一种基于多维安全控制措施模型识别的比对方法与流程

1.本发明涉及系统异常识别技术领域，尤其涉及一种基于多维安全控制措施模型识别的比对方法。


背景技术：

2.随着互联网的发展，大数据、云计算的到来，使得人们在享受这些高科技带来的便利的同时，也越来越容易受到网络攻击和网络犯罪的威胁，目前，网络攻击相比以前更加的灵活和复杂，破坏程度也越来越人的担忧，这也使得网络安全位置的越来越重要，作为网络安全的主动防御手段，网络异常行为检测也越来越受到人们的重视。
3.网络异常行为其具体意义上是通过利用一些技术手段对计算机系统资源进行各个方面的破坏，或者绕过计算机安全机制以及对计算机的网络安全机制进行破坏的行为。这些行为通常会造成计算机资源的浪费、损坏，或者私密资料、信息的泄漏，以及对用户操作的阻碍等。网络异常行为检测是对企图入侵网络的行为进行定性识别和检测的过程，它是一种主动的、动态的保护计算机或者网络的一种安全行为，而不是被动等入侵发生而行动起来的应急措施。
4.深度学习的实质是通过构造出包含很多隐含层的网络结构，以及依托大量的有标记信息或者无标记信息的数据，以此对数据的特征进行自动的学习并提高最后分类结果的准确性，将系统行为数据通过深度学习的方式来丰富基准库，便于对系统行为数据进行安全判定。


