CN109194612A - 一种基于深度置信网络和svm的网络攻击检测方法 - Google Patents
一种基于深度置信网络和svm的网络攻击检测方法 Download PDFInfo
- Publication number
- CN109194612A CN109194612A CN201810832545.7A CN201810832545A CN109194612A CN 109194612 A CN109194612 A CN 109194612A CN 201810832545 A CN201810832545 A CN 201810832545A CN 109194612 A CN109194612 A CN 109194612A
- Authority
- CN
- China
- Prior art keywords
- attack
- network
- data
- svm
- neuron
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于深度置信网络和SVM的网络攻击检测方法,其中,包括:步骤1:构造网络攻击行为特征向量;步骤2:确定模型训练集和测试集,给数据制定标签,区分正常行为与攻击行为,并将攻击行为分类;步骤3:构建深度置信网络模型,逐层训练,提取网络攻击行为特征,并计算误差,直至收敛,再对模型的权值进行微调,得到特征向量;步骤4:将提取的特征向量作为输入参数,选择合适的SVM分类器进行训练,对网络攻击行为进行分类,构建网络攻击检测模型;步骤5:构建网络攻击行为分析模型,使用测试集测试模型准确率,计算准确率、误报率与漏报率,并将识别出的网络攻击行为作为训练数据,进行优化。
Description
技术领域
本发明属于网络安全技术领域,提出了一种基于深度置信网络和SVM的网络攻击检测方法。
背景技术
当前,网络在人们生活当中发挥了越来越重要的作用,各国对于网络安全也愈发重视,网络空间逐渐成为了全球各大国间竞争的新疆域。网络空间中的攻击行为具有发生速度快,范围广,突发性强等特征,并且在行动过程中伴随着大量的事件与数据,这也对网络攻击行为的发现带来了全新的挑战。
网络攻击行为检测需要采集大量的数据,使得特征向量维度过高,使用分类模型进行训练时,准确率下降,导致网络攻击行为检测失败。而使用人工手段提取网络攻击行为特征的方法局限性大、泛化能力差,不具有通用性,通常只能在模式相近的数据集下取得良好的结果。因此采用深度学习的方法提取特征数据,并用分类模型,对网络空间中的攻击行为进行动态检测与发现,弥补传统方法局限性大、泛化能力弱和通用性差等短板。利用深度学习方法进行提取过后的特征,往往具有更好的分类效果,利于提高模型识别的准确率。
深度置信网络(DBN,Deep Belief Nets)作为深度神经网络中无监督学习的代表,能在缺少大量无标签训练集的情况下,取得较好的学习效果。支持向量机(SVM)作为常用的分类算法模型,在解决非线性、高维模式识别中也表现出许多良好的特性。因此本发明主要利用这两个算法,构造网络攻击行为检测模型。
(一)深度置信网络包括:
深度置信网络由多个受限玻尔兹曼机(Restricted Boltzmann Machine,RBM)堆叠组成,深度置信网络中的每一个隐含层就是一个受限玻尔兹曼机,随着RBM层的增加,深度置信网络结构逐层加深。因此,使用RBM训练算法来进行深度置信网络的权值预训练过程。深度置信网络最终的输出层加入了一个反馈神经网络,输出层利用训练数据与标签数据进行对比,利用误差反向传播算法(BP,Back-Propagation)进行网络微调。
在DBN网络进行无监督权值预训练过程中,要解决的一个问题是,当输入数据从显层神经元通过计算得到隐层神经元状态时,如何利用隐含层神经元状态,将信息重构成输入数据,同时保证原始输入数据与重构的输入数据之间的误差尽可能小。在wake-sleep算法当中,模型可以通过学习到认知权值,由显层神经元输入数据得到隐层神经元的状态。然后通过学习生成权值,实现将隐层神经元重构显层输入的过程。同时,不断调整认知权值与生成权值,减少重构数据时所产生的误差。
(二)支持向量机包括:
支持向量机(Support Vectors Machine,SVM)是一种监督学习模型,主要用于分析数据、识别模式,对数据的分类分析和回归分析。标准的支持向量机是非概率的线性分类器,也就是说,对于每一个特定的输入,它能够预测输入为已知两类的某一个类别。由于SVM是一个分类器,因此给定一组训练集,每一个训练样本就会被标记为属于两个类别的之一,支持向量机算法适合解决非黑即白的问题,所以通常被用于解决二分类的问题。
发明内容
本发明的目的在于提供一种基于深度置信网络和SVM的网络攻击检测方法,用于解决上述现有技术的问题。
