CN109309675A

CN109309675A - 一种基于卷积神经网络的网络入侵检测方法

Info

Publication number: CN109309675A
Application number: CN201811108009.9A
Authority: CN
Inventors: 李拥军; 靳玉; 谢嵘; 武天舒
Original assignee: South China University of Technology SCUT
Current assignee: South China University of Technology SCUT
Priority date: 2018-09-21
Filing date: 2018-09-21
Publication date: 2019-02-05

Abstract

本发明公开了一种基于卷积神经网络的网络入侵检测方法。该方法对原始的网络连接输入数据进行预处理，将网络连接数据中特征取值转化为统一的格式；然后进行网络连接数据中特征取值优化，通过卷积神经网络结构对优化选择特征集后的网络数据建模，提取网络攻击行为的特征；应用Softmax分类器将所得模型提取到的特征进行分类，判断数据为正常连接数据或具体某一攻击行为，产生最终的入侵检测结果。本发明改善了传统入侵检测***中人工挖掘数据关联规则中对入侵行为特征提取不充分的特点所导致的检测率低、误报率高、泛化能力差的问题，同时避免传统解决方案对检测时效性和计算复杂度的负面影响。

Description

一种基于卷积神经网络的网络入侵检测方法

技术领域

本发明涉及一种入侵检测技术，特别是涉及一种基于卷积神经网络的网络入侵检测方法，该检测方法采用卷积神经网络提取网络连接数据特征。

背景技术

网络技术的发展和互联网的普及伴随着更多、更复杂的网络安全问题，网络黑客有更多的机会去窃取用户身份信息、商业机密等重要的数据。为了保证网络安全，网络安全技术应运而生。网络安全的本质在于保证网络信息***的机密性、完整性和可用性。传统的网络安全解决方案通常采用漏洞扫描机、防火墙及入侵检测及防护等软、硬件安全产品来保护***中的数据资源免受恶意的破坏、更改和泄露。其中，网络入侵检测是十分重要的一种手段。入侵检测***(Intrusion Detection System,IDS)则是指实时监控和识别计算机***或网络***上的数据，根据一定的安全策略发现恶意网络攻击行为或企图入侵的迹象，进行入侵检测和响应的软件或者软、硬件结合的***，入侵检测***对保证网络安全极有意义。

目前的入侵检测方法很多，但普遍具有检测率低、误报率高、泛化能力差、时效性差等问题。

基于概率和规则统计的入侵检测方法是根据概率对用户行为建模，后期实时审计***若发现用户行为违背模型中的行为习惯，即判定这样的行为是异常。但对用户行为进行建模和审计分析有明显的时间约束性，导致基于概率统计的模型不能实时检测，且不能表达入侵行为在时间序列上的关系，会导致大量误报、漏报。

基于数据挖掘入侵检测方法通过海量网络数据挖掘其中有价值知识的潜在信息，作为关联规则、规律、模式等，以此检测入侵行为。这种方法建立在对数据流的审计之上，需要指定实际的安全需求，且挖掘结果无法自动应用于入侵检测***。

基于人工免疫的入侵检测方法通过辨识“自我(Self)”与“非我(Non‐self)”来检测不属于自体***环境的入侵行为。但由于普遍缺少对抗原的有效识别方法，因此误判率较高。

发明内容

本发明的目的在于克服现有技术存在的上述不足，提供了基于卷积神经网络的入侵检测的方法，提高识别的准确率。

本发明目的通过如下技术方案实现：

一种基于卷积神经网络的网络入侵检测方法，包括如下步骤：

1)对原始的网络连接输入数据进行预处理：对特征取值为字符型的特征值进行数值化处理，使得到的数据集中特征取值均为数值型；对数值取值进行归一化处理，使连续型和离散型的特征取值均匀有序分布于[0，1]范围内；将网络连接数据中特征取值转化为统一的格式；

2)网络连接数据中特征取值优化：对于特征x₁和特征x₂，逐个计算各个网络连接数据中特征取值的信息熵H(x₁)和互信息H(x₁|x₂)，以信息熵计算某一特征值对入侵检测结果的贡献率来确定优化特征集中的第一个特征维度，并以互信息计算原特征集中剩余特征与第一个特征的相关性，选择相关性大于设定阈值的特征作为第二个特征维度；然后，逐一计算原特征集中剩余特征与当前优化特征集合的相关性，构成初步优化特征集，得到有效特征集；然后，以卡方假设检验进一步验证每一个特征对检测结果影响的显著性，去除假设检验结果为0的特征，得到优化有效特征集；

3)通过卷积神经网络结构对优化选择特征集后的网络数据建模，提取网络攻击行为的特征；

4)应用Softmax分类器将步骤3)所得模型提取到的特征进行分类，判断数据为正常连接数据或具体某一攻击行为，产生最终的入侵检测结果。

为今后一步实现本发明目的，优选地，步骤1)所述字符型的特征值进行数值化处理是采用独热编码的方式将字符型特征值转换为数值；

优选地，步骤1)所述离散型的特征取值均匀有序分布于[0，1]范围内是采用极差变换法将离散型的特征取值均匀映射到[0,1]之间。

优选地，所述通过卷积神经网络结构对优化选择特征集后的网络数据建模是构建一个共9层的卷积神经网络结构，9层的卷积神经网络结构包括输入层、输出层和7个隐含层；其中，输入层将一维待检测数据转化为二维特征矩阵，以使网络连接数据适用于卷积神经网络结构；隐含层中以双卷积+池化层为小单元，循环设置，隐含层中第1、2、4、5、7层为卷积层，均采用ReLU作为激活函数，采用3*3的卷积核，且卷积过滤器的数量以32‐64‐128的形式增长；池化层中采用动态自适应的池化算法降维采样。

优选地，步骤4)所述的应用Softmax分类器将步骤3)所得模型提取到的特征进行分类是将卷积神经网络的建模输出给Softmax分类器，以Softmax函数作为激活函数，将数据分为正常或异常类型，得到检测结果。

本发明中，数据预处理具体方法是：数值化处理，将protocol_type、service和flag三个特征属性字符型的取值采用独热编码(one‐hot编码)的方式转换为数值。归一化处理，将离散型的特征取值均匀映射到[0,1]之间，消除网络连接中不同特征取值的量纲差异大对检测模型中提取特征信息造成的影响。

与现有技术相比，本发明具有如下优点和技术效果：

1)本发明以卷积神经网络对入侵检测数据建模，通过自主学习的方式提取网络连接数据的特征。与传统机器学习方法相比，节省了人工挖掘关联规则的成本，加强了对网络连接数据的理解和学习能力，提高识别的准确率。

2)本方法中去除了不相关特征和冗余特征对检测结果的影响，在使用卷积神经网络对网络入侵数据建模时更加精确，且节省时间。

3)相比于传统的卷积神经网络中卷积层与池化层交替设置的结构，本方法采用双卷积层的设置，加强了模型提取网络连接数据特征的能力，且在一定程度上避免了池化层设置密集带来的特征图像模糊的问题。

4)相比于传统的卷积神经网络中最大池采样和平均池采样的方法，引入动态自适应的池化方法后，减少了对网络连接数据建模过程中降维采样导致损失的特征信息。

附图说明

图1为本发明的基于卷积神经网络的网络入侵检测方法的流程图。

图2为卷积神经网络模型图。

具体实施方式

为更好地理解本发明，下面结合附图和实施例对本发明作进一步的说明，但本发明的实施方式不限如此。

实施例

图1为本发明基于卷积神经网络的网络入侵检测方法，具体包括101、102、103、104四个步骤：

步骤101：主要是对数据格式进行统一处理，即对原始的网络连接输入数据进行预处理，包括数值化处理和归一化处理，消除网络连接中不同特征取值的量纲差异大对检测模型中提取特征信息造成的影响；以KDD CUP99数据集中的一条网络连接数据为例：

"0,tcp,smtp,SF,2229,481,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,1,1,0.00,0.00,0.00,0.00,1.00,0.00,0.00,255,6,0.02,0.02,0.00,0.00,0.00,0.00,0.00,0.00,normal"，每条网络连接数据具有完全相同的数据格式，记录具有完全相同的数据类型，每条数据包含1个标签和41项特征值，共42个属性。标签标记该条网络连接数据为正常数据或异常数据；41项特征值描述网络连接的基本属性、网络连接的内容属性、基于时间的网络流量统计属性和基于主机的网络流量统计属性的特征，其中protocol_type、service和flag3个特征属性的取值为离散的字符型，其他38个特征属性为数值型，且其中6个为离散型，32个为连续型。数据预处理过程将数据集中各个特征属性的取值统一处理为均匀映射在[0,1]区间的连续数值型数据，以提高入侵检测检测算法的效率。

该过程主要步骤为：

1)数值化处理：在网络连接数据中，特征属性protocol_type、service和flag为字符型，因此首先要将其转化为数值型。该过程主要采用独热编码(One‐hot Encoding)的方式，使该特征的每一个状态都有一个独立的寄存器来编码，即N个状态需对应N个寄存器。对于第二维特征protocol_type来说，其取值有3个，分别为TCP、UDP、ICMP。则需要将其转化为一个3维向量，即TCP＝[1,0,0],UDP＝[0,1,0],ICMP＝[0,0,1]。对于service和flag特征同理。service有65个不同的取值，需要将其转化为65维的向量。flag有11个不同的取值，需要转化为11维的向量。

2)归一化处理：经过数值化处理后的数据集中，所有的特征属性均由数字表示。但其中一部分特征取值为连续型，而另一部分为离散型。该步骤目的是按照原有数据的统计分布特性，将每个特征属性的统计性统一归纳，使不同维度的数据特征之间具有可比性且对分类结果的贡献大小相同。实验中采用极差变换法对数据进行[0,1]标准化，具体处理过程为：

其中，X_ik表示当前处理的数据为第i条网络连接数据其中的第k个特征的原取值，X_ik′表示该值经过归一化处理后的值，Min表示所有数据中该特征属性的最小值，Max表示所有数据中该特征属性的最大值。经过归一化处理后的数据值域范围以一定的比例缩放，均匀地映射到[0,1]之间。等比例缩放后的数据以0和1作为最小值和最大值，被界定于该范围内，消除了原始数据中不同量纲和数量级对聚类结果的影响。转换后的数据集操作方便，可以直接导入模型中训练和测试。

步骤102：在原数据的特征集中去除不相关特征和冗余特征，构造有效特征集L，然后利用卡方检验对有效特征集L中的每一个特征进一步筛选，得到优化特征集L′。该过程的主要步骤为：

1)该步骤以信息熵表示某一特征属性中对入侵检测结果贡献的信息量，选择一个对入侵检测结果贡献足够大的特征属性作为有效特征集中的第一个有效特征。具体过程为从原始特征集中随机选取一个特征属性x₁，计算其信息熵，计算公式如下：

其中，v_i表示该特征属性中所包含的攻击信息量的可能取值，p(v_i)表示取值v_i可能出现的概率，计算信息熵H(x₁)，将第一个计算机结果大于等于设定的阈值ε₁＝0.1的特征x₁作为第一个有效特征加入到有效特征集L中；其中ε₁阈值的选择和设定标准涉及通讯专业和数学专业相关知识，可以根据实际情况设定，本实施例设计ε₁＝0.1；

