一种基于卷积神经网络的网络入侵检测方法技术

本发明专利技术公开了一种基于卷积神经网络的网络入侵检测方法。该方法对原始的网络连接输入数据进行预处理，将网络连接数据中特征取值转化为统一的格式；然后进行网络连接数据中特征取值优化，通过卷积神经网络结构对优化选择特征集后的网络数据建模，提取网络攻击行为的特征；应用Softmax分类器将所得模型提取到的特征进行分类，判断数据为正常连接数据或具体某一攻击行为，产生最终的入侵检测结果。本发明专利技术改善了传统入侵检测系统中人工挖掘数据关联规则中对入侵行为特征提取不充分的特点所导致的检测率低、误报率高、泛化能力差的问题，同时避免传统解决方案对检测时效性和计算复杂度的负面影响。

A Network Intrusion Detection Method Based on Convolutional Neural Network

The invention discloses a network intrusion detection method based on convolution neural network. This method preprocesses the input data of the original network connection, transforms the feature values of the network connection data into a unified format; then optimizes the feature values of the network connection data, builds the model of the network data after the optimized feature set is selected through the structure of convolutional neural network, and extracts the characteristics of the network attack behavior; and applies the software Max classifier to extract the features of the model. The signature is classified to judge whether the data is normally connected to the data or a specific attack, and the final result of intrusion detection is produced. The invention improves the problems of low detection rate, high false alarm rate and poor generalization ability caused by insufficient feature extraction of intrusion behavior in traditional intrusion detection system by manual mining data association rules, and avoids the negative impact of traditional solutions on detection timeliness and computation complexity.