本发明一种基于深度置信网络和SVM的网络攻击检测方法,其中,包括:步骤1:构造网络攻击行为特征向量;步骤2:确定模型训练集和测试集,给数据制定标签,区分正常行为与攻击行为,并将攻击行为分类;步骤3:构建深度置信网络模型,逐层训练,提取网络攻击行为特征,并计算误差,直至收敛,再对模型的权值进行微调,得到特征向量;步骤4:将提取的特征向量作为输入参数,选择合适的SVM分类器进行训练,对网络攻击行为进行分类,构建网络攻击检测模型;步骤5:构建网络攻击行为分析模型,使用测试集测试模型准确率,计算准确率、误报率与漏报率,并将识别出的网络攻击行为作为训练数据,进行优化。
根据本发明的基于深度置信网络和SVM的网络攻击检测方法的一实施例,其中,步骤1包括:网络攻击行为特征属性作为一组用来描述当前网络攻击的定量分析数据,将从传感器采集到的特征数据构成一个一维向量,得到网络攻击行为特征向量,针对第i个网络攻击行为,在时间t内采集到的特征向量,记为Vi(t):Vi(t)={a1,a2,a3,…,an};其中,an为t时刻第i个网络攻击行为第n个属性的值。
根据本发明的基于深度置信网络和SVM的网络攻击检测方法的一实施例,其中,步骤1中,如果是针对windows操作***进行攻击,采集的特征数据包括***文件删除、***文件重命名、***文件创建、临时文件创建、文件执行、文件修改、注册表项删除、服务删除、执行方式变更、注册操作、服务注册、添加BHO项、进程创建、进程终止、进程搜索、DLL代码注入、线程创建、端口开放、端口绑定、网络连接建立、网络连接断开、数据发送、数据接收、源IP、目的IP、源端口、目的端口、URL类型、内容类型、行为动作类型、网络流量包数量以及包的长度。
根据本发明的基于深度置信网络和SVM的网络攻击检测方法的一实施例,其中,步骤2具体包括:步骤2.1:将采集到的特征向量Vi(t)分成带标签的和不带标签的两部分{S1,S2},所谓带标签的数据即能够确定是何种攻击的网络攻击行为的数据,带标签的数据S2为:Vi(t)∈{P1,P2,P3,…,Pn};其中,Pn代表第i个网络攻击事件属于第n种网络攻击;其余的数据为不带标签的数据S1;步骤2.2:制作训练集Training Set={S1+S21},其中S1为不带标签的训练数据,S21为带标签的数据,为从S2中选取a%带标签的数据应用于BP反馈算法的权值微调过程,因此S21=a%*S2;步骤2.3:构造测试集Test Set={S22},测试集用于模型识别准确率的测试,测试集全部为带标签的数据,S2其余的数据作为S22;步骤2.4:对训练集与测试集的数据做归一化处理,使:S1,S2∈(0,1)。
根据本发明的基于深度置信网络和SVM的网络攻击检测方法的一实施例,其中,a%为30%。
根据本发明的基于深度置信网络和SVM的网络攻击检测方法的一实施例,其中,步骤3包括:
步骤3.1:构造深度置信网络模型结构:
使用3个隐含层构成的网络模型,依次训练每一个RBM层,包括RBM1、RBM2以及RBM3;其中v为输出层神经元,hn为第n个隐含层,W为权值;
步骤3.2:使用训练集Training Set,训练第一个RBM层,计算每一个神经元的状态,每一个神经元有激活或者抑制两种状态:
其中,Pstate为神经元状态,α为神经元是否激活的概率阈值。在深度置信网络中,阈值α从(0,1)的均匀分布中随机产生,计算隐层神经元激活概率:
计算显层神经元激活概率:
其中Wij为神经元i和神经元j的连接权值,bj为显层神经元j偏置,ci为隐含层神经元i偏置;
根据显层神经元与隐层神经元的激活概率,更新权值、显层神经元偏置与隐层神经元偏置:
ci=ci+p(hi=1|v0)-p(hi=1|vk);
其中,vj k为第j个神经元在第k次迭代时的值,计算这一次RBM层训练的误差:
当Δv小于一定阈值时,则认为此时RBM层训练收敛,否则再一次进行步骤3.2,继续训练本次RBM层;
步骤3.3:将RBM1层的输出数据作为下个RBM层的输入数据,再按照步骤3.2训练,直至完成所有RBM层的训练;
步骤3.4:使用训练集Training Set中的S21数据,进行权值微调,权值的调整包括两个部分,对输出层权值进行调整以及对隐含层权值进行调整,输出层的权值直接影响深度置信网络的输出结果,第一步调整输出层权值:
wji=wji-ηxjiyi(1-yi)(yi-di);
其中wji为输出层权值,xji为输出层神经元的输入值,yi为输出层神经元的输出结果,di为期望输出结果,η为学习速率;
调整隐含层神经元的权值包括:
其中Wkj为隐含层权值,y’j为隐含层神经元的输出结果,xkj为隐含层神经元的输入。
根据本发明的基于深度置信网络和SVM的网络攻击检测方法的一实施例,其中,RBM层的数量为三层。
根据本发明的基于深度置信网络和SVM的网络攻击检测方法的一实施例,其中,步骤4包括:步骤4.1:将经过降维与特征提取的网络攻击特征向量作为输入参数,传入第一个SVM分类器;步骤4.2:选择不同的SVM分类器,区分不同的网络攻击行为。
根据本发明的基于深度置信网络和SVM的网络攻击检测方法的一实施例,其中,步骤5包括:
步骤5.1:计算网络攻击检测模型的识别准确率C:
其中Nnormal表示检测出的正常行为数量,ni表示检测出的某种网络攻击的数量,m表示入侵攻击的种类数量,n表示测试集的总数;
步骤5.2:使用网络攻击检测模型进行网络攻击行为发现,将分类正确的数据进行标定并放入训练集。
根据本发明的基于深度置信网络和SVM的网络攻击检测方法的一实施例,其中,SVM分类器具体包括:区分正常行为和网络攻击行为的SVM分类器以及多个识别不同攻击类型的SVM分类器。
综上,本发明针对网络攻击检测时特征向量维度过高,导致识别准确率下降的问题,提出了一种基于深度置信网络和SVM的网络攻击分析方法。使用深度置信网络,对原始的高维网络攻击行为特征数据进行降维处理,并且通过学习,提取出表达能力更强、更具有通用性、分类效果更好的网络攻击行为特征向量,并且使用SVM对其进行分类识别。
附图说明
图1所示为基于深度置信网络和SVM的网络攻击检测方法的流程图;
图2所示为深度置信网络模型结构示意图;
图3所示为SVM分类器的处理的示意图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
图1所示为基于深度置信网络和SVM的网络攻击检测方法的流程图,如图1所示,本发明基于深度置信网络和SVM的网络攻击检测方法的步骤如下:
步骤1:构造网络攻击行为特征向量;
步骤2:确定模型训练集和测试集,给数据制定标签,区分正常行为与攻击行为,并将攻击行为分类;
步骤3:构建深度置信网络模型,逐层训练,提取网络攻击行为特征,并计算误差,直至收敛;
步骤4:经过深度置信网络的降维与特征提取,将学习到网络攻击行为特征向量作为输入参数,选择合适的SVM核函数训练,对网络攻击行为进行分类;
步骤5:构建网络攻击行为分析模型,使用测试集测试模型准确率,计算准确率、误报率与漏报率。并将成功识别出的网络攻击行为作为训练数据,不断优化模型,提高准确率。
如图1所示,基于深度置信网络和SVM的网络攻击检测方法具体包括:
步骤1:构造网络攻击行为特征向量,包括:
网络攻击行为特征属性是一组用来描述当前网络攻击的定量分析数据,将从传感器采集到的特征数据构成一个一维向量,得到网络攻击行为特征向量,例如针对windows操作***进行攻击,可以采集的特征数据包括***文件删除、***文件重命名、***文件创建、临时文件创建、文件执行、文件修改、注册表项删除、服务删除、执行方式变更、注册操作、服务注册、添加BHO项、进程创建、进程终止、进程搜索、DLL代码注入、线程创建、端口开放、端口绑定、网络连接建立、网络连接断开、数据发送、数据接收、源IP、目的IP、源端口、目的端口、URL类型、内容类型、行为动作类型、网络流量包数量、包的长度等数据作为属性。
针对第i个网络攻击行为,在时间t内采集到的特征向量,记为Vi(t):
Vi(t)={a1,a2,a3,…,an};
其中,an为t时刻第i个网络攻击行为第n个属性的值。
步骤2:确定模型训练集和测试集,给数据制定标签,区分正常行为与攻击行为,并将攻击行为人工分类,包括:
步骤2.1:将采集到的特征向量Vi(t)分成带标签的和不带标签的两部分{S1,S2},所谓带标签的数据即能够确定是何种攻击的网络攻击行为的数据,带标签的数据S2即为:
Vi(t)∈{P1,P2,P3,…,Pn};
其中,Pn代表第i个网络攻击事件属于第n种网络攻击;其余的数据即为不带标签的数据S1。
步骤2.2:制作训练集Training Set={S1+S21},其中S1作为不带标签的训练数据,可以应用到深度置信网络的权值预训练过程中,S21为带标签的数据,为从S2中选取30%带标签的数据应用于BP反馈算法的权值微调过程,因此S21=0.3*S2。
步骤2.3:构造测试集Test Set={S22},测试集用于模型识别准确率的测试,由于需要计算准确率、误报率与漏报率,因此测试集需全部为带标签的数据,S2其余的数据作为S22。
步骤2.4:对训练集与测试集的数据做归一化处理,使:
S1,S2∈(0,1)。
步骤3:构建深度置信网络模型,逐层训练,提取网络攻击行为特征,并计算误差,直至收敛,再对模型的权值进行微调,得到特征向量out,包括:
图2所示为深度置信网络模型结构示意图,如图2所示,步骤3.1:构造深度置信网络模型结构:
例如使用3个隐含层构成的网络模型,依次训练每一个RBM层(RBM1、RBM2、RBM3)。其中v为输出层神经元,hn为第n个隐含层,W为权值。
步骤3.2:使用训练集Training Set,训练RBM1。计算每一个神经元的状态,每一个神经元有激活或者抑制两种状态:
其中,Pstate为神经元状态,α为神经元是否激活的概率阈值。在深度置信网络中,阈值α从(0,1)的均匀分布中随机产生。计算隐层神经元激活概率:
计算显层神经元激活概率:
其中Wij为神经元i和神经元j的连接权值,bj为显层神经元j偏置,ci为隐含层神经元i偏置。
根据显层神经元与隐层神经元的激活概率,更新权值、显层神经元偏置与隐层神经元偏置:
ci=ci+p(hi=1|v0)-p(hi=1|vk);
其中,vj k为第j个神经元在第k次迭代时的值。最终,计算这一次RBM层训练的误差:
当Δv小于一定阈值时,则认为此时RBM层训练收敛,否则再一次进行步骤3.2,继续训练RBM1。
步骤3.3:将RBM1层的输出数据作为第二个RBM层的输入数据,按照步骤3.2,训练RBM2层,待其误差值满足要求,再按照步骤3.2训练RBM3层,完成所有RBM层的训练。
步骤3.4:使用训练集Training Set中的S21数据,进行权值微调。权值的调整包括两个部分,对输出层权值进行调整以及对隐含层权值进行调整。输出层的权值直接影响深度置信网络的输出结果,第一步调整输出层权值:
wji=wji-ηxjiyi(1-yi)(yi-di);
其中wji为输出层权值,xji为输出层神经元的输入值,yi为输出层神经元的输出结果,di为期望输出结果,η为学习速率;
隐含层的神经元之间的权值会间接影响整个深度置信网络的输出,因此它的权值调整将和上一层神经元的调整有关,需要计算上一层神经元调整的残差,将其累积到本层上,所以第二步调整隐含层神经元的权值:
其中Wkj为隐含层权值,y’j为隐含层神经元的输出结果,xkj为隐含层神经元的输入。
步骤4:将步骤3中提取的特征向量out作为输入参数,选择合适的SVM核函数进行训练,对网络攻击行为进行分类.构建网络攻击检测模型,包括:
图3所示为SVM分类器的处理的示意图,如图3所示,步骤4.1:将经过降维与特征提取的网络攻击特征向量作为输入参数,传入第一个SVM分类器。
第一个SVM分类器主要区分正常行为和网络攻击行为,将确认过的正常行为重新标记,可以作为重复训练的训练集数据,提高模型的准确率。
步骤4.2:通过第一个SVM分类器区分的攻击行为中,选择不同的核函数,区分不同的网络攻击行为。例如,SVM2识别攻击类型P1,SVM3识别攻击类型P2,以此类推,直至最后一个分类器SVMn是被攻击类型Pn并完成攻击类型的识别。当使用最后一个分类器SVMn还未能识别的攻击类型则确定为未知攻击类型,需要人工进行判定,是否为不在攻击类型集合中的新型网络攻击。
步骤5:确定网络攻击检测模型,使用测试集测试网络攻击检测模型的准确率,计算准确率。并将成功识别出的网络攻击行为作为训练数据,不断优化模型,提高准确率。
步骤5.1:评价网络攻击行为分类的标准,准确率是一个十分重要的指标,因此,先计算网络攻击检测模型的识别准确率C:
其中Nnormal表示检测出的正常行为数量,ni表示检测出的某种网络攻击的数量,m表示入侵攻击的种类数量,n表示测试集的总数。
步骤5.2:使用网络攻击检测模型进行网络攻击行为发现,将分类正确的数据进行标定并放入训练集,提高模型识别准确率。
综上,本发明针对网络攻击检测时特征向量维度过高,导致识别准确率下降的问题,提出了一种基于深度置信网络和SVM的网络攻击分析方法。使用深度置信网络,对原始的高维网络攻击行为特征数据进行降维处理,并且通过学习,提取出表达能力更强、更具有通用性、分类效果更好的网络攻击行为特征向量,并且使用SVM对其进行分类识别。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (10)
1.一种基于深度置信网络和SVM的网络攻击检测方法,其特征在于,包括:
步骤1:构造网络攻击行为特征向量;
步骤2:确定模型训练集和测试集,给数据制定标签,区分正常行为与攻击行为,并将攻击行为分类;
步骤3:构建深度置信网络模型,逐层训练,提取网络攻击行为特征,并计算误差,直至收敛,再对模型的权值进行微调,得到特征向量;
步骤4:将提取的特征向量作为输入参数,选择合适的SVM分类器进行训练,对网络攻击行为进行分类,构建网络攻击检测模型;
步骤5:构建网络攻击行为分析模型,使用测试集测试模型准确率,计算准确率、误报率与漏报率,并将识别出的网络攻击行为作为训练数据,进行优化。
2.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法,其特征在于,步骤1包括:
网络攻击行为特征属性作为一组用来描述当前网络攻击的定量分析数据,将从传感器采集到的特征数据构成一个一维向量,得到网络攻击行为特征向量,
针对第i个网络攻击行为,在时间t内采集到的特征向量,记为Vi(t):
Vi(t)={a1,a2,a3,…,an};
其中,an为t时刻第i个网络攻击行为第n个属性的值。
3.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法,其特征在于,步骤1中,如果是针对windows操作***进行攻击,采集的特征数据包括***文件删除、***文件重命名、***文件创建、临时文件创建、文件执行、文件修改、注册表项删除、服务删除、执行方式变更、注册操作、服务注册、添加BHO项、进程创建、进程终止、进程搜索、DLL代码注入、线程创建、端口开放、端口绑定、网络连接建立、网络连接断开、数据发送、数据接收、源IP、目的IP、源端口、目的端口、URL类型、内容类型、行为动作类型、网络流量包数量以及包的长度。
