本发明专利技术涉及一种网络攻击检测的方法,特别是涉及一种基于堆叠稀疏收缩自动编码器(StackedSparseContractiveAutoencoders,SSCA)、模拟退火遗传粒子群优化(GeneticSimulated
【技术实现步骤摘要】
基于混合自编码和双向LSTM的网络入侵检测模型
[0001]本专利技术涉及一种面向网络入侵的检测方法,特别是涉及一种基于混合自编码和双向LSTM(Long
‑
term and Short
‑
term Memory)的网络入侵检测模型。
技术介绍
[0002]目前,人类社会已进入信息时代。人们对互联网的需求和依赖正在显著增加,互联网上的应用也在急剧增加。随着越来越多行业的发展,互联网用户的数量也在相应地增长。此外,互联网的网络环境越来越复杂,各种网络安全问题和隐患也逐渐显现。随着网络使用量的增加,网络安全已成为用户、公司甚至国家的关键问题。在线用户的大部分数据和隐私信息都存储、传输和共享在互联网上。它们为一些网络攻击者提供了诈骗用户资金或通过窃取用户关键信息勒索用户的机会,从而导致用户财产损失。为了获取更多利润,攻击者不断探索新的漏洞并进行更多的攻击,网络漏洞越来越多。因此,识别和检测网络攻击已成为网络安全中的一项重要任务。
[0003]实现网络入侵检测有几个挑战。首先,随着互联网的快速发展,网络访问量急剧增加。服务器每天接收大规模网络请求。数据和应用程序的激增使得从大量数据中检测网络入侵变得困难。其次,网络入侵也在迅速发展。越来越多的新入侵方法和网络漏洞被发现。这些漏洞可能与以前的漏洞有很大不同,传统的检测方法更难识别这些漏洞。最后,互联网的普及也意味着越来越多的用户接入互联网,网络环境变得更加复杂。任何新的服务器和IP地址都可能成为网络入侵的始作俑者。通过标记恶意IP地址来防止入侵的传统方法无法有效发挥保护作用。因此,设计一种更有效的网络入侵检测方法至关重要。
[0004]入侵检测通常被视为一个分类问题。通过将网络活动划分为几个类别,它可以区分入侵和正常网络活动。机器学习算法作为一种有效的工具,已被用于解决各种分类问题。因此,大多数最新的入侵检测系统都是基于机器学习算法、贝叶斯网络、支持向量机、决策树设计的,用于训练和检测网络入侵。虽然传统算法可以帮助识别一些入侵,但它们不能有效地解决大规模分类和多分类任务。在当前复杂的网络环境和日益更新的入侵方法中,仍然存在瓶颈。主要问题是,这些依赖规则库和传统机器学习算法的系统计算复杂,无法适应日益复杂的网络环境。在大数据时代,网络入侵检测效率低,适用性差。此外,它们还难以识别未知入侵,无法处理大规模数据集和实时解决方案中的常见噪声。因此,提供更强大的技术来应对随时间变化的网络入侵至关重要。
技术实现思路
[0005]针对以上现有技术的不足,本专利技术提供一种基于堆叠稀疏收缩自动编码器(Stacked Sparse Contractive Autoencoders,SSCA)、模拟退火遗传粒子群优化(Genetic Simulated
‑
annealing
‑
based Particle Swarm Optimization,GSPSO)、引入注意力机制的双向长短时记忆网络(Attention
‑
based Bidirectional Long
‑
term and Short
‑
term Memory,AB
‑
LSTM)分类器以及决策融合的网络入侵检测方法。包括:基于SSCA的特征提取方
法;基于GSPSO算法实现的参数优化方法;基于AB
‑
LSTM实现的分类器;基于决策融合算法实现的最终结果融合算法。本专利技术的目的通过以下技术方案来实现。
[0006]一种基于混合自编码和双向LSTM的网络入侵检测模型,该方法包括如下的步骤:
[0007]1)将网络流量数据集进行归一化;
[0008]2)在1)的基础上,将归一化后的数据传入SSCA进行特征提取训练;
[0009]3)在2)的基础上,使用GSPSO算法对SSCA的超参数进行优化,并用优化后的SSCA对数据进行特征提取,得到N个特征集;
[0010]4)在3)的基础上,将提取到的N个特征集分别传入N个AB
‑
LSTM分类器中并生成N个分类结果;
[0011]5)在4)的基础上,将生成的N个分类结果传入决策融合算法中,生成融合结果。
附图说明
[0012]图1一种混合自编码和双向LSTM的网络入侵检测模型组成示意图;
