The invention discloses a network intrusion detection method based on convolution neural network. This method preprocesses the input data of the original network connection, transforms the feature values of the network connection data into a unified format; then optimizes the feature values of the network connection data, builds the model of the network data after the optimized feature set is selected through the structure of convolutional neural network, and extracts the characteristics of the network attack behavior; and applies the software Max classifier to extract the features of the model. The signature is classified to judge whether the data is normally connected to the data or a specific attack, and the final result of intrusion detection is produced. The invention improves the problems of low detection rate, high false alarm rate and poor generalization ability caused by insufficient feature extraction of intrusion behavior in traditional intrusion detection system by manual mining data association rules, and avoids the negative impact of traditional solutions on detection timeliness and computation complexity.
【技术实现步骤摘要】
一种基于卷积神经网络的网络入侵检测方法
本专利技术涉及一种入侵检测技术,特别是涉及一种基于卷积神经网络的网络入侵检测方法,该检测方法采用卷积神经网络提取网络连接数据特征。
技术介绍
网络技术的发展和互联网的普及伴随着更多、更复杂的网络安全问题,网络黑客有更多的机会去窃取用户身份信息、商业机密等重要的数据。为了保证网络安全,网络安全技术应运而生。网络安全的本质在于保证网络信息系统的机密性、完整性和可用性。传统的网络安全解决方案通常采用漏洞扫描机、防火墙及入侵检测及防护等软、硬件安全产品来保护系统中的数据资源免受恶意的破坏、更改和泄露。其中,网络入侵检测是十分重要的一种手段。入侵检测系统(IntrusionDetectionSystem,IDS)则是指实时监控和识别计算机系统或网络系统上的数据,根据一定的安全策略发现恶意网络攻击行为或企图入侵的迹象,进行入侵检测和响应的软件或者软、硬件结合的系统,入侵检测系统对保证网络安全极有意义。目前的入侵检测方法很多,但普遍具有检测率低、误报率高、泛化能力差、时效性差等问题。基于概率和规则统计的入侵检测方法是根据概率对用户行为建模,后期实时审计系统若发现用户行为违背模型中的行为习惯,即判定这样的行为是异常。但对用户行为进行建模和审计分析有明显的时间约束性,导致基于概率统计的模型不能实时检测,且不能表达入侵行为在时间序列上的关系,会导致大量误报、漏报。基于数据挖掘入侵检测方法通过海量网络数据挖掘其中有价值知识的潜在信息,作为关联规则、规律、模式等,以此检测入侵行为。这种方法建立在对数据流的审计之上,需要指定实际的安全需求,且 ...
【技术保护点】
1.一种基于卷积神经网络的网络入侵检测方法,其特征在于包括如下步骤:1)对原始的网络连接输入数据进行预处理:对特征取值为字符型的特征值进行数值化处理,使得到的数据集中特征取值均为数值型;对数值取值进行归一化处理,使连续型和离散型的特征取值均匀有序分布于[0,1]范围内;将网络连接数据中特征取值转化为统一的格式;2)网络连接数据中特征取值优化:对于特征x1和特征x2,逐个计算各个网络连接数据中特征取值的信息熵H(x1)和互信息H(x1|x2),以信息熵计算某一特征值对入侵检测结果的贡献率来确定优化特征集中的第一个特征维度,并以互信息计算原特征集中剩余特征与第一个特征的相关性,选择相关性大于设定阈值的特征作为第二个特征维度;然后,逐一计算原特征集中剩余特征与当前优化特征集合的相关性,构成初步优化特征集,得到有效特征集;然后,以卡方假设检验进一步验证每一个特征对检测结果影响的显著性,去除假设检验结果为0的特征,得到优化有效特征集;3)通过卷积神经网络结构对优化选择特征集后的网络数据建模,提取网络攻击行为的特征;4)应用Softmax分类器将步骤3)所得模型提取到的特征进行分类,判断数据为正常 ...
【技术特征摘要】
1.一种基于卷积神经网络的网络入侵检测方法,其特征在于包括如下步骤:1)对原始的网络连接输入数据进行预处理:对特征取值为字符型的特征值进行数值化处理,使得到的数据集中特征取值均为数值型;对数值取值进行归一化处理,使连续型和离散型的特征取值均匀有序分布于[0,1]范围内;将网络连接数据中特征取值转化为统一的格式;2)网络连接数据中特征取值优化:对于特征x1和特征x2,逐个计算各个网络连接数据中特征取值的信息熵H(x1)和互信息H(x1|x2),以信息熵计算某一特征值对入侵检测结果的贡献率来确定优化特征集中的第一个特征维度,并以互信息计算原特征集中剩余特征与第一个特征的相关性,选择相关性大于设定阈值的特征作为第二个特征维度;然后,逐一计算原特征集中剩余特征与当前优化特征集合的相关性,构成初步优化特征集,得到有效特征集;然后,以卡方假设检验进一步验证每一个特征对检测结果影响的显著性,去除假设检验结果为0的特征,得到优化有效特征集;3)通过卷积神经网络结构对优化选择特征集后的网络数据建模,提取网络攻击行为的特征;4)应用Softmax分类器将步骤3)所得模型提取到的特征进行分类,判断数据为正常连接数据或具体某一攻击行为,产生最终的入侵检测结果。2.根据权利要求1所述的一种基于卷积神经网络的网络入侵检...
【专利技术属性】
技术研发人员:李拥军,靳玉,谢嵘,武天舒,
申请(专利权)人:华南理工大学,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。