2023-10-10 2023-12-22 扬州大自然网络信息有限公司 一种工业网络安全智能防御系统及其方法

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104850852A (zh) * 2015-04-27 2015-08-19 小米科技有限责任公司 特征向量计算方法和装置
CN105096342A (zh) * 2015-08-11 2015-11-25 杭州景联文科技有限公司 一种基于傅里叶描述子和方向梯度直方图的入侵检测算法
CN106355615A (zh) * 2016-08-31 2017-01-25 惠州学院 一种基于hog与svm的马铃薯定位方法
CN107330365A (zh) * 2017-05-27 2017-11-07 深圳市美好幸福生活安全系统有限公司 基于最大稳定极值区域和svm的交通标志识别方法
CN107622237A (zh) * 2017-09-18 2018-01-23 江苏省特种设备安全监督检验研究院 一种电梯中目标的检测方法
CN108875447A (zh) * 2017-05-09 2018-11-23 广东顺德中山大学卡内基梅隆大学国际联合研究院 一种流量检测的方法及系统
CN109447949A (zh) * 2018-09-29 2019-03-08 南京理工大学 基于巡检机器人的绝缘端子缺陷识别方法
CN111553085A (zh) * 2020-04-30 2020-08-18 上海理工大学 一种基于hog+svm的流场气泡图像压力识别算法
CN111970259A (zh) * 2020-08-05 2020-11-20 贵州大学 一种基于深度学习的网络入侵检测方法和报警系统
CN113285924A (zh) * 2021-04-23 2021-08-20 暨南大学 一种基于灰度图像深度学习的车内网络报文异常检测方法

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104850852A (zh) * 2015-04-27 2015-08-19 小米科技有限责任公司 特征向量计算方法和装置
CN105096342A (zh) * 2015-08-11 2015-11-25 杭州景联文科技有限公司 一种基于傅里叶描述子和方向梯度直方图的入侵检测算法
CN106355615A (zh) * 2016-08-31 2017-01-25 惠州学院 一种基于hog与svm的马铃薯定位方法
CN108875447A (zh) * 2017-05-09 2018-11-23 广东顺德中山大学卡内基梅隆大学国际联合研究院 一种流量检测的方法及系统
CN107330365A (zh) * 2017-05-27 2017-11-07 深圳市美好幸福生活安全系统有限公司 基于最大稳定极值区域和svm的交通标志识别方法
CN107622237A (zh) * 2017-09-18 2018-01-23 江苏省特种设备安全监督检验研究院 一种电梯中目标的检测方法
CN109447949A (zh) * 2018-09-29 2019-03-08 南京理工大学 基于巡检机器人的绝缘端子缺陷识别方法
CN111553085A (zh) * 2020-04-30 2020-08-18 上海理工大学 一种基于hog+svm的流场气泡图像压力识别算法
CN111970259A (zh) * 2020-08-05 2020-11-20 贵州大学 一种基于深度学习的网络入侵检测方法和报警系统
CN113285924A (zh) * 2021-04-23 2021-08-20 暨南大学 一种基于灰度图像深度学习的车内网络报文异常检测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
潘青松;张怡;曹永鹏;辛春辉;: "基于HOG+SVM的智能家居入侵检测系统设计", no. 04, pages 78 - 82 *
车志富;苗振江;王梦思;: "地铁视频监控系统中的行人检测研究与应用", 现代城市轨道交通, no. 02, pages 31 - 33 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115021997A (zh) * 2022-05-26 2022-09-06 广州中南网络技术有限公司 一种基于机器学习的网络入侵检测系统
CN117274879A (zh) * 2023-10-10 2023-12-22 扬州大自然网络信息有限公司 一种工业网络安全智能防御系统及其方法

Similar Documents

Publication Publication Date Title
CN113839930A (zh) 一种基于图像处理的网络入侵检测方法和系统
CN113205063A (zh) 一种输电导线缺陷的视觉识别及定位方法
CN111753706B (zh) 一种基于图像统计学的复杂表格交点聚类提取方法
CN115018840B (zh) 精密铸件裂纹检测方法、系统及装置
CN115861400B (zh) 目标对象检测方法、训练方法、装置以及电子设备
CN110567383A (zh) 基于结构森林和亚像素的受电弓磨耗预警系统及检测方法
CN114511718A (zh) 一种建筑施工用物料智能管理方法及系统
CN115392937A (zh) 一种用户欺诈风险识别方法、装置、电子设备及存储介质
CN114553591A (zh) 随机森林模型的训练方法、异常流量检测方法及装置
CN116168351A (zh) 电力设备巡检方法及装置
CN114584377A (zh) 流量异常检测方法、模型的训练方法、装置、设备及介质
CA3035387C (en) Digitization of industrial inspection sheets by inferring visual relations
CN113421223B (zh) 基于深度学习和高斯混合的工业产品表面缺陷检测方法
CN114020811A (zh) 数据异常检测方法及其装置、电子设备
CN117155771B (zh) 一种基于工业物联网的设备集群故障溯源方法及装置
CN113608968A (zh) 一种基于密度距离综合决策的电力调度监控数据异常检测方法
CN116628554B (zh) 一种工业互联网数据异常的检测方法、系统和设备
CN110502605B (zh) 基于人工智能技术的电力资产lcc成本归集系统
CN114970694B (zh) 一种网络安全态势评估方法及其模型训练方法
CN114627059B (zh) 一种基于数据处理的防震锤螺栓检测方法
CN115424193A (zh) 一种训练图像信息处理的方法及系统
CN115457467A (zh) 一种基于数据挖掘的建筑质量隐患定位方法及系统
CN115393589A (zh) 一种通用dcs工艺流程图识别转换方法、系统以及介质
CN112836570B (zh) 一种利用高斯噪声的设备异常检测方法
CN113158998A (zh) 基于形态学处理的电气设计图纸表格识别方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination