一种基于多尺度特征连接卷积神经网络的入侵检测方法技术

本发明专利技术公开一种基于多尺度特征连接卷积神经网络的入侵检测方法，使用卷积神经网络的超强特征提取能力提取到入侵数据中的关键特征和关联特征，使得提取到的特征在各种环境下都有较强的鲁棒性，网络结构也有很强的普适性。同时利用卷积自编码器和未标注数据对卷积层组参数进行预训练，使得网络即使在标注数据量较少的情况下也能够获得很好的效果，解决了大量数据标注困难的问题。当训练的卷积神经网络达到要求之后保存网络参数，之后的系统部署过程不需要再次进行训练，给系统的实施和部署带来了便利。当采集到新的网络入侵数据，之前训练的权重可以作为初始值载入网络进行微调训练，该入侵检测网络可以寻求到更优的性能。

An Intrusion Detection Method Based on Multiscale Feature Connected Convolutional Neural Network

The invention discloses an intrusion detection method based on multi-scale feature connected convolution neural network, which uses the super-strong feature extraction ability of convolution neural network to extract key features and associated features in Intrusion data, so that the extracted features have strong robustness in various environments, and the network structure has strong universality. At the same time, the convolution layer group parameters are pre-trained by using convolution self-encoder and unlabeled data, which makes the network achieve good results even when the amount of labeled data is small, and solves the problem of labeling a large number of data. When the training convolutional neural network meets the requirements, the network parameters are saved, and the subsequent system deployment process does not need to be trained again, which brings convenience to the implementation and deployment of the system. When new network intrusion data are collected, the weights of the previous training can be loaded into the network as initial values for fine-tuning training, and the intrusion detection network can seek better performance.

【技术实现步骤摘要】
一种基于多尺度特征连接卷积神经网络的入侵检测方法
本专利技术涉及机器学习中的分类领域和信息安全中的入侵检测领域，具体涉及一种基于多尺度特征连接卷积神经网络(MultiscaleFeatureConnectionConvolutionalNeuralNetwork，MFC-CNN)的入侵检测方法。
技术介绍
随着计算机网络的发展，许多涉及到敏感数据的应用被部署在了网络中，其安全问题却受到层出不穷的入侵手段的威胁。入侵检测技术作为一种主动的入侵防御手段，能够对进入到信息系统的访问行为进行分析，检测到具有恶意入侵行为的行为。入侵检测技术通过收集出入信息系统的数据包，监听网络通信，使用各种方法对收集到的数据包以及通信内容进行分析，从而检测出可能对信息安全造成影响的数据包。一个优秀的入侵检测系统，应当对恶意行为具有较高的识别率，同时对正常行为的误报率要尽可能的低。分析网络系统中的访问行为方法是多种多样的。其中的关键是找到访问行为中那些具有明显特征的访问信息或者访问特性。有许多的机器学习算法和特征提取算法被提出并应用到入侵检测领域，但这些方法面对差异量大的入侵样本时，往往出现检出率不高、误报率大的问题，其原因在不能很好的找到入侵属性当中的特征信息。
技术实现思路
本专利技术针对现有入侵检测方法存在检出率不高、误报率大、对具体的网络入侵场景泛用性不强的问题，提出一种基于多尺度特征连接卷积神经网络的入侵检测方法。为解决上述问题，本专利技术是通过以下技术方案实现的：一种基于多尺度特征连接卷积神经网络的入侵检测方法，具体包括步骤如下：步骤1、采集网络中的历史数据形成总数据集D；步骤2、随机从总数据集D中选取部分数据形成抽选数据集D′，并将抽选数据集D′分为训练集STrain和测试集STest；步骤3、根据入侵数据的真实情况，为训练集STrain和测试集STest中的数据打上入侵类型的标签；步骤4、将总数据集D中除去抽选数据集D′所剩余的数据组成剩余数据集步骤5、将剩余数据集中的数据送入初始的基于多尺度特征连接卷积神经网络中进行无监督预训练；步骤6、在无监督预训练结束时，保留初始的基于多尺度特征连接卷积神经网络中卷积层的所有参数W；步骤7、将步骤6所得到的卷积层的所有参数W加载回初始的基于多尺度特征连接卷积神经网络的卷积层中，得到预训练的基于多尺度特征连接卷积神经网络；步骤8、将训练集Strain中的数据送入步骤7所得到的预训练的基于多尺度特征连接卷积神经网络中进行监督训练；步骤9、在监督训练过程中，使用反向传播算法训练网络参数，每隔一定的训练批次使用测试集STest中的数据验证网络的正确率，当正确率达到设定的阈值时，则将当前预训练的基于多尺度特征连接卷积神经网络中各层的所有参数Wa保存下来；步骤10、将步骤9所得到的各层的所有参数Wa对应加载回预训练的基于多尺度特征连接卷积神经网络的各层中，得到最终基于多尺度特征连接卷积神经网络；步骤11、当需要进行网络数据的入侵检测时，将需要检测的网络数据送入步骤10所得到的最终基于多尺度特征连接卷积神经网络中，即预测得到的入侵检测结果。上述步骤1中，总数据D和剩余数据集中的数据均为不包含其真实入侵类型标签，即均为无标签数据。与现有技术相比，本专利技术具有如下特点：1、使用了无监督预训练加监督训练微调的方法，一定程度上解决了给网络入侵数据进行标注的困难；2、结合了卷积神经网络的超强特征学习能力，有效提取到给定样本的特征以及属性之间的关系特征，提高了入侵检测的检测率的同时降低了误报率；3、利用了卷积神经网络的泛化能力，使得该方法具有很强的普适性，可以容易的将该方法应用到各种入侵检测环境中而不需要对系统做出太多的修改。附图说明图1为一种基于多尺度特征连接卷积神经网络的入侵检测方法的流程图。图2为基于多尺度特征连接卷积神经网络示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白，以下结合具体实例，并参照附图，对本专利技术进一步详细说明。参见图1，一种基于多尺度特征连接卷积神经网络的入侵检测方法，具体包括步骤如下：步骤1、采集网络中的历史数据形成总数据集D，总数据集D中的数据不包含其真实入侵类型标签，即是无标签数据。步骤2、随机从总数据集D中选取部分数据形成抽选数据集D′，并将抽选数据集D′分为训练集STrain和测试集STest，以用于后续监督训练。步骤3、根据入侵数据的真实情况，为训练集STrain和测试集STest中的数据打上入侵类型的标签。步骤4、将总数据集D中除去抽选数据集D′所剩余的数据组成剩余数据集以用于后续无监督预训练。剩余数据集中的数据不包含其真实入侵类型标签，即是无标签数据。步骤5、将剩余数据集中的数据送入初始的基于多尺度特征连接卷积神经网络中进行无监督预训练。步骤6、在无监督预训练结束时，保留初始的基于多尺度特征连接卷积神经网络中卷积层的所有参数W。步骤7、将步骤6所得到的卷积层的所有参数W加载回初始的基于多尺度特征连接卷积神经网络的卷积层中，得到预训练的基于多尺度特征连接卷积神经网络。步骤8、将训练集Strain中的数据送入步骤7所得到的预训练的基于多尺度特征连接卷积神经网络中进行监督训练。步骤9、在监督训练过程中，使用反向传播算法训练网络参数，每隔一定的训练批次使用测试集STest中的数据验证网络的正确率，一但正确率达到设定的阈值时，则将当前预训练的基于多尺度特征连接卷积神经网络中各层的所有参数Wa保存下来。步骤10、将步骤9所得到的各层的所有参数Wa对应加载回预训练的基于多尺度特征连接卷积神经网络的各层中，得到最终基于多尺度特征连接卷积神经网络。步骤11、当需要进行网络数据的入侵检测时，将需要检测的网络数据送入步骤10所得到的最终基于多尺度特征连接卷积神经网络中，即预测得到的入侵检测结果。本专利技术使用卷积神经网络的超强特征提取能力提取到入侵数据中的关键特征和关联特征，使得提取到的特征在各种环境下都有较强的鲁棒性，网络结构也有很强的普适性。同时利用卷积自编码器和未标注数据对卷积层组参数进行预训练，使得网络即使在标注数据量较少的情况下也能够获得很好的效果，解决了大量数据标注困难的问题。当训练的卷积神经网络达到要求之后保存网络参数，之后的系统部署过程不需要再次进行训练，给系统的实施和部署带来了便利。当采集到新的网络入侵数据，之前训练的权重可以作为初始值载入网络进行微调训练，该入侵检测网络可以寻求到更优的性能。下面针对本专利技术所涉及的关键技术进行说明：(1)基于多尺度特征连接卷积神经网络模型：卷积神经网络作为特征提取器，具有鲁棒性强，精确度高、泛化能力强的优点，并且卷积神经网络不仅能够找到访问属性之间的特性，通过卷积操作，还能够找到属性之间的关联特征。因此，卷积神经网络很适合用于提取当前越发复杂的入侵手段和入侵行为。为了使得卷积神经网络的输入、内部卷积运算能够适用于网络入侵数据，本专利技术基于多尺度特征连接卷积神经网络的结构如下：具有n个特征的一条网络入侵数据一般编码成一个n维特征列向量，因此，多尺度特征连接的卷积神经网络其收入是一个n维列向量；为了获取到入侵数据在不同尺度上的特征，网络输入层后面是一个卷积层组，卷积层组由三个卷积层成，每个卷积层分别由20个[3x1]的卷积核、1本文档来自技高网...

