CN114139615A - 基于混合神经网络cnn-dnn的入侵检测系统及方法 - Google Patents

基于混合神经网络cnn-dnn的入侵检测系统及方法 Download PDF

Info

Publication number
CN114139615A
CN114139615A CN202111388336.6A CN202111388336A CN114139615A CN 114139615 A CN114139615 A CN 114139615A CN 202111388336 A CN202111388336 A CN 202111388336A CN 114139615 A CN114139615 A CN 114139615A
Authority
CN
China
Prior art keywords
network
dnn
cnn
data
neural network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111388336.6A
Other languages
English (en)
Inventor
叶楷
郑秋华
高嘉怡
李欣芸
叶浩辰
王嘉卉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dianzi University
Original Assignee
Hangzhou Dianzi University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dianzi University filed Critical Hangzhou Dianzi University
Priority to CN202111388336.6A priority Critical patent/CN114139615A/zh
Publication of CN114139615A publication Critical patent/CN114139615A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computational Linguistics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Evolutionary Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开基于混合神经网络CNN‑DNN的入侵检测系统及方法。该方法具体是获取带有标签的网络流量数据;将网络流量数据中字符、文本等信息转化为数字,并进行归一化操作,最后利用组合自编码器将网络流量数据降维;构建混合神经网络CNN‑DNN。本发明采用CNN‑DNN混合神经网络进行数据分析,具有较高的准确率,采用了组合自编码器,可对不同维度输入数据进行降维处理,能够灵活突出重点的特征或特征组合,提高了计算效率。

Description

基于混合神经网络CNN-DNN的入侵检测系统及方法
技术领域
本发明属于计算机网络安全技术领域,具体涉及一种基于混合神经网络CNN-DNN的入侵检测系统及方法。
背景技术
网络流量安全问题日益凸显,各类网络入侵手段也层出不穷,随着各行各业信息化的迅猛发展,传统入侵检测系统难以识别新式网络攻击的缺陷日渐凸显,且误报率、漏报率仍然处于较高水平,将无法满足各行业信息网络发展变化趋势。
发明内容
本发明的一个目的是为了解决基于误用的传统入侵检测高误报多漏报误报,而基于传统机器学习入侵检测方法难移植的问题,提供了一种基于混合神经网络CNN-DNN的异常流量检测系统。
通过以下技术方案实现的:
一种基于混合神经网络(CNN-DNN)的异常流量检测系统,包括:
网络流量收集模块,用于获取实时网络流量数据。
流量数据预处理模块,用于接收来自网络流量收集模块的网络流量数据,将网络流量数据中字符、文本等信息转化为数字,并进行归一化操作,最后利用组合自编码器将网络流量数据降维;
混合神经网络CNN-DNN模块,用于对流量数据预处理模块传输的数据进行实时异常判别。
预测结果输出模块,用于输出混合神经网络CNN-DNN模块的预测结果并存储,同时提供接口供第三方应用程序直接获取混合神经网络CNN-DNN模块的预测结果。
本发明的另一个目的是提供一种基于混合神经网络(CNN-DNN)的异常流量检测方法,包括以下步骤:
步骤S100:获取带有标签的网络流量数据;所述标签为正常、异常两种;
步骤S200:数据预处理:
将网络流量数据中字符、文本等信息转化为数字,并进行归一化操作;最后利用组合自编码器将网络流量数据降维;
步骤S300:降步骤S200预处理后的数据其中80%作为训练集,20%作为测试集;
步骤S400:构建混合神经网络CNN-DNN,并利用步骤S300获得进行训练
S500:利用测试集对上述训练好的混合神经网络CNN-DNN进行测试;
S600:实时获取目标检测网络的未带标签网络流量数据集;然后重复步骤S200,然后将其输入至测试好的混合神经网络CNN-DNN,以实现入侵检测。
与现有入侵检测方法相比较,本发明有以下优势:
本发明采用CNN-DNN混合神经网络进行数据分析,具有较高的准确率,采用了组合自编码器,可对不同维度输入数据进行降维处理,能够灵活突出重点的特征或特征组合,提高了计算效率。
附图说明
图1为本发明基于混合神经网络(CNN-DNN)的入侵检测方法的流程图;
图2为本发明基于混合神经网络(CNN-DNN)的入侵检测系统的模块示意图;
图3为图2中CNN卷积神经网络网络模块和DNN深度神经网络网络模块示意图。
图4为图2中组合自编码器模块示意图。
具体实施方式
下面结合附图对本发明的技术方案作进一步的说明,但本发明的实施方式不限于此。
本发明提供了一种基于混合神经网络(CNN-DNN)的入侵检测方法,如图1所示,包括以下步骤
S100:从目标检测网络或与目标检测网络相似度较高的网络环境获取网络流量数据集,并进行打标,其中标签为正常、异常两种;
所述的与目标检测网络相似度较高的网络环境具体是:
网络结构框架相同,流经网络流量的标签分布比例相同的网络。
所述网络流量数据集包括多个网络数据包,每个网络数据包包括多个不同特征,其中每个特征数据类型采用字符、文本、数值中的一种(如被广泛使用的KDD99数据集);
S200:数据预处理:
将网络流量数据中字符、文本等信息转化为数字,并进行归一化操作;最后利用组合自编码器将网络流量数据降维;具体是:
S210:对上述得到的每个网络数据包进行缺失特征填补;
所述缺失特征填补具体是对缺失特征采用相对应的特征默认值进行填补,其中特征默认值为根据经验人为设定。
S220:对缺失特征填补后的网络数据包进行数据类型判断,若全部为数值则跳转至S240,反之则跳转至S230;
S230:判断缺失特征填补后的网络数据包中非数值类特征(即字符或文本类型特征)是否存在关联特征,若存在则对所有关联特征采用独热编码(LabelEncoder)将其转换为数值,对其他非数值类特征用标签编码转化为数值;若不存在关联特征则所有非数值类特征采用标签编码(OneHotEncoder)转化为数值;
例如tcp传输中的ACK、SYN、FIN等特征,同属于flags标志位,则认为上述特征为关联特征。
S240:对数值特征进行最值归一化操作,将数值限制在-1~1之间;
S250:对步骤S240处理后的数据使用组合自编码器进行数据降维;
所述组合自编码器是在传统自编码器的隐藏层与输入层间增加一层组合特征筛选层;所述组合特征筛选层包括
Figure BDA0003367890330000031
个子自编码器,其用于降维;每个子自编码器的输入为组合自编码器输入层接收到n维数值特征中随机筛选出的m维数值特征;所有子自编码器接收的数值特征不同;
如图4,组合自编码器输入层输出的特征为4维,组合自编码器组合特征筛选层包括4个子自编码器,每个子自编码器的输入为从输入层的输出特征中随机筛选的3维特征,然后对其进行降维,降维后数据作为隐藏层输入;
步骤S300:降步骤S200预处理后的数据其中80%作为训练集,20%作为测试集;
S400:构建混合神经网络CNN-DNN,并利用训练集进行训练
所述混合神经网络CNN-DNN以降维后的网络流量数据集作为输入,以分类结果为输出;其包括依次级联的卷积神经网络模块CNN、深度神经网络模块DNN;
所述卷积神经网络模块CNN包括依次级联的输入层、第一卷积层、第一池化层、第二卷积层、第二池化层、第三卷积层;其中第一至三卷积层神经元数量为64~256不等,前两卷积层后使用池化层防止过拟合;
所述深度神经网络模块DNN包括依次级联的3层全连接层、输出层;全连接层神经元数量为128~256不等,使用10%dropout策略防止过拟合;
模型训练时采用误差后向传播算法(BP算法),以二元交叉熵评估模型,误差收敛时停止训练,记录参数。
S500:利用测试集对上述训练好的混合神经网络CNN-DNN进行测试;
S600:实时获取目标检测网络的未带标签网络流量数据集;然后重复步骤S200-S300,然后将其输入至测试好的混合神经网络CNN-DNN,以实现入侵检测。
目标检测网络获取网络流量数据集的方式是使用嗅探器。

