【技术实现步骤摘要】
本专利技术涉及网络安全,尤其涉及一种基于人工鱼群特征选择和深度学习的网络入侵检测方法。
技术介绍
1、随着近年来互联网的飞速发展,各种形式的网络攻击层出不穷。如何有效地检测异常行为和攻击类型已成为网络领域的一个重要课题安全。网络入侵检测系统nids是指将硬件和软件相结合,检测出危害计算机系统安全的行为,如收集漏洞信息,导致拒绝访问并获得超出法定权限的系统控制权范围。nids主要包括三个功能组件:信息来源、分析引擎和响应组件。信息来源负责收集被检测网络或系统的各种信息,并把这些信息作为资料提供给入侵检测系统分析引擎组件。分析引擎利用统计或规则的方式找出可能的入侵行为,并将事件提供给下面的响应组件。响应组件根据分析引擎的输出采取应有的行为,通常具有自动化机制,如主动通知系统管理员、中断入侵者的连接和搜集入侵信息等。
2、目前,根据观察对象的不同可分为两种类型的入侵检测技术。第一种入侵检测技术是基于签名的入侵检测,称为误用检测方法。第二种入侵检测技术是基于行为的入侵检测,称为异常检测方法。nids中基于异常的检测方法是入侵检测领域的主要研究方向。该方法通过分析网络流量来学习正常和异常行为。近年来,大多数研究人员尝试将机器学习应用到入侵检测中,尤其是通过机器学习来解决高误报率的问题。同时,一些研究试图将深度学习应用于网络流量预测。许多研究表明,深度学习在异常识别和预测方面的表现已经能够优于传统方法。近年来,深度神经网络在需要大数据分析领域的各种场景中取得了大范围推广,引发了深度学习的热潮。深度学习是机器学习中的一种算法研究分
3、特征选择作为机器学习和数据挖掘领域的研究热点之一,依据与分类器的关系可将传统的特征选择方法划分为过滤式、包裹式及嵌入式三类。网络流量数据通常包含复杂的特征关联性和非线性关系,传统的特征选择方法可能无法有效地捕捉这些关系,从而导致不准确的特征选择;并且,传统的特征选择方法通常使用静态的特征选择策略,不能根据数据的变化自适应地进行特征选择,无法自动适应不同数据集的特点;此外,传统方法通常只关注单一的特征子集选择,无法实现找到多个数据特征子集,从中选择最佳的子集,限制了特征选择的多样性和性能。
4、现有技术对少数攻击类型的检测率不高,影响了入侵检测,不能应对复杂的数据,入侵检测的性能不高,且现有技术模型的训练和测试效率低,训练过程容易过拟合,并且没有考虑到特征维度,不能有效减少特征维度。
技术实现思路
1、本专利技术通过提供一种基于人工鱼群特征选择和深度学习的网络入侵检测方法,解决了现有技术中入侵检测的性能不高,没有考虑到特征维度,不能有效减少特征维度的问题,实现了对特征进行筛选,且检测结果准确率高。
2、本专利技术提供了一种基于人工鱼群特征选择和深度学习的网络入侵检测方法,该方法包括:
3、获取待检测网络流量数据集,并利用数据降维方法对所述待检测网络流量数据集进行降维,得到降维后的待检测网络流量数据集;
4、将所述降维后的待检测网络流量数据集输入至训练完成的tbm-fl模型中,得到检测结果;其中,所述tbm-fl模型构建包括:依次连接的transformer编码层、bilstm层和改进的多层感知器mlp层。
5、在一种可能实现的方式中,所述tbm-fl模型是按照下述方式训练得到的:
6、对训练数据集进行预处理,得到预处理训练数据集;其中,所述预处理训练数据集包括多条数据,每条数据包括多个特征值和一个标签值;
7、将所述预处理训练数据集划分为测试集和训练集;
8、利用数据降维方法对所述预处理训练数据集进行降维,得到降维后的预处理训练数据集;
9、利用所述训练集中的数据对初始的tbm-fl模型进行训练,并利用所述测试集中的数据对所述tbm-fl模型进行评估,根据评估结果得到训练完成的tbm-fl模型。
10、在一种可能实现的方式中,所述利用数据降维方法对所述待检测网络流量数据集进行降维,得到降维后的待检测网络流量数据集,包括:
11、初始化人工鱼群,所述人工鱼群的大小为n,每条人工鱼用长度为l的0、1序列表示,数据降维方法的最大迭代次数k,初始的视野范围visual0,初始的步长step0,变异率mulation,其中,n≥1,k≥1,0<visual0≤1,0<step0≤1,0<mulation≤1,l为待检测网络流量数据集中每个数据中特征数量;