4.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法,其特征在于,步骤2具体包括:
步骤2.1:将采集到的特征向量Vi(t)分成带标签的和不带标签的两部分{S1,S2},所谓带标签的数据即能够确定是何种攻击的网络攻击行为的数据,带标签的数据S2为:
Vi(t)∈{P1,P2,P3,…,Pn};
其中,Pn代表第i个网络攻击事件属于第n种网络攻击;其余的数据为不带标签的数据S1;
步骤2.2:制作训练集Training Set={S1+S21},其中S1为不带标签的训练数据,S21为带标签的数据,为从S2中选取a%带标签的数据应用于BP反馈算法的权值微调过程,因此S21=a%*S2;
步骤2.3:构造测试集Test Set={S22},测试集用于模型识别准确率的测试,测试集全部为带标签的数据,S2其余的数据作为S22;
步骤2.4:对训练集与测试集的数据做归一化处理,使:
S1,S2∈(0,1)。
5.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法,其特征在于,a%为30%。
6.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法,其特征在于,步骤3包括:
步骤3.1:构造深度置信网络模型结构:
使用3个隐含层构成的网络模型,依次训练每一个RBM层,包括RBM1、RBM2以及RBM3;其中v为输出层神经元,hn为第n个隐含层,W为权值;
步骤3.2:使用训练集Training Set,训练第一个RBM层,计算每一个神经元的状态,每一个神经元有激活或者抑制两种状态:
其中,Pstate为神经元状态,α为神经元是否激活的概率阈值。在深度置信网络中,阈值α从(0,1)的均匀分布中随机产生,计算隐层神经元激活概率:
计算显层神经元激活概率:
其中Wij为神经元i和神经元j的连接权值,bj为显层神经元j偏置,ci为隐含层神经元i偏置;
根据显层神经元与隐层神经元的激活概率,更新权值、显层神经元偏置与隐层神经元偏置:
ci=ci+p(hi=1|v0)-p(hi=1|vk);
其中,vj k为第j个神经元在第k次迭代时的值,计算这一次RBM层训练的误差:
当Δv小于一定阈值时,则认为此时RBM层训练收敛,否则再一次进行步骤3.2,继续训练本次RBM层;
步骤3.3:将RBM1层的输出数据作为下个RBM层的输入数据,再按照步骤3.2训练,直至完成所有RBM层的训练;
步骤3.4:使用训练集Training Set中的S21数据,进行权值微调,权值的调整包括两个部分,对输出层权值进行调整以及对隐含层权值进行调整,输出层的权值直接影响深度置信网络的输出结果,第一步调整输出层权值:
wji=wji-ηxjiyi(1-yi)(yi-di);
其中wji为输出层权值,xji为输出层神经元的输入值,yi为输出层神经元的输出结果,di为期望输出结果,η为学习速率;
调整隐含层神经元的权值包括:
其中Wkj为隐含层权值,y’j为隐含层神经元的输出结果,xkj为隐含层神经元的输入。
7.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法,其特征在于,RBM层的数量为三层。
8.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法,其特征在于,步骤4包括:
步骤4.1:将经过降维与特征提取的网络攻击特征向量作为输入参数,传入第一个SVM分类器;
步骤4.2:选择不同的SVM分类器,区分不同的网络攻击行为。
9.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法,其特征在于,步骤5包括:
步骤5.1:计算网络攻击检测模型的识别准确率C:
其中Nnormal表示检测出的正常行为数量,ni表示检测出的某种网络攻击的数量,m表示入侵攻击的种类数量,n表示测试集的总数;
步骤5.2:使用网络攻击检测模型进行网络攻击行为发现,将分类正确的数据进行标定并放入训练集。
10.如权利要求7所述的基于深度置信网络和SVM的网络攻击检测方法,其特征在于,SVM分类器具体包括:区分正常行为和网络攻击行为的SVM分类器以及多个识别不同攻击类型的SVM分类器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810832545.7A CN109194612B (zh) | 2018-07-26 | 2018-07-26 | 一种基于深度置信网络和svm的网络攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810832545.7A CN109194612B (zh) | 2018-07-26 | 2018-07-26 | 一种基于深度置信网络和svm的网络攻击检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109194612A true CN109194612A (zh) | 2019-01-11 |
CN109194612B CN109194612B (zh) | 2021-05-18 |
Family
ID=64937508
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810832545.7A Active CN109194612B (zh) | 2018-07-26 | 2018-07-26 | 一种基于深度置信网络和svm的网络攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109194612B (zh) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110149280A (zh) * | 2019-05-27 | 2019-08-20 | 中国科学技术大学 | 网络流量分类方法和装置 |
CN110266675A (zh) * | 2019-06-12 | 2019-09-20 | 成都积微物联集团股份有限公司 | 一种基于深度学习的xss攻击自动化检测方法 |
CN110636053A (zh) * | 2019-09-05 | 2019-12-31 | 浙江工业大学 | 一种基于局部均值分解和支持向量机的网络攻击检测方法 |
CN110889111A (zh) * | 2019-10-23 | 2020-03-17 | 广东工业大学 | 一种基于深度置信网络的电网虚拟数据注入攻击的检测方法 |
CN111049828A (zh) * | 2019-12-13 | 2020-04-21 | 国网浙江省电力有限公司信息通信分公司 | 网络攻击检测及响应方法及*** |
CN111083151A (zh) * | 2019-12-23 | 2020-04-28 | 深圳供电局有限公司 | 基于深度信念网络的攻击识别方法及风电管理*** |
CN111144279A (zh) * | 2019-12-25 | 2020-05-12 | 苏州奥易克斯汽车电子有限公司 | 一种智能辅助驾驶中障碍物的识别方法 |
CN111343147A (zh) * | 2020-02-05 | 2020-06-26 | 北京中科研究院 | 一种基于深度学习的网络攻击检测装置及方法 |
CN111507385A (zh) * | 2020-04-08 | 2020-08-07 | 中国农业科学院农业信息研究所 | 一种可扩展的网络攻击行为分类方法 |
CN112134873A (zh) * | 2020-09-18 | 2020-12-25 | 国网山东省电力公司青岛供电公司 | 一种IoT网络异常流量实时检测方法及*** |
CN113132291A (zh) * | 2019-12-30 | 2021-07-16 | 中国科学院沈阳自动化研究所 | 一种边缘侧基于网络流量的异构终端特征生成及识别方法 |
CN114095260A (zh) * | 2021-11-22 | 2022-02-25 | 广东电网有限责任公司 | 一种电网异常流量检测方法、装置、设备及计算机介质 |
CN115189939A (zh) * | 2022-07-08 | 2022-10-14 | 国网甘肃省电力公司信息通信公司 | 一种基于hmm模型的电网网络入侵检测方法及*** |
CN117688558A (zh) * | 2024-02-01 | 2024-03-12 | 杭州海康威视数字技术股份有限公司 | 基于微结构异常事件的终端攻击轻量检测方法及设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110267964A1 (en) * | 2008-12-31 | 2011-11-03 | Telecom Italia S.P.A. | Anomaly detection for packet-based networks |
CN105956473A (zh) * | 2016-05-15 | 2016-09-21 | 广东技术师范学院 | 基于sdn网络的恶意代码检测方法 |
CN106131027A (zh) * | 2016-07-19 | 2016-11-16 | 北京工业大学 | 一种基于软件定义网络的网络异常流量检测防御*** |
CN107104951A (zh) * | 2017-03-29 | 2017-08-29 | 国家电网公司 | 网络攻击源的检测方法和装置 |
