本发明专利技术涉及结合图嵌入知识建模的网络入侵检测方法,属于计算机与信息科学技术领域。本发明专利技术首先对网络入侵流量数据包进行特征提取,定义特征节点与数据包节点类别,并根据节点之间的关系构造流量异构网络;然后基于元路径的游走方法生成节点上下文序列,训练图嵌入模型生成节点的特征向量表示;最后,根据模型生成测试集节点的特征向量表示,采用基于节点相似度计算的方法判别节点标签,实现对网络入侵流量的检测。优化了网络流量数据结构复杂情况下,当前深度学习网络入侵检测模型无法充分捕获节点之间拓扑结构关系和特征权重选择不当的问题。针对网络入侵流量本发明专利技术能达到较好的分类效果,进一步提升了网络入侵检测的正确率。率。率。
【技术实现步骤摘要】
结合图嵌入知识建模的网络入侵检测方法
[0001]本专利技术涉及结合图嵌入知识建模的网络入侵检测方法,属于计算机与信息科学
技术介绍
[0002]随着信息技术的发展,互联网已在多个领域发挥着重要的作用。与此同时,网络空间面临的安全威胁也在急剧增加。入侵检测技术已在网络安全防护的任务中发挥了重要作用。随着深度学习的发展,已有很多研究工作将相关技术用于入侵检测,如何有效地检测网络入侵是一项具有重要价值的研究课题。当前主流的基于深度学习的网络入侵方法大致分为基于时间序列模型方法和基于空间序列模型方法。
[0003]1.基于时间序列模型方法
[0004]所谓时间序列模型方法,是指对序列的每个元素执行相同的任务,每个元素的输出取决于先前的计算,利用数据的序列信息解决于与序列相关的入侵检测问题。首先在数据集上对深度神经网络进行时序权重训练,直到网络稳定且误差达到预定要求,最后使用训练好的深度神经网络完成入侵检测,并将检测出的样本返回样本处理单元进行再处理,输入网络进行权值再调优。虽然基于时间序列模型方法可以充分挖掘样本之间的时序相关性。但是该方法在面临长时间依赖的问题时会出现因为自身结构特点而导致的梯度消失、爆炸等问题。所以在应用到实际问题时还需进一步优化。
[0005]2.基于空间序列模型方法
[0006]空间序列模型以及由此产生的判别方法旨在通过主要是通过将流量分类问题转换为图片分类问题提供用于模式分类的鉴别能力。首先应用数据预处理方法来消除网络流量数据中的冗余和不相关特征,然后将流量数据进行图片化,转换为二维矩阵形式,最后提取网络流量的空间特征。此类方法具有一定的从数据中提取隐藏特征的能力。但同时也存在容易引入不相关特征和特征权重选择不当的问题,很少应用在实际问题领域。
[0007]综上所述,现有的深度学习网络入侵检测方法存在当数据维度较高时无法充分捕获节点之间拓扑结构和特征权重选择不正确的问题,所以本专利技术提出结合图嵌入知识建模的入侵检测方法。
技术实现思路
[0008]本专利技术的目的是为了解决网络流量数据结构复杂情况下,传统深度学习网络入侵检测方法模型无法充分捕获节点之间拓扑结构关系和特征权重选择不当的问题,提出一种结合图嵌入知识建模的网络入侵流量检测方法。
[0009]本专利技术的设计原理为:首先对网络入侵流量进行特征提取,提取出协议、端口、服务、攻击等41维特征属性构建数据包节点与特征节点,并根据节点之间的关系构造流量异构网络;然后根据边的类型对异构网络进行拆分,并分别在不同边类型下采用基于元路径随机游走的方法生成节点上下文序列,训练图嵌入模型生成节点的特征向量表示,节点特
征向量包括3个方面:基础嵌入向量、聚合邻居嵌入向量、节点上下文序列权重向量;最后,根据模型生成测试集节点的特征向量表示,采用基于节点相似度计算的方法判别节点标签,实现对网络入侵流量的检测。
[0010]本专利技术的技术方案是通过如下步骤实现的:
[0011]步骤1,对网络入侵流量进行特征提取,根据节点之间的关系构造流量异构网络。
[0012]步骤1.1,对于每个网络流量数据包提取其协议、端口等41维属性作为数据包节点。
[0013]步骤1.2,将41维特征属性中的协议、端口、服务、攻击四维特征属性抽象成网络图中的四种特征节点。
[0014]步骤1.3,根据数据包节点与特征节点之间的请求、提供和攻击等关系构建节点之间的边,构造流量异构网络。
[0015]步骤2,根据流量异构网络生成图嵌入网络模型。
[0016]步骤2.1,根据边的类型对异构网络进行拆分,并分别在不同边类型下采用基于元路径随机游走的方法生成节点上下文序列。
