基于一维CNN与GWO-SVM的网络入侵检测方法、系统、装置和可读存储介质制造方法及图纸

本发明专利技术公开了基于一维CNN与GWO

【技术实现步骤摘要】
基于一维CNN与GWO
‑
SVM的网络入侵检测方法、系统、装置和可读存储介质


[0001]本专利技术涉及网络入侵检测
，特别涉及一种基于一维CNN与GWO
‑
SVM的网络入侵检测方法、系统、装置和可读存储介质。

技术介绍

[0002]Anderson于1980年首次提出“入侵检测”概念，将未经授权访问和篡改信息等行为归为网络入侵。早期的入侵检测手段主要通过专家和技术人员建立入侵特征数据库，进而将网络数据与数据库数据进行比较。若特征匹配,则判定为入侵数据；否则，判定为正常访问数据。
[0003]近年来，随着机器学习的迅猛发展，越来越多的研究人员将其应用到入侵检测之中，提出新型入侵检测技术。Tang等采用一种基于支持向量机(Support vector machine,SVM)的层次异常入侵检测技术，可以在较少先验知识的前提下，用于检测新型网络入侵攻击。Hatim等基于K
‑
means聚类提出一种融合的机器学习技术，并构建一个低延时入侵检测系统。Su等将层次分类算法和SVM融合，结合特征选取技术和SVM算法特性，消除不重要数据特征，从而达到缩短训练时间，同时提高DoS和非法探测两种入侵行为的正确率。Raman指出目前的入侵检测技术在稳定性和能否检测出新型网络入侵之间需要做出取舍，提出一种基于Hypergraph和概率的神经网络，可以有效解决网络入侵的分类问题，在算法稳定性和检测正确率上都有所提升。
[0004]然而这些方法虽然能够解决网络入侵的问题，但由于数据集中的原始特征属于浅层特征，不能精确描述类间距离，制约了分类器的分类效果；同时SVM的性能受超参数影响交大，使用默认超参数会限制SVM的正确分类效能。

