一种基于深度学习的机载网络入侵检测方法。其包括数据包监听、数据包采集、时间戳标记、过滤采样、特征映射、字符型特征数值化、归一化处理、特征学习、性能评估等步骤。本发明专利技术提供的方法生成的机载网络入侵检测模型与传统的检测模型相比具有更好的检测性能,降低了由于漏检或误报而导致机载网络遭受攻击的概率。
【技术实现步骤摘要】
基于深度学习的机载网络入侵检测方法
本专利技术属于网络安全
,特别是涉及一种基于深度学习的机载网络入侵检测方法。
技术介绍
机载网络在全球范围内取得了飞速的发展,并预期在未来20年内打造一个价值1300亿美元的市场。但曾一度被认为是最后的网络孤岛的飞机,其网络开放性的增强同时也为复杂多变的网络攻击敞开了大门。开放性带来的安全问题给处于快速发展阶段的机载网络提出挑战,对机载网络安全问题的研究迫在眉睫。Jacob基于多独立安全层(MILS)理念提出以标签、过滤、信息流控制等为例的中间服务,并使用分区通信系统来负责各MILS节点间的通信。Laarouchi等,提出类似“二极管”的解决方案,允许自上而下(即从风险等级较高向风险等级较低方向)的信息流,而对自下而上的信息流采取Totel完整性模型验证来确保其符合安全性要求。Silvia提出基于机器学习算法的机载网络异常检测模型,分别选取监督式学习中的单分类支持向量机算法和非监督式学习中的子空间聚类算法对模型进行了训练,并使用局部离群因子降低误报率。然而由于网络入侵数据越来越呈现出复杂化、特征多样化的特点,受限于时间、空间复杂度的约束,传统的机器学习算法往往会表现得捉襟见肘,极易出现“维度爆炸”问题,导致检测模型的误报率、漏报率高和自适应能力差。深度学习凭借其强大的特征提取能力和对复杂数据的处理能力在近年来飞速发展,席卷计算机视觉、语音识别、人体行为识别、多模态学习等众多领域,均取得了优异的成果。通过对以上文献的研究和分析发现,入侵检测作为一种主动的网络安全保障措施,以一个独立自治模块的形式接入机载网络环境中,不会给飞机原系统引入新的安全问题。同时,深度学习理论作为一种优秀的特征降维工具,可与传统机器学习方法相结合,解决过去检测性能的瓶颈问题。
技术实现思路
为了解决上述问题,本专利技术的目的在于提供一种基于深度学习的机载网络入侵检测方法。为了达到上述目的,本专利技术提供的基于深度学习的机载网络入侵检测方法包括按顺序进行的下列步骤:1)对机载网络交换的通信数据包进行监听和采集,并加上时间戳;2)对步骤1)中获得的通信数据包进行特征映射,提取出包括协议类型、服务类型、连接状态在内的网络特征,并由这些网络特征生成特征数据集;3)对上述特征数据集进行预处理,首先将字符型离散特征转换为数值型特征,然后进行归一化使特征无量纲且同量级;4)从步骤3)获得的经过预处理的特征数据集中抽取20%的特征作为测试集,其余80%作为训练集;5)设计深度置信网络的结构,首先确定多层受限玻尔兹曼机结构节点数,然后在受限玻尔兹曼机末端连接BP神经网络层;以步骤4)中得到的训练集作为首层受限玻尔兹曼机的输入,经迭代训练后,得到固化的深度置信网络模型;6)设计支持向量机分类层,以步骤5)中受限玻尔兹曼机末层输出作为输入,经监督式训练后,得到固化的深度置信网络-支持向量机混合模型并作为机载网络入侵检测模型;7)将步骤4)中得到的测试集输入上述固化的深度置信网络-支持向量机混合模型中得出最终分类结果;8)从准确率、精确率、召回率和F1指标四个方面对上述最终分类结果进行评估,以判断上述机载网络入侵检测模型的性能是否符合检测要求;9)在机载网络入侵检测模型经过性能评估达到要求的前提下,将待检测的机载网络交换的通信数据包输入机载网络入侵检测模型,根据机载网络入侵检测模型的输出即可确定出机载网络中是否出现恶意的入侵行为。在步骤1)中,所述的采集机载网络交换的通信数据包的方法是:在乘客信息和娱乐服务域中接入一个设置为混杂模式的网卡,监听并采集经过该网卡的数据流。在步骤3)中,所述的将字符型离散特征转换为数值型特征的方法是采用OneHot编码,将N个字符型离散特征状态用N位状态寄存器表示,每种特征状态都只对应一个有效寄存器位。在步骤5)中,所述的深度置信网络模型采用4层受限玻尔兹曼机及单层BP神经网络结构。在步骤6)中,所述的深度置信网络-支持向量机混合模型采用Rbf核函数,将样本映射到一个线性可分的高维空间。与现有技术相比,本专利技术提供的基于深度学习的机载网络入侵检测方法生成的机载网络入侵检测模型与传统的检测模型相比具有更好的检测性能,降低了由于漏检或误报而导致的机载网络遭受攻击的概率。附图说明图1为本专利技术提供的基于深度学习的机载网络入侵检测方法流程图。图2为本专利技术提供的混合深度置信网络结构图。具体实施方式下面结合附图及具体实施例对本专利技术做进一步的说明,但下述实施例绝非对本专利技术有任何限制。如图1所示,本专利技术提供的基于深度学习的机载网络入侵检测方法包括按顺序进行的下列步骤:1)对机载网络交换的通信数据包进行监听和采集,并加上时间戳;在乘客信息和娱乐服务域(PIESD)中接入一个设置为混杂模式的网卡,监听并采集经过该网卡的数据流。2)对步骤1)中获得的通信数据包进行特征映射,提取出包括协议类型、服务类型、连接状态在内的网络特征,并由这些网络特征生成特征数据集;3)对上述特征数据集进行预处理,首先将字符型离散特征转换为数值型特征,然后进行归一化使特征无量纲且同量级;所述的将字符型离散特征转换为数值型特征的方法是采用OneHot编码,将N个字符型离散特征状态用N位状态寄存器表示,每种特征状态都只对应一个有效寄存器位。4)从步骤3)获得的经过预处理的特征数据集中抽取20%的特征作为测试集,其余80%作为训练集;5)设计如图2所示的深度置信网络(DBN)的结构,首先确定多层受限玻尔兹曼机(RBM)结构节点数,然后在受限玻尔兹曼机末端连接BP神经网络层;以步骤4)中得到的训练集作为首层受限玻尔兹曼机的输入,经迭代训练后,得到固化的深度置信网络模型;所述的深度置信网络模型采用4层受限玻尔兹曼机及单层BP神经网络结构。6)设计支持向量机(SVM)分类层,以步骤5)中受限玻尔兹曼机末层输出作为输入,经监督式训练后,得到固化的深度置信网络-支持向量机(DBN-SVM)混合模型并作为机载网络入侵检测模型;所述的深度置信网络-支持向量机混合模型采用Rbf核函数,将样本映射到一个线性可分的高维空间。7)将步骤4)中得到的测试集输入上述固化的深度置信网络-支持向量机混合模型中得出最终分类结果;8)从准确率、精确率、召回率和F1指标四个方面对上述最终分类结果进行评估,以判断上述机载网络入侵检测模型的性能是否符合检测要求;9)在机载网络入侵检测模型经过性能评估达到要求的前提下,将待检测的机载网络交换的通信数据包输入机载网络入侵检测模型,根据机载网络入侵检测模型的输出即可确定出机载网络中是否出现恶意的入侵行为。本专利技术提供的基于深度学习的机载网络入侵检测方法的具体实施过程如下:首先,在PIESD中接入一个设置为混杂模式的网卡,监听所有经过该网卡的数据流。使用Python的Scapy库实现数据采集功能,捕获和解码网络协议数据包。使用其内置的sniff()函数从网络环境中读取数据包或离线读取pcap格式的数据包文件。使用Python内置的time模块生成时间戳,添加到数据包信息中,以便后期跟踪或查找。其次,对采集的通信数据包进行特征映射,得到特征数据集。使用OneHot编码将字符型离散特征转换为数值型特征,使用Scikit-learn的MinMaxS本文档来自技高网...
【技术保护点】
1.一种基于深度学习的机载网络入侵检测方法,其特征在于:所述的检测方法包括按顺序进行的下列步骤:1)对机载网络交换的通信数据包进行监听和采集,并加上时间戳;2)对步骤1)中获得的通信数据包进行特征映射,提取出包括协议类型、服务类型、连接状态在内的网络特征,并由这些网络特征生成特征数据集;3)对上述特征数据集进行预处理,首先将字符型离散特征转换为数值型特征,然后进行归一化使特征无量纲且同量级;4)从步骤3)获得的经过预处理的特征数据集中抽取20%的特征作为测试集,其余80%作为训练集;5)设计深度置信网络的结构,首先确定多层受限玻尔兹曼机结构节点数,然后在受限玻尔兹曼机末端连接BP神经网络层;以步骤4)中得到的训练集作为首层受限玻尔兹曼机的输入,经迭代训练后,得到固化的深度置信网络模型;6)设计支持向量机分类层,以步骤5)中受限玻尔兹曼机末层输出作为输入,经监督式训练后,得到固化的深度置信网络‑支持向量机混合模型并作为机载网络入侵检测模型;7)将步骤4)中得到的测试集输入上述固化的深度置信网络‑支持向量机混合模型中得出最终分类结果;8)从准确率、精确率、召回率和F1指标四个方面对上述最终分类结果进行评估,以判断上述机载网络入侵检测模型的性能是否符合检测要求;9)在机载网络入侵检测模型经过性能评估达到要求的前提下,将待检测的机载网络交换的通信数据包输入机载网络入侵检测模型,根据机载网络入侵检测模型的输出即可确定出机载网络中是否出现恶意的入侵行为。...
【技术特征摘要】
1.一种基于深度学习的机载网络入侵检测方法,其特征在于:所述的检测方法包括按顺序进行的下列步骤:1)对机载网络交换的通信数据包进行监听和采集,并加上时间戳;2)对步骤1)中获得的通信数据包进行特征映射,提取出包括协议类型、服务类型、连接状态在内的网络特征,并由这些网络特征生成特征数据集;3)对上述特征数据集进行预处理,首先将字符型离散特征转换为数值型特征,然后进行归一化使特征无量纲且同量级;4)从步骤3)获得的经过预处理的特征数据集中抽取20%的特征作为测试集,其余80%作为训练集;5)设计深度置信网络的结构,首先确定多层受限玻尔兹曼机结构节点数,然后在受限玻尔兹曼机末端连接BP神经网络层;以步骤4)中得到的训练集作为首层受限玻尔兹曼机的输入,经迭代训练后,得到固化的深度置信网络模型;6)设计支持向量机分类层,以步骤5)中受限玻尔兹曼机末层输出作为输入,经监督式训练后,得到固化的深度置信网络-支持向量机混合模型并作为机载网络入侵检测模型;7)将步骤4)中得到的测试集输入上述固化的深度置信网络-支持向量机混合模型中得出最终分类结果;8)从准确率、精确率、召回率和F1指标四个方面对上述最终分类结果进行评估,以判...
【专利技术属性】
技术研发人员:杨宏宇,叶里,谢丽霞,
申请(专利权)人:中国民航大学,
类型:发明
国别省市:天津,12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。