基于卷积神经网络的网络入侵检测算法研究
发布时间:2021-08-04 03:24
随着互联网新技术的发展,网络规模的扩大,互联网给予人们生活的便利无处不在,已然成为人们生产生活不可或缺的一部分。但同时,产生的各种网络安全问题越来越严重,甚至是有预谋的网络攻击、网络犯罪,给我们的网络空间安全带来巨大挑战。在面对当前越来越严峻的网络安全形势,网络入侵检测作为一种主动防御技术,能够对网络流量进行监测,发现网络中的异常行为,为实现网络的异常行为预警和动态防御发挥着十分重要的作用。目前比较常见的检测技术是使用传统机器学习方法通过对入侵样本进行训练得到的入侵检测模型,但存在检测率低,仅处理人工标记的标准化数据,对原始网络流量数据处理方面研究较少。本文的主要工作内容如下:1、针对基于传统机器学习的入侵检测模型准确率不高的情况,本文设计了一种基于卷积神经网络算法的网络入侵检测模型。该模型对数据进行特征化处理后转化为二维矩阵灰度图作为模型的输入数据,使用了深度可分离卷积层改进了传统的卷积层,通过舍弃原始卷积操作,采用两个可分离卷积进行特征提取以减少模型训练参数,使用长短期记忆神经网络保留了特征的顺序结构,可以充分提取入侵样本的有效特征,从而对入侵样本进行准确分类,并应用于入侵检测领域...
【文章来源】:山西大学山西省
【文章页数】:65 页
【学位级别】:硕士
【部分图文】:
KDDCUP99数据集5条文本数据
第三章基于CNN-LSTM的入侵检测算法设计21成二进制数表示后,数值型特征可由10维的二进制表示,32个数值型特征则可由10×32=320维的二进制表示。3.2.3转换为对应的灰度图片在KDDCUP99数据集中每条流量数据有41位有效特征,第42位特征为标签,第42位标签位表示4种攻击类型,也可表示37种小攻击类型,在加上正常流量的特征,共计38位属性值,转化成二进制即为38维二进制数据。至此41维特征数据经数据处理后扩展为84维符号型特征、12维二进制型特征、320维数值型特征和38维攻击类型特征,共计454维的数据。在对数据集41维特征进行数据预处理扩展成454维数据后,需要其进行降维操作以便处理成n×n图像数据格式作为模型的输入。这里我们采用方差系数作为降维筛选依据,函数定义为:CV=(3.2)其中σ为标准差,μ为均值,方差系数越大,特征分布越集中,比较后去除方差系数较小的维度。因此可以将其组合成21*21的矩阵,进而转换成一个21*21像素大小的灰度图,每个数字分别代表对应的像素灰度值,数字越大所对应的像素点越接近白色。通过将数值数据转化成图片可以充分的利用卷积神经网络的对于空间不变形的优势,提取出更加有效的特征,如下图3.2所示:图3.2转化为灰度图的示例图片3.2.4数据结果如下图3.3所示:是将KDDCUP99数据集中42位有效特征转换为21*21的矩阵原始数据转换为灰度图像类型,图中的横行表示的是数据的类别,列表示的是相同类别的不同数据。可以看出不同类别的数据的分布有着不同的表达和显示,通过转化为图片可以更加有效的区分特征和表达。
基于卷积神经网络的网络入侵检测算法研究22图3.3转换后的示例图片3.3基于CNN+LSTM的入侵检测模型设计3.3.1卷积神经网络结构处理在对CNN模型结构设计方面,针对经典的LeNet5架构中卷积核的尺寸较大,两段连续的卷积和池化堆叠方法容易出现过拟合现象,且提取的特征有限的不足。本文使用深度可分离卷积层替代常规的卷积层,额外增加网络中的非线性模块,以做到压缩网络的参数量、加速模型的收敛速度效果。加入批规范化层,对中间层进行标准正态分布的规范化处理,以减轻网络中超参数波动的影响,可以平滑训练中的优化空间和加快网络收敛。在本文选择使用PReLU函数作为激活函数,可以有效降低训练过程中过拟合的风险与神经单元脆弱的问题。最后再融入LSTM方法,利用其能够保留特征序列的顺序性的特点,以使得入侵检测更加准确。3.3.2基于CNN+LSTM的入侵检测模型设计在对卷积神经网络模型结构调整之后,建立基于CNN+LSTM的入侵检测模型,来处理输入的数据,针对处理后的网络流量,主流方法是以一维卷积为基础构建网络模型对网络数据进行处理分类,本文方法在数据处理阶段将一维序列数据类型转换为二维数字矩阵形式并将二维卷积与LSTM模型相结合作为本模型的主要数据分类器。本文模型如图3.4所示,具体过程如下:第一步,数据输入。在3.2节中对包含41个特征的KDDCUP99原始数据样本进行预处理后扩充特征到441维,然后将其转换为21*21大小的二维矩阵作为网络的输入。第二步,特征提龋特征提取主要包含深度可分离卷积(DepthwiseSeparable),最大池化层(Max-Pooling),以及批规范化处理和PReLU激活函数。其中批规范化和激活函数嵌套在各个卷积层中使用。通过舍弃原始卷积操作,采用两个可分离卷积进行特征提取以减少模型训练参数。模型中Co
本文编号:3320904
【文章来源】:山西大学山西省
【文章页数】:65 页
【学位级别】:硕士
【部分图文】:
KDDCUP99数据集5条文本数据
第三章基于CNN-LSTM的入侵检测算法设计21成二进制数表示后,数值型特征可由10维的二进制表示,32个数值型特征则可由10×32=320维的二进制表示。3.2.3转换为对应的灰度图片在KDDCUP99数据集中每条流量数据有41位有效特征,第42位特征为标签,第42位标签位表示4种攻击类型,也可表示37种小攻击类型,在加上正常流量的特征,共计38位属性值,转化成二进制即为38维二进制数据。至此41维特征数据经数据处理后扩展为84维符号型特征、12维二进制型特征、320维数值型特征和38维攻击类型特征,共计454维的数据。在对数据集41维特征进行数据预处理扩展成454维数据后,需要其进行降维操作以便处理成n×n图像数据格式作为模型的输入。这里我们采用方差系数作为降维筛选依据,函数定义为:CV=(3.2)其中σ为标准差,μ为均值,方差系数越大,特征分布越集中,比较后去除方差系数较小的维度。因此可以将其组合成21*21的矩阵,进而转换成一个21*21像素大小的灰度图,每个数字分别代表对应的像素灰度值,数字越大所对应的像素点越接近白色。通过将数值数据转化成图片可以充分的利用卷积神经网络的对于空间不变形的优势,提取出更加有效的特征,如下图3.2所示:图3.2转化为灰度图的示例图片3.2.4数据结果如下图3.3所示:是将KDDCUP99数据集中42位有效特征转换为21*21的矩阵原始数据转换为灰度图像类型,图中的横行表示的是数据的类别,列表示的是相同类别的不同数据。可以看出不同类别的数据的分布有着不同的表达和显示,通过转化为图片可以更加有效的区分特征和表达。
基于卷积神经网络的网络入侵检测算法研究22图3.3转换后的示例图片3.3基于CNN+LSTM的入侵检测模型设计3.3.1卷积神经网络结构处理在对CNN模型结构设计方面,针对经典的LeNet5架构中卷积核的尺寸较大,两段连续的卷积和池化堆叠方法容易出现过拟合现象,且提取的特征有限的不足。本文使用深度可分离卷积层替代常规的卷积层,额外增加网络中的非线性模块,以做到压缩网络的参数量、加速模型的收敛速度效果。加入批规范化层,对中间层进行标准正态分布的规范化处理,以减轻网络中超参数波动的影响,可以平滑训练中的优化空间和加快网络收敛。在本文选择使用PReLU函数作为激活函数,可以有效降低训练过程中过拟合的风险与神经单元脆弱的问题。最后再融入LSTM方法,利用其能够保留特征序列的顺序性的特点,以使得入侵检测更加准确。3.3.2基于CNN+LSTM的入侵检测模型设计在对卷积神经网络模型结构调整之后,建立基于CNN+LSTM的入侵检测模型,来处理输入的数据,针对处理后的网络流量,主流方法是以一维卷积为基础构建网络模型对网络数据进行处理分类,本文方法在数据处理阶段将一维序列数据类型转换为二维数字矩阵形式并将二维卷积与LSTM模型相结合作为本模型的主要数据分类器。本文模型如图3.4所示,具体过程如下:第一步,数据输入。在3.2节中对包含41个特征的KDDCUP99原始数据样本进行预处理后扩充特征到441维,然后将其转换为21*21大小的二维矩阵作为网络的输入。第二步,特征提龋特征提取主要包含深度可分离卷积(DepthwiseSeparable),最大池化层(Max-Pooling),以及批规范化处理和PReLU激活函数。其中批规范化和激活函数嵌套在各个卷积层中使用。通过舍弃原始卷积操作,采用两个可分离卷积进行特征提取以减少模型训练参数。模型中Co
本文编号:3320904
本文链接:https://www.wllwen.com/shoufeilunwen/xixikjs/3320904.html
