基于多层感知卷积神经网络的网络入侵检测方法及系统

1.本发明涉及网络入侵检测技术领域，特别是涉及一种基于多层感知卷积神经网络的网络入侵检测方法及系统。


背景技术：

2.本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。
3.网络入侵是一种试图破坏计算机和网络系统资源完整性、机密性或可用性的行为。传统的操作系统加固技术和防火墙隔离技术等都是静态的安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应，越来越不能满足现有系统对安全性的要求。
4.网络入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图，是一种主动保护自己免受攻击的一种网络安全技术。作为对防火墙的合理补充，网络入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了网络安全基础结构的完整性。网络入侵检测通常被建模为流量的二分类问题，即判别网络流量是正常还是异常。
5.随着机器学习的兴起，机器学习方法已被广泛应用于网络入侵检测，也使得网络入侵检测有了新的突破，如支持向量机、随机森林、人工神经网络、模糊逻辑等都取得了不错的效果。然而这些方法在应用时往往需要手工提取特征，充当了一种分类器的作用，属于浅层学习。
6.随着入侵数据的多元化、复杂化、巨大化，入侵者攻击手段的智能化、多样化，传统的机器学习方法对网络入侵检测入侵行为检测的有效性也在逐步下降，如何更好地应对数据处理和特征学习，提高网络入侵检测模型的能力等成为亟需解决的问题。


技术实现要素：

7.为了解决上述问题，本发明提出了一种基于多层感知卷积神经网络的网络入侵检测方法及系统，使用包含多层感知器的感知卷积层替代传统卷积神经网络中的卷积层，以此来提高每层的特征提取能力，并通过多尺度特征融合提高对特征的感知能力，提高网络流量分类问题的准确率。
8.为了实现上述目的，本发明采用如下技术方案：
9.第一方面，本发明提供一种基于多层感知卷积神经网络的网络入侵检测方法，包括：
10.获取待测网络环境中的网络流量数据；
11.采用训练后的网络入侵检测模型对网络流量数据进行分类，得到有无网络入侵的识别结果；
12.所述网络入侵检测模型基于多层感知卷积神经网络构建，训练过程包括：对训练样本集，提取由每层感知卷积层输出的不同尺度的特征图，对不同尺度的特征图经上采样
和双线性插值后得到统一尺度的特征图，将统一尺度的特征图串联融合后得到多尺度融合特征，根据多尺度融合特征和训练样本集的分类标签对网络入侵检测模型进行训练。
13.作为可选择的实施方式，所述多层感知卷积神经网络包括四个感知卷积层、四个池化层、多尺度特征融合层和一个softmax分类器。
14.作为可选择的实施方式，每个感知卷积层包括四个二维卷积，卷积核大小分别为5*5、5*5、3*3、3*3；四个池化层中前三层为最大池化层，第四层为全局平均池化层。
15.作为可选择的实施方式，所述多尺度特征融合层中将统一尺度的特征图通过concat函数进行串联融合。
16.作为可选择的实施方式，对获取的网络流量数据在进行分类识别之前进行预处理并转化为idx格式。
17.作为可选择的实施方式，所述预处理过程包括：将网络流量数据进行流量切分、重复流量清理、长度统一处理及可视化处理后，得到灰度图片，将灰度图片转化为idx文件。
18.作为可选择的实施方式，所述长度统一处理过程中，若网络流量数据长度大于设定字节则截取掉超出设定字节的部分，若小于设定字节则在后补零。
19.第二方面，本发明提供一种基于多层感知卷积神经网络的网络入侵检测系统，包括：
20.数据获取模块，被配置为获取待测网络环境中的网络流量数据；
21.入侵检测模块，被配置为采用训练后的网络入侵检测模型对网络流量数据进行分类，得到有无网络入侵的识别结果；
22.所述网络入侵检测模型基于多层感知卷积神经网络构建，训练过程包括：对训练样本集，提取由每层感知卷积层输出的不同尺度的特征图，对不同尺度的特征图经上采样和双线性插值后得到统一尺度的特征图，将统一尺度的特征图串联融合后得到多尺度融合特征，根据多尺度融合特征和训练样本集的分类标签对网络入侵检测模型进行训练。
23.第三方面，本发明提供一种电子设备，包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令，所述计算机指令被处理器运行时，完成第一方面所述的方法。
24.第四方面，本发明提供一种计算机可读存储介质，用于存储计算机指令，所述计算机指令被处理器执行时，完成第一方面所述的方法。
25.与现有技术相比，本发明的有益效果为：
26.本发明提出了一种基于多层感知卷积神经网络的网络入侵检测方法及系统，基于多层感知卷积神经网络(multilayer perceptron convolutional neural network，mlp_cnn)与多尺度特征融合相结合，通过深度学习自动提取特征，弥补了传统的机器学习需要手工设计提取特征的问题，提高检测效率，同时弥补了误报率、漏报率过高、自适应性差(即难以发现新型攻击)的不足。
27.本发明提出了一种基于多层感知卷积神经网络的网络入侵检测方法及系统，使用包含多层感知器的mlpconv层作为非线性函数逼近器，替代传统卷积神经网络中的卷积层，以此来提高每层的特征提取能力，并通过多尺度特征融合提高对特征的感知能力，有效的克服了机器学习中需要手工设计提取特征的问题，提高了流量分类问题的准确率。
28.本发明附加方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得
明显，或通过本发明的实践了解到。
附图说明
29.构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。
30.图1为本发明实施例1提供的基于多层感知卷积神经网络的网络入侵检测方法流程图；
31.图2为本发明实施例1提供的基于多层感知卷积神经网络构建的网络入侵检测模型结构图。
具体实施方式
32.下面结合附图与实施例对本发明做进一步说明。
33.应该指出，以下详细说明都是示例性的，旨在对本发明提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
34.需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本发明的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
35.在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。
36.实施例1
37.本实施例提供一种基于多层感知卷积神经网络的网络入侵检测方法，如图1所示，包括：
38.获取待测网络环境中的网络流量数据；
39.采用训练后的网络入侵检测模型对网络流量数据进行分类，得到有无网络入侵的识别结果；
40.所述网络入侵检测模型基于多层感知卷积神经网络构建，训练过程包括：对训练样本集，提取由每层感知卷积层输出的不同尺度的特征图，对不同尺度的特征图经上采样和双线性插值后得到统一尺度的特征图，将统一尺度的特征图串联融合后得到多尺度融合特征，根据多尺度融合特征和训练样本集的分类标签对网络入侵检测模型进行训练。
41.在本实施例中，预先采集网络原始流量数据，以pcap包的形式保存，其中包括网络正常访问数据和网络攻击数据，并对其添加对应的标签，构成训练样本集；
42.可以理解的，所有网络流量数据的获取都在符合法律法规的基础上所进行的合法应用。
43.在本实施例中，对采集的网络原始流量数据进行预处理并转化为idx格式；具体地：
44.(1)流量切分，将采集到的一份网络原始流量数据切分为多个流量数据，输出形式
为会话+所有层；
45.(2)流量清理，在清理时需要删除没有应用层的数据包，同时由于内容完全相同的重复文件会对训练造成偏差，所以重复文件只需保留一个；
46.需要注意的是，针对训练样本集，在清理完成后，按照7:3的比例分为训练集和测试集；
47.(3)将清理过的文件按照784字节进行统一长度处理，如果文件长度大于784字节则截取，少于784字节则在后面补0；
48.(4)对统一长度后的文件进行可视化处理，即转化为灰度图片；
49.可以理解的，这一步是可选的，为了方便分析，也可直接将清理后的文件直接转化为idx格式；
50.(5)将灰度图片转化为idx文件，输入到网络入侵检测模型中。
51.在本实施例中，所述网络入侵检测模型基于多层感知卷积神经网络构建，结合了多尺度特征融合；所述多层感知卷积神经网络是在卷积神经网络的基础上，将原来传统的卷积层(convolutional layer)改为与多层感知器mlp结合的mlpconv层(multilayer perceptron convolutional layer)；
52.如图2所示，所述多层感知卷积神经网络包括：四个mlpconv层、四个池化层、多尺度特征融合层和一个softmax分类器；
53.其中，每个mlpconv层包括四个二维卷积，卷积核大小分别为5*5、5*5、3*3、3*3；四层池化层中前三层为最大池化层，第四层为全局平均池化层；最后，采用反向传播算法对网络入侵检测模型的参数进行调整；所述多层感知卷积神经网络的结构参数如表1所示：
54.表1多层感知卷积神经网络的结构参数
55.[0056][0057]
在本实施例中，所述网络入侵检测模型对预处理后的网络流量数据进行如下处理：
[0058]
提取每层mlpconv输出的不同尺度的特征图，对不同层输出的不同尺度的特征图进行上采样后，且通过双线性插值将不同尺度的特征图统一到相同尺度，将不同层的相同尺度的特征图通过concat函数串联融合，得到最终的多尺度融合特征；最后通过softmax分类器进行分类并输出分类结果，分类结果包括有网络入侵和无网络入侵。
[0059]
本实施例通过将低层特征和高层特征进行融合，既能保留低层网络对于流量空间细节特征信息表征能力，也能保留高层网络对于流量的语义信息表征能力，提高了流量分类结果的准确性。
[0060]
通过对比实验证明，对比实验结果如表2所示，本实施例检测方法相比于其他入侵检测模型，不仅在整体的检测率上取得了更好的效果，且具有更低的错误报警率。相较于以往的方法，本实施例检测方法在处理高维度、非线性、大数据量的网络流量时取得了良好的效果，通过算法自动提取特征，省去了手工设计提取特征的步骤，极大的减轻了工作量，在应用于真实网络流量数据时取得了良好的效果。
[0061]
表2对比实验结果
[0062]
[0063]
实施例2
[0064]
本实施例提供一种基于多层感知卷积神经网络的网络入侵检测系统，包括：
[0065]
数据获取模块，被配置为获取待测网络环境中的网络流量数据；
[0066]
入侵检测模块，被配置为采用训练后的网络入侵检测模型对网络流量数据进行分类，得到有无网络入侵的识别结果；
[0067]
所述网络入侵检测模型基于多层感知卷积神经网络构建，训练过程包括：对训练样本集，提取由每层感知卷积层输出的不同尺度的特征图，对不同尺度的特征图经上采样和双线性插值后得到统一尺度的特征图，将统一尺度的特征图串联融合后得到多尺度融合特征，根据多尺度融合特征和训练样本集的分类标签对网络入侵检测模型进行训练。
[0068]
此处需要说明的是，上述模块对应于实施例1中所述的步骤，上述模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例1所公开的内容。需要说明的是，上述模块作为系统的一部分可以在诸如一组计算机可执行指令的计算机系统中执行。
[0069]
在更多实施例中，还提供：
[0070]
一种电子设备，包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令，所述计算机指令被处理器运行时，完成实施例1中所述的方法。为了简洁，在此不再赘述。
[0071]
应理解，本实施例中，处理器可以是中央处理单元cpu，处理器还可以是其他通用处理器、数字信号处理器dsp、专用集成电路asic，现成可编程门阵列fpga或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
[0072]
存储器可以包括只读存储器和随机存取存储器，并向处理器提供指令和数据、存储器的一部分还可以包括非易失性随机存储器。例如，存储器还可以存储设备类型的信息。
[0073]
一种计算机可读存储介质，用于存储计算机指令，所述计算机指令被处理器执行时，完成实施例1中所述的方法。
[0074]
实施例1中的方法可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器、闪存、只读存储器、可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。
[0075]
本领域普通技术人员可以意识到，结合本实施例描述的各示例的单元即算法步骤，能够以电子硬件或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
[0076]
上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。