一种基于信息熵理论结合卷积神经网络的入侵检测方法,首先对数据集进行字符型数据转换成数值型数据、数据标准化、数据归一化操作;然后将数据集放入卷积神经网络中进行降维和分类,并结合信息熵不确定度计算对部分数据进行延迟再学习分类决策,延迟决策方法选取随机森林方法。当出现入侵行为时,利用训练好的模型就可以区分出正常数据和攻击数据。该发明专利技术利用卷积神经网络特征提取能力和分类学习效果上表现性能较优的特点并结合信息熵理论对分类后的数据进行评估将评估结果作为二次学习分类决策依据,该方法能够尽可能规避因信息提取不充分从而造成误分类的风险提高了入侵检测的性能。测的性能。测的性能。
【技术实现步骤摘要】
一种基于信息熵理论结合卷积神经网络的入侵检测方法
[0001]本专利技术涉及一种基于信息熵理论结合卷积神经网络的入侵检测方法,属于网络中的入侵检测
技术介绍
[0002]近年来,随着网络技术的不断更迭和网络规模的不断扩大,国内外的网络安全事件频发,网络安全问题得到了更多的重视。因此对入侵检测系统的研究以成为当前网络安全发展的重要内容。入侵检测系统的研究是为弥补传统防火墙内部袭击防御的不足并加强对网络和系统的运行状况进行监视,尽可能发现各种攻击企图,攻击行为或者攻击结果以保障网络网络系统资源的机密性,完整性和可用性。入侵检测系统截止到目前已经历经了几十年的发展并取得了一定的成果,但对于入侵检测系统的研究还有较大的空间。
[0003]传统的入侵检测系统仍存在一些问题,具体为:不能够自主对攻击行为展开调查区分,面对数据规模较大检测时响应不够及时并且签名数据库要实时的进行更新。以上问题将导致系统在检测时,检测数据流量的准确率较低并产生相对较高的误报率。面对未知异常流量时并没有更好的划分方式,缺乏自主学习能力。
技术实现思路
[0004]为了弥补现有技术的不足,本专利技术提供了一种基于信息熵理论结合卷积神经网络的入侵检测方法。通过卷积神经网络的特征提取和分类的优异性能提升检测的准确率,引入信上理论作为二次评判进而降低误判的发生降低误报率,以解决
技术介绍
中提到的问题。
[0005]为实现上述目的,本专利技术提供如下技术方案:一种基于信息熵理论结合卷积神经网络的入侵检测方法,所述具体步骤如下:
[0006]第一步:从数据集中获取训练数据集和测试数据集对数据集进行数据预处理;
[0007]第二步:数据预处理后的训练集传入网络模型进行训练,得到训练好的网络模型;
[0008]第三步:通过卷积圣经网络模型得到数据的概率分布及置信度通过信息熵理论来计算信息熵值进行评估;
[0009]第四步:将熵值小于阈值的数据直接由卷积神经网络输出分类结果,将大于阈值的数据进行随机森林模型进行学习再分类;
[0010]第五步:数据预处理后的测试集传入训练好的网络模型得到分类结果。
[0011]作为优选方案,所述第一步对入侵检测数据集进行数据预处理具体过程如下:
[0012](1)由于入侵检测数据集中的某些特征为字符型数据因此需将字符型数据转换成数值型数据;
[0013](2)为了减小特征中数据分散度高以及数值大小对模型的影响因此需对转换后的数值型数据进行标准化处理;
[0014](3)为减小模型的计算量对标准化处理后的数据进行数据归一化,使数据映射到
[0,1]区间内。
[0015]作为优选方案,所述第二步将处理后的网络数据对网络模型进行训练,得到训练好的网络模型具体过程如下:
[0016](1)前向计算每个神经元的输出值;
[0017](2)确定优化目标函数;
[0018](3)根据卷积神经网络损失函数的梯度指引,进行前向和反向传播更新网络权值参数;
[0019](4)重复以上三个步骤,直至网络误差小于给定值,确定最优的卷积神经网络模型。
[0020]作为优选方案,所述第三步得到数据的概率分布及置信度通过信息熵理论来计算信息熵值进行评估具体过程如下:
[0021](1)将卷积神经网络输出的概率分布通过信息熵理论进行熵值计算;
[0022](2)通过熵值与阈值比较进而划分出需要二次学习分类的数据。
[0023]作为优选方案,所述第四步将熵值小于阈值的数据直接由卷积神经网络输出分类结果,将大于阈值的数据进行随机森林模型进行学习再分类具体过程如下;
[0024](1)卷积神经网络输出小于阈值的数据类别,随机森林进一步学习划分高于阈值的数据;
[0025](2)统计二次分类时不确定样本率;
[0026](3)将一次分类结果和二次学习分类结果合并输出。
[0027]作为优选方案,所述数据预处理后的测试集传入训练好的网络模型得到分类结果具体过程如下;
[0028](1)由训练集对入侵检测模型进行参数调优,通过对阈值的调节当二次分类不确定样本率达到最低时并得到最优的入侵检测模型;
[0029](2)输入测试集对入侵检测模型进行测试,得到最终分类结果。
[0030]与现有技术相比,本专利技术提供了一种基于信息熵理论结合卷积神经网络的入侵检测方法,具备以下有益效果:
[0031]本专利技术通过采取深度学习有效算法卷积神经网络面对大数据规模特征提取和优异的分类能力,将其运用到入侵检测当中来提升入侵检测的准确率。通过结合信息熵理论,对卷积神经网络分类产生的置信度,对数据类别进一步的评估划分。将熵值大不确定度高的数据类型进行再学习进而降低入侵检测的误报率。进而提升整体的入侵检测性能。
附图说明
[0032]图1是本专利技术中的方法流程图;
[0033]图2是CNN模型分类方法图;
[0034]图3是RF模型分类方法图。
具体实施方式
[0035]为了对本专利技术的技术特征、目的和效果有更加清楚的理解,现对照附图说明本专利技术的具体实施方式。
[0036]如图1所示,一种基于信息熵理论结合卷积神经网络的入侵检测方法具体步骤如下:
[0037]步骤一:对入侵检测数据集进行数据预处理;
[0038]数据预处理又分为3个步骤:
[0039]1)字符型数据转换为数值型数据
[0040]由于入侵检测数据集中的某些特征是字符型数据,而卷积神经网络只能处理数值型数据,因此先将该数据集中的字符型数据转换成数值型数据。
[0041]2)数据标准化
[0042]为了减小特征中数据分散度高以及数值大小对卷积神经网络的影响,对转换后成数值型的数据进行标准化处理,首先计算各个特征数值的平均值和平均绝对误差,公式如下:
[0043][0044][0045]其中,x
k
表示第k个属性的均值,S
k
表示第k个特征的平均绝对误差,x
ik
表示第i条记录的第k个属性。然后对每条数据记录进行标准化度量,公式如下:
[0046][0047]其中,Z
ik
表示标准化后的第i条数据记录的第k个属性值。
[0048]3)数据归一化
[0049]对标准化处理后的数据再进行归一化处理,使数据的数值大小处于[0,1]区间内,以减小模型的计算量,归一化处理公式如下:
[0050][0051]步骤二:如图2所示将数据进行预处理后传入卷积神经网络模型进行训练,得到训练好的网络模型;
[0052]对卷积神经网络进行训练调优有如下三阶段:
[0053]1)对预处理后的数据进行卷积,每历经一个位置,就会得到相应位置的映射,当遍历完整个特征矩阵,通过网络参数设置,激活函数就形成了新的特征矩阵。所有特征样本完成特征映射时,堆叠本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于信息熵理论结合卷积神经网络的入侵检测方法,其特征在于:所述具体步骤如下:第一步:从数据集中获取训练数据集和测试数据集对数据集进行数据预处理;第二步:数据预处理后的训练集传入网络模型进行训练,得到训练好的网络模型;第三步:通过卷积圣经网络模型得到数据的概率分布及置信度通过信息熵理论来计算信息熵值进行评估;第四步:将熵值小于阈值的数据直接由卷积神经网络输出分类结果,将大于阈值的数据进行随机森林模型进行学习再分类;第五步:数据预处理后的测试集传入训练好的网络模型得到分类结果。2.根据权利要求1所述的一种基于信息熵理论结合卷积神经网络的入侵检测方法,其特征在于:所述第一步对入侵检测数据集进行数据预处理具体过程如下:(1)由于入侵检测数据集中的某些特征为字符型数据因此需将字符型数据转换成数值型数据;(2)为了减小特征中数据分散度高以及数值大小对模型的影响因此需对转换后的数值型数据进行标准化处理;(3)为减小模型的计算量对标准化处理后的数据进行数据归一化,使数据映射到[0,1]区间内。3.根据权利要求1所述的一种基于信息熵理论结合卷积神经网络的入侵检测方法,其特征在于:所述第二步将处理后的网络数据对网络模型进行训练,得到训练好的网络模型具体过程如下:(1)前向计算每个神经元的输出值;(2)确定优化目标函数;(3)根据卷积神经网络损...
【专利技术属性】
技术研发人员:缪祥华,李响,
申请(专利权)人:昆明理工大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。