12、通过人工鱼群的行为对每条人工鱼的序列进行循环更新,根据更新后的序列对数据集进行筛选,得到特征子集;利用特征子集和多目标适应度函数计算每个人工鱼的多目标适应度函数值,并根据所述多目标适应度函数值对视野范围和步长进行更新,直至达到最大迭代次数,得到最佳人工鱼对应的序列,并根据该序列对待检测网络流量数据集进行降维,得到降维后的待检测网络流量数据集。
13、在一种可能实现的方式中,所述人工鱼群的行为包括:觅食行为、群聚行为、追尾行为、变异行为与消亡行为。
14、在一种可能实现的方式中,所述多目标适应度函数,表示为:
15、
16、其中,为第i次迭代的第j条人工鱼的多目标适应度值;lsub为特征子集的维度;l为总特征的维度;α为维度权重;β为准确率权重,α+β=1;accuracysub表示特征子集的准确率。
17、在一种可能实现的方式中,所述transformer编码层包括依次连接的多注意机制层、层归一化层、残差连接层和前馈神经网络层;
18、所述注意机制层,用于对所述降维后的网络流量数据进行多维度序列特征提取,得到多头注意力提取结果,并将所述多头注意力提取结果与所述降维后的网络流量数据进行相加,得到相加结果;
19、所述相加结果被依次输入所述层归一化层和所述残差连接层,得到归一化数据集;
20、所述前馈神经网络层,用于对所述归一化数据集进行处理,得到transformer编码层输出结果。
21、在一种可能实现的方式中,所述bilstm层包括:相互独立的第一lstm层和第二lstm层;
22、所述第一lstm层,用于将transformer编码层输出结果进行前向传播,得到前向传播结果;
23、所述第二lstm层,用于将transformer编码层输出结果进行后向传播,得到后向传播结果;
24、将所述前向传播结果和所述后向传播结果进行拼接,并确定拼接结果中的最后一个时间步,作为bilstm层输出结果。
25、在一种可能实现的方式中,所述多层感知器mlp层包括依次连接的第一线性层、第一relu激活函数层、第二线性层、第二relu激活函数层、第三线性层和softmax激活函数层;...
【技术保护点】
1.一种基于人工鱼群特征选择和深度学习的网络入侵检测方法,其特征在于,包括:
2.根据权利要求1所述的基于人工鱼群特征选择和深度学习的网络入侵检测方法,其特征在于,所述TBM-FL模型是按照下述方式训练得到的:
3.根据权利要求1所述的基于人工鱼群特征选择和深度学习的网络入侵检测方法,其特征在于,所述利用数据降维方法对所述待检测网络流量数据集进行降维,得到降维后的待检测网络流量数据集,包括:
4.根据权利要求3所述的基于人工鱼群特征选择和深度学习的网络入侵检测方法,其特征在于,所述人工鱼群的行为包括:觅食行为、群聚行为、追尾行为、变异行为与消亡行为。
5.根据权利要求3所述的基于人工鱼群特征选择和深度学习的网络入侵检测方法,其特征在于,所述多目标适应度函数,表示为:
6.根据权利要求1所述的基于人工鱼群特征选择和深度学习的网络入侵检测方法,其特征在于,所述Transformer编码层包括依次连接的多注意机制层、层归一化层、残差连接层和前馈神经网络层;
7.根据权利要求1所述的基于人工鱼群特征选择和深度学习的网
8.根据权利要求1所述的基于人工鱼群特征选择和深度学习的网络入侵检测方法,其特征在于,所述多层感知器MLP层包括依次连接的第一线性层、第一ReLU激活函数层、第二线性层、第二ReLU激活函数层、第三线性层和Softmax激活函数层;
9.根据权利要求1所述的基于人工鱼群特征选择和深度学习的网络入侵检测方法,其特征在于,所述多层感知器MLP层的损失函数,包括:
...【技术特征摘要】
1.一种基于人工鱼群特征选择和深度学习的网络入侵检测方法,其特征在于,包括:
2.根据权利要求1所述的基于人工鱼群特征选择和深度学习的网络入侵检测方法,其特征在于,所述tbm-fl模型是按照下述方式训练得到的:
3.根据权利要求1所述的基于人工鱼群特征选择和深度学习的网络入侵检测方法,其特征在于,所述利用数据降维方法对所述待检测网络流量数据集进行降维,得到降维后的待检测网络流量数据集,包括:
4.根据权利要求3所述的基于人工鱼群特征选择和深度学习的网络入侵检测方法,其特征在于,所述人工鱼群的行为包括:觅食行为、群聚行为、追尾行为、变异行为与消亡行为。
5.根据权利要求3所述的基于人工鱼群特征选择和深度学习的网络入侵检测方法,其特征在于,所述多目标适应度函数,表示为:
6...
【专利技术属性】
技术研发人员:曹雪菲,荆沛栋,党岚君,樊凯,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。