2)根据有效特征集中的第一个有效特征，从原始特征集中选择与特征x₁足够相关的属性作为第二个有效特征。以互信息计算第二个有效特征和第一个有效特征的信息覆盖程度，将第一个计算机结果大于等于设定的阈值的特征作为第二个有效特征加入到有效特征集中，根据有效特征集中的第一个有效特征，从原始特征集中选择与特征足够相关的属性作为第二个有效特征。在这里特征和特征的互信息计算公式为：

p(x_1i,x_2j)表示特征x₁和特征x₂取值为的联合概率(x_1i,x_2j)。若特征x₁和特征x₂的互信息结果大于等于设定的阈值ε₂＝0.1，即H(x₁|x₂)≥ε₂，则将特征x₂作为第二个有效特征加入到有效特征集L中，其中ε₂阈值的选择和设定标准与ε₁一样，本实施例设计ε₂＝0.1。否则继续该步骤；

3)逐一计算原始特征集中剩余特征属性与当前有效特征集L中特征的相关性，将强相关的特征加入到有效特征集L中，构造有效特征集L，该步骤中，首先构造集合C和集合F，集合C由有效特征集中现有的两个特征x₁和x₂组成，集合F为原始特征集中剩余的特征属性。然后，对集合F中的每一个特征属性F_i逐个进行筛选，计算F_i与C的相关性。若F_i与C强相关，则该特征对判断一条网络连接数据是否为异常行为有着非常关键的作用，必须将其加入到有效特征集L中；若为弱相关，说明该特征在某些条件下可以帮助判断一条数据的正常或异常属性，也将其加入到有效特征集L中。若F_i与C不相关或冗余的，说明该特征对检测结果几乎没有影响，不加入到有效特征集L中，以提高卷积神经网络的检测效率。记S_i＝F-{F_i}，网络连接数据中的特征F_i与目前有效数据集C的相关性计算方式为：若P(C|F_i,S_i)≠P(C|S_i)，则F_i与C强相关，若P(C|F_i,S_i)＝P(C|S_i)，且存在S_i的子集S_i′使得P(C|F_i,S_i′)≠P(C|S_i′)，则F_i与C弱相关，若P(C|F_i,S_i)＝P(C|S_i)，且任意都使得P(C|F_i,S_i′)＝P(C|S_i′)，则F_i与C不相关，其中S_i＝F-{F_i}。

4)对有效特征集L进一步筛选，以卡方假设检验计算某一特征对入侵检测结果影响的显著性，去除假设检验结果为0的特征，得到优化选择的最终特征集L′。以卡方假设检验对网络连接特征对入侵检测结果影响的显著性计算方式如下：

其中，表示模型y_m对入侵检测结果影响的显著性，且y_m为有效特征集L中全部m个特征属性的模型，y_m可表示为：

y_m＝β₀+β₁x₁+β₂x₂+Λ+β_mx_m+ε，

表示模型y_i对入侵检测结果影响的显著性，

y_m＝β+βx+βx+L+β_mx_m+ε

其中，y_m为有效特征集L中全部m个特征属性的模型，y_i为假设其中属性特征x_i对入侵检测结果的没有显著影响，将x_i剔除后构造的模型，y_i可表示为：

y_i＝β₀+β₁x₁+Λ+β_i-1x_i-1+β_i+1x_i+1Λ+β_mx_m+ε

越接近于0，表示特征x_i对入侵检测的结果的影响越不显著，越大，则特征x_i越重要。那么，在优化有效特征集的过程中，若则认为属性x_i对检测结果几乎没有影响，则将其从有效特征属性集中剔除。对有效特征集L中的全部特征属性逐个检验，最终得到优化有效特征集L′。

