The invention discloses a network attack detection method based on deep belief network and SVM, which includes: step 1: constructing network attack characteristic vector; step 2: determining model training set and test set, labeling data, distinguishing normal behavior from attack behavior, and classifying attack behavior; step 3: constructing deep belief network model, training layer by layer, extracting attack behavior. The network attack behavior characteristics are calculated and the error is calculated until convergence, then the weight of the model is fine-tuned to get the feature vector; Step 4: The extracted feature vector is used as input parameter, the appropriate SVM classifier is selected for training, the network attack behavior is classified, and the network attack detection model is constructed; Step 5: The network attack behavior analysis model is constructed, and the test set is used to test the network attack behavior. The accuracy of the model is calculated, and the false alarm rate, false alarm rate and false alarm rate are calculated. The identified network attacks are optimized as training data.
【技术实现步骤摘要】
一种基于深度置信网络和SVM的网络攻击检测方法
本专利技术属于网络安全
,提出了一种基于深度置信网络和SVM的网络攻击检测方法。
技术介绍
当前,网络在人们生活当中发挥了越来越重要的作用,各国对于网络安全也愈发重视,网络空间逐渐成为了全球各大国间竞争的新疆域。网络空间中的攻击行为具有发生速度快,范围广,突发性强等特征,并且在行动过程中伴随着大量的事件与数据,这也对网络攻击行为的发现带来了全新的挑战。网络攻击行为检测需要采集大量的数据,使得特征向量维度过高,使用分类模型进行训练时,准确率下降,导致网络攻击行为检测失败。而使用人工手段提取网络攻击行为特征的方法局限性大、泛化能力差,不具有通用性,通常只能在模式相近的数据集下取得良好的结果。因此采用深度学习的方法提取特征数据,并用分类模型,对网络空间中的攻击行为进行动态检测与发现,弥补传统方法局限性大、泛化能力弱和通用性差等短板。利用深度学习方法进行提取过后的特征,往往具有更好的分类效果,利于提高模型识别的准确率。深度置信网络(DBN,DeepBeliefNets)作为深度神经网络中无监督学习的代表,能在缺少大量无标签训练集的情况下,取得较好的学习效果。支持向量机(SVM)作为常用的分类算法模型,在解决非线性、高维模式识别中也表现出许多良好的特性。因此本专利技术主要利用这两个算法,构造网络攻击行为检测模型。(一)深度置信网络包括:深度置信网络由多个受限玻尔兹曼机(RestrictedBoltzmannMachine,RBM)堆叠组成,深度置信网络中的每一个隐含层就是一个受限玻尔兹曼机,随着RBM层的增加,深 ...
【技术保护点】
1.一种基于深度置信网络和SVM的网络攻击检测方法,其特征在于,包括:步骤1:构造网络攻击行为特征向量;步骤2:确定模型训练集和测试集,给数据制定标签,区分正常行为与攻击行为,并将攻击行为分类;步骤3:构建深度置信网络模型,逐层训练,提取网络攻击行为特征,并计算误差,直至收敛,再对模型的权值进行微调,得到特征向量;步骤4:将提取的特征向量作为输入参数,选择合适的SVM分类器进行训练,对网络攻击行为进行分类,构建网络攻击检测模型;步骤5:构建网络攻击行为分析模型,使用测试集测试模型准确率,计算准确率、误报率与漏报率,并将识别出的网络攻击行为作为训练数据,进行优化。
【技术特征摘要】
1.一种基于深度置信网络和SVM的网络攻击检测方法,其特征在于,包括:步骤1:构造网络攻击行为特征向量;步骤2:确定模型训练集和测试集,给数据制定标签,区分正常行为与攻击行为,并将攻击行为分类;步骤3:构建深度置信网络模型,逐层训练,提取网络攻击行为特征,并计算误差,直至收敛,再对模型的权值进行微调,得到特征向量;步骤4:将提取的特征向量作为输入参数,选择合适的SVM分类器进行训练,对网络攻击行为进行分类,构建网络攻击检测模型;步骤5:构建网络攻击行为分析模型,使用测试集测试模型准确率,计算准确率、误报率与漏报率,并将识别出的网络攻击行为作为训练数据,进行优化。2.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法,其特征在于,步骤1包括:网络攻击行为特征属性作为一组用来描述当前网络攻击的定量分析数据,将从传感器采集到的特征数据构成一个一维向量,得到网络攻击行为特征向量,针对第i个网络攻击行为,在时间t内采集到的特征向量,记为Vi(t):Vi(t)={a1,a2,a3,…,an};其中,an为t时刻第i个网络攻击行为第n个属性的值。3.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法,其特征在于,步骤1中,如果是针对windows操作系统进行攻击,采集的特征数据包括系统文件删除、系统文件重命名、系统文件创建、临时文件创建、文件执行、文件修改、注册表项删除、服务删除、执行方式变更、注册操作、服务注册、添加BHO项、进程创建、进程终止、进程搜索、DLL代码注入、线程创建、端口开放、端口绑定、网络连接建立、网络连接断开、数据发送、数据接收、源IP、目的IP、源端口、目的端口、URL类型、内容类型、行为动作类型、网络流量包数量以及包的长度。4.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法,其特征在于,步骤2具体包括:步骤2.1:将采集到的特征向量Vi(t)分成带标签的和不带标签的两部分{S1,S2},所谓带标签的数据即能够确定是何种攻击的网络攻击行为的数据,带标签的数据S2为:Vi(t)∈{P1,P2,P3,…,Pn};其中,Pn代表第i个网络攻击事件属于第n种网络攻击;其余的数据为不带标签的数据S1;步骤2.2:制作训练集TrainingSet={S1+S21},其中S1为不带标签的训练数据,S21为带标签的数据,为从S2中选取a%带标签的数据应用于BP反馈算法的权值微调过程,因此S21=a%*S2;步骤2.3:构造测试集TestSet={S22},测试集用于模型识别准确率的测试,测试集全部为带标签的数据,S2其余的数据作为S22;步骤2.4:对训练集与测试集的数据做归一化处理,使:S1,S2∈(0,1)。5.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法,其特征在于,a%为30%。6.如权利要求1所述的基于深度置信网络和...
【专利技术属性】
技术研发人员:唐舸轩,石波,赵磊,吴朝雄,
申请(专利权)人:北京计算机技术及应用研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。