【技术实现步骤摘要】
一种基于图像处理的网络入侵检测方法和系统
[0001]本申请涉及工业互联网安全
,尤其涉及一种基于图像处理的网络入侵检测方法和系统。
技术介绍
[0002]工业互联网是一种新兴信息通信技术与先进制造业深度融合的新模式,是我国工业转型发展和新基建的重要部分。而如今工业自动化管理水平不断上升,工控网络逐渐与外网产生接口,导致要求高可靠性的工控网络可能会面对较高的网络入侵风险。
[0003]近年来,网络入侵检测逐渐引入基于机器学习或深度学习的识别手段,对系统正常运行时的网络流量状态进行建模。当出现未知攻击类型时,由检测模型识别通信过程中的异常流量状态。然而上述建模方式缺少对网络流量的特征和趋势的进一步揭示,导致网络入侵检测系统在可解释性上有所欠缺。因此,网络流量可视化对了解网络流量的时空特征,侦测入侵流量有着重要意义。
技术实现思路
[0004]本专利技术目的是为了解决现有网络入侵检测系统对网络流量特征的可解释性欠缺的问题,提供了一种基于图像处理的网络入侵检测方法和系统。
[0005]本专利技术是通过以下技术方案实现的,本专利技术一方面,提供一种基于图像处理的网络入侵检测方法,所述方法包括:
[0006]获取网络流量数据,对所述网络流量数据进行预处理;
[0007]将所述预处理后的网络流量数据转换为流量灰度图像;
[0008]提取所述流量灰度图像的HOG特征;
[0009]将所述HOG特征输入到训练后的SVM分类器,判断所述网络流量数据是否异常。>[0010]进一步地,所述对所述网络流量数据进行预处理,具体包括:
[0011]对所述网络流量数据进行清洗,获取无效值和缺失值,并对所述无效值和所述缺失值进行处理;
[0012]对所述清洗后的网络流量数据的流量特征和流量标签进行数值化,将所述流量特征的维数由41变成122;
[0013]对所述数值化的流量特征进行标准化和归一化;
[0014]对所述标准化和归一化的流量特征中的每个连续型特征进行离散化。
[0015]进一步地,所述将所述预处理后的网络流量数据转换为流量灰度图像,具体包括:
[0016]对所述预处理后的流量特征进行二值化,所述流量特征维数由122维变成416维;
[0017]基于数据填充方式,将所述二值化的流量特征转换为8*8的流量灰度图像。
[0018]进一步地,所述提取所述流量灰度图像的HOG特征,具体包括:
[0019]计算所述流量灰度图像中每个像素点的梯度幅值和梯度方向;
[0020]将所述流量灰度图像看作由多个细胞单元组成,统计每个细胞单元的梯度方向直
方图;
[0021]将2
×
2个细胞单元合并为一个区块,获取所述区块的梯度直方图,并采用L2范数对所述区块进行归一化处理;
[0022]将所述流量灰度图像中所有区块的梯度直方图合并,得到所述流量灰度图像的HOG特征。
[0023]进一步地,所述获取网络流量数据,对所述网络流量数据进行预处理的步骤之前,还包括构建所述训练后的SVM分类器,所述构建方法包括:
[0024]获取公开网络流量数据集NSL
‑
KDD,并对所述公开网络流量数据集NSL
‑
KDD进行预处理,所述公开网络流量数据集NSL
‑
KDD包括训练集和测试集;
[0025]将所述预处理后的公开网络流量数据集NSL
‑
KDD转换为流量灰度图像;
[0026]提取所述流量灰度图像的HOG特征;
[0027]利用所述训练集,对所述SVM分类器进行训练;
[0028]利用所述测试集,对所述所述SVM分类器进行测试,根据测试结果对所述SVM分类器的参数进行调整;
[0029]根据所述调整后的参数,建立所述训练后的SVM分类器。
[0030]第二方面,本专利技术提供一种基于图像处理的网络入侵检测系统,所述系统包括:
[0031]数据预处理模块,用于获取网络流量数据,对所述网络流量数据进行预处理;
[0032]流量数据图像化模块,用于将所述预处理后的网络流量数据转换为流量灰度图像;
[0033]HOG特征提取模块,用于提取所述流量灰度图像的HOG特征;
[0034]网络流量检测模块,用于将所述HOG特征输入到训练后的SVM分类器,判断所述网络流量数据是否异常。
[0035]进一步地,所述数据预处理模块包括:
[0036]数据清洗单元,用于对所述网络流量数据进行清洗,获取无效值和缺失值,并对所述无效值和所述缺失值进行处理;
[0037]数值化单元,用于对所述清洗后的网络流量数据的流量特征和流量标签进行数值化,将所述流量特征的维数由41变成122;
