一种基于深度学习的无线局域网入侵检测方法和系统技术方案

本发明专利技术公开一种基于深度学习的无线局域网入侵检测系统，涉及网络空间安全领域。本系统包括模型学习和入侵检测，其中模型学习负责预构建RNN神经网络，入侵检测使用构建好的RNN神经网络实时完成入侵检测任务。采用LSTM循环神经网络对具有时序特点的无线局域网网络数据流量进行分类预测，根据识别模块分类预测的输出判断目标网络流量序列的类别，识别出目标网络中的入侵行为，根据设置的优先级和处理方法进行不同粒度的处理，对可能发生的信息安全问题进行预警和预防，保障无线局域网的保密性、可用性和完整性，提高无线局域网的安全级别。

An Intrusion Detection Method and System for Wireless LAN Based on Deep Learning

【技术实现步骤摘要】
一种基于深度学习的无线局域网入侵检测方法和系统
本专利技术涉及网络空间安全
，特别涉及一种无线局域网入侵检测方法和系统。
技术介绍
智能家居设备作为物联网的一类主要应用场景已经走进成千上万的家庭，而在智能家居领域，无线通信技术被广泛用于设备的互联，802.11系列标准明确规定了无线局域网(WLANs)在媒介访问控制层(MAC)和物理层(PHY)上的实现方式，能为智能家居提供基本可靠的无线设备互联，通常的方案是利用无线路由器作为网关构建一个包含各智能家居设备的智能家居无线局域网，形成一个星型的拓扑结构。通过将智能家居设备接入互联网，使得用户可以随时远程查看、控制、管理家中的智能家居设备。但由于物理可见介质缺失的特性，无线局域网比有线网络更易受到隐蔽的攻击和非法访问。这些智能设备为用户带来了舒适和便利同时，也带来了一些信息安全隐患。研究如何加强无线局域网的安全性变得至关重要，入侵检测方法便是一种为了提高网络的安全性而引入的针对入侵行为进行识别和预警的可靠安全方案。深度学习由感知机发展而来，最典型的深度学习模型就是前馈深度网络，他由多个感知机层层叠加而来，每个感知机利用一个非线性激活函数对输入数据进行处理然后输出，这样的网络结构也被称为神经网络，每个感知机就是一个神经元。激活函数赋予了神经网络处理线性不可分问题的能力，而多层变换又赋予了神经网络处理复杂特征数据的能力。循环神经网络的出现又为神经网络带来了处理输入间前后相关问题的能力，这是一种利用神经网络处理序列的通用模型。Hochreiter和Schmidhuber提出的LSTM(长短时记忆)网络更近一步的赋予了神经网络处理关联时间跨度较大信息的能力。采用LSTM模型来对具有时序规律的无线局域网流量数据进行识别分类是十分合适的。专利公开号为CN108199875A，名称为一种网络入侵检测系统及方法公开了一种利用PSO-basedK-means算法挖掘规则库数据的网络入侵检测系统和方法，实现方案上，该方法仍然是基于规则集的入侵检测方法，K-means算法主要用于提取新的规则。2018年，一种基于深度学习的无线传感器入侵检测方法(CN108234500A)公开了一种利用深度信念网络进行特征学习，构建基分类器，然后利用随机森林算法组合多个分类器的入侵检测方法，该方法主要适用于无线传感器网络，且没有形成针对无线传感器网络入侵检测的有效系统。
技术实现思路
本专利技术针对现有技术的上述缺陷，提供一种基于深度学习的无线局域网入侵检测，适用于基于WiFi组网的无线局域网，针对该网络的特点采用基于LSTM的循环神经网络，采用LSTM循环神经网络对具有时序特点的无线局域网网络数据流量进行分类预测，识别出目标网络中的入侵行为，对可能发生的信息安全问题进行预警和预防，设计针对无线传感器网络入侵检测的有效系统，保障无线局域网的保密性、可用性和完整性，提高无线局域网的安全级别。本专利技术解决上述技术问题的技术方案是，一种基于深度学习的无线局域网入侵检测系统，包括数据收集模块、RNN学习模块、RNN验证模块、采集预处理模块、识别模块和结果处理模块,其中数据收集模块负责采集无线局域网数据作为样本，并进行数据集构建和划分，RNN学习模块读取数据集进行模型和参数学习构建习得模型，RNN验证模块根据数据收集模块提供的验证数据对习得模型进行验证和测试，验证和测试结果反馈给RNN学习模块进行优化，采集预处理模块实时采集目标网络数据包，对数据包进行过滤并处理成满足RNN神经网络要求的数据结构，同时向数据收集模块提供脱敏后的数据，识别模块从RNN学习模块获取习得模型对脱敏数据进行分类预测，结果处理模块根据识别模块分类预测的输出判断目标网络流量序列的类别，根据设置的优先级和处理方法进行不同粒度的防御处理。其中，模型为基于LSTM的神经网络模型，模型形态基本固定，习得模型主要习得该模型中各部分的权重参数与偏差值，同时对采用的超参数进行微调。不同粒度的防御处理具体可为，根据识别出的网络流量序列的类别进行相关处理，例如，识别出为恶意流量，根据用户对该类型流量配置的对应动作进行防御处理，如为未授权用户则主动断开连接等。根据用户配置，不同用户对不同恶意流量的处理优先级不同。本专利技术进一步，数据收集模块将数据集按照比例随机划分为训练集、验证集和测试集，每个数据帧被处理为含有多个属性的一维向量，其中最后一个属性为该数据帧所对应的类别标签，其余属性分别对应虚拟冗长帧中形成的特征向量属性。RNN学习模块根据长短时记忆循环神经网络LSTM分类预测模型构建前向网络计算图，将训练集按序列顺序输入到前向网络中，得到序列的预测值，根据序列预测值计算损失函数，更新权重参数和偏置参数以最小化损失函数。识别模块从RNN学习模块获取计算图和学习参数构建前向传播网络，将采集预处理模块提供的数据作为输入向量输入到前向传播网络中，获取对该网络流量序列数据类型的分类预测概率。对数据包进行过滤并处理成满足RNN神经网络要求的数据结构具体包括，过滤掉抓取数据中非目标网络的数据包以及目标网络中的非关键数据包，将过滤后的数据包按照802.11MAC帧格式进行解析，按每个802.11帧对应一个序列时间步的规制对解析数据进行序列划分，并按照预定长度分片，提取解析数据中各字段的数据，构建虚拟冗长帧并将提取的数据写入其中，形成等长的待处理数据；按缺失值补齐虚拟冗长帧中缺失的字段，将虚拟冗长帧中的字段映射为输入数据对应的属性，按照各属性的类型转换为含有多个属性的一维向量。其中，LSTM分类预测模型包括，输入层、隐藏层、输出层，其中，输入层由一系列神经元构成，用以获取输入数据的特征向量，隐藏层由两层LSTM层构成，每层LSTM层分别具有多个神经元，每个神经元对应一个LSTM记忆块，记忆块包含了自连接的状态神经元以及输入门、输出门和遗忘门，在同一时间步的LSTM层之间，采用正则化方法减少过拟合的影响，例如可采用dropout正则化方法，在学习过程中，对于神经网络单元，按照一定的概率将其暂时从网络中丢弃。输出层为具有多个神经元的全连接层，分别对应需要预测的目标类别，通过归一化指数函数softmax激活函数，将隐藏层的输出转换为与分类预测类别相关的概率分布预测值为加快神经网络的训练速度，根据公式：确定原始损失函数，其中，为对真实类别yt时间步t的预测值，T为当前序列的最大时间步。进一步LSTM记忆块根据公式：it＝σ(Wi·xt+Ui·ht-1+bi)ft＝σ(Wf·xt+Uf·ht-1+bf)ot＝σ(Wo·xt+Uo·ht-1+bo)ct＝at⊙it+ct-1⊙ft对LSTM记忆块结构模型向量进行更新，其中，ct、ft、it和ot分别为时间步t的状态神经元向量、遗忘门向量、输入门向量和输出门向量，at和ht为当前时间步的输入结点向量和输出结点向量，xt为当前时间步的LSTM记忆块的输入向量，ct-1和ht-1分别表示时间步t-1的状态向量和输出结点向量，φ和σ分别表示双曲正切tanh激活函数和sigmoid激活函数，⊙表示求向量的哈达玛积，W*与U*分别表示下标所示对应结点对时间步t输入向量和t-1时间步输出结点向量的权重矩阵(下标可为c,i,f,o其中之一)，bc本文档来自技高网...

【技术保护点】
1.一种基于深度学习的无线局域网入侵检测系统，其特征在于：包括数据收集模块(10)、RNN学习模块(20)、RNN验证模块(30)、采集预处理模块(40)、识别模块(50)和结果处理模块(60),其中数据收集模块负责采集无线局域网数据作为样本，并进行数据集构建和划分，RNN学习模块读取数据集进行模型和参数学习构建习得模型，RNN验证模块根据数据收集模块提供的验证数据对习得模型进行验证和测试，验证和测试结果反馈给RNN学习模块进行优化，采集预处理模块实时采集目标网络数据包，对数据包进行过滤并处理成满足RNN神经网络要求的数据结构，同时向数据收集模块提供脱敏后的数据，识别模块从RNN学习模块获取习得模型对脱敏数据进行分类预测，结果处理模块根据识别模块分类预测的输出判断目标网络流量序列的类别，根据设置的优先级和处理方法进行不同粒度的处理。

【技术特征摘要】
1.一种基于深度学习的无线局域网入侵检测系统，其特征在于：包括数据收集模块(10)、RNN学习模块(20)、RNN验证模块(30)、采集预处理模块(40)、识别模块(50)和结果处理模块(60),其中数据收集模块负责采集无线局域网数据作为样本，并进行数据集构建和划分，RNN学习模块读取数据集进行模型和参数学习构建习得模型，RNN验证模块根据数据收集模块提供的验证数据对习得模型进行验证和测试，验证和测试结果反馈给RNN学习模块进行优化，采集预处理模块实时采集目标网络数据包，对数据包进行过滤并处理成满足RNN神经网络要求的数据结构，同时向数据收集模块提供脱敏后的数据，识别模块从RNN学习模块获取习得模型对脱敏数据进行分类预测，结果处理模块根据识别模块分类预测的输出判断目标网络流量序列的类别，根据设置的优先级和处理方法进行不同粒度的处理。2.根据权利要求1所述的系统，其特征在于：数据收集模块将数据集按照比例随机划分为训练集、验证集和测试集，每个数据帧被处理为含有多个属性的一维向量，其中最后一个属性为该数据帧所对应的类别标签，其余属性分别对应虚拟冗长帧中形成的特征向量属性。3.根据权利要求1所述的系统，其特征在于：RNN学习模块根据LSTM长短时记忆循环神经网络构建前向网络计算图，将训练集按序列顺序输入到前向网络中，得到序列的预测值，根据序列预测值计算损失函数，更新权重参数和偏置参数以最小化损失函数。4.根据权利要求1-3其中之一所述的系统，其特征在于：识别模块从RNN学习模块获取计算图和学习参数构建前向传播网络，将采集预处理模块提供的数据作为输入向量输入到前向传播网络中，获取对该网络流量序列数据类型的分类预测概率。5.一种基于深度学习的无线局域网入侵检测方法，其特征在于：数据收集模块负责采集无线局域网数据作为样本，并进行数据集构建和划分，RNN学习模块读取数据集进行模型和参数学习构建习得模型，RNN验证模块根据数据收集模块提供的验证数据对习得模型进行验证和测试，验证和测试结果反馈给RNN学习模块进行优化...

【专利技术属性】
技术研发人员：程克非，张航，
申请(专利权)人：重庆邮电大学，
类型：发明
国别省市：重庆,50