CN115659323A - 一种基于信息熵理论结合卷积神经网络的入侵检测方法 - Google Patents

一种基于信息熵理论结合卷积神经网络的入侵检测方法 Download PDF

Info

Publication number
CN115659323A
CN115659323A CN202211094816.6A CN202211094816A CN115659323A CN 115659323 A CN115659323 A CN 115659323A CN 202211094816 A CN202211094816 A CN 202211094816A CN 115659323 A CN115659323 A CN 115659323A
Authority
CN
China
Prior art keywords
data
neural network
convolutional neural
intrusion detection
information entropy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211094816.6A
Other languages
English (en)
Inventor
缪祥华
李响
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kunming University of Science and Technology
Original Assignee
Kunming University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kunming University of Science and Technology filed Critical Kunming University of Science and Technology
Priority to CN202211094816.6A priority Critical patent/CN115659323A/zh
Publication of CN115659323A publication Critical patent/CN115659323A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Image Analysis (AREA)

Abstract

一种基于信息熵理论结合卷积神经网络的入侵检测方法,首先对数据集进行字符型数据转换成数值型数据、数据标准化、数据归一化操作;然后将数据集放入卷积神经网络中进行降维和分类,并结合信息熵不确定度计算对部分数据进行延迟再学习分类决策,延迟决策方法选取随机森林方法。当出现入侵行为时,利用训练好的模型就可以区分出正常数据和攻击数据。该发明利用卷积神经网络特征提取能力和分类学习效果上表现性能较优的特点并结合信息熵理论对分类后的数据进行评估将评估结果作为二次学习分类决策依据,该方法能够尽可能规避因信息提取不充分从而造成误分类的风险提高了入侵检测的性能。

