CN111740998A

CN111740998A - 一种基于堆叠自编码器的网络入侵检测方法

Info

Publication number: CN111740998A
Application number: CN202010574248.4A
Authority: CN
Inventors: 刘楚鸿; 徐小平; 汪培萍
Original assignee: Guangdong Polytechnic Normal University
Current assignee: Guangdong Polytechnic Normal University
Priority date: 2020-03-06
Filing date: 2020-06-22
Publication date: 2020-10-02

Abstract

本发明涉及一种基于堆叠自编码器的网络入侵检测方法，其特征在于包括以下步骤：1、将原始数据进行特征化处理，将不同维度的数据转化为相同维度的数据；2、使用阻尼窗口模型对数据流量进行特征提取；3、将特征映射到实例中去；4、异常检测，异常检测器集成层检测在训练模式下各实例子空间的异常，并学习正常行为，且在训练模式或者执行模式下，向输出层报告RMSE错误；5、异常输出，异常检测器输出层学习异常检测器集成层的正常RMSE，并生成最终的异常分数；6、根据原始的RMSE分数来评估异常检测器的检测能力，从而进行网络入侵检测。本发明解决了在入侵检测在实时检测时的不足，同时提高了检测的准确性。

Description

一种基于堆叠自编码器的网络入侵检测方法

技术领域

本发明属于信息安全领域，具体是涉及一种基于堆叠自编码器的网络入侵检测方法。

背景技术

现如今，计算机网络受到的攻击越来越多，一种常见的计算机网络安全***是网络入侵检测***(NIDS)。NIDS通过监视每个网络信道是否存在异常行为，当检测到异常行为时，及时发出警报或者采取主动防御措施。很多的机器学习技术被应用在NIDS以提高检测性能。最流行的方法是使用人工神经网络(ANN)进行网络数据检测，使用人工神经网络的优点是能够学习复杂非线性的数据，与其他的机器算法相比，在检测的性能有着很大的优势。使用人工神经网络作为网络入侵检测***(NIDS)的方法是训练它将网络数据分类为正常数据或者异常数据。而使用人工神经网络作为异常检测***不能对原始数据进行实时处理，并且监督学习的训练方式导致了***具有高复杂性。

发明内容

本发明针对现有技术的不足，提供一种基于堆叠自编码器的网络入侵检测方法。该方法使用阻尼流量窗口对实时数据进行特征提取，同时抛弃旧的实例，再将特征映射到实例中去，通过自动编码器的检测模型的训练与执行，解决了在入侵检测在实时检测时的不足，同时提高了检测的准确性。

为达到上述的目的，一种基于堆叠自编码器的网络入侵检测方法，主要包括以下步骤：

第一步、数据预处理，将原始数据进行特征化处理，将不同维度的数据转化为相同维度的数据；

第二步、特征提取阶段，使用阻尼窗口模型对数据流量进行高速特征提取；

第三步、特征映射环节，将特征映射到实例中去；

第四步、异常检测，异常检测器集成层检测在训练模式下各实例子空间的异常，并学习正常行为，且在训练模式或者执行模式下，向输出层报告RMSE错误；

第五步、异常输出，异常检测器输出层学习异常检测器集成层的正常(即训练模式)RMSE，并生成最终的异常分数；

第六步、根据原始的RMSE分数来评估异常检测器的检测能力，从而进行网络入侵检测。

优选地，所述入侵检测模型为基于自动编码器集合的模型。

优选地，所述入侵检测模型的参数的训练方法的算法使用的是反向传播算法。

优选地，所述第六步使用训练好的入侵检测模型评估异常检测器的方法是设定异常分数截止阈值φ来评估。

本发明用阻尼流量窗口对实时数据进行特征提取，同时抛弃旧的实例，再将特征映射到实例中去，通过自动编码器的检测模型的训练与执行，提高检测的准确性。

附图说明

图1为本发明基于自动编码器集合的入侵检测方法的流程示意图。

具体实施方式

以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

阻尼流量窗口模型的任务是通过对动态数量的数据流(网络信道)进行时间统计的高速流量特征提取。

阻尼增量统计：设S＝{x1,x2,....................}为无界数据流，IS＝(N，LS，SS)，(其中N，LS和SS是实例的个数、线性和平方和)；

将xi***元组的更新过程为：IS←(N+1,LS+x_i,SS+x_i ²)；

在阻尼窗口模型中，旧值的权重随时间呈指数递减。d为衰减函数，定义 d_λ(t)＝2^-λt，其中λ>0是衰变因子，t是从Si流中最后一次观察到的时间。

阻尼增量统计的元组定义为ISiλ。IS_iλ＝(w,LS,SS,SR_ij,T_last),w是当前权重，Tlast是IS_iλ是上一次更新的时间戳。SR_ij是流i和j之间的剩余积之和(用于计算2D统计量),在时间tcur更新具有Xcur的ISλ。

本发明采用的入侵检测入侵检测模型的训练与执行的方法为前后向传播算法。具体描述如下所述。

当入侵检测模型接收到来着特征映射器的第一组映射实例V时，检测模型使用实例V作为模型初始化模型的结构。具体来说，θ表示整个自动编码器，设 L(1)和L(2)分别表示集合层和输出层。L⁽¹⁾定义为有序集L⁽¹⁾＝{θ1,θ2,.....θ k}。L⁽²⁾被定义为具有K个输入和输出神经元的单个自编码器θ0，以及[K*β]内神经元.，L⁽²⁾的输入是来自L⁽¹⁾中每个自动编码器归一化RMSE误差信号。

在训练模式下，自动编码器的反向传播算法为：

Algorithm 2:The back-propagation training algorithm

在执行模式下，自动编码器的前向传播算法为:

本发明使用入侵检测准确率作为检测异常的指标，其中准确率的计算公式如下所述：

A为准确率，TP和TN分别表示正确分类的攻击样本和正确分类的正常样本，FP 和FN表示错误分类的攻击样本和错误分类的正常样本。一般来说，准确率越高，入侵模型的误报率就会越低。

参照说明书附图1，该实施例一种基于堆叠自编码器的网络入侵检测方法，主要包括以下步骤：

第三步、特征映射环节，将特征映射到实例中去；

所述入侵检测模型为基于自动编码器集合的模型。所述入侵检测模型的参数的训练方法的算法使用的是反向传播算法。所述第六步使用训练好的入侵检测模型评估异常检测器的方法是设定异常分数截止阈值φ来评估。

虽然，上文中已经用一般性说明及具体实施例对本发明作了详尽的描述，但在本发明基础上，可以对之作一些修改或改进，这对本领域技术人员而言是显而易见的。因此，在不偏离本发明精神的基础上所做的这些修改或改进，均属于本发明要求保护的范围。

Claims

1.一种基于堆叠自编码器的网络入侵检测方法，其特征在于，主要包括以下步骤：

第二步、特征提取阶段，使用阻尼窗口模型对数据流量进行特征提取；

第三步、特征映射环节，将特征映射到实例中去；

第五步、异常输出，异常检测器输出层学习异常检测器集成层的正常RMSE，并生成最终的异常分数；

2.根据权利要求1所述的一种基于堆叠自编码器的网络入侵检测方法，其特征在于，所述异常检测器中的入侵检测模型为基于自动编码器集合的模型。

3.根据权利要求1所述的一种基于堆叠自编码器的网络入侵检测方法，其特征在于，所述异常检测器中的入侵检测模型的参数的训练方法的算法使用的是反向传播算法。

4.根据权利要求1所述的一种基于堆叠自编码器的网络入侵检测方法，其特征在于，所述第六步使用训练好的入侵检测模型评估异常检测器的方法是设定异常分数截止阈值来评估。