[0013]图2 SSCA结构图;
[0014]图3 GSPSO算法执行流程图;
[0015]图4 AB
‑
LSTM分类器结构图。
具体实施方式
[0016]下面将详细描述本专利技术各个方面的特征和示例性实施例。下面的描述涵盖了许多具体细节,以便提供对本专利技术的全面理解。但是,对于本领域技术人员来说显而易见的是,本专利技术可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本专利技术的示例来提供对本专利技术更清楚的理解。本专利技术绝不限于下面所提出的任何具体配置和算法,而是在不脱离本专利技术的精神的前提下覆盖了相关元素、部件和算法的任何修改、替换和改进。
[0017]下面将参照附图1来描述根据本专利技术实施例的一种基于SSCA、GSPSO、AB
‑
LSTM分类器以及决策融合的网络入侵检测方法的具体步骤如下:
[0018]第一步,对网络流量数据进行归一化。
[0019]特征值归一化是将散射特征归一化到一定范围的方法。在网络流量数据集中,一些特征值在最大值和最小值之间有较大跨度。因此,较低数量级的特征属性会变为0,导致特征属性值异常,无法反映原始特征。为了抑制这些异常值的影响并便于结果的比较,采用最小
‑
最大尺度方法根据对特征值进行线性归一化,并将其限制在(0,1)中利于训练和分类。具体的公式如下:
[0020][0021]其中,m为原始数据,表示原始数据中的最大值,表示原始数据中的最小值。
[0022]第二步,将第一步归一化后的数据传入SSCA模型进行特征提取训练。
[0023]自动编码器通常用于深度神经网络的预训练,作为一种强大的特征检测器,将数据输入自动编码器的输入层后,即可在其隐藏层得到输入数据的特征集,为了提取更准确、高维的数据特征,本专利技术在自动编码器中引入了两个损失项,即稀疏损失项和收缩损失项。
[0024]在特征提取中,自动编码器过度使用了一些特定的神经元,这导致了它们对少数神经元的过度依赖。然后,降低了自动编码器的稳定性和泛化能力。为了解决这个问题,这项工作向自动编码器中增加了稀疏损失项,以减少对多个神经元的过多依赖。本专利技术将信息散度作为稀疏项引入网络结构,采用Kullback
‑
Leibler(KL)信息散度作为稀疏损失,并在其定义如下:
[0025][0026]表示训练集中隐藏节点j的平均激活度,ρ表示预期的神经元激活度,通常设置为0.05或0.1。KL发散反映了神经元的激活度与预期的ρ之本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于混合自编码和双向LSTM(Long
‑
term and Short
‑
term Memory)的网络入侵检测模型。其特征在于,该方法包括如下步骤:1)对数据进行归一化;2)将1)处理后的数据传入堆叠稀疏收缩自动编码器(Stacked Sparse Contractive Autoencoders,SSCA)中进行训练;3)在2)的基础上使用模拟退火遗传粒子群优化(Genetic Simulated
‑
annealing
‑
based Particle Swarm Optimization,GSPSO)算法对SSCA的超参数进行优化,并用优化后的SSCA对数据进行特征提取,得到N个特征集;4)将3)处理后的得到的N个特征集,分别传入N个引入注意力机制的双向长短时记忆网络(Attention
‑
based Bidirectional Long
‑
term and Short
‑
term Memory,AB
‑
LSTM)分类器中,得到N个分类结果;5)将4)得到的N个分类结果,通过决策融合算法生成最终的分类结果。2.根据权利要求1所述的方法,其特征在于,所述基于网络流量数据,训练所述入侵检测模型,包括:将网络流量数据进行归一化处理;将归一化处理后的网络流量数据按照初始比例划分为训练集和测试集,根据训练集训练所述网络入侵检测模型,以训练得到网络入侵检测模型的参数。3.根据权利要求1所述的方法,其特征在于,所述基于所述网络入侵检测模型检测入侵,包括:获取网络流量数据集;归一化...
【专利技术属性】
技术研发人员:关子岳,毕敬,苑小帅,
申请(专利权)人:东营市技师学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。