CN107454039A (zh) * | 2016-05-31 | 2017-12-08 | 北京京东尚科信息技术有限公司 | 网络攻击检测***和检测网络攻击的方法 |
CN107911346A (zh) * | 2017-10-31 | 2018-04-13 | 天津大学 | 一种基于极限学习机的入侵检测方法 |
-
2018
- 2018-07-26 CN CN201810832545.7A patent/CN109194612B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110267964A1 (en) * | 2008-12-31 | 2011-11-03 | Telecom Italia S.P.A. | Anomaly detection for packet-based networks |
CN105956473A (zh) * | 2016-05-15 | 2016-09-21 | 广东技术师范学院 | 基于sdn网络的恶意代码检测方法 |
CN107454039A (zh) * | 2016-05-31 | 2017-12-08 | 北京京东尚科信息技术有限公司 | 网络攻击检测***和检测网络攻击的方法 |
CN106131027A (zh) * | 2016-07-19 | 2016-11-16 | 北京工业大学 | 一种基于软件定义网络的网络异常流量检测防御*** |
CN107104951A (zh) * | 2017-03-29 | 2017-08-29 | 国家电网公司 | 网络攻击源的检测方法和装置 |
CN107911346A (zh) * | 2017-10-31 | 2018-04-13 | 天津大学 | 一种基于极限学习机的入侵检测方法 |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110149280A (zh) * | 2019-05-27 | 2019-08-20 | 中国科学技术大学 | 网络流量分类方法和装置 |
CN110149280B (zh) * | 2019-05-27 | 2020-08-28 | 中国科学技术大学 | 网络流量分类方法和装置 |
CN110266675A (zh) * | 2019-06-12 | 2019-09-20 | 成都积微物联集团股份有限公司 | 一种基于深度学习的xss攻击自动化检测方法 |
CN110636053A (zh) * | 2019-09-05 | 2019-12-31 | 浙江工业大学 | 一种基于局部均值分解和支持向量机的网络攻击检测方法 |
CN110636053B (zh) * | 2019-09-05 | 2021-08-03 | 浙江工业大学 | 一种基于局部均值分解和支持向量机的网络攻击检测方法 |
CN110889111A (zh) * | 2019-10-23 | 2020-03-17 | 广东工业大学 | 一种基于深度置信网络的电网虚拟数据注入攻击的检测方法 |
CN111049828B (zh) * | 2019-12-13 | 2021-05-07 | 国网浙江省电力有限公司信息通信分公司 | 网络攻击检测及响应方法及*** |
CN111049828A (zh) * | 2019-12-13 | 2020-04-21 | 国网浙江省电力有限公司信息通信分公司 | 网络攻击检测及响应方法及*** |
CN111083151A (zh) * | 2019-12-23 | 2020-04-28 | 深圳供电局有限公司 | 基于深度信念网络的攻击识别方法及风电管理*** |
CN111083151B (zh) * | 2019-12-23 | 2021-05-25 | 深圳供电局有限公司 | 基于深度信念网络的攻击识别方法及风电管理*** |
CN111144279A (zh) * | 2019-12-25 | 2020-05-12 | 苏州奥易克斯汽车电子有限公司 | 一种智能辅助驾驶中障碍物的识别方法 |
CN113132291B (zh) * | 2019-12-30 | 2022-02-18 | 中国科学院沈阳自动化研究所 | 一种边缘侧基于网络流量的异构终端特征生成及识别方法 |
CN113132291A (zh) * | 2019-12-30 | 2021-07-16 | 中国科学院沈阳自动化研究所 | 一种边缘侧基于网络流量的异构终端特征生成及识别方法 |
CN111343147A (zh) * | 2020-02-05 | 2020-06-26 | 北京中科研究院 | 一种基于深度学习的网络攻击检测装置及方法 |
CN111507385A (zh) * | 2020-04-08 | 2020-08-07 | 中国农业科学院农业信息研究所 | 一种可扩展的网络攻击行为分类方法 |
CN111507385B (zh) * | 2020-04-08 | 2023-04-28 | 中国农业科学院农业信息研究所 | 一种可扩展的网络攻击行为分类方法 |