[0038]标准归一化单元,用于对所述数值化的流量特征进行标准化和归一化;
[0039]离散化单元,用于对所述标准化和归一化的流量特征中的每个连续型特征进行离散化。
[0040]进一步地,所述流量数据图像化模块包括:
[0041]二值化单元,用于对所述预处理后的流量特征进行二值化,所述流量特征维数由122维变成416维;
[0042]转换单元,用于基于数据填充方式,将所述二值化的流量特征转换为8*8的流量灰度图像。
[0043]进一步地,所述HOG特征提取模块包括:
[0044]计算单元,用于计算所述流量灰度图像中每个像素点的梯度幅值和梯度方向;
[0045]统计单元,用于将所述流量灰度图像看作由多个细胞单元组成,统计每个细胞单元的梯度方向直方图;
[0046]区块归一化单元,用于将2
×
2个细胞单元合并为一个区块,获取所述区块的梯度直方图,并采用L2范数对所述区块进行归一化处理;
[0047]合并单元,用于将所述流量灰度图像中所有区块的梯度直方图合并,得到所述流量灰度图像的HOG特征。
[0048]第三方面,本专利技术还提供了一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行如上文所述的一种基于图像处理的网络入侵检测方法。
[0049]本专利技术的有益效果:
[0050]首先,本专利技术基于图像处理和HOG
‑
SVM的网络入侵检测系统通过将流量可视化,获得流量特征图,即为本专利技术中的流量灰度图像,便于研究人员对网络流量进行直观理解和数据分析,提高了入侵检测系统的可解释性。
[0051]其次,本专利技术的网络入侵检测系统能够有效检测入侵流量,并且具有较高的准确率和较好的实时性。
[0052]通过本专利技术提出的一种基于图像处理的网络入侵检测方法和系统,对于揭示网络流量的时空特征,提高网络入侵检测系统的可解释性,保障工业互联网网络安全具有重要指导意义。
[0053]本专利技术适用本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于图像处理的网络入侵检测方法,其特征在于,所述方法包括:获取网络流量数据,对所述网络流量数据进行预处理;将所述预处理后的网络流量数据转换为流量灰度图像;提取所述流量灰度图像的HOG特征;将所述HOG特征输入到训练后的SVM分类器,判断所述网络流量数据是否异常。2.根据权利要求1所述的一种基于图像处理的网络入侵检测方法,其特征在于,所述对所述网络流量数据进行预处理,具体包括:对所述网络流量数据进行清洗,获取无效值和缺失值,并对所述无效值和所述缺失值进行处理;对所述清洗后的网络流量数据的流量特征和流量标签进行数值化,将所述流量特征的维数由41变成122;对所述数值化的流量特征进行标准化和归一化;对所述标准化和归一化的流量特征中的每个连续型特征进行离散化。3.根据权利要求2所述的一种基于图像处理的网络入侵检测方法,其特征在于,所述将所述预处理后的网络流量数据转换为流量灰度图像,具体包括:对所述预处理后的流量特征进行二值化,所述流量特征维数由122维变成416维;基于数据填充方式,将所述二值化的流量特征转换为8*8的流量灰度图像。4.根据权利要求3所述的一种基于图像处理的网络入侵检测方法,其特征在于,所述提取所述流量灰度图像的HOG特征,具体包括:计算所述流量灰度图像中每个像素点的梯度幅值和梯度方向;将所述流量灰度图像看作由多个细胞单元组成,统计每个细胞单元的梯度方向直方图;将2
×
2个细胞单元合并为一个区块,获取所述区块的梯度直方图,并采用L2范数对所述区块进行归一化处理;将所述流量灰度图像中所有区块的梯度直方图合并,得到所述流量灰度图像的HOG特征。5.根据权利要求4所述的一种基于图像处理的网络入侵检测方法,其特征在于,所述获取网络流量数据,对所述网络流量数据进行预处理的步骤之前,还包括构建所述训练后的SVM分类器,所述构建方法包括:获取公开网络流量数据集NSL
‑
KDD,并对所述公开网络流量数据集NSL
‑
KDD进行预处理,所述公开网络流量数据集NSL
‑
KDD包括训练集和测试集;将所述预处理后的公开网络流量数据集NSL
‑
KDD转换为流量灰度图像;提取所述流量灰度图像的HOG特征;利用所述训练集,对所述SVM分类器进行训练...
【专利技术属性】
技术研发人员:赵志衡,罗思婕,刘洋,胡琦渊,
申请(专利权)人:哈尔滨工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。