CN108234500A

CN108234500A - 一种基于深度学习的无线传感网入侵检测方法

Info

Publication number: CN108234500A
Application number: CN201810015871.9A
Authority: CN
Inventors: 胡向东; 程占喻; 白银; 唐贤伦; 韩恺敏
Original assignee: Chongqing University of Post and Telecommunications
Current assignee: Chongqing University of Post and Telecommunications
Priority date: 2018-01-08
Filing date: 2018-01-08
Publication date: 2018-06-29

Abstract

本发明涉及一种基于深度学习的无线传感网入侵检测方法，属于无线传感网安全技术领域。本方法利用多层神经网络结构，提取数据最高层次的抽象特征；利用深度信念网络的特征学习特性和极限学习机快速学习特性，进行网络数据的特征提取，构建出基分类器；然后，利用随机森林算法较强的分类能力，将多个基分类器组合成一个强分类器。因此，本发明具有检测准确率高，检测速率快的效果，对网络入侵行为有较好的检测能力。

Description

一种基于深度学习的无线传感网入侵检测方法

技术领域

本发明属于无线传感网安全技术领域，具体涉及一种基于深度学习的无线传感网入侵检测方法。

背景技术

近年来，以“互联网+”发展战略和新兴的物联网创新应用为牵引，无线传感网(Wireless sensor network,WSN)在世界范围内得到了快速发展，其应用不再仅局限于军事领域，而是扩展到人们生活的方方面面，比如医疗保健、智能家居、环境监测、商业和工业领域等。无线传感器网已经成为一个重要的研究和发展领域。无线传感网一般配置在恶劣环境、无人区域或者敌方阵地中，加之无线传感网固有的脆弱性如网络中节点的能量和计算资源等有限、通信模式开放等，使得无线传感网的安全问题突出并引起了人们的极大关注。如何在网络资源受限的情况下，设计出适合无线传感网的安全机制以抵御各种恶意攻击，是关系到无线传感网能否真正走入人们生活并充分发挥作用的关键所在。

目前，已开展了一些针对无线传感网安全的研究工作，如密钥管理、身份认证等技术，但是它们只是被动的防范措施，自适应能力较差，一个安全的网络应该具备更深度的防御功能。入侵检测技术作为继加密、认证技术后网络防御的第二道防线，是现有安全防护机制的合理补充，它是一种积极主动的深度入侵防御技术；当原有的安全预防措施失效时，其可识别和抵挡攻击者的攻击行为，提供动态监控、抵御***入侵行为的安全机制。因此对无线传感网入侵检测机制的研究具有重要意义。

在传统的神经网络方法中，大部分属于浅层学习网络，无法提取样本数据最本质的抽象特征，使得方法检测准确率较低，且算法规则复杂度较高，导致训练学习时间较长，检测效率不高。因此，本发明提出了一种能够取得高的检测准确率和检测效率的无线传感网入侵检测方法。

发明内容

有鉴于此，本发明的目的在于提供一种检测准确率高、检测速率快的基于深度学习的无线传感网入侵检测方法。

为达到上述目的，本发明提供如下技术方案：

一种基于深度学习的无线传感网入侵检测方法，具体包括以下步骤：

S1：数据预处理：对最新的网络入侵数据集NSL-KDD进行数据标准化和归一化处理。

S2：数据预处理之后，随机选取进行数据预处理后的数据集中训练集的10％，作为训练样本进行训练学习，同理选取数据预处理后测试集的10％，作为入侵检测方法中检测算法的检测样本。

S3：构建多层神经网络结构，并利用深度学习方法提取训练样本最本质的抽象特征；多层网络结构是一种基于深度信念网(deep belief nets,DBN)的网络结构，它是由若干个受限玻尔兹曼机(restricted boltzman machine,RBM)和一个BP(Back propagation)神经网络构成的深度结构，但考虑到第二部分会采用基于梯度的反向全局优化算法进行参数微调，这会花费大量的训练时间，故本发明采用极限学习机(extreme learningmachine,ELM)算法，同时采用对比散度(contrastive divergence,CD)算法来训练受限玻尔兹曼机(restricted boltzman machine,RBM)，从而提取出样本最高层次的抽象特征。

S4：利用极限学习机算法建立网络入侵检测数据的分类模型，形成基分类器；基分类器是训练样本通过多层神经网络结构加上极限学习机算法，训练学习提取训练样本最高层次的抽象特征形成的分类器。

S5：多次随机重采样，训练形成多个基分类器；多次重采样是多次随机抽取训练集的10％，形成不同的训练样本来进行训练学习，这样就能形成多个有差异化的基分类器；同时，多个基分类器，是通过50次随机选取10％训练集训练学习而形成的。

S6：利用随机森林算法将多个基分类器组合成一个强分类器，进行入侵行为检测；将多个基分类器运用到随机森林算法中，组合成强分类器，进行训练过程，到此，整个入侵检测算法训练过程结束；

S7：将检测方案加载到分簇网络的各个节点上。

进一步，在所述步骤S1中，数据标准化处理：将数据中字符型数据用数值型来代替；

数据归一化处理：不同的数据量纲对数据计算结果会产生影响，按照如下表达式将数据归一化到[0,1]区间：

y＝(x-x_min)/(x_max-x_min)

其中，x为一条数据特征的原始值，x_min和x_max分别为该数据中的最小值和最大值，y为每条数据信息进行归一化处理以后的数据值。

进一步，在所述步骤S3中，多层神经网络结构的构建是通过训练样本跟测试样本反复试验，观察检测错误率大小来确定最优参数而形成的；其中包括确定RBM迭代次数、多层神经元结构的层数以及各层神经元数目；首先，初始化，假设网络有L个隐含层，网络入侵检测数据训练样本为x_i，输入层有m个单元，隐含层的维度分别为n₁,n₂,n₃,...,n_L；设置可见层单元的初始状态v_i＝x_i；W,a,b为满足标准正态分布的随机小的数值，其中W为可见层与隐含层之间的权重，a和b分别为可见层和隐含层的偏置量。

进一步，在所述步骤S3中，采用CD算法训练RBM：首先训练第一个RBM，即训练数据输入层m维和第一隐含层n₁维所构建的RBM网络；将训练样本x_i作为第一层RBM的输入值；训练完毕后，会得到训练样本在隐含层的输出值，以及相应的权值和偏置值；将得出的隐含层输出的数据作为第二层RBM的输入值，固定第一层RBM权值与偏置值不变；用第一层RBM的输出值与第二层隐含层构成输入层为n₁维和隐含层为n₂维的RBM网络，利用相同的方法，计算隐含层的输出值、权值以及偏置值；循环上述算法的过程，以此计算出第三层RBM网络、第四层RBM网络，直到第L-1层RBM网络结束。

进一步，在所述步骤S4中，基分类器的形成是利用S3中所述方法得到的第L-1隐含层的输出值n_L-1维作为输入层，第L隐含层n_L维作为隐含层，利用极限学习机对其进行学习训练，确定第L-1隐含层到第L隐含层的权重和偏置；同理，可得到第L隐含层到输出层的权重和偏置，这样就完成了整个特征提取的过程，得到了一个基分类器。

进一步，在所述步骤S6中，强分类器是由多个基分类器组合形成的，采用50次重采样选取训练集10％作为训练样本进行训练学习，形成50个差异化的基分类器，再利用随机森林算法将基分类器组合成一个强分类器，进行入侵行为检测。

进一步，在所述步骤S7中，在进行入侵检测前，首先需要入侵检测算法对大量的实验数据进行离线训练学习以确定相关参数并得出具体的入侵检测方案；然后将该检测方案加载到分簇网络的各个节点，如Sink节点、簇头节点和普通节点上。

本发明的有益效果在于：与传统的神经网络方法相比，利用深度神经网络结构，能够提取数据最高层次的抽象特征；采用极限学习快速学习的特性，提高检测效率；利用深度信念网络的特征学习特性和极限学习机快速学习特性，进行网络数据的特征提取，构建出基分类器，免去了原有深度信念网络反向调参的步骤；然后，利用随机森林算法较强的分类能力，将多个基分类器组合成一个强分类器，大大提高了入侵检测准确率。因此，本发明解决了传统入侵检测算法检测准确率和检测效率低的问题。

附图说明

为了使本发明的目的、技术方案和有益效果更加清楚，本发明提供如下附图进行说明：

图1为本发明所述方法的基本结构图；

图2为本发明所述基于分簇的网络结构图；

图3为本发明所述极限学习机结构图；

图4为本发明所述集成学习算法示意图；

图5为本发明所述基分类器结构图。

具体实施方式

下面将结合附图，对本发明的优选实施例进行详细的描述。

参照图1所示的基本结构图，基于深度学习的无线传感网入侵检测方法，包括以下步骤：

101：数据预处理：首先对最新的网络入侵数据集NSL-KDD进行数据标准化和归一化处理。

102：数据预处理之后，随机选取训练集的10％作为训练样本进行训练学习，同时选取测试集的10％作为后面入侵检测方法检测算法的检测样本。

103：构建多层神经网络结构并利用深度学习方法提取样本最本质的抽象特征。多层网络结构是一种基于深度信念网(deep belief nets,DBN)的网络结构，它是由若干个受限玻尔兹曼机(restricted boltzman machine,RBM)和一个BP(Back propagation)神经网络构成的深度结构，但考虑到第二部分会采用基于梯度的反向全局优化算法进行参数微调，这会花费大量的训练时间，故本发明采用极限学习机(extreme learning machine,ELM)算法来取代这一环节，同时采用对比散度(contrastive divergence,CD)算法来训练RBM，从而提取出样本最高层次的抽象特征。

104：利用极限学习机算法建立入侵检测数据的分类模型，形成基分类器。基分类器是训练数据集通过多层神经网络结构加上极限学习机算法，训练学习提取样本最高层次的抽象特征形成的分类器。

105：多次随机重采样，训练形成多个基分类器。多次重采样是多次随机抽取训练集的10％，形成不同的训练样本来进行训练学习，这样就能形成多个有差异化的基分类器。同时，多个基分类器，是通过50次随机选取10％训练集训练学习而形成的。

106：利用随机森林算法将多个基分类器组合成一个强分类器，进行入侵行为检测。将多个基分类器运用到随机森林算法中，组合成强分类器，进行训练过程。到此，整个算法训练过程结束。

107：将检测方案加载到分簇网络的各个节点上。

在步骤101数据预处理过程中，

A、数据标准化处理是将数据中字符型数据用数值型来代替，如“0,tcp,private,REJ,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,229,10,0.00,0.00,1.00,1.00,0.04,0.06,0.00,255,10,0.04,0.06,0.00,0.00,0.00,0.00,1.00,1.00”是该数据集中的一条数据，其中第2、3、4维数据是字符型的，需要进行标准化处理。如第2列中的数据为tcp，udp和icmp这3个种类型，可按照tcp＝1，udp＝2，icmp＝3进行处理，第3列也按照这种方式处理。

B、数据归一化处理是因为不同的数据量纲对数据计算结果会产生影响，按照如下表达式将数据归一化到[0,1]区间：

y＝(x-x_min)/(x_max-x_min)

在步骤103多层神经网络结构的构建中，

多层神经网络结构的构建是通过训练样本跟测试样本反复试验，观察检测错误率大小来确定最优参数而形成的。其中包括确定RBM迭代次数、多层神经元结构的层数以及各层神经元数目。

A、首先，初始化。参照图5所示，假设网络有L个隐含层，网络入侵检测数据训练样本为x_i，输入层有m个单元，隐含层的维度分别为n₁,n₂,n₃,...,n_L。设置可见层单元的初始状态v_i＝x_i。W,a,b为满足标准正态分布的随机小的数值。其中W为可见层与隐含层之间的权重，a和b分别为可见层和隐含层的偏置量。

B、采用散度算法训练RBM。首先训练第一个RBM，也就是训练数据输入层m维跟第一隐含层n₁维所构建的RBM网络。将训练样本x_i作为第一层RBM的输入值。训练完毕后，会得到训练样本在隐含层的输出值，以及相应的权值和偏置值；将得出的隐含层输出的数据作为第二层RBM的输入值，固定第一层RBM权值与偏置值不变；用第一层RBM的输出值与第二层隐含层构成输入层为n₁维和隐含层为n₂维的RBM网络，利用相同的方法，计算隐含层的输出值、权值以及偏置值；循环上述算法的过程，以此计算出第三层RBM网络、第四层RBM网络，直到第L-1层RBM网络结束。

C、利用上述方法得到的第L-1隐含层的输出值n_L-1维作为输入层，第L隐含层n_L维作为隐含层，参照图3所示的极限学习机构图，利用极限学习机对其进行学习训练，确定第L-1隐含层到第L隐含层的权重和偏置。同理，可得到第L隐含层到输出层的权重和偏置，这样就完成了整个神经神经网络的构建。

在步骤104基分类器的形成过程中，基分类器是是利用深度信念网络的特征学习特性和极限学习机快速学习特性，进行网络数据的特征提取，构建出来的。

在步骤106强分类器的形成过程中，如图4所示，强分类器是由多个基分类器组合而形成的，本发明采用多次重采样选取50次训练样本进行训练学习，形成50个差异化的基分类器。

在步骤107将检测方案加载到分簇网络的各个节点上中，在进行入侵检测前，首先需要入侵检测算法对大量的实验数据进行离线训练学习以确定相关参数并得出具体的入侵检测方案；然后将该检测方案加载到分簇网络的各个节点上，如图2所示，如Sink节点、簇头节点和普通节，该网络各节点联合协作交换与传递信息，大部分节点的通信控制在较小的范围内(簇内)，且基于数据融合能减少与汇聚节点间的通信，大大降低网络的通信开销和能量消耗，有利于延长无线传感网的生命周期。

本发明适用于针对无线传感网的入侵检测，使用本发明所公开的入侵检测方法，由于基于深度学习，可提取数据最高层次的抽象特征，同时结合极限学习机进行训练学习形成基分类器，最后利用集成学习算法中的随机森林算法将多个基分类器组合成强分类器，可达到检测准确率高，检测速率快的效果，对网络入侵行为有较好的检测能力。

最后说明的是，以上优选实施例仅用以说明本发明的技术方案而非限制，尽管通过上述优选实施例已经对本发明进行了详细的描述，但本领域技术人员应当理解，可以在形式上和细节上对其作出各种各样的改变，而不偏离本发明权利要求书所限定的范围。

Claims

1.一种基于深度学习的无线传感网入侵检测方法，其特征在于：该方法具体包括以下步骤：

S1：数据预处理：对最新的网络入侵数据集NSL-KDD进行数据标准化和归一化处理；

S2：数据预处理之后，随机选取进行数据预处理后的数据集中训练集的10％，作为训练样本进行训练学习，同理选取数据预处理后测试集的10％，作为入侵检测方法中检测算法的检测样本；

S3：构建多层神经网络结构，并利用深度学习方法提取训练样本最高层次的抽象特征；采用极限学习机(extreme learning machine,ELM)算法，同时采用对比散度(contrastivedivergence,CD)算法来训练受限玻尔兹曼机(restricted boltzman machine,RBM)，从而提取出样本最高层次的抽象特征；

S4：利用极限学习机算法建立网络入侵检测数据的分类模型，形成基分类器；基分类器是训练样本通过多层神经网络结构加上极限学习机算法，训练学习提取训练样本最高层次的抽象特征形成的分类器；

S5：多次随机重采样，训练形成多个基分类器；多次重采样是多次随机抽取训练集的10％，形成不同的训练样本来进行训练学习，这样就能形成多个有差异化的基分类器；

S7：将检测方案加载到分簇网络的各个节点上。

2.如权利要求1所述的一种基于深度学习的无线传感网入侵检测方法，其特征在于：在所述步骤S1中，

数据标准化处理：将数据中字符型数据用数值型来代替；

y＝(x-x_min)/(x_max-x_min)

3.如权利要求1所述的一种基于深度学习的无线传感网入侵检测方法，其特征在于：在所述步骤S3中，多层神经网络结构的构建是通过训练样本跟测试样本反复试验，观察检测错误率大小来确定最优参数而形成的；其中包括确定RBM迭代次数、多层神经元结构的层数以及各层神经元数目；首先，初始化，假设网络有L个隐含层，网络入侵检测数据训练样本为x_i，输入层有m个单元，隐含层的维度分别为n₁,n₂,n₃,...,n_L；设置可见层单元的初始状态v_i＝x_i；W,a,b为满足标准正态分布的随机小的数值，其中W为可见层与隐含层之间的权重，a和b分别为可见层和隐含层的偏置量。

4.如权利要求1所述的一种基于深度学习的无线传感网入侵检测方法，其特征在于：在所述步骤S3中，采用CD算法训练RBM：首先训练第一个RBM，即训练数据输入层m维和第一隐含层n₁维所构建的RBM网络；将训练样本x_i作为第一层RBM的输入值；训练完毕后，会得到训练样本在隐含层的输出值，以及相应的权值和偏置值；将得出的隐含层输出的数据作为第二层RBM的输入值，固定第一层RBM权值与偏置值不变；用第一层RBM的输出值与第二层隐含层构成输入层为n₁维和隐含层为n₂维的RBM网络，利用相同的方法，计算隐含层的输出值、权值以及偏置值；循环上述算法的过程，以此计算出第三层RBM网络、第四层RBM网络，直到第L-1层RBM网络结束。

5.如权利要求1所述的一种基于深度学习的无线传感网入侵检测方法，其特征在于：在所述步骤S4中，基分类器的形成是利用S3中所述方法得到的第L-1隐含层的输出值n_L-1维作为输入层，第L隐含层n_L维作为隐含层，利用极限学习机对其进行学习训练，确定第L-1隐含层到第L隐含层的权重和偏置；同理，可得到第L隐含层到输出层的权重和偏置，这样就完成了整个特征提取的过程，得到了一个基分类器。

6.如权利要求1所述的一种基于深度学习的无线传感网入侵检测方法，其特征在于：在所述步骤S6中，强分类器是由多个基分类器组合形成的，采用50次重采样选取训练集10％作为训练样本进行训练学习，形成50个差异化的基分类器，再利用随机森林算法将基分类器组合成一个强分类器，进行入侵行为检测。

7.如权利要求1所述的一种基于深度学习的无线传感网入侵检测方法，其特征在于：在所述步骤S7中，在进行入侵检测前，首先需要入侵检测算法对大量的实验数据进行离线训练学习以确定相关参数并得出具体的入侵检测方案；然后将该检测方案加载到分簇网络的Sink节点、簇头节点和普通节点上。