步骤103中将优化网络连接数据特征选择的检测样本数据与卷积神经网络结合，对入侵行为建模。如图2所示，构建一个共9层的卷积神经网络结构，包括输入层、输出层和7个隐含层。其中，输入层将一维待检测数据转化为二维特征矩阵，以使网络连接数据适用于卷积神经网络结构；隐含层中以双卷积+池化层为小单元，循环设置，即隐含层中第1、2、4、5、7层为卷积层，第3层和第6层为池化层。卷积层以ReLU作为激活函数，采用3*3的卷积核，且卷积过滤器的数量以32‐64‐128的形式增长，将样本数据不断映射到高维空间，学习网络连接数据中的特征信息；池化层是一种非线性降采样，经过卷积层对输入样本提取特征之后，网路连接数据被映射到高维空间，在这个过程中，计算数据量不断积累，庞大的计算量会导致检测模型效率降低，且在网络学习过程中易出现过拟合现象，因此需要通过池化采样的方法进行降维，该过程采用动态自适应的池化算法降维采样，对提取到的特征降维采样，减小计算量，提高模型的检测效率；输出层将特征提取的结果映射为一维数组，以将卷积神经网络的建模结果可以输出给Softmax分类器。

步骤104将卷积神经网络的建模结果与Softmax分类器结合。将卷积神经网络的提取到的网络审计数据特征输出给Softmax分类器，以Softmax函数作为激活函数，输出为***预测一条网络连接数据是Normal、Probe、DoS、U2R和R2L五种类型的概率，概率最大的分类即为***预测的该条网络连接数据的标签属性，也就是入侵检测的结果。

本发明通过卷积神经网络和一系列网络连接数据的特征提取过程实现了网络入侵行为精确、高效的检测。传统的入侵检测方法多以人工挖掘数据中的关联规则，对网络入侵行为特征提取不充分，进而导致检测率低、误报率高、泛化能力差等，采用本文所提供的方法进行网络入侵检测可以使算法自主学习网络数据特征值与入侵检测行为之间的联系，并深入理解各个网络连接各个特征属性之间的复杂的关联规则，因此，相比于传统方法基于卷积神经网络的网络入侵检测算法可以提高检测准确率，同时避免传统解决方案对检测时效性和计算复杂度的负面影响。

本发明通过对网络连接数据进行数值化预处理和归一化预处理，使其适应卷积神经网络模型，且采用优化选择的网络入侵数据特征集与卷积神经网络结合，提高入侵检测模型提取异常行为特征的精确度和效率，在卷积神经网络的建模过程构建了双卷积+池化层的小单元循环设置结构，并采用动态自适应的降维采样算法，增强对网络连接数据特征的学习能力，减少降维过程中损失的入侵行为信息。

本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims

1.一种基于卷积神经网络的网络入侵检测方法，其特征在于包括如下步骤：

2.根据权利要求1所述的一种基于卷积神经网络的网络入侵检测方法，其特征在于，步骤1)所述字符型的特征值进行数值化处理是采用独热编码的方式将字符型特征值转换为数值。

3.根据权利要求1所述的一种基于卷积神经网络的网络入侵检测方法，其特征在于，步骤1)所述离散型的特征取值均匀有序分布于[0，1]范围内是采用极差变换法将离散型的特征取值均匀映射到[0,1]之间。

4.根据权利要求1所述的一种基于卷积神经网络的网络入侵检测方法，其特征在于，所述通过卷积神经网络结构对优化选择特征集后的网络数据建模是构建一个共9层的卷积神经网络结构，9层的卷积神经网络结构包括输入层、输出层和7个隐含层；其中，输入层将一维待检测数据转化为二维特征矩阵，以使网络连接数据适用于卷积神经网络结构；隐含层中以双卷积+池化层为小单元，循环设置，隐含层中第1、2、4、5、7层为卷积层，均采用ReLU作为激活函数，采用3*3的卷积核，且卷积过滤器的数量以32-64-128的形式增长；池化层中采用动态自适应的池化算法降维采样。

5.根据权利要求1所述的一种基于卷积神经网络的网络入侵检测方法，其特征在于，步骤4)所述的应用Softmax分类器将步骤3)所得模型提取到的特征进行分类是将卷积神经网络的建模输出给Softmax分类器，以Softmax函数作为激活函数，将数据分为正常或异常类型，得到检测结果。