【技术实现步骤摘要】
一种基于卷积神经网络的网络入侵检测方法
本专利技术涉及一种入侵检测技术，特别是涉及一种基于卷积神经网络的网络入侵检测方法，该检测方法采用卷积神经网络提取网络连接数据特征。
技术介绍
网络技术的发展和互联网的普及伴随着更多、更复杂的网络安全问题，网络黑客有更多的机会去窃取用户身份信息、商业机密等重要的数据。为了保证网络安全，网络安全技术应运而生。网络安全的本质在于保证网络信息系统的机密性、完整性和可用性。传统的网络安全解决方案通常采用漏洞扫描机、防火墙及入侵检测及防护等软、硬件安全产品来保护系统中的数据资源免受恶意的破坏、更改和泄露。其中，网络入侵检测是十分重要的一种手段。入侵检测系统(IntrusionDetectionSystem,IDS)则是指实时监控和识别计算机系统或网络系统上的数据，根据一定的安全策略发现恶意网络攻击行为或企图入侵的迹象，进行入侵检测和响应的软件或者软、硬件结合的系统，入侵检测系统对保证网络安全极有意义。目前的入侵检测方法很多，但普遍具有检测率低、误报率高、泛化能力差、时效性差等问题。基于概率和规则统计的入侵检测方法是根据概率对用户行为建模，后期实时审计系统若发现用户行为违背模型中的行为习惯，即判定这样的行为是异常。但对用户行为进行建模和审计分析有明显的时间约束性，导致基于概率统计的模型不能实时检测，且不能表达入侵行为在时间序列上的关系，会导致大量误报、漏报。基于数据挖掘入侵检测方法通过海量网络数据挖掘其中有价值知识的潜在信息，作为关联规则、规律、模式等，以此检测入侵行为。这种方法建立在对数据流的审计之上，需要指定实际的安全需求，且挖掘结果无法自动应用于入侵检测系统。基于人工免疫的入侵检测方法通过辨识“自我(Self)”与“非我(Non‐self)”来检测不属于自体系统环境的入侵行为。但由于普遍缺少对抗原的有效识别方法，因此误判率较高。
技术实现思路
本专利技术的目的在于克服现有技术存在的上述不足，提供了基于卷积神经网络的入侵检测的方法，提高识别的准确率。本专利技术目的通过如下技术方案实现：一种基于卷积神经网络的网络入侵检测方法，包括如下步骤：1)对原始的网络连接输入数据进行预处理：对特征取值为字符型的特征值进行数值化处理，使得到的数据集中特征取值均为数值型；对数值取值进行归一化处理，使连续型和离散型的特征取值均匀有序分布于[0，1]范围内；将网络连接数据中特征取值转化为统一的格式；2)网络连接数据中特征取值优化：对于特征x1和特征x2，逐个计算各个网络连接数据中特征取值的信息熵H(x1)和互信息H(x1|x2)，以信息熵计算某一特征值对入侵检测结果的贡献率来确定优化特征集中的第一个特征维度，并以互信息计算原特征集中剩余特征与第一个特征的相关性，选择相关性大于设定阈值的特征作为第二个特征维度；然后，逐一计算原特征集中剩余特征与当前优化特征集合的相关性，构成初步优化特征集，得到有效特征集；然后，以卡方假设检验进一步验证每一个特征对检测结果影响的显著性，去除假设检验结果为0的特征，得到优化有效特征集；3)通过卷积神经网络结构对优化选择特征集后的网络数据建模，提取网络攻击行为的特征；4)应用Softmax分类器将步骤3)所得模型提取到的特征进行分类，判断数据为正常连接数据或具体某一攻击行为，产生最终的入侵检测结果。为今后一步实现本专利技术目的，优选地，步骤1)所述字符型的特征值进行数值化处理是采用独热编码的方式将字符型特征值转换为数值；优选地，步骤1)所述离散型的特征取值均匀有序分布于[0，1]范围内是采用极差变换法将离散型的特征取值均匀映射到[0,1]之间。优选地，所述通过卷积神经网络结构对优化选择特征集后的网络数据建模是构建一个共9层的卷积神经网络结构，9层的卷积神经网络结构包括输入层、输出层和7个隐含层；其中，输入层将一维待检测数据转化为二维特征矩阵，以使网络连接数据适用于卷积神经网络结构；隐含层中以双卷积+池化层为小单元，循环设置，隐含层中第1、2、4、5、7层为卷积层，均采用ReLU作为激活函数，采用3*3的卷积核，且卷积过滤器的数量以32‐64‐128的形式增长；池化层中采用动态自适应的池化算法降维采样。优选地，步骤4)所述的应用Softmax分类器将步骤3)所得模型提取到的特征进行分类是将卷积神经网络的建模输出给Softmax分类器，以Softmax函数作为激活函数，将数据分为正常或异常类型，得到检测结果。本专利技术中，数据预处理具体方法是：数值化处理，将protocol_type、service和flag三个特征属性字符型的取值采用独热编码(one‐hot编码)的方式转换为数值。归一化处理，将离散型的特征取值均匀映射到[0,1]之间，消除网络连接中不同特征取值的量纲差异大对检测模型中提取特征信息造成的影响。与现有技术相比，本专利技术具有如下优点和技术效果：1)本专利技术以卷积神经网络对入侵检测数据建模，通过自主学习的方式提取网络连接数据的特征。与传统机器学习方法相比，节省了人工挖掘关联规则的成本，加强了对网络连接数据的理解和学习能力，提高识别的准确率。2)本方法中去除了不相关特征和冗余特征对检测结果的影响，在使用卷积神经网络对网络入侵数据建模时更加精确，且节省时间。3)相比于传统的卷积神经网络中卷积层与池化层交替设置的结构，本方法采用双卷积层的设置，加强了模型提取网络连接数据特征的能力，且在一定程度上避免了池化层设置密集带来的特征图像模糊的问题。4)相比于传统的卷积神经网络中最大池采样和平均池采样的方法，引入动态自适应的池化方法后，减少了对网络连接数据建模过程中降维采样导致损失的特征信息。附图说明图1为本专利技术的基于卷积神经网络的网络入侵检测方法的流程图。图2为卷积神经网络模型图。具体实施方式为更好地理解本专利技术，下面结合附图和实施例对本专利技术作进一步的说明，但本专利技术的实施方式不限如此。实施例图1为本专利技术基于卷积神经网络的网络入侵检测方法，具体包括101、102、103、104四个步骤：步骤101：主要是对数据格式进行统一处理，即对原始的网络连接输入数据进行预处理，包括数值化处理和归一化处理，消除网络连接中不同特征取值的量纲差异大对检测模型中提取特征信息造成的影响；以KDDCUP99数据集中的一条网络连接数据为例："0,tcp,smtp,SF,2229,481,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,1,1,0.00,0.00,0.00,0.00,1.00,0.00,0.00,255,6,0.02,0.02,0.00,0.00,0.00,0.00,0.00,0.00,normal"，每条网络连接数据具有完全相同的数据格式，记录具有完全相同的数据类型，每条数据包含1个标签和41项特征值，共42个属性。标签标记该条网络连接数据为正常数据或异常数据；41项特征值描述网络连接的基本属性、网络连接的内容属性、基于时间的网络流量统计属性和基于主机的网络流量统计属性的特征，其中protocol_type、service和flag3个特征属性的取值为离散的字符型，其他38个特征属性为数值型，且其中6个为离散型，32个为连续型。数据预处理过程将数据集中各个特征属性的取值统一处理为均匀映本文档来自技高网...

【技术保护点】
1.一种基于卷积神经网络的网络入侵检测方法，其特征在于包括如下步骤：1)对原始的网络连接输入数据进行预处理：对特征取值为字符型的特征值进行数值化处理，使得到的数据集中特征取值均为数值型；对数值取值进行归一化处理，使连续型和离散型的特征取值均匀有序分布于[0，1]范围内；将网络连接数据中特征取值转化为统一的格式；2)网络连接数据中特征取值优化：对于特征x1和特征x2，逐个计算各个网络连接数据中特征取值的信息熵H(x1)和互信息H(x1|x2)，以信息熵计算某一特征值对入侵检测结果的贡献率来确定优化特征集中的第一个特征维度，并以互信息计算原特征集中剩余特征与第一个特征的相关性，选择相关性大于设定阈值的特征作为第二个特征维度；然后，逐一计算原特征集中剩余特征与当前优化特征集合的相关性，构成初步优化特征集，得到有效特征集；然后，以卡方假设检验进一步验证每一个特征对检测结果影响的显著性，去除假设检验结果为0的特征，得到优化有效特征集；3)通过卷积神经网络结构对优化选择特征集后的网络数据建模，提取网络攻击行为的特征；4)应用Softmax分类器将步骤3)所得模型提取到的特征进行分类，判断数据为正常连接数据或具体某一攻击行为，产生最终的入侵检测结果。...

【技术特征摘要】
1.一种基于卷积神经网络的网络入侵检测方法，其特征在于包括如下步骤：1)对原始的网络连接输入数据进行预处理：对特征取值为字符型的特征值进行数值化处理，使得到的数据集中特征取值均为数值型；对数值取值进行归一化处理，使连续型和离散型的特征取值均匀有序分布于[0，1]范围内；将网络连接数据中特征取值转化为统一的格式；2)网络连接数据中特征取值优化：对于特征x1和特征x2，逐个计算各个网络连接数据中特征取值的信息熵H(x1)和互信息H(x1|x2)，以信息熵计算某一特征值对入侵检测结果的贡献率来确定优化特征集中的第一个特征维度，并以互信息计算原特征集中剩余特征与第一个特征的相关性，选择相关性大于设定阈值的特征作为第二个特征维度；然后，逐一计算原特征集中剩余特征与当前优化特征集合的相关性，构成初步优化特征集，得到有效特征集；然后，以卡方假设检验进一步验证每一个特征对检测结果影响的显著性，去除假设检验结果为0的特征，得到优化有效特征集；3)通过卷积神经网络结构对优化选择特征集后的网络数据建模，提取网络攻击行为的特征；4)应用Softmax分类器将步骤3)所得模型提取到的特征进行分类，判断数据为正常连接数据或具体某一攻击行为，产生最终的入侵检测结果。2.根据权利要求1所述的一种基于卷积神经网络的网络入侵检...

【专利技术属性】
技术研发人员：李拥军，靳玉，谢嵘，武天舒，
申请(专利权)人：华南理工大学，
类型：发明
国别省市：广东,44