【技术保护点】
1.一种基于多尺度特征连接卷积神经网络的入侵检测方法，其特征是，具体包括步骤如下：步骤1、采集网络中的历史数据形成总数据集D；步骤2、随机从总数据集D中选取部分数据形成抽选数据集D′，并将抽选数据集D′分为训练集STrain和测试集STest；步骤3、根据入侵数据的真实情况，为训练集STrain和测试集STest中的数据打上入侵类型的标签；步骤4、将总数据集D中除去抽选数据集D′所剩余的数据组成剩余数据集

【技术特征摘要】
1.一种基于多尺度特征连接卷积神经网络的入侵检测方法，其特征是，具体包括步骤如下：步骤1、采集网络中的历史数据形成总数据集D；步骤2、随机从总数据集D中选取部分数据形成抽选数据集D′，并将抽选数据集D′分为训练集STrain和测试集STest；步骤3、根据入侵数据的真实情况，为训练集STrain和测试集STest中的数据打上入侵类型的标签；步骤4、将总数据集D中除去抽选数据集D′所剩余的数据组成剩余数据集步骤5、将剩余数据集中的数据送入初始的基于多尺度特征连接卷积神经网络中进行无监督预训练；步骤6、在无监督预训练结束时，保留初始的基于多尺度特征连接卷积神经网络中卷积层的所有参数W；步骤7、将步骤6所得到的卷积层的所有参数W加载回初始的基于多尺度特征连接卷积神经网络的卷积层中，得到预训练的基于多尺度特征连接卷积神经网络；步骤8、将训...

【专利技术属性】
技术研发人员：江泽涛，秦嘉奇，江婧，周谭盛子，胡硕，
申请(专利权)人：桂林电子科技大学，
类型：发明
国别省市：广西,45