Description

一种基于信息熵理论结合卷积神经网络的入侵检测方法
技术领域
本发明涉及一种基于信息熵理论结合卷积神经网络的入侵检测方法,属于网络中的入侵检测技术领域。
背景技术
近年来,随着网络技术的不断更迭和网络规模的不断扩大,国内外的网络安全事件频发,网络安全问题得到了更多的重视。因此对入侵检测***的研究以成为当前网络安全发展的重要内容。入侵检测***的研究是为弥补传统防火墙内部袭击防御的不足并加强对网络和***的运行状况进行监视,尽可能发现各种攻击企图,攻击行为或者攻击结果以保障网络网络***资源的机密性,完整性和可用性。入侵检测***截止到目前已经历经了几十年的发展并取得了一定的成果,但对于入侵检测***的研究还有较大的空间。
传统的入侵检测***仍存在一些问题,具体为:不能够自主对攻击行为展开调查区分,面对数据规模较大检测时响应不够及时并且签名数据库要实时的进行更新。以上问题将导致***在检测时,检测数据流量的准确率较低并产生相对较高的误报率。面对未知异常流量时并没有更好的划分方式,缺乏自主学习能力。
发明内容
为了弥补现有技术的不足,本发明提供了一种基于信息熵理论结合卷积神经网络的入侵检测方法。通过卷积神经网络的特征提取和分类的优异性能提升检测的准确率,引入信上理论作为二次评判进而降低误判的发生降低误报率,以解决背景技术中提到的问题。
为实现上述目的,本发明提供如下技术方案:一种基于信息熵理论结合卷积神经网络的入侵检测方法,所述具体步骤如下:
第一步:从数据集中获取训练数据集和测试数据集对数据集进行数据预处理;
第二步:数据预处理后的训练集传入网络模型进行训练,得到训练好的网络模型;
第三步:通过卷积圣经网络模型得到数据的概率分布及置信度通过信息熵理论来计算信息熵值进行评估;
第四步:将熵值小于阈值的数据直接由卷积神经网络输出分类结果,将大于阈值的数据进行随机森林模型进行学习再分类;
第五步:数据预处理后的测试集传入训练好的网络模型得到分类结果。
作为优选方案,所述第一步对入侵检测数据集进行数据预处理具体过程如下:
(1)由于入侵检测数据集中的某些特征为字符型数据因此需将字符型数据转换成数值型数据;
(2)为了减小特征中数据分散度高以及数值大小对模型的影响因此需对转换后的数值型数据进行标准化处理;
(3)为减小模型的计算量对标准化处理后的数据进行数据归一化,使数据映射到[0,1]区间内。
作为优选方案,所述第二步将处理后的网络数据对网络模型进行训练,得到训练好的网络模型具体过程如下:
(1)前向计算每个神经元的输出值;
(2)确定优化目标函数;
(3)根据卷积神经网络损失函数的梯度指引,进行前向和反向传播更新网络权值参数;
(4)重复以上三个步骤,直至网络误差小于给定值,确定最优的卷积神经网络模型。
作为优选方案,所述第三步得到数据的概率分布及置信度通过信息熵理论来计算信息熵值进行评估具体过程如下:
(1)将卷积神经网络输出的概率分布通过信息熵理论进行熵值计算;
(2)通过熵值与阈值比较进而划分出需要二次学习分类的数据。
作为优选方案,所述第四步将熵值小于阈值的数据直接由卷积神经网络输出分类结果,将大于阈值的数据进行随机森林模型进行学习再分类具体过程如下;
(1)卷积神经网络输出小于阈值的数据类别,随机森林进一步学习划分高于阈值的数据;
(2)统计二次分类时不确定样本率;
(3)将一次分类结果和二次学习分类结果合并输出。
作为优选方案,所述数据预处理后的测试集传入训练好的网络模型得到分类结果具体过程如下;
(1)由训练集对入侵检测模型进行参数调优,通过对阈值的调节当二次分类不确定样本率达到最低时并得到最优的入侵检测模型;
(2)输入测试集对入侵检测模型进行测试,得到最终分类结果。
与现有技术相比,本发明提供了一种基于信息熵理论结合卷积神经网络的入侵检测方法,具备以下有益效果:
本发明通过采取深度学习有效算法卷积神经网络面对大数据规模特征提取和优异的分类能力,将其运用到入侵检测当中来提升入侵检测的准确率。通过结合信息熵理论,对卷积神经网络分类产生的置信度,对数据类别进一步的评估划分。将熵值大不确定度高的数据类型进行再学习进而降低入侵检测的误报率。进而提升整体的入侵检测性能。
附图说明
图1是本发明中的方法流程图;
图2是CNN模型分类方法图;
图3是RF模型分类方法图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现对照附图说明本发明的具体实施方式。
如图1所示,一种基于信息熵理论结合卷积神经网络的入侵检测方法具体步骤如下:
步骤一:对入侵检测数据集进行数据预处理;
数据预处理又分为3个步骤:
1)字符型数据转换为数值型数据
由于入侵检测数据集中的某些特征是字符型数据,而卷积神经网络只能处理数值型数据,因此先将该数据集中的字符型数据转换成数值型数据。
2)数据标准化
为了减小特征中数据分散度高以及数值大小对卷积神经网络的影响,对转换后成数值型的数据进行标准化处理,首先计算各个特征数值的平均值和平均绝对误差,公式如下:
Figure BDA0003831255470000051
Figure BDA0003831255470000052
其中,xk表示第k个属性的均值,Sk表示第k个特征的平均绝对误差,xik表示第i条记录的第k个属性。然后对每条数据记录进行标准化度量,公式如下:
Figure BDA0003831255470000053
其中,Zik表示标准化后的第i条数据记录的第k个属性值。
3)数据归一化
对标准化处理后的数据再进行归一化处理,使数据的数值大小处于[0,1]区间内,以减小模型的计算量,归一化处理公式如下:
Figure BDA0003831255470000054
步骤二:如图2所示将数据进行预处理后传入卷积神经网络模型进行训练,得到训练好的网络模型;
对卷积神经网络进行训练调优有如下三阶段:
1)对预处理后的数据进行卷积,每历经一个位置,就会得到相应位置的映射,当遍历完整个特征矩阵,通过网络参数设置,激活函数就形成了新的特征矩阵。所有特征样本完成特征映射时,堆叠组合就形成该卷积的特征图。卷积计算公式如下:
Figure BDA0003831255470000061
M是输入样本集合,
Figure BDA0003831255470000062
是上一层输出的特征矩阵,“*”为卷积操作,n为当前层数,
Figure BDA0003831255470000063
是卷积核,bn为偏置量,φ为激活函数,选取Relu函数作为激活函数。相比于其他激活函数,Relu激活函自身的非饱和特性能够有效避免梯度消失现象。
2)卷积层输出的特征由池化层进行采样,用概率统计的数据特征来概括全部特征。不仅能够在降维的同时,还将保留最有效信息。本方法选取最大值池化方法。
Figure BDA0003831255470000064
为经过池化后的特征矩阵,池化方法计算公式如下:
Figure BDA0003831255470000065
3)更新网络参数卷积神经网络可以通过前向传播可以获得原始特征输出值,网络参数需要通过反向传播更新,卷积神经网络的损失函数为:
Figure BDA0003831255470000066
其中y为实际值,
Figure BDA0003831255470000067
为预测值。每训练一次,就更新一次参数值。当网络对数据样本进行训练时,在网络损失降低的过程中更新权重ω和偏置b的迭代更新公式为:
Figure BDA0003831255470000071
Figure BDA0003831255470000072
ɑ是学习率
Figure BDA0003831255470000073
是通过损失函数对权重w和偏置b的偏导。
步骤三:CNN网络输出层通过softmax激活函数得到两种类型数据的概率分布值(P1,P2)通过所得的数据流量的概率分布进行熵值计算进一步地通过信息熵理论对数据进行筛选评估;。
数据评估方法如下:
通过所得到两种类型数据的概率分布值(P1,P2),进行信息熵计算计算公式如下:
Figure BDA0003831255470000074
H代表的信息熵值,同时也表示为数据的不确定程度,由于分类得到的是两种数据类型因此n=2,Pi是两种预测结果的概率分布,也可以表示数据为两种类别的置信度。CNN网络输出层通过softmax激活函数得到两种类型数据的概率分布值(P1,P2)。将所有样本的概率分布进行快速采样进行不确定度计算,计算的结果反映出了数据不确定程度的大小。n=2的信息熵计算公式如下:
H=-(P1log2P1+P2log2P2)
当分类后的数据的(P1,P2)概率值分布越平均,计算出的H越大说明分类样本的不确定程度越高,反之当(P1,P2)概率值差异越大,说明分类样本的不确定度低。通过对H的划分,可以把样本划分为不确定程度高的样本和不确定程度低的样本,得出数据样本的不确定度可作为延迟分类决策的判断依据。
步骤四:将熵值小于阈值θ的数据直接由卷积神经网络输出分类结果,将大于阈值θ的数据进行如图3所示的随机森林模型进行学习再分类并统计二次分类时不确定样本率;
步骤五:通过对阈值的调节当二次分类不确定样本率达到最低时得到最优的入侵检测模型,并在训练好的最优模型中输入测试数据从而得到分类结果;
本发明首先通过数据预处理阶段,再将数据传入卷积神经网络进行分类,通过CNN产生的数据的置信度进行信息熵计算,对熵值小于阈值θ时直接由CNN输出分类结果,当熵值大于阈值θ时由随机森林模型进一步分类。将两者所得分类结果结合作为共同输出。能够提升模型的整体性能,降低模型误分类的风险。
以上结合附图对本发明的具体实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下作出各种变化。

