一种基于批归一化卷积神经网络的网络入侵检测方法技术

本发明专利技术针对网络入侵方式的多样性提出了基于批归一化卷积神经网络的入侵检测方法，旨在通过大量的训练，抽取入侵特征，发现入侵模式，不仅实现入侵的精准检测，而且避免高虚警率和高漏检率，对数据分布不均匀的数据样本具有较好的识别率。通过实验对比发现，本发明专利技术在网络监控应用中取得较好的效果。

【技术实现步骤摘要】
一种基于批归一化卷积神经网络的网络入侵检测方法
本专利技术属于网络入侵检测
，涉及一种对网络流量入侵检测的方法。
技术介绍
随着时代的发展，计算机网络技术迅速发展，成为当今社会不可分割的一部分。计算机网络服务已渗透到企业的经济生产活动以及人们的日常生活中，潜移默化地影响着经济生产活动的方式以及人们的生活习惯。但是，在计算机网络技术带来便利的同时，其发展还面临着一系列的问题，这些问题成为当今困扰人们的难题，即如何在高速网络环境中，在不降低分析性能的情况下，保证线速监测能力。现有的网络安全监控系统在对高速报文的捕获和大量入侵报警信息分析方面已显现出不足，因此急需新的高速网络安全监控系统实现对高速网络的安全进行监控。网络流量向高速化发展，计算机漏洞数目显著增加。在高速流量环境下，对网络攻击识别的准确性提出了更高的要求，既不能漏过重要的攻击事件，也不能出现大量纷繁复杂的报警，需要管理员花费大量时间从中寻找重要信息，这就对报警信息融合等分析能力提出了严峻要求。现如今关于入侵检测的使用以及很普遍了，但是在实际的检测过程中，存在几个方面的问题：一是入侵检测系统过于敏感，对入侵的报警量太大；二是入侵检测系统未能识别出网络入侵导致虚假报警率太高；三是入侵检测系统的泛化能力太差，对于未知的网络入侵无法做出报警提醒等。在《Miningalarmclusterstoimprovealarmhandingefficiency》中表明，对于实际的网络入侵检测当中，对网络入侵的判断错误率非常的高，在这种情况下系统难以发现真正的网络入侵，并且管理员会根据自己的判断经验来处理这样的报警信息，这样的话，对于未知的网络入侵行为管理员难以发现并解决。因此，一个良好的网络入侵检测系统需要降低对入侵的虚假报警率并且具有较高的识别入侵的识别率，这是入侵检测系统的关键。专利技术人对近五年行人检测专利做了调研，并将本专利技术与当前的专利做了详细的对比。详情如下；中国专利文献号CN110881037A，公开(公告)日2020.3.13，公开了一种网络入侵检测方法及其模型的训练方法、装置和服务器，该包括获取待检测的网络流量数据；通过预先训练完成的入侵数据检测模型，提取网络流量数据的特征数据，并基于特征数据确定网络流量数据是否是入侵数据；其中，入侵数据检测模型通过双向长短时记忆神经网络训练得到；该方法忽略了数据训练过程中数据分布变化带来的影响，因此训练效果不佳。中国专利文献号CN110837872A，公开(公告)日2020.02.25，公开一种工控网络入侵检测方法及系统，该方法包括：获取当前时刻工控网络中各节点的网络数据，将当前时刻工控网络中各节点的网络数据输入到网络入侵检测模型中，得到当前时刻检测结果，网络入侵检测模型是依据主成分分析算法、BA算法以及ELM分类器算法建立而成；根据当前时刻检测结果对当前时刻工控网络中各节点的网络数据进行标定，作为更新数据；根据更新数据对网络入侵检测模型中的参数进行调整，更新网络入侵检测模型。该方法忽略了数据训练过程中数据分布变化带来的影响，因此训练效果不佳。中国专利文献号CN110868414A，公开(公告)日2020.03.06，公开了一种基于多投票技术的工控网络入侵检测方法及系统，该方法包括：获取当前时刻工控网络中各节点的网络数据，将获取的数据输入到网络入侵检测模型中，得第一检测结果；根据第一检测结果将第一网络数据存入相应的缓存区，得标定后第一网络数据；判断各缓存区的数据量是否达到第一设定值；若是，将各缓存区中的数据作为更新数据，根据更新数据对网络入侵检测模型中的参数进行调整，更新网络入侵检测模型，采用更新后的检测模型对下一时刻的网络数据进行检测，网络入侵检测模型中有R个离线BA-ELM分类器，将检测结果中出现次数最多的作为最终检测结果，该方法忽略了数据训练过程中数据分布变化带来的影响，因此训练效果不佳。中国专利文献号CN110719289A，公开(公告)日2020.01.21，公开了一种基于多层特征融合神经网络的工控网络入侵检测方法，包括：获取工控网络信息管理层的原始数据；对所述原始数据中的非数值特征进行数值编码，得到第一数据；对所述原始数据中的数值特征进行归一化处理，得到第二数据；构建多层特征融合金字塔神经网络；利用训练集和测试集对所述神经网络进行训练和测试，得到神经网络模型；将所述第一数据和第二数据输入神经网络模型，得到检测结果。该方法忽略了数据训练过程中数据分布变化带来的影响，因此训练效果不佳。中国专利文献号CN110650153A，公开(公告)日2020.01.03，公开了一种基于聚焦损失深度神经网络的工控网络入侵检测方法，包括：获取工控网络信息管理层的原始数据；对所述原始数据中的非数值特征进行数值编码，得到第一数据；对所述原始数据中的数值特征进行归一化处理，得到第二数据；将训练集样本输入基于感知器模型的深度神经网络；定义聚焦损失函数；根据反向传播算法和梯度下降算法使所述聚焦损失函数收敛到局部或全局最小值，得到神经网络模型；将所述第一数据和第二数据输入所述神经网络模型，得到检测结果。该方法忽略了数据训练过程中数据分布变化带来的影响，因此训练效果不佳。中国专利文献号CN110958271A，公开(公告)日2020-04-03，公开了一种车载外部网络入侵检测系统，包括设置于车联网终端中的流量采集模块、规则匹配模块和异常分级模块，其中，所述流量采集模块采集进入车联网终端的流量数据，并将所述流量数据传输给所述规则匹配模块；所述规则匹配模块通过预设规则库中的信息，检测所述流量数据中是否存在异常数据信息，并当检测到存在所述异常数据信息时，将检测到的异常结果和所述异常数据信息发送给所述异常分级模块；所述异常分级模块通过预先设置的异常分级映射表，确定所述异常数据信息的安全威胁等级；该方法忽略了数据训练过程中数据分布变化带来的影响，因此训练效果不佳。
技术实现思路
本专利技术的目的是提出一种基于批归一化卷积神经网络的网络入侵检测方案，解决现有的同类方法中对网络入侵识别率较低，对网络入侵识别有延迟的问题，通过参数特征训练的网络流量识别网络得到最佳的结果。为解决上述技术问题，本专利技术采用如下的技术方案：一种基于批归一化卷积神经网络的网络入侵检测方法，包括批归一化卷积神经网络的训练阶段和测试阶段，批归一化卷积神经网络包括依次连接的卷积层1、批归一化层、ReLU激活层、池化层、卷积层2、批归一化层、ReLU激活层、池化层和全连接层；所述训练阶段的具体实现包括以下步骤；步骤1.1，提取训练数据中每个样本的多维特征，然后以独热编码的形式将多维特征转换成更高维数的特征数据；所述训练数据中的样本是n个小时内的网络连接数据，训练数据中的样本分为正常网络访问，轻微入侵攻击和严重入侵攻击3类；步骤1.2，通过方差系数函数筛选掉部分的维度的特征数据，将剩余的数据转化为K*K矩阵形式的数据；步骤1.3，将K*K矩阵形式的数据输入批归一化卷积神经网络中；步骤1.4，本文档来自技高网...

【技术保护点】
1.一种基于批归一化卷积神经网络的网络入侵检测方法，其特征在于：包括批归一化卷积神经网络的训练阶段和测试阶段，批归一化卷积神经网络包括依次连接的卷积层1、批归一化层、ReLU激活层、池化层、卷积层2、批归一化层、ReLU激活层、池化层和全连接层；/n所述训练阶段的具体实现包括以下步骤；/n步骤1.1，提取训练数据中每个样本的多维特征，然后以独热编码的形式将多维特征转换成更高维数的特征数据；/n所述训练数据中的样本是n个小时内的网络连接数据，训练数据中的样本分为正常网络访问，轻微入侵攻击和严重入侵攻击3类；/n步骤1.2，通过方差系数函数筛选掉部分的维度的特征数据，将剩余的数据转化为K*K矩阵形式的数据；/n步骤1.3，将K*K矩阵形式的数据输入批归一化卷积神经网络中；/n步骤1.4，设置批归一化卷积神经网络的初始参数，进行训练，直到损失函数收敛；/n所述批归一化卷积神经网络中批归一化层的具体处理过程是：/n1)计算所有经过卷积层处理后数据的均值，即：

【技术特征摘要】
1.一种基于批归一化卷积神经网络的网络入侵检测方法，其特征在于：包括批归一化卷积神经网络的训练阶段和测试阶段，批归一化卷积神经网络包括依次连接的卷积层1、批归一化层、ReLU激活层、池化层、卷积层2、批归一化层、ReLU激活层、池化层和全连接层；
所述训练阶段的具体实现包括以下步骤；
步骤1.1，提取训练数据中每个样本的多维特征，然后以独热编码的形式将多维特征转换成更高维数的特征数据；
所述训练数据中的样本是n个小时内的网络连接数据，训练数据中的样本分为正常网络访问，轻微入侵攻击和严重入侵攻击3类；
步骤1.2，通过方差系数函数筛选掉部分的维度的特征数据，将剩余的数据转化为K*K矩阵形式的数据；
步骤1.3，将K*K矩阵形式的数据输入批归一化卷积神经网络中；
步骤1.4，设置批归一化卷积神经网络的初始参数，进行训练，直到损失函数收敛；
所述批归一化卷积神经网络中批归一化层的具体处理过程是：
1)计算所有经过卷积层处理后数据的均值，即：
2)计算所有经过卷积层处理后数据的方差，即：
3)对1)和2)得到的结果做标准化处理，即：
4)做尺度变换和偏移处理，计算归一化后的值，即：
其中，xi表示第i个经过卷积层处理后数据，m表示训练数...

【专利技术属性】
技术研发人员：邓娟，董子麟，刘金硕，
申请(专利权)人：武汉大学，
类型：发明
国别省市：湖北;42