一种基于深度置信网络和SVM的网络攻击检测方法技术

本发明专利技术公开了一种基于深度置信网络和SVM的网络攻击检测方法，其中，包括：步骤1：构造网络攻击行为特征向量；步骤2：确定模型训练集和测试集，给数据制定标签，区分正常行为与攻击行为，并将攻击行为分类；步骤3：构建深度置信网络模型，逐层训练，提取网络攻击行为特征，并计算误差，直至收敛，再对模型的权值进行微调,得到特征向量；步骤4：将提取的特征向量作为输入参数，选择合适的SVM分类器进行训练，对网络攻击行为进行分类，构建网络攻击检测模型；步骤5：构建网络攻击行为分析模型，使用测试集测试模型准确率，计算准确率、误报率与漏报率，并将识别出的网络攻击行为作为训练数据，进行优化。

A Network Attack Detection Method Based on Deep Confidence Network and SVM

The invention discloses a network attack detection method based on deep belief network and SVM, which includes: step 1: constructing network attack characteristic vector; step 2: determining model training set and test set, labeling data, distinguishing normal behavior from attack behavior, and classifying attack behavior; step 3: constructing deep belief network model, training layer by layer, extracting attack behavior. The network attack behavior characteristics are calculated and the error is calculated until convergence, then the weight of the model is fine-tuned to get the feature vector; Step 4: The extracted feature vector is used as input parameter, the appropriate SVM classifier is selected for training, the network attack behavior is classified, and the network attack detection model is constructed; Step 5: The network attack behavior analysis model is constructed, and the test set is used to test the network attack behavior. The accuracy of the model is calculated, and the false alarm rate, false alarm rate and false alarm rate are calculated. The identified network attacks are optimized as training data.

【技术实现步骤摘要】
一种基于深度置信网络和SVM的网络攻击检测方法
本专利技术属于网络安全
，提出了一种基于深度置信网络和SVM的网络攻击检测方法。
技术介绍
当前，网络在人们生活当中发挥了越来越重要的作用，各国对于网络安全也愈发重视，网络空间逐渐成为了全球各大国间竞争的新疆域。网络空间中的攻击行为具有发生速度快，范围广，突发性强等特征，并且在行动过程中伴随着大量的事件与数据，这也对网络攻击行为的发现带来了全新的挑战。网络攻击行为检测需要采集大量的数据，使得特征向量维度过高，使用分类模型进行训练时，准确率下降，导致网络攻击行为检测失败。而使用人工手段提取网络攻击行为特征的方法局限性大、泛化能力差，不具有通用性，通常只能在模式相近的数据集下取得良好的结果。因此采用深度学习的方法提取特征数据，并用分类模型，对网络空间中的攻击行为进行动态检测与发现，弥补传统方法局限性大、泛化能力弱和通用性差等短板。利用深度学习方法进行提取过后的特征，往往具有更好的分类效果，利于提高模型识别的准确率。深度置信网络(DBN,DeepBeliefNets)作为深度神经网络中无监督学习的代表，能在缺少大量无标签训练集的情况下，取得较好的学习效果。支持向量机(SVM)作为常用的分类算法模型，在解决非线性、高维模式识别中也表现出许多良好的特性。因此本专利技术主要利用这两个算法，构造网络攻击行为检测模型。(一)深度置信网络包括：深度置信网络由多个受限玻尔兹曼机(RestrictedBoltzmannMachine,RBM)堆叠组成，深度置信网络中的每一个隐含层就是一个受限玻尔兹曼机，随着RBM层的增加，深度置信网络结构逐层加深。因此，使用RBM训练算法来进行深度置信网络的权值预训练过程。深度置信网络最终的输出层加入了一个反馈神经网络，输出层利用训练数据与标签数据进行对比，利用误差反向传播算法(BP，Back-Propagation)进行网络微调。在DBN网络进行无监督权值预训练过程中，要解决的一个问题是，当输入数据从显层神经元通过计算得到隐层神经元状态时，如何利用隐含层神经元状态，将信息重构成输入数据，同时保证原始输入数据与重构的输入数据之间的误差尽可能小。在wake-sleep算法当中，模型可以通过学习到认知权值，由显层神经元输入数据得到隐层神经元的状态。然后通过学习生成权值，实现将隐层神经元重构显层输入的过程。同时，不断调整认知权值与生成权值，减少重构数据时所产生的误差。(二)支持向量机包括：支持向量机(SupportVectorsMachine,SVM)是一种监督学习模型，主要用于分析数据、识别模式，对数据的分类分析和回归分析。标准的支持向量机是非概率的线性分类器，也就是说，对于每一个特定的输入，它能够预测输入为已知两类的某一个类别。由于SVM是一个分类器，因此给定一组训练集，每一个训练样本就会被标记为属于两个类别的之一，支持向量机算法适合解决非黑即白的问题，所以通常被用于解决二分类的问题。
技术实现思路
本专利技术的目的在于提供一种基于深度置信网络和SVM的网络攻击检测方法，用于解决上述现有技术的问题。本专利技术一种基于深度置信网络和SVM的网络攻击检测方法，其中，包括：步骤1：构造网络攻击行为特征向量；步骤2：确定模型训练集和测试集，给数据制定标签，区分正常行为与攻击行为，并将攻击行为分类；步骤3：构建深度置信网络模型，逐层训练，提取网络攻击行为特征，并计算误差，直至收敛，再对模型的权值进行微调,得到特征向量；步骤4：将提取的特征向量作为输入参数，选择合适的SVM分类器进行训练，对网络攻击行为进行分类，构建网络攻击检测模型；步骤5：构建网络攻击行为分析模型，使用测试集测试模型准确率，计算准确率、误报率与漏报率，并将识别出的网络攻击行为作为训练数据，进行优化。根据本专利技术的基于深度置信网络和SVM的网络攻击检测方法的一实施例，其中，步骤1包括：网络攻击行为特征属性作为一组用来描述当前网络攻击的定量分析数据，将从传感器采集到的特征数据构成一个一维向量，得到网络攻击行为特征向量，针对第i个网络攻击行为，在时间t内采集到的特征向量，记为Vi(t)：Vi(t)＝{a1,a2,a3,…,an}；其中，an为t时刻第i个网络攻击行为第n个属性的值。根据本专利技术的基于深度置信网络和SVM的网络攻击检测方法的一实施例，其中，步骤1中，如果是针对windows操作系统进行攻击，采集的特征数据包括系统文件删除、系统文件重命名、系统文件创建、临时文件创建、文件执行、文件修改、注册表项删除、服务删除、执行方式变更、注册操作、服务注册、添加BHO项、进程创建、进程终止、进程搜索、DLL代码注入、线程创建、端口开放、端口绑定、网络连接建立、网络连接断开、数据发送、数据接收、源IP、目的IP、源端口、目的端口、URL类型、内容类型、行为动作类型、网络流量包数量以及包的长度。根据本专利技术的基于深度置信网络和SVM的网络攻击检测方法的一实施例，其中，步骤2具体包括：步骤2.1:将采集到的特征向量Vi(t)分成带标签的和不带标签的两部分{S1，S2}，所谓带标签的数据即能够确定是何种攻击的网络攻击行为的数据,带标签的数据S2为：Vi(t)∈{P1,P2,P3,…,Pn}；其中，Pn代表第i个网络攻击事件属于第n种网络攻击；其余的数据为不带标签的数据S1；步骤2.2：制作训练集TrainingSet＝{S1+S21}，其中S1为不带标签的训练数据，S21为带标签的数据，为从S2中选取a％带标签的数据应用于BP反馈算法的权值微调过程，因此S21＝a％*S2；步骤2.3：构造测试集TestSet＝{S22}，测试集用于模型识别准确率的测试，测试集全部为带标签的数据,S2其余的数据作为S22；步骤2.4：对训练集与测试集的数据做归一化处理，使：S1,S2∈(0,1)。根据本专利技术的基于深度置信网络和SVM的网络攻击检测方法的一实施例，其中，a％为30％。根据本专利技术的基于深度置信网络和SVM的网络攻击检测方法的一实施例，其中，步骤3包括：步骤3.1：构造深度置信网络模型结构：使用3个隐含层构成的网络模型，依次训练每一个RBM层，包括RBM1、RBM2以及RBM3；其中v为输出层神经元，hn为第n个隐含层，W为权值；步骤3.2：使用训练集TrainingSet，训练第一个RBM层，计算每一个神经元的状态，每一个神经元有激活或者抑制两种状态：其中，Pstate为神经元状态，α为神经元是否激活的概率阈值。在深度置信网络中，阈值α从(0,1)的均匀分布中随机产生，计算隐层神经元激活概率：计算显层神经元激活概率：其中Wij为神经元i和神经元j的连接权值，bj为显层神经元j偏置，ci为隐含层神经元i偏置；根据显层神经元与隐层神经元的激活概率，更新权值、显层神经元偏置与隐层神经元偏置：ci＝ci+p(hi＝1|v0)-p(hi＝1|vk)；其中，vjk为第j个神经元在第k次迭代时的值，计算这一次RBM层训练的误差：当Δv小于一定阈值时，则认为此时RBM层训练收敛，否则再一次进行步骤3.2，继续训练本次RBM层；步骤3.3：将RBM1层的输出数据作为下个RBM层的输入数据，再按照步骤3.2训练，直至完成所有RBM层的本文档来自技高网...

【技术保护点】
1.一种基于深度置信网络和SVM的网络攻击检测方法，其特征在于，包括：步骤1：构造网络攻击行为特征向量；步骤2：确定模型训练集和测试集，给数据制定标签，区分正常行为与攻击行为，并将攻击行为分类；步骤3：构建深度置信网络模型，逐层训练，提取网络攻击行为特征，并计算误差，直至收敛，再对模型的权值进行微调,得到特征向量；步骤4：将提取的特征向量作为输入参数，选择合适的SVM分类器进行训练，对网络攻击行为进行分类，构建网络攻击检测模型；步骤5：构建网络攻击行为分析模型，使用测试集测试模型准确率，计算准确率、误报率与漏报率，并将识别出的网络攻击行为作为训练数据，进行优化。

【技术特征摘要】
1.一种基于深度置信网络和SVM的网络攻击检测方法，其特征在于，包括：步骤1：构造网络攻击行为特征向量；步骤2：确定模型训练集和测试集，给数据制定标签，区分正常行为与攻击行为，并将攻击行为分类；步骤3：构建深度置信网络模型，逐层训练，提取网络攻击行为特征，并计算误差，直至收敛，再对模型的权值进行微调,得到特征向量；步骤4：将提取的特征向量作为输入参数，选择合适的SVM分类器进行训练，对网络攻击行为进行分类，构建网络攻击检测模型；步骤5：构建网络攻击行为分析模型，使用测试集测试模型准确率，计算准确率、误报率与漏报率，并将识别出的网络攻击行为作为训练数据，进行优化。2.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法，其特征在于，步骤1包括：网络攻击行为特征属性作为一组用来描述当前网络攻击的定量分析数据，将从传感器采集到的特征数据构成一个一维向量，得到网络攻击行为特征向量，针对第i个网络攻击行为，在时间t内采集到的特征向量，记为Vi(t)：Vi(t)＝{a1,a2,a3,…,an}；其中，an为t时刻第i个网络攻击行为第n个属性的值。3.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法，其特征在于，步骤1中，如果是针对windows操作系统进行攻击，采集的特征数据包括系统文件删除、系统文件重命名、系统文件创建、临时文件创建、文件执行、文件修改、注册表项删除、服务删除、执行方式变更、注册操作、服务注册、添加BHO项、进程创建、进程终止、进程搜索、DLL代码注入、线程创建、端口开放、端口绑定、网络连接建立、网络连接断开、数据发送、数据接收、源IP、目的IP、源端口、目的端口、URL类型、内容类型、行为动作类型、网络流量包数量以及包的长度。4.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法，其特征在于，步骤2具体包括：步骤2.1:将采集到的特征向量Vi(t)分成带标签的和不带标签的两部分{S1，S2}，所谓带标签的数据即能够确定是何种攻击的网络攻击行为的数据,带标签的数据S2为：Vi(t)∈{P1,P2,P3,…,Pn}；其中，Pn代表第i个网络攻击事件属于第n种网络攻击；其余的数据为不带标签的数据S1；步骤2.2：制作训练集TrainingSet＝{S1+S21}，其中S1为不带标签的训练数据，S21为带标签的数据，为从S2中选取a％带标签的数据应用于BP反馈算法的权值微调过程，因此S21＝a％*S2；步骤2.3：构造测试集TestSet＝{S22}，测试集用于模型识别准确率的测试，测试集全部为带标签的数据,S2其余的数据作为S22；步骤2.4：对训练集与测试集的数据做归一化处理，使：S1,S2∈(0,1)。5.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法，其特征在于，a％为30％。6.如权利要求1所述的基于深度置信网络和...

【专利技术属性】
技术研发人员：唐舸轩，石波，赵磊，吴朝雄，
申请(专利权)人：北京计算机技术及应用研究所，
类型：发明
国别省市：北京,11