技术实现要素：

5.本发明的目的是为了解决现有技术中存在的缺点，而提出基于深度结构的网络异常行为检测模型，可以有效更新系统行为基准库，对系统行为数据进行有效识别与分类的一种基于多维安全控制措施模型识别的比对方法。
6.为了实现上述目的，本发明采用了如下技术方案：一种基于多维安全控制措施模型识别的比对方法，包括以下步骤：
7.s1：构建符合系统网络运行规范的系统行为基准库，将网络异常行为数据归纳到训练集；
8.s2：使用基于基于卷积神经网络的深度学习算法对网络异常行为数据的训练集进行特征训练；
9.s3：使用支持向量机分类算法对测试集数据进行分类；
10.s4：标记分类后的异常数据并剔除。
11.作为上述技术方案的进一步描述：
12.所述步骤s1中，构建的系统行为基准库为可迭代智能增长的基准库。
13.作为上述技术方案的进一步描述：
14.所述步骤s2中，卷积神经网络采用了改进型lenet
‑
5网络结构。
15.作为上述技术方案的进一步描述：
16.所述步骤s3中，支持向量机则采用二分类方式，并使用粒子群算法对其进行参数调优。
17.作为上述技术方案的进一步描述：
18.所述二分类方式为：在训练学习之后，需要对测试数据集进行分类，分类的类别只有两种，即正常和异常，那么网络异常行为的分类其实就是一个二分类的过程。
19.作为上述技术方案的进一步描述：
20.所述步骤s3中，在svm中采用采用高斯核函数来作为支持向量机的核函数，其表达是为
21.其中σ为径向基半径，也是需要确定的量：σ过小时，分类器得到的几乎是一个近乎常量的判别函数，基本上没有意义；σ过大时，训练时产生的错误率低，同样的在实际分类时得到的正确率也会比较低。一般来说，实现时令则优化g就是优化σ。
22.作为上述技术方案的进一步描述:
23.所述在实现svm的参数调优时，基于粒子群算法的参数调优来优化惩罚系数c和高斯核函数的参数g。
24.本发明提供了一种基于多维安全控制措施模型识别的比对方法。具备以下有益效果：
25.该比对方法基于卷积神经网络的特征学习模型与基于支持向量机的模型，并通过与可迭代智能增长的基准库进行对比，可以从多个维度对系统的行为进行可靠分类，实现系统异常行为的检测，保障系统安全可靠的运行。
附图说明
26.图1为本发明提出的一种基于多维安全控制措施模型识别的比对方法的卷积神经网络结构示意图；
27.图2为本发明中改进型lenet
‑
5网络结构的结构示意图；
28.图3为本发明中改进型lenet
‑
5网络结构s1到c2层的结构示意图；
29.图4为本发明中最优超平面的结构示意图；
30.图5为本发明中粒子群算法的流程示意图。
具体实施方式
31.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。
32.一种基于多维安全控制措施模型识别的比对方法，包括以下步骤：
33.s1：构建符合系统网络运行规范的系统行为基准库，将网络异常行为数据归纳到训练集；
34.s2：使用基于基于卷积神经网络的深度学习算法对网络异常行为数据的训练集进行特征训练；
35.s3：使用支持向量机分类算法对测试集数据进行分类；
36.s4：标记分类后的异常数据并剔除。
37.该比对方法基于卷积神经网络的特征学习模型与基于支持向量机的模型，并通过与可迭代智能增长的基准库进行对比，可以从多个维度对系统的行为进行可靠分类，实现系统异常行为的检测，保障系统安全可靠的运行。
38.步骤s1中，构建的系统行为基准库为可迭代智能增长的基准库。
39.步骤s2中，卷积神经网络采用了改进型lenet
‑
5网络结构。
40.卷积神经网络算法如图1所示，其算法核心是反向传播算法，该算法主要包括两个核心阶段：正向传播和逆向传播。其过程为：假设一个网络异常行为检测的样本集为{(x1,y1),(x2,y2),
…
,(x
n
,y
n
)}，其中cnn网络结构有n层，则其x到y的映射表达式可以表示为：在正向传播阶段中，首先从测试集中选取一个测试数据(x
i
,y
i
)，并将x
i
放到cnn网络结构的第一层中。然后，通过第二层进行计算后，将结果作为输入到第三层再进行计算，如此进行层层递推运算，最终得到输出值f
w,b
(x
i
)。接下来就是逆向传播阶段。先计算出通过正向传播阶段计算出的输出值f
w,b
(x
i
)与理想输出值y
i
之间的偏差δ
i
，然后把偏差δ
i
逆向传播，最后按照误差极小化的方法来调整权矩阵。
41.设计的算法中，使用的卷积神经网络结构是根据网络异常行为特征数据修改后的lenet
‑
5的网络结构，如图2所示，其中，最复杂的就是s1到c2层，其连接如图3所示。
42.步骤s3中，支持向量机则采用二分类方式，并使用粒子群算法对其进行参数调优。
43.二分类方式为：在训练学习之后，需要对测试数据集进行分类，分类的类别只有两种，即正常和异常，那么网络异常行为的分类其实就是一个二分类的过程，svm的重点在于如何确定最优超平面，如图4所示，即为找到一条最优直线将两种类别的点分开，要求该直线距离尽可能的远离所有类别的点；
44.svm分类器的性能好坏一定程度上是取决于参数的设置，而其中最重要的参数就是惩罚系数和核函数。惩罚系数设为c，是指把损耗的加入到目标函数中，所以系数c就决定了侧重于那一边。当所有离散点的松弛变量的和一定，其他参数变量不变时，惩罚系数c的值越小，则表示对目标要求越不严格，可以容忍的损耗就越大；而c值越大，则表示要求越严格，也就越不能容忍损耗。每个特征子空间都有一个应用系统所认为的最优解，所以，需要在实际应用中进行惩罚系数c的调优，
45.支持向量机通过某个非线性变换ψ(x)将输入存在的空间通过这个映射关系，变换到高维度的空间中。但是，在高维特征空间中，计算的复杂性由于维数的过高会大大增加，所以这里需要引入核函数；
46.步骤s3中，在svm中采用采用高斯核函数来作为支持向量机的核函数，其表达是为
47.其中σ为径向基半径，也是需要确定的量：σ过小时，分类器得到的几乎是一个近乎
常量的判别函数，基本上没有意义；σ过大时，训练时产生的错误率低，同样的在实际分类时得到的正确率也会比较低。一般来说，实现时令则优化g就是优化σ。
48.在实现svm的参数调优时，基于粒子群算法的参数调优来优化惩罚系数c和高斯核函数的参数g。
49.在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
50.以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。