技术实现思路

[0005]针对上述问题，本专利技术提出了一种基于一维CNN与GWO
‑
SVM的网络入侵检测方法。
[0006]为了实现上述目的，本专利技术所采用的技术方案如下：
[0007]一种基于一维CNN与GWO
‑
SVM的网络入侵检测方法，其特征在于，包括以下步骤：
[0008]S1：获取网络中的网络攻击数据，对数据进行预处理；
[0009]S2：利用一维CNN与GWO
‑
SVM模型处理S1输入的数据：
[0010]S201：基于输入的网络攻击数据，使用一维CNN提取攻击数据的特征；
[0011]S202：利用GWO
‑
SVM模型用于处理S201得到的攻击数据的特征，对特征数据进行分类；
[0012]S3：输出分类后的特征向量，以GWO
‑
SVM模型的分类结果作为检测识别结果。
[0013]进一步地，S201中所述的一维CNN使用ReLU函数作为激活函数修正得到的特征数据。
[0014]进一步地，所述一维CNN结构包括输入层、两个卷积层、两个最大池化层、全连接层
和输出层；输入层后连接第一个卷积层，第一个卷积层后连接一个最大池化层，经过最大池化层后再连接第二个卷积层，第二个卷积层后再连接一个最大池化层，之后再依次连接全连接层和输出层；
[0015]所述卷积层用于提取数据特征，其中第一个卷积层采用32个卷积核，第二个卷积层采用64个卷积核，所述卷积核为1
×
3的一维矩阵；
[0016]所述最大池化层用于对特征数据进一步提取，且两个最大池化层的卷积核为1
×
2的一维矩阵。
[0017]进一步地，采用Dropout方法将所述全连接层中的神经元的权值按照0.5的概率设置为0，用于随机删除部分隐含层神经元。
[0018]进一步地，所述ReLU函数公式为：
[0019][0020]进一步地，S202的具体操作步骤为：
[0021]S221：利用GWO算法计算每个灰狼的适应度值，输出SVM模型的惩罚因子C和核函数参数g的最佳组合，并以得到的C和g来训练SVM模型，建立GWO
‑
SVM入侵检测模型，该模型的建立步骤包括：
[0022]S2211：抽取NSL
‑
KDD数据集中的部分数据，分别获得训练数据集和测试数据集，并对数据集进行归一化处理；
[0023]S2212：设定狼群规模与最大迭代次数，将SVM中的参数C和g设定为狼群个体位置的二维坐标，随机初始化C和g；
[0024]S2213：通过训练集样本对SVM模型进行训练，以计算适应度值：将狼的等级(α狼、β狼、δ狼和ω狼)根据适应度值进行分类，且计算适应度值的公式如下:
[0025][0026]其中，y
t
是正确分类个数，y
f
是错误分类个数。
[0027]S2214：根据位置更新公式(3)更新灰狼的位置：
[0028][0029]其中，t为当前迭代次数；和为系数向量(和均为常数)；表示猎物的位置向量；表示灰狼的位置向量；k＝α、β、δ,i＝1,2,3,表示灰狼进化到第t+1代时猎物的位置向量；
[0030]S2215：计算更新后的个体的适应度值，将当前代数的最优适应度值记录为Fit
best
，如果Fit
best
＞Fit
α
(α狼的适应度)，则Fit
α
被更新为Fit
best
，并记录相应的位置；如果Fit
β
＜Fit
best
＜Fit
α
，则将Fit
best
赋值给β狼，相应的位置更新为β狼的位置；若Fit
δ
＜Fit
best
＜Fit
β
，则将Fit
best
赋值给δ狼，对应位置也更新为δ狼的位置；显然，迭代到当前代数时，α狼的位置就是种群的最优位置；
[0031]S2216：判断迭代次数是否达到最大迭代次数，如果达到，则循环终止，并得到最佳参数C
best
和g
best
；如果未达到，则返回到步骤104继续迭代；
[0032]S2217：使用C
best
和g
best
建立SVM模型；
[0033]S222：将采集到的网络层数据进行预处理操作，并将其作为输入向量输入到GWO
‑
SVM入侵检测模型中；
[0034]S223：基于得到的GWO
‑
SVM入侵检测模型进行分类。
[0035]一种基于一维CNN与GWO
‑
SVM的网络入侵检测系统，其特征在于，包括网络攻击数据获取模块、攻击数据检测模块和检测结果输出模块，其中网络攻击数据获取模块用于获取网络中的网络攻击数据并对得到的数据进行预处理；所述攻击数据检测模块通过一维CNN结构对数据特征进行提取并结合GWO<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于一维CNN与GWO
‑
SVM的网络入侵检测方法，其特征在于，包括以下步骤：S1：获取网络中的网络攻击数据，对数据进行预处理；S2：利用一维CNN与GWO
‑
SVM模型处理S1输入的数据：S21：基于输入的网络攻击数据，使用一维CNN提取攻击数据的特征；S22：利用GWO
‑
SVM模型用于处理S201得到的攻击数据的特征，对特征数据进行分类；S3：输出分类后的特征向量，以GWO
‑
SVM模型的分类结果作为检测识别结果。2.根据权利要求1所述的基于一维CNN与GWO
‑
SVM的网络入侵检测方法，其特征在于，S201中所述的一维CNN使用ReLU函数作为激活函数修正得到的特征数据。3.根据权利要求2所述的基于一维CNN与GWO
‑
SVM的网络入侵检测方法，其特征在于，所述一维CNN结构包括输入层、两个卷积层、两个最大池化层、全连接层和输出层；输入层后连接第一个卷积层，第一个卷积层后连接一个最大池化层，经过最大池化层后再连接第二个卷积层，第二个卷积层后再连接一个最大池化层，之后再依次连接全连接层和输出层；所述卷积层用于提取数据特征，其中第一个卷积层采用32个卷积核，第二个卷积层采用64个卷积核，所述卷积核为1
×
3的一维矩阵；所述最大池化层用于对特征数据进一步提取，且两个最大池化层的卷积核为1
×
2的一维矩阵。4.根据权利要求3所述的基于一维CNN与GWO
‑
SVM的网络入侵检测方法，其特征在于，采用Dropout方法将所述全连接层中的神经元的权值按照0.5的概率设置为0，用于随机删除部分隐含层神经元。5.根据权利要求2所述的基于一维CNN与GWO
‑
SVM的网络入侵检测方法，其特征在于，所述ReLU函数公式为：6.根据权利要求1所述的基于一维CNN与GWO
‑
SVM的网络入侵检测方法，其特征在于，S22的具体操作步骤为：S221：利用GWO算法计算每个灰狼的适应度值，输出SVM模型的惩罚因子C和核函数参数g的最佳组合，并以得到的C和g来训练SVM模型，建立GWO
‑
SVM入侵检测模型，该模型的建立步骤包括：S2211：抽取NSL
‑
KDD数据集中的部分数据，分别获得训练数据集和测试数据集，并对数据集进行归一化处理；S2212：设定狼群规模与最大迭代次数，将SVM中的参数C和g设定为狼群个体位置的二维坐标，随机初始化C和g；S2213：通过训练集样本对SVM模型进行训练，以计算适应度值：将狼的等级：α狼、β狼、δ狼和ω狼，根据适应度值进行分类，且计算适应度值的公式如下:其中，y
t
是正确分类个数，y
f
是错误分类个数；S2214：根据位置更新公式(3)更新灰狼的位置：
其中，t为当前迭代次数；和为系数向量(和均为常数)；表示猎物...

【专利技术属性】
技术研发人员：陈晨，宋亚飞，薛云刚，李晓星，王广华，杨林涛，
申请(专利权)人：中国人民解放军空军工程大学，
类型：发明
国别省市：