[0017]步骤2.2,根据节点上下文序列生成每个节点的基础嵌入。
[0018]步骤2.3,计算每个节点在不同类别下的聚合邻居嵌入向量和节点上下文序列权重向量。
[0019]步骤2.4,将不同边类别下的嵌入向量和基础嵌入向量组合成实体节点的最终向量表示。
[0020]步骤2.5,通过最小化异构skip
‑
gram的损失函数训练网络入侵流量分析模型。
[0021]步骤3,通过网络入侵流量分析模型对网络入侵进行识别检测。
[0022]步骤3.1,将测试样本作为一个数据包节点,并使用数据包节点初始特征直接计算获得新数据包节点嵌入向量。
[0023]步骤3.2,将测试样本的数据包节点嵌入向量与模型内的数据包节点嵌入向量做相似度计算。
[0024]步骤3.3,取模型内top1相似节点,得到预测标签,完成网络入侵检测。
[0025]有益效果
[0026]相比于传统的时间序列模型方法。本专利技术通过使用数据包节点和特征节点之间的请求、提供和攻击等关系构造流量异构网络的方法,保证了对数据包节点和特征节点之间关系的充分利用,避免了受时间序列的影响,从而达到较高的检测准确率。
[0027]相比于传统的空间序列模型方法,本专利技术通过选取协议、端口等特征构造节点嵌入向量的方法,保证了网络入侵流量特性的全面表征,降低了冗余信息的参与和复杂情况下的噪声影响,可以大幅提升模型对于不同特征属性的表达,从而达到了较高的检测准确率。
附图说明
[0028]图1为本专利技术结合图嵌入知识建模的网络入侵检测方法原理图。
具体实施方式
[0029]为了更好的说明本专利技术的目的和优点,下面结合实例对本专利技术方法的实施方式做进一步详细说明。
[0030]实验数据来自一个模拟的美国空军局域网上采集来的九个星期的网络连接数据KDD CUP 99数据集,共由500万条记录构成。包含了1种正常的标识类型normal和22种训练攻击类型,每条样本有41个固定的特征属性。
[0031]表1 KDD CUP 99数据集组成
[0032][0033]实验采用F1值(Accuracy)评价入侵检测的结果,见公式1。
[0034][0035]其中,Precision精确度表示被划分为正例的样本中实际正例的比例,Recall召回率表示在所有正例中有多大比例被正确分类,F1值越高,模型的效果越好。
[0036]具体流程为:
[0037]步骤1,对网络入侵流量进行特征提取,根据节点之间的关系构造流量异构网络。
[0038]步骤1.1,对于每个网络流量数据包提取其协议、端口等41维属性作为数据包节点。
[0039]步骤1.2,将41维特征属性中的协议、端口、服务、攻击四维特征属性抽象成网络图中的四种特征节点。
[0040]步骤1.3,根据数据包节点与特征节点之间的关系构建节点之间的边,构造流量异构网络。从训练集中抽取数据包与协议、服务与协议、数据包与端口、端口和服务和数据包和攻击五种实体之间的关系作为异构网络图的边,构建流量异构网络。
[0041]步骤2,根据流量异构网络生成图嵌入网络模型。
[0042]本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.结合图嵌入知识建模的网络入侵检测方法,其特征在于所述方法包括如下步骤:步骤1,对网络入侵流量进行特征提取,提取出协议、端口、服务、攻击等41维特征属性构建数据包节点与特征节点,并根据节点之间的关系构造流量异构网络;步骤2,根据流量异构网络生成图嵌入网络模型,首先根据边的类型对异构网络进行拆分,并分别在不同边类型下采用基于元路径随机游走的方法生成节点的上下文序列,其次使用节点上下文序列生成每个节点的基础嵌入,然后分别在不同类别下计算节点的聚合邻居嵌入和节点属性嵌入,最后将不同类别下的嵌入和基础嵌入组合成实体节点的最终向量表示并通过异构skip
‑
gram训练网络入侵流量分析模型;步骤3,通过网络入侵流量分析模型对网络入侵进行识别检测,首先将测试样本作为一个数据包节点,并使用数据包节点初始特征直接计算获得新数...
【专利技术属性】
技术研发人员:罗森林,潘珲,潘丽敏,蔡成成,吴舟婷,
申请(专利权)人:北京理工大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。