Claims (6)

1.一种基于信息熵理论结合卷积神经网络的入侵检测方法,其特征在于:所述具体步骤如下:
第一步:从数据集中获取训练数据集和测试数据集对数据集进行数据预处理;
第二步:数据预处理后的训练集传入网络模型进行训练,得到训练好的网络模型;
第三步:通过卷积圣经网络模型得到数据的概率分布及置信度通过信息熵理论来计算信息熵值进行评估;
第四步:将熵值小于阈值的数据直接由卷积神经网络输出分类结果,将大于阈值的数据进行随机森林模型进行学习再分类;
第五步:数据预处理后的测试集传入训练好的网络模型得到分类结果。
2.根据权利要求1所述的一种基于信息熵理论结合卷积神经网络的入侵检测方法,其特征在于:所述第一步对入侵检测数据集进行数据预处理具体过程如下:
(1)由于入侵检测数据集中的某些特征为字符型数据因此需将字符型数据转换成数值型数据;
(2)为了减小特征中数据分散度高以及数值大小对模型的影响因此需对转换后的数值型数据进行标准化处理;
(3)为减小模型的计算量对标准化处理后的数据进行数据归一化,使数据映射到[0,1]区间内。
3.根据权利要求1所述的一种基于信息熵理论结合卷积神经网络的入侵检测方法,其特征在于:所述第二步将处理后的网络数据对网络模型进行训练,得到训练好的网络模型具体过程如下:
(1)前向计算每个神经元的输出值;
(2)确定优化目标函数;
(3)根据卷积神经网络损失函数的梯度指引,进行前向和反向传播更新网络权值参数;
(4)重复以上三个步骤,直至网络误差小于给定值,确定最优的卷积神经网络模型。
4.根据权利要求1所述的一种基于信息熵理论结合卷积神经网络的入侵检测方法,其特征在于:所述第三步得到数据的概率分布及置信度通过信息熵理论来计算信息熵值进行评估具体过程如下:
(1)将卷积神经网络输出的概率分布通过信息熵理论进行熵值计算;
(2)通过熵值与阈值比较进而划分出需要二次学习分类的数据。
5.根据权利要求1所述的一种基于信息熵理论结合卷积神经网络的入侵检测方法,其特征在于:所述第四步将熵值小于阈值的数据直接由卷积神经网络输出分类结果,将大于阈值的数据进行随机森林模型进行学习再分类具体过程如下;
(1)卷积神经网络输出小于阈值的数据类别,随机森林进一步学习划分高于阈值的数据;
(2)统计二次分类时不确定样本率;
(3)将一次分类结果和二次学习分类结果合并输出。
6.根据权利要求1所述的一种基于信息熵理论结合卷积神经网络的入侵检测方法,其特征在于:所述数据预处理后的测试集传入训练好的网络模型得到分类结果具体过程如下;
(1)由训练集对入侵检测模型进行参数调优,通过对阈值的调节当二次分类不确定样本率达到最低时并得到最优的入侵检测模型;
(2)输入测试集对入侵检测模型进行测试,得到最终分类结果。
CN202211094816.6A 2022-09-05 2022-09-05 一种基于信息熵理论结合卷积神经网络的入侵检测方法 Pending CN115659323A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211094816.6A CN115659323A (zh) 2022-09-05 2022-09-05 一种基于信息熵理论结合卷积神经网络的入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211094816.6A CN115659323A (zh) 2022-09-05 2022-09-05 一种基于信息熵理论结合卷积神经网络的入侵检测方法

Publications (1)

Publication Number Publication Date
CN115659323A true CN115659323A (zh) 2023-01-31

Family

ID=84984031

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211094816.6A Pending CN115659323A (zh) 2022-09-05 2022-09-05 一种基于信息熵理论结合卷积神经网络的入侵检测方法

Country Status (1)

Country Link
CN (1) CN115659323A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116599779A (zh) * 2023-07-19 2023-08-15 中国电信股份有限公司江西分公司 一种增加网络安全性能的IPv6云转换方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116599779A (zh) * 2023-07-19 2023-08-15 中国电信股份有限公司江西分公司 一种增加网络安全性能的IPv6云转换方法
CN116599779B (zh) * 2023-07-19 2023-10-27 中国电信股份有限公司江西分公司 一种增加网络安全性能的IPv6云转换方法

Similar Documents

Publication Publication Date Title
CN110598851A (zh) 一种融合lstm和gan的时间序列数据异常检测方法
CN111562108A (zh) 一种基于cnn和fcmc的滚动轴承智能故障诊断方法
CN107579846B (zh) 一种云计算故障数据检测方法及***
CN111598179B (zh) 电力监控***用户异常行为分析方法、存储介质和设备
CN111507504A (zh) 基于数据重采样的Adaboost集成学习电网故障诊断***及方法
CN114037001A (zh) 基于wgan-gp-c和度量学习的机械泵小样本故障诊断方法
CN115952067A (zh) 一种数据库操作异常行为检测方法及可读存储介质
CN115659323A (zh) 一种基于信息熵理论结合卷积神经网络的入侵检测方法
CN116226103A (zh) 一种基于FPGrowth算法进行政务数据质量检测的方法
CN116010884A (zh) 基于主成分分析的SSA-LightGBM油浸式变压器的故障诊断方法
CN113780432B (zh) 基于增强学习的网络信息***运维异常智能检测方法
CN114487129A (zh) 基于声发射技术的柔性材料的损伤识别方法
CN117590173A (zh) 一种基于卷积神经网络的电缆局部放电模式识别方法
CN112422546A (zh) 一种基于变邻域算法和模糊聚类的网络异常检测方法
CN115996135B (zh) 一种基于特征组合优化的工业互联网恶意行为实时检测方法
CN116151799A (zh) 一种基于bp神经网络的配电线路多工况故障率快速评估方法
CN111031042A (zh) 一种基于改进d-s证据理论的网络异常检测方法
CN114826764B (zh) 一种基于集成学习的边缘计算网络攻击识别方法及***
CN115189939A (zh) 一种基于hmm模型的电网网络入侵检测方法及***
CN113609480B (zh) 基于大规模网络流的多路学习入侵检测方法
CN115700558A (zh) 一种基于时空特征解析的异常流量检测方法
CN112788063B (zh) 基于RF-GMM的SDN中LDoS攻击检测方法
CN113657520A (zh) 一种基于深度置信网络和长短时记忆网络的入侵检测方法
CN115169815A (zh) 一种基于混合泛化网络的风电机组异常检测方法
CN118041692B (zh) 基于入侵检测技术的网络安全测试方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination