本发明专利技术公开了一种改进的免疫的网络异常行为检测方法,包括自体库数据提取、抗原提呈、异常行为检测与克隆选择四个阶段,其特征在于:所述自体库数据提取、抗原提呈均采用了一种基于深度信念网络的单分类自体数据生成模型;所述深度信念网络由受限玻尔兹曼机(简称RBM)堆叠而成;所述RBM为神经网络;所述异常行为检测采用了一种基于先天免疫与自适应免疫相结合的方法;所述克隆选择采用了一种基于生成网络的克隆变异方法。本发明专利技术将深度学习的模型与方法引入到计算机免疫网络异常检测模型中,提升了模型的训练的质量与效率,无论是检测效率还是准确度都有了较大的提升,同时克服了传统方法随机或是交叉变异导致大量无效计算的缺陷。
【技术实现步骤摘要】
一种改进的免疫的网络异常行为检测方法
本专利技术涉及数字网络领域,具体地说,涉及一种改进的免疫的网络异常行为检测方法。
技术介绍
网络已经成为人们日常生活中必不可少的部分,与此同时,网络中攻击数量急速上升,攻击的手段复杂多变。对于网络及网络用户而言,网络安全问题是一个不能回避的问题,一个不经意的疏忽可能会给网络用户造成不可弥补的损失。因此,网络安全防御的需求变得愈加迫切。现有的网络安全技术手段主要有防火墙和入侵检测系统两种技术。防火墙是一种被动的安全技术,通过设定网络的访问规则,限定网络的使用者与权限,但是防火墙无法对合法用户进行有效的监控。入侵检测技术是对防火墙的技术的一种有效补充,是一种积极主动的技术,其通过对监控区域内的用户行为进行监控与分析,以发现网络中的违法行为。入侵检测技术主要有两种实现方法:基于规则的检测方法与基于异常的检测方法。基于规则的入侵检测原理和杀毒软件相似,首先,提取攻击特征,然后将特征加入到特征库,当新的数据包到来的时候就去特征库进行匹配,匹配成功则为攻击,否则判定为正常请求。这种方法的优点是检测准确率高,但这种方法存在以下缺陷:第一,检测存在滞后性,无法检测未知的新攻击,只有在新攻击被发现并提取特征后才能对这种类型的攻击进行检测;第二,随着特征库中特征增多,该方法的检测速率呈线性下降;第三,基于信息保密的原因,越来越多的互联网应用使用加密技术,导致基于规则的检测方法越来越不能适应当前的技术发展;第四,随着黑客技术的提高,网络攻击的隐蔽性越来越强,很难在具体的数据包发掘出显示的攻击特征,导致基于规则的入侵检测系统被越来越多的用户放弃。与基于规则的检测方法相对应的方法是基于异常检测的方法,基于异常的入侵检测方法基于网络入侵行为通常和正常的行为存在严重差异的假设,通过检查网络行为与事先建立的模型的差异以发现网络中的异常行为。与基于规则的入侵检测方法相比,网络攻击产生的网络异常行为与流量异常是无法隐藏的,只要建立合适的检测模型,任何攻击都可以检测出来。但其缺陷是检测误报率较高,导致该方法无法有效的应用到真实的网络环境。针对网络异常检测存在的问题,业界对上述问题进行了大量的研究与尝试。在这些方法中,一种借鉴生物免疫系统而形成的人工免疫方法成为了研究的热点。网络安全中的入侵检测问题与生物免疫系统消灭外来病原体入侵问题具有惊人的相似性。生物免疫系统具有良好的多样性、耐受性、免疫记忆、分布式并行处理、自组织、自学习、自适应和鲁棒性等特点,引起研究人员的普遍关注。研究人员尝试将生物免疫机制引入到计算机中构建人工免疫系统,取得了较好的成果。但是现有的免疫方法主要存在以下几个问题:1)自体库构建复杂且庞大,每一条数据包含了大量的字段,系统训练代价大;在系统抗原提呈阶段,只是对原始数据进行简单的数据标准化处理,产生的抗原细胞中包含了大量冗余信息和无效信息,导致数据分析时间延迟大;2)现有免疫方法侧重于免疫的自适应免疫而忽略免疫的先天免疫,导致系统对于已知的攻击依然采用自适应的方法进行训练与识别,训练时间长,效率较低;3)在产生的检测器检测出攻击时,采用随机或交叉变异的方式产生检测器以提升检测的多样性,但随机变异产生的大量检测器都是无效检测器,导致无效计算,同时也大大延缓了免疫系统的训练;4)随着云计算,物联网与互联网+的兴起,如何在海量数据中快速的检测入侵对人工免疫算法的效率和有效性形成了挑战。为了解决上述问题,我们提供了一种改进的免疫的网络异常行为检测方法。
技术实现思路
本专利技术的目的在于提供一种改进的免疫的网络异常行为检测方法,本专利技术将深度学习的模型与方法引入到计算机免疫网络异常检测模型中,提升了模型的训练的质量与效率,无论是检测效率还是准确度都有了较大的提升,同时克服了传统方法随机或是交叉变异导致大量无效计算的缺陷。在详细说明之前,首先定义专利技术中使用的一些名词、符号以及公式:定义1抗原Ag:在本专利技术中,抗原Ag表征网络中的数据包,用二进制表示。有集合D={0,1}(l>0),其中Ag为IP地址、端口号、协议类型、TCP/UDP/ICMP域、IP包的长度等标志网络事务特征的二进制串。定义2自体Self:自体表征网络中的合法行为,在本专利技术的计算机免疫系统中,自体self同样适用二进制表示,有定义3非自体Nonself:同自体类似,非自体属于抗原的一部分,用于表征网络中的异常数据包,有Self∪Nonself=Ag,Self∩Nonself=Φ。定义4成熟细胞Mature:在本专利技术中,成熟细胞Mature表征网络中的可疑网络行为,有集合m={d,age,count|d∈D,age,count∈N},其中d为抗原,age为细胞的年龄,count为协同刺激数,N为自然数集合,d,age和count又称为免疫细胞的域,在系统初始时,有m=Φ。定义5记忆细胞Memory:记忆细胞用来表征网络中确定的网络异常行为,有在系统初始时,mm=DBF({已知网络攻击数据包})。为了达到上述目的,本专利技术原理主要通过以下技术方案来实现:一种改进的免疫的网络异常行为检测方法,包括自体库数据提取、抗原提呈、异常行为检测与克隆选择四个阶段,其特征在于:所述自体库数据提取、抗原提呈均采用了一种基于深度信念网络的单分类自体数据生成模型;所述深度信念网络由受限玻尔兹曼机堆叠(简称RBM)而成,且受限玻尔兹曼机为一种生成式随机神经网络;所述异常行为检测采用了一种基于先天免疫与自适应免疫相结合的方法;所述克隆选择采用了一种基于生成网络的克隆变异方法。优选地,所述一个受限玻尔兹曼机堆叠(简称RBM)由m1个观测变量ν=(v1,ν2,...,vm1)T和m2个隐藏变量h=(h1,h2,...,hm2)T组成。优选地,所述受限玻尔兹曼机堆叠(简称RBM)的神经网络的下层称为显示层,上层称为隐藏层。优选地,所述一种基于深度信念网络的单分类自体数据生成模型中,包括深度信念网络(DBN)构建自体细胞集合;所述深度信念网络(DBN)构建自体细胞集合的生成流程具体如下:S101:离线收集被监控网络正常运行时所有数据包;S102:对收集的收据包进行预处理,数据预处理流程的子步骤如下:S1021:字符数据到数值数据的映射:映射采用one-hot编码,即针对有N种取值的字符数据使用N位二进制对数据进行表示;S1022:数据归一化处理:使用min-max的方法,将数据转换为无量纲的纯数值,具体的计算方法如下:S1023:数值化的数据全部转换成二进制表示;S103:设定模型的初始参数:w←0,a←0,b←0,S104:遍历步骤S101中收集的数据包,并根据公式p(hj=1|v)=sigmod(bj+∑iwijvi)计算p(hcount=1|D),获得异常变量hcount,其中v表示表示经过抗原提呈的网络中的一个数据包,hj表示RBM中与之对应的隐藏变量,bj表示DBN中第j-1层的偏置,wij表示输入层与输出层之间的权值;S105:根据步骤S104得到的h,使用公式p(vi=1|h)=sigmod(ai+∑jwijhj)计算p(vcount=1|h),根据计算结果重构观测变量v′;S106:根据公式p(hj=1|v)=sigmod(bj+∑本文档来自技高网...
【技术保护点】
1.一种改进的免疫的网络异常行为检测方法,包括自体库数据提取、抗原提呈、异常行为检测与克隆选择四个阶段,其特征在于:所述自体库数据提取、抗原提呈均采用了一种基于深度信念网络的单分类自体数据生成模型;所述深度信念网络由受限玻尔兹曼机堆叠而成;所述异常行为检测采用了一种基于先天免疫与自适应免疫相结合的方法;所述克隆选择采用了一种基于生成网络的克隆变异方法。
【技术特征摘要】
1.一种改进的免疫的网络异常行为检测方法,包括自体库数据提取、抗原提呈、异常行为检测与克隆选择四个阶段,其特征在于:所述自体库数据提取、抗原提呈均采用了一种基于深度信念网络的单分类自体数据生成模型;所述深度信念网络由受限玻尔兹曼机堆叠而成;所述异常行为检测采用了一种基于先天免疫与自适应免疫相结合的方法;所述克隆选择采用了一种基于生成网络的克隆变异方法。2.根据权利要求1所述的一种改进的免疫的网络异常行为检测方法,其特征在于:所述一个受限玻尔兹曼机由m1个观测变量v=(v1,v2,...,vm1)T和m2个隐藏变量h=(h1,h2,...,hm2)T组成。3.根据权利要求2所述的一种改进的免疫的网络异常行为检测方法,其特征在于:所述受限玻尔兹曼机的神经网络的下层称为显示层,上层称为隐藏层。4.根据权利要求3所述的一种改进的免疫的网络异常行为检测方法,其特征在于:所述一种基于深度信念网络的单分类自体数据生成模型中,包括深度信念网络构建自体细胞集合;所述深度信念网络构建自体细胞集合的生成流程具体如下:S101:离线收集被监控网络正常运行时所有数据包;S102:对收集的收据包进行预处理,数据预处理流程的子步骤如下:S1021:字符数据到数值数据的映射:映射采用one-hot编码,即针对有N种取值的字符数据使用N位二进制对数据进行表示;S1022:数据归一化处理:使用min-max的方法,将数据转换为无量纲的纯数值,具体的计算方法如下:S1023:数值化的数据全部转换成二进制表示;S103:设定模型的初始参数:w←0,a←0,b←0,S104:将步骤S101中收集的每一个数据包,根据公式p(hj=1|v)=sigmod(bj+∑iwijvi)计算p(hcount=1|D),获得异常变量hcount;所述v表示表示经过抗原提呈的网络中的一个数据包,hj表示RBM中与之对应的隐藏变量,bj表示DBN中第j-1层的偏置,wij表示输入层与输出层之间的权值;S105:根据步骤S104得到的h,使用公式p(vi=1|h)=sigmod(ai+∑jwijhj)计算p(vcount=1|h),根据计算结果重构观测变量v′;S106:根据公式p(hj=1|v)=sigmod(bj+∑iwijvi)计算p(hcount′=1|D′);S107:更新模型参数:5.根据权利要求1所述的一种改进的免疫的...
【专利技术属性】
技术研发人员:张琳,干华,汪小明,严居斌,李萌,黄燕,陈晓娟,孙波,白小龙,
申请(专利权)人:成都城电电力工程设计有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。