【技术实现步骤摘要】
基于多路分支结构的卷积神经网络的网络攻击行为检测方法
[0001]本专利技术涉及互联网安全
,尤其涉及基于多路分支结构的卷积神经网络的网络攻击行为检测方法。
技术介绍
[0002]传统入侵检测采用的方式是特征工程加规则匹配或者机器学习模型的方式进行分析。具体说来,特征工程就是指先从网络日志中过滤掉噪音信息,提取出具有分析价值的多维特征信息。然后交给规则匹配程序进行规则匹配,这部分也叫特征分析。而所谓的规则是指一些恶意的程序标识或一些恶意的行为描述,规则匹配就是对这些信息按照人工定义的方式,编写规则匹配的程序代码进行匹配分析。一般来说只要能够与规则相匹配到的程序代码或者网络行为,就会被认定为是攻击行为。而对于近些年来的网络安全研究方向也开始慢慢转向机器学习的方式来进行分析。这种分析方式主要是通过收集正常的程序数据和网络行为数据,通过特征工程提取多维度的特征,在此基础上通过训练分类机器学习模型(通常有朴素贝叶斯,决策树,SVN和随机森林等)。在检测阶段,与正常值在特征空间中的中心的距离超过了容限的程序代码或者网络行为会被认...
【技术保护点】
【技术特征摘要】
1.基于多路分支结构的卷积神经网络的网络攻击行为检测方法,其特征在于:其包括以下步骤:步骤1:分析数据源并预处理:人工进行样本数据收集与标注:步骤2:多维度特征提取:将数据源作为输入并分别通过多组并行的卷积层进行特征提取,分别经过ReLU激活函数后再进行最大池化操作;步骤3:分类预测:将模型卷积层后多条线路的输出结果在第一维度上进行拼接,展平后采取两层全连接层,第一层采用Relu激活函数,最后的输出层采用Softmax作为激活函数步骤4:训练过程:前向传播后通过反向传播然后用梯度下降法来训练模型的权重;步骤5:结果输出:通过Softmax输出结果的概率分布。2.根据权利要求1所述的基于多路分支结构的卷积神经网络的网络攻击行为检测方法,其特征在于:步骤1中的样本数据的数据源包括网关的网络采集日志或者SOC平台在网络中采集全网安全事件信息。3.根据权利要求1所述的基于多路分支结构的卷积神经网络的网络攻击行为检测方法,其特征在于:步骤2中多维度特征通过将预处理后的数据传入三组分别大小为(2,3,4)的一维卷积核,每个卷积核的通道数为2;三组卷积后的特征先分别经过ReLU激活函数后再进行最大池化操作,以强化特征并降低维度。4.根据权利要求3所述的基于多路分支结构的卷积神经网络的网络攻击行为检测方法,其特征在于:步骤2中Relu函数的表达式为:其中,z为前一层神经元的输出值,如果z为向量,则对向量的每一个维度求ReLU。5.根据权利要求1所述的基于多路分支结构的卷积神经网络的网络攻击行为检测方法,其特征在于...
【专利技术属性】
技术研发人员:郑炎,舒玉凤,吴宝花,王建军,
申请(专利权)人:中电福富信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。