Claims (6)

1.一种基于混合神经网络CNN-DNN的入侵检测系统,其特征在于包括:
网络流量收集模块,用于获取实时网络流量数据;
流量数据预处理模块,用于接收来自网络流量收集模块的网络流量数据,将网络流量数据中字符、文本转化为数字,并进行归一化操作,最后利用组合自编码器将网络流量数据降维;
混合神经网络CNN-DNN模块,用于对流量数据预处理模块传输的数据进行实时异常判别;
预测结果输出模块,用于输出混合神经网络CNN-DNN模块的预测结果并存储,同时提供接口供第三方应用程序直接获取混合神经网络CNN-DNN模块的预测结果。
2.一种基于混合神经网络CNN-DNN的入侵检测方法,其特征在于该方法包括以下步骤:
步骤S100:获取带有标签的网络流量数据;
步骤S200:数据预处理:
将网络流量数据中字符、文本信息转化为数字,并进行归一化操作;最后利用组合自编码器将网络流量数据降维;具体是:
S210:对上述得到的每个网络数据包进行缺失特征填补;
S220:对缺失特征填补后的网络数据包进行数据类型判断,若全部为数值则跳转至S240,反之则跳转至S230;
S230:判断缺失特征填补后的网络数据包中非数值类特征是否存在关联特征,若存在则对所有关联特征采用独热编码LabelEncoder将其转换为数值,对其他非数值类特征用标签编码转化为数值;若不存在关联特征则所有非数值类特征采用标签编码OneHotEncoder转化为数值;
S240:对数值特征进行最值归一化操作;
S250:对步骤S240处理后的数据使用组合自编码器进行数据降维;
所述组合自编码器是在传统自编码器的隐藏层与输入层间增加一层组合特征筛选层;所述组合特征筛选层包括
Figure FDA0003367890320000011
个子自编码器,其用于降维;每个子自编码器的输入为组合自编码器输入层接收到n维数值特征中随机筛选出的m维数值特征;
步骤S300:将步骤S200预处理后的数据其中一部分作为训练集,另一部分作为测试集;
步骤S400:构建混合神经网络CNN-DNN,并利用步骤S300获得进行训练;
S500:利用测试集对上述训练好的混合神经网络CNN-DNN进行测试;
S600:实时获取目标检测网络的未带标签网络流量数据集;然后重复步骤S200,然后将其输入至测试好的混合神经网络CNN-DNN,以实现入侵检测。
3.如权利要求2所述的一种基于混合神经网络CNN-DNN的入侵检测方法,其特征在于步骤S210所述缺失特征填补具体是对缺失特征采用相对应的特征默认值进行填补。
4.如权利要求2所述的一种基于混合神经网络CNN-DNN的入侵检测方法,其特征在于所述混合神经网络CNN-DNN以降维后的网络流量数据集作为输入,以分类结果为输出;其包括依次级联的卷积神经网络模块CNN、深度神经网络模块DNN。
5.如权利要求4所述的一种基于混合神经网络CNN-DNN的入侵检测方法,其特征在于所述卷积神经网络模块CNN包括依次级联的输入层、第一卷积层、第一池化层、第二卷积层、第二池化层、第三卷积层;其中第一至三卷积层神经元数量为64~256不等,前两卷积层后使用池化层防止过拟合;
所述深度神经网络模块DNN包括依次级联的3层全连接层、输出层。
6.如权利要求2所述的一种基于混合神经网络CNN-DNN的入侵检测方法,其特征在于目标检测网络获取网络流量数据集的方式是嗅探器。
CN202111388336.6A 2021-11-22 2021-11-22 基于混合神经网络cnn-dnn的入侵检测系统及方法 Pending CN114139615A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111388336.6A CN114139615A (zh) 2021-11-22 2021-11-22 基于混合神经网络cnn-dnn的入侵检测系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111388336.6A CN114139615A (zh) 2021-11-22 2021-11-22 基于混合神经网络cnn-dnn的入侵检测系统及方法

Publications (1)

Publication Number Publication Date
CN114139615A true CN114139615A (zh) 2022-03-04

Family

ID=80390859

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111388336.6A Pending CN114139615A (zh) 2021-11-22 2021-11-22 基于混合神经网络cnn-dnn的入侵检测系统及方法

Country Status (1)

Country Link
CN (1) CN114139615A (zh)

Similar Documents

Publication Publication Date Title
CN112003870B (zh) 一种基于深度学习的网络加密流量识别方法及装置
CN112989977B (zh) 一种基于跨模态注意力机制的视听事件定位方法及装置
CN112491796B (zh) 一种基于卷积神经网络的入侵检测及语义决策树量化解释方法
CN113806746B (zh) 基于改进cnn网络的恶意代码检测方法
CN111783442A (zh) 入侵检测方法、设备和服务器、存储介质
CN111447190A (zh) 一种加密恶意流量的识别方法、设备及装置
CN117421684B (zh) 基于数据挖掘和神经网络的异常数据监测与分析方法
CN112039903B (zh) 基于深度自编码神经网络模型的网络安全态势评估方法
CN111696021B (zh) 一种基于显著性检测的图像自适应隐写分析系统及方法
CN103310235B (zh) 一种基于参数识别与估计的隐写分析方法
CN116992299B (zh) 区块链交易异常检测模型的训练方法、检测方法及装置
CN116910752B (zh) 一种基于大数据的恶意代码检测方法
CN112738014A (zh) 一种基于卷积时序网络的工控流量异常检测方法及系统
CN114898269B (zh) 基于眼部特征和人脸特点实现深度伪造融合检测的系统、方法、装置、处理器及其存储介质
CN115643115B (zh) 基于大数据的工控网络安全态势预测方法及系统
CN113098862A (zh) 一种基于混合采样与膨胀卷积相结合的入侵检测方法
CN111970156A (zh) 网络故障根因分析方法、装置、计算机设备及存储介质
CN117220920A (zh) 基于人工智能的防火墙策略管理方法
CN117749409A (zh) 一种大规模网络安全事件分析系统
CN117332352A (zh) 一种基于BAM-AlexNet的避雷器信号缺陷识别方法
CN117176417A (zh) 网络流量异常确定方法、装置、电子设备和可读存储介质
CN114139615A (zh) 基于混合神经网络cnn-dnn的入侵检测系统及方法
CN115187789A (zh) 基于卷积层激活差异的对抗图像检测方法及装置
CN111654853B (zh) 一种基于用户信息的数据分析方法
CN114330504A (zh) 基于Sketch的网络恶意流量检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination