网络攻击预测方法、计算机可读存储介质及电子设备技术

本发明专利技术涉及网络攻击预测方法、计算机可读存储介质及电子设备，预测方法包括：获取NSL

【技术实现步骤摘要】
网络攻击预测方法、计算机可读存储介质及电子设备


[0001]本专利技术涉及人工智能与网络安全
，尤其涉及一种网络攻击预测方法、一种计算机可读存储介质以及一种电子设备。

技术介绍

[0002]目前，针对网络攻击的识别方法，除了使用防火墙、入侵检测系统等网络安全设备进行实时探测外，基于人工智能神经网络的网络攻击识别与预测也成为一个新的研究方向。研究主要集中在如下几个方面：以多个有限时间段和异步数据流为输入，开展对网络攻击进行检测与识别，以及基于网络攻击识别特征的实证研究；应用LSTM(Long Short
‑
Term Memory，长短期记忆网络)在CIDDS
‑
001网络入侵检测数据集上进行训练和测试；在聚类分析的基础上，对现有网络攻击评估技术在攻击信息源异构和时空分布不均匀的情况下，对评估参数获取不准、时间较长、精度不高等问题进行了探讨；利用威胁传播与图论相结合的评估方法，量化了网络攻击的趋势，绘制了网络整体安全趋势图；开展了“基于聚类分析的网络攻击识别算法研究”，提出了一种基于聚类模型的网络攻击识别方法。
[0003]现有的基于人工智能神经网络的网络攻击识别算法模型主要呈现如下特点：尽管实验结果取得较高的准确率，但是由于实验数据集的选择问题，没有表现出模型的泛化性；以及，模型容易存在局部最优解，模型预测精度不够高的情况。

技术实现思路

[0004](一)要解决的技术问题
[0005]鉴于现有技术的上述缺点、不足，本专利技术提供一种网络攻击预测方法、计算机可读存储介质及电子设备，其解决了传统网络攻击识别方法存在的准确度和效率均低的技术问题。
[0006](二)技术方案
[0007]为了达到上述目的，本专利技术采用的主要技术方案包括：
[0008]第一方面，本专利技术实施例提供一种网络攻击预测方法，包括：获取NSL
‑
KDD数据集；对NSL
‑
KDD数据集进行预处理，获得目标数据；根据信息增益对目标数据进行特征选取，获得信息增益特征子集，并确定信息增益特征子集的特征变量权重；采用特征权重算法对目标数据进行特征筛选，获得特征权重特征子集，并确定特征权重特征子集的特征变量权重；根据信息增益特征子集和特征权重特征子集生成预测特征子集，并根据信息增益特征子集的特征变量权重和特征权重特征子集的特征变量权重获得预测特征变量权重；根据预测特征子集和预测特征变量权重对预先创建的CNN+LSTM模型进行训练；根据训练好的CNN+LSTM模型进行网络攻击预测，获得网络攻击预测结果。
[0009]可选地，对NSL
‑
KDD数据集进行预处理，获得目标数据，包括：对NSL
‑
KDD数据集中的分类特征进行特征数值化处理，获得第一处理数据，并对分类特征中的特征值进行数值归一化处理，获得第二处理数据；对第一处理数据和第二处理数据进行网络攻击数据标注，
获得目标数据。
[0010]可选地，NSL
‑
KDD数据集包括5种类型的网络数据：Normal、DoS、U2R、R2L和Probe，其中，对第一处理数据和第二处理数据进行网络攻击数据标注，获得目标数据，包括：提取第一处理数据和第二处理数据中与DoS类型对应的数据，作为目标数据。
[0011]可选地，分类特征的类型包括protocol_type、service和flag，protocol_type包括三种类型的特征值，service包括70种特征值，flag包括11种特征值。
[0012]可选地，根据信息增益对目标数据进行特征选取，包括：获取目标数据中最大信息增益的属性特征，并将最大信息增益的属性特征作为首选特征进行递归计算，以对目标数据进行特征选取。
[0013]可选地，采用特征权重算法对目标数据进行特征筛选，包括：从训练集中随机选择一个观测点S，并找到具有相同攻击类型标签的S的最近邻测试点，称为NearHit，以及选取具有不同攻击类型标签的S的最近邻测试点，称为NearMiss；若测试点S在任一特征上与NearHit的距离大于与NearMiss的距离，则提高该特征的权重；若测试点S在任一特征上与NearHit的距离小于与NearMiss的距离，则降低该特征的权重；重复上述过程，获得每个特征的平均权重，并选取平均权重大于预设值的特征。
[0014]可选地，根据信息增益特征子集和特征权重特征子集生成预测特征子集，包括：对信息增益特征子集和特征权重特征子集进行交集计算，获得预测特征子集。
[0015]可选地，根据以下公式计算预测特征变量权重：
[0016]Z
ic
＝(Z
ig
+Z
ir
)/2
[0017]其中，Z
ic
为预测特征变量权重，Z
ig
为信息增益特征子集的特征变量权重，Z
ir
为特征权重特征子集的特征变量权重。
[0018]第二方面，本专利技术实施例提供一种计算机可读存储介质，其上存储有网络攻击预测程序，该网络攻击预测程序被处理器执行时实现上述的网络攻击预测方法。
[0019]第三方面，本专利技术实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的网络攻击预测程序，处理器执行网络攻击预测程序时，实现上述的网络攻击预测方法。
[0020](三)有益效果
[0021]本专利技术的有益效果是：本专利技术的网络攻击预测方法、计算机可读存储介质及电子设备，获取NSL
‑
KDD数据集，并对NSL
‑
KDD数据集进行预处理获得目标数据，以及根据信息增益对目标数据进行特征选取获得信息增益特征子集，并确定信息增益特征子集的特征变量权重，以及采用特征权重算法对目标数据进行特征筛选获得特征权重特征子集，并确定特征权重特征子集的特征变量权重，而后根据信息增益特征子集和特征权重特征子集生成预测特征子集，并根据信息增益特征子集的特征变量权重和特征权重特征子集的特征变量权重获得预测特征变量权重，以及将预测特征子集和预测特征变量权重输入预先训练好的CNN+LSTM模型进行预测，获得网络攻击预测结果。其中，采用NSL
‑
KDD数据集，提高了模型的泛化性；同时，模型采用CNN+LSTM组合模型，并在此基础上利用信息增益和特征权重算法从数据集中挑选出了有效的数据属性作为特征，训练和优化模型，提高了模型的准确度和效率，从而提高了网络攻击预测的准确度和效率。
附图说明
[0022]图1为根据本专利技术一个实施例的网络攻击预测方法的流程图；
[0023]图2为根据本专利技术一个实施例的目标数据获取的流程图；
[0024]图3为根据本专利技术一个实施例的LSTM单元结构和网络组成示意图；
[0025]图4为根据本专利技术一个实施例的CNN+LSTM模型的结构示意图；
[0026]图5为根据本专利技术本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络攻击预测方法，其特征在于，包括：获取NSL
‑
KDD数据集；对所述NSL
‑
KDD数据集进行预处理，获得目标数据；根据信息增益对所述目标数据进行特征选取，获得信息增益特征子集，并确定所述信息增益特征子集的特征变量权重；采用特征权重算法对所述目标数据进行特征筛选，获得特征权重特征子集，并确定所述特征权重特征子集的特征变量权重；根据所述信息增益特征子集和所述特征权重特征子集生成预测特征子集，并根据所述信息增益特征子集的特征变量权重和所述特征权重特征子集的特征变量权重获得预测特征变量权重；根据所述预测特征子集和所述预测特征变量权重对预先创建的CNN+LSTM模型进行训练；根据训练好的CNN+LSTM模型进行网络攻击预测，获得网络攻击预测结果。2.如权利要求1所述的网络攻击预测方法，其特征在于，对所述NSL
‑
KDD数据集进行预处理，获得目标数据，包括：对所述NSL
‑
KDD数据集中的分类特征进行特征数值化处理，获得第一处理数据，并对所述分类特征中的特征值进行数值归一化处理，获得第二处理数据；对所述第一处理数据和所述第二处理数据进行网络攻击数据标注，获得所述目标数据。3.如权利要求2所述的网络攻击预测方法，其特征在于，所述NSL
‑
KDD数据集包括5种类型的网络数据：Normal、DoS、U2R、R2L和Probe，其中，对所述第一处理数据和所述第二处理数据进行网络攻击数据标注，获得所述目标数据，包括：提取所述第一处理数据和所述第二处理数据中与所述DoS类型对应的数据，作为所述目标数据。4.如权利要求2或3所述的网络攻击预测方法，其特征在于，所述分类特征的类型包括protocol_type、service和flag，所述protocol_type包括三种类型的特征值，所述service包括70种特征值，所述flag包括11种特征值。5.如权利要求1
‑
4中任一项所述的网络攻击预测方法，其特征在于，根据信息增益对所述目...

【专利技术属性】
技术研发人员：郑长亮，詹晓东，于京，
申请(专利权)人：北京电子科技职业学院，
类型：发明
国别省市：