基于深度表征的网络异常检测模型研究

发布时间：2018-08-12 17:47

【摘要】：在入侵检测中,通常的异常检测主要通过建立正常行为网络行为模式,来对网络数据流行为是否符合正常网络行为模式进行对比判定,但如何生成正常网络行为模式是一个比较难以解决的问题。另外,入侵检测研究中存在一个普遍的问题:实际检测系统的训练数据集合不可能涵盖所有的网络数据情况,特别是有标注的网络数据比较缺乏,而无标注的网络数据却没有得到充分利用。再者,网络攻击行为的复杂多变,以及网络数据的高维度特性,决定了对网络数据流的人工分析标注存在困难。本文的入侵异常检测方法的基本设计思想是,对给定的网络数据流使用深度人工神经网络重新学习表征,在计算后的特征表示上进行异常数据流的鉴别。与传统的网络异常检测方法不同的是:可以依靠神经网络的自学习特性学习获取网络数据流中不同类型特征,以及其包含的隐藏特征,然后在此基础上再进行网络异常检测。本文的异常检测方法的主要组成部分分为:深层特征学习模块、特征处理模块、异常检测模块。针对网络异常检测的以上特点,本文的异常检测模型研究主要集中在对深度表征过程以及异常检测方法两个部分。本文主要从以下几个方面进行研究:对人工神经网络算法分析实现,利用其学习的特征深度表示进行网络异常检测,并对特征深度表示在异常检测模型的提升进行实验验证。实验验证如何充分利用无标数据集合对模型训练进行补充改进,研究将无标数据对RBM进行补充训练的效果。对不同的判别算法进行分析,直接采用BP算法进行分类训练所需要的时间很长,本文提出采用DRBM扩展结构构建异常检测模型,并通过设计对比实验对模型的检测结果进行比对分析。通过深度特征与原始特征的结合,提高了模型的准确率以及运行效率。本文实验结果表明:对网络数据流的特征重新学习表达,能够提高分类器的准确率,同时其对于新的未知的网络入侵行为的检测也有帮助。通过采用无监督的特征学习,当可用的训练数据集有限时,采用无标数据进行补充,可以有效的提升异常检测模型的精准度。通过深度特征组合以及无标数据的补充训练,DRBM在检测准确率上略低于BP算法,但是在检测效率上要远胜于BP算法和SVM。
[Abstract]:In intrusion detection, the normal behavior network behavior pattern is established to determine whether the network data flow behavior conforms to the normal network behavior pattern. However, it is difficult to solve the problem of how to generate normal network behavior patterns. In addition, there is a common problem in the research of intrusion detection: the training data set of the actual detection system can not cover all the network data, especially the lack of labeled network data. However, the unmarked network data is not fully utilized. Furthermore, the complexity of network attack behavior and the high dimensional characteristics of network data make it difficult to analyze and label the network data flow manually. The basic design idea of the intrusion anomaly detection method in this paper is to re-study the representation of the given network data stream using the depth artificial neural network, and to identify the abnormal data flow on the calculated feature representation. Different from the traditional network anomaly detection methods, different types of features and hidden features in the network data flow can be obtained by learning from the self-learning characteristics of neural networks, and then the network anomaly detection can be carried out on this basis. The main components of the anomaly detection method are as follows: deep feature learning module, feature processing module and anomaly detection module. In view of the above characteristics of network anomaly detection, the research of anomaly detection model in this paper mainly focuses on the depth representation process and anomaly detection methods. In this paper, the following aspects are studied: the algorithm of artificial neural network is analyzed and implemented, and the feature depth representation is used to detect the anomaly of the network, and the experimental verification of the feature depth representation in the enhancement of anomaly detection model is carried out. The experiment verifies how to make full use of the non-standard data set to supplement and improve the model training, and studies the effect of supplementing the RBM with the non-standard data. After analyzing different discriminant algorithms, it takes a long time to use BP algorithm directly for classification training. In this paper, an outlier detection model based on extended structure of DRBM is proposed. The test results of the model are compared and analyzed through the design and contrast experiment. Through the combination of depth features and original features, the accuracy and efficiency of the model are improved. The experimental results show that the accuracy of the classifier can be improved by relearning the features of the network data stream, and it is also helpful to detect the new unknown network intrusion behavior. By using unsupervised feature learning and when the available training data set is limited, the accuracy of anomaly detection model can be effectively improved by using non-standard data to supplement it. Through depth feature combination and supplementary training without standard data, DRBM is slightly lower than BP algorithm in detection accuracy, but it is much more efficient than BP algorithm and SVM in detection efficiency.
【学位授予单位】：哈尔滨工业大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP393.08;TP183

【相似文献】

相关期刊论文 前10条

1 肖三;杨雅辉;沈晴霓;;基于微簇的在线网络异常检测方法[J];计算机工程与应用;2013年06期

2 狄剑光;陈光英;孙东红;;网络异常检测[J];中国教育网络;2006年05期

3 莫宁;模糊序列模式在网络异常检测中的应用[J];山西电子技术;2003年03期

4 彭新光,马晓丽;会话属性优化的网络异常检测模型[J];计算机工程与设计;2005年11期

5 公慧玲;李致勋;郭勇;;数据挖掘在网络异常检测中的应用[J];计算机安全;2009年05期

6 刘涛;齐爱玲;;基于时间分段的贝叶斯网络异常检测方法[J];信息安全与通信保密;2009年06期

7 刘卫国;邹美群;;一种面向混合攻击的网络异常检测方法[J];计算机系统应用;2009年10期

8 陈晓;;基于模糊序列模式挖掘的网络异常检测[J];电脑知识与技术;2009年36期

9 李致勋;公慧玲;王继成;李德钿;;关联规则在网络异常检测中的应用[J];南昌大学学报(理科版);2010年04期

10 贾伟峰;王勇;张凤荔;童彬;;基于特征压缩与分支剪裁的网络异常检测算法[J];计算机工程;2010年21期

相关会议论文 前2条

1 李洋;方滨兴;郭莉;田志宏;张永铮;姜伟;;基于TCM-KNN和遗传算法的网络异常检测技术[A];全国网络与信息安全技术研讨会论文集（上册）[C];2007年

2 房鼎益;汤战勇;李元兵;吴晓南;陈晓江;;基于程序行为分析的网络异常检测系统[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年

相关博士学位论文 前3条

1 魏小涛;在线自适应网络异常检测系统模型与相关算法研究[D];北京交通大学;2009年

2 陈宁;网络异常检测与溯源方法研究[D];华中科技大学;2009年

3 郭通;基于自适应流抽样测量的网络异常检测技术研究[D];解放军信息工程大学;2013年

相关硕士学位论文 前10条

1 李进文;基于云计算的网络异常检测算法研究[D];郑州大学;2015年

2 薛成龙;基于深度表征的网络异常检测模型研究[D];哈尔滨工业大学;2014年

3 李平;基于投影寻踪回归的网络异常检测机制研究[D];华中科技大学;2011年

4 赵健;基于时间序列分析的社会网络异常检测改进[D];西安电子科技大学;2011年

5 黄锴;基于统计和时序分析的网络异常检测[D];上海交通大学;2009年

6 韩照国;基于相对熵理论的网络异常检测方法[D];西安理工大学;2010年

7 江华;基于组合聚类分析的网络异常检测模型[D];中国民航大学;2013年

8 田雪峰;基于马尔可夫链的网络异常检测系统研究与实现[D];国防科学技术大学;2005年

9 李小雷;基于数据挖掘的网络异常检测技术研究[D];湖南大学;2011年

10 朱士瑞;基于小波分析的网络异常检测系统[D];江苏大学;2007年

，

本文编号：2179825