CN112134873A (zh) * | 2020-09-18 | 2020-12-25 | 国网山东省电力公司青岛供电公司 | 一种IoT网络异常流量实时检测方法及*** |
CN114095260A (zh) * | 2021-11-22 | 2022-02-25 | 广东电网有限责任公司 | 一种电网异常流量检测方法、装置、设备及计算机介质 |
CN115189939A (zh) * | 2022-07-08 | 2022-10-14 | 国网甘肃省电力公司信息通信公司 | 一种基于hmm模型的电网网络入侵检测方法及*** |
CN117688558A (zh) * | 2024-02-01 | 2024-03-12 | 杭州海康威视数字技术股份有限公司 | 基于微结构异常事件的终端攻击轻量检测方法及设备 |
CN117688558B (zh) * | 2024-02-01 | 2024-05-07 | 杭州海康威视数字技术股份有限公司 | 基于微结构异常事件的终端攻击轻量检测方法及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN109194612B (zh) | 2021-05-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109194612A (zh) | 一种基于深度置信网络和svm的网络攻击检测方法 | |
CN109768985B (zh) | 一种基于流量可视化与机器学习算法的入侵检测方法 | |
Hou et al. | Automatic detection of welding defects using deep neural network | |
CN106897738B (zh) | 一种基于半监督学习的行人检测方法 | |
CN110570613A (zh) | 基于分布式光纤***的围栏振动入侵定位和模式识别方法 | |
CN111436944B (zh) | 一种基于智能移动终端的跌倒检测方法 | |
CN107153789A (zh) | 利用随机森林分类器实时检测安卓恶意软件的方法 | |
CN110580460A (zh) | 基于行人身份和属性特征联合识别验证的行人再识别方法 | |
CN110309744A (zh) | 一种嫌疑人识别方法及装置 | |
CN111259219B (zh) | 恶意网页识别模型建立方法、识别方法及*** | |
CN111339165B (zh) | 一种基于Fisher分和近似马尔科夫毯的移动用户出境特征选择方法 | |
CN107145778B (zh) | 一种入侵检测方法及装置 | |
CN105139029A (zh) | 一种监狱服刑人员的行为识别方法及装置 | |
CN101221623A (zh) | 一种物体类型的在线训练和识别方法及其*** | |
CN107832729A (zh) | 一种轴承锈蚀智能诊断方法 | |
CN116910662A (zh) | 基于随机森林算法的旅客异常识别方法和装置 | |
Shahane et al. | A Survey on Classification Techniques to Determine Fake vs. Real Identities on Social Media Platforms | |
Li et al. | Smoking behavior recognition based on a two-level attention fine-grained model and EfficientDet network | |
CN113722230A (zh) | 针对模糊测试工具漏洞挖掘能力的集成化评估方法及装置 | |
WO2021148392A1 (de) | Verfahren und vorrichtung zur objektidentifikation basierend auf sensordaten | |
CN106530199A (zh) | 基于窗口式假设检验的多媒体综合隐写分析方法 | |
CN112528893A (zh) | 异常状态的识别方法、装置及计算机可读存储介质 | |
Wei | The construction of piano teaching innovation model based on full-depth learning | |
CN112435245A (zh) | 基于物联网的磁痕缺陷自动识别方法 | |
Tran et al. | Detecting network anomalies in mixed-attribute data sets |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |