基于DBN和SOFTMAX的网络入侵检测模型
基于机器学习的网络入侵检测系统
基于机器学习的网络入侵检测系统网络入侵是指在计算机网络中,未经授权的个人或组织通过各种手段非法进入他人计算机系统,窃取、破坏或篡改信息的行为。
随着互联网的快速发展,网络入侵事件日益多发,给个人和组织的信息安全带来了巨大的威胁。
为了保护计算机系统的安全,不断提高网络安全防护能力,基于机器学习的网络入侵检测系统应运而生。
机器学习是一种人工智能的分支领域,它通过让计算机自动学习和适应数据,提高系统的性能和效果。
在网络入侵检测中,机器学习算法可以通过训练数据学习网络正常行为的模式,从而识别出异常或恶意的网络行为。
下面将介绍基于机器学习的网络入侵检测系统的原理和应用。
基于机器学习的网络入侵检测系统首先需要收集大量的网络数据作为训练样本。
这些数据包括网络流量数据、网络日志数据以及其他与网络行为相关的信息。
通过对这些数据的分析和特征提取,可以建立一种描述网络行为的模型。
在训练阶段,机器学习算法会根据这些模型对网络数据进行学习和训练,以识别网络正常行为的模式。
在模型训练完成后,基于机器学习的网络入侵检测系统可以应用于实际的网络环境中。
当有新的网络数据输入系统时,系统将会根据之前学习的模型,对网络数据进行分类。
如果某一网络数据与正常行为的差异较大,系统会将其判定为异常行为,可能是一次网络入侵尝试。
系统可以根据预设的规则和策略,对异常行为进行进一步分析和处理,以保护网络安全。
基于机器学习的网络入侵检测系统具有以下几个优势。
首先,相比传统的基于规则的入侵检测系统,它能够通过学习数据建立模型,自动识别新的入侵行为,具有更好的适应性和鲁棒性。
其次,由于机器学习算法能够处理大规模数据,并从中学习到潜在的模式,因此可以更好地发现隐藏在海量数据中的入侵行为。
此外,基于机器学习的网络入侵检测系统可以实时监测网络行为,快速响应入侵事件,提高网络安全的响应能力。
基于机器学习的网络入侵检测系统在实际应用中已经取得了显著的成果。
通过从海量数据中分析恶意行为的模式,这种系统能够准确地识别出传统入侵检测系统所难以捕捉到的网络入侵行为。
基于深度学习的网络入侵检测系统研究
基于深度学习的网络入侵检测系统研究摘要:网络入侵日益成为网络安全领域的重要问题,传统的入侵检测系统往往无法有效应对复杂多变的网络攻击。
本文通过引入深度学习技术,研究了一种基于深度学习的网络入侵检测系统。
该系统利用深度神经网络对网络流量数据进行分析和判断,能够实现实时、准确地检测网络入侵行为。
实验结果表明,该系统在检测精度和处理速度上显著优于传统的入侵检测系统。
1. 引言网络入侵行为对网络安全造成了严重威胁,传统的入侵检测系统往往采用基于规则的方法,但这种方法存在规则维护困难、无法应对未知攻击等问题。
深度学习作为一种基于数据驱动的方法,可以自动从大量数据中学习特征,并能够适应各种复杂多变的攻击手段。
因此,基于深度学习的网络入侵检测系统成为了当前研究的热点之一。
2. 深度学习在网络入侵检测中的应用深度学习通过构建深层次的神经网络模型,不仅可以自动学习到网络流量中的复杂非线性特征,还可以通过端到端的方式对输入数据进行分类和判断。
在网络入侵检测中,我们可以借助深度学习对网络流量中的异常行为进行建模和识别。
2.1 数据预处理在进行深度学习之前,我们需要对原始的网络流量数据进行预处理。
首先,我们需要对数据进行清洗和去噪,去除无用的特征和异常数据。
其次,我们需要对数据进行归一化处理,将数据映射到合适的范围内,以加快网络模型的训练速度和提高模型的鲁棒性。
2.2 深度神经网络模型设计在网络入侵检测中,我们可以构建各种不同的深度神经网络模型。
常用的模型包括卷积神经网络(CNN)、循环神经网络(RNN)和长短期记忆网络(LSTM)。
这些模型可以自动从数据中提取特征,并将特征映射到合适的维度上,以便进行后续的分类和判断。
2.3 深度学习模型的训练与优化深度学习模型的训练需要大量的标注数据和计算资源。
在网络入侵检测中,我们可以利用已知的入侵样本进行有监督的训练,同时也可以利用未知的正常样本进行无监督的训练。
为了提高模型的泛化能力和鲁棒性,我们可以采取一系列的优化策略,如正则化、批量归一化、随机失活等。
基于深度学习的网络入侵检测系统
基于深度学习的网络入侵检测系统随着网络技术的不断发展,网络安全已经成为一个亟待解决的问题。
在这个信息爆炸的时代,大量敏感信息存储在各种网络应用中,如何保护这些信息的安全性成为了重要的任务之一。
网络入侵是网络安全中最棘手的问题之一,它可能导致用户信息泄露、系统崩溃等严重后果。
因此,建立高效可靠的网络入侵检测系统具有重要意义。
传统的网络入侵检测系统主要基于规则的方法,这种方法需要人工定义规则,并通过匹配流量中的关键特征进行判断。
然而,随着网络流量的增长和攻击手段的复杂化,传统的方法面临着识别率低、误报率高等问题。
为解决这一问题,近年来深度学习技术被广泛应用于网络入侵检测系统。
深度学习是一种通过模仿人类神经网络结构和算法进行机器学习的方法。
它可以自动学习和提取复杂的特征,从而提高网络入侵检测系统的准确性和适应性。
常用的深度学习算法包括卷积神经网络(CNN)、循环神经网络(RNN)和长短期记忆网络(LSTM)等。
在基于深度学习的网络入侵检测系统中,首先需要构建一个合适的数据集用于模型的训练。
这个数据集一般包括正常流量和已知攻击流量。
通过大量的训练,深度学习模型会自动学习到正常流量和攻击流量的特征,从而能够准确判断新流量是否是入侵行为。
构建数据集后,就需要搭建深度学习模型。
以卷积神经网络为例,可以利用多层卷积和池化操作进行特征提取,再经过全连接层进行分类。
循环神经网络和长短期记忆网络则适用于具有时序特征的入侵检测,如网络会话数据。
通过训练深度学习模型,可以得到一个高准确率的网络入侵检测系统。
但是,深度学习模型的训练过程需要大量的计算资源和时间。
为了解决这个问题,可以利用图像处理技术将网络流量转化为图像,然后利用预训练好的卷积神经网络进行特征提取。
这种方法大大降低了训练的时间和计算资源消耗。
然而,基于深度学习的网络入侵检测系统仍然存在一些挑战。
首先,深度学习模型需要大量的标注数据来进行训练,而在网络安全领域,获取这些标注数据是非常困难的。
基于深度学习的网络入侵检测系统部署方案研究
基于深度学习的网络入侵检测系统部署方案研究一、引言随着互联网和网络技术的不断发展,网络安全问题越来越受到人们的关注。
网络入侵成为威胁网络安全的一个重要问题,给个人和组织带来了严重的损失。
因此,构建一套有效的网络入侵检测系统对于确保网络安全至关重要。
本文基于深度学习技术,对网络入侵检测系统的部署方案进行研究。
二、深度学习在网络入侵检测中的应用深度学习是一种基于人工神经网络的机器学习方法,具有强大的学习能力和模式识别能力。
在网络入侵检测中,深度学习可以通过学习大量的网络数据,自动提取特征并进行入侵检测,相比传统的规则或特征基于方法,具有更高的准确率和适应性。
三、网络入侵检测系统的架构设计网络入侵检测系统的架构包括数据采集、特征提取、模型训练和入侵检测四个环节。
其中,数据采集负责监控网络流量,获取原始数据;特征提取将原始数据转化为可供深度学习模型处理的特征向量;模型训练使用深度学习算法对提取的特征进行训练,并生成入侵检测模型;入侵检测将实时流量与模型进行匹配,判断是否存在入侵行为。
四、数据采集数据采集是网络入侵检测系统的基础,可使用流量转发、网络监听或代理等方式获取网络流量数据。
采集的数据应包括网络包的源IP地址、目的IP地址、协议类型、传输端口等信息,用于后续的特征提取和训练。
五、特征提取特征提取是网络入侵检测系统中的关键环节,决定了后续模型训练和入侵检测的准确性。
常用的特征提取方法包括基于统计、基于模式匹配和基于深度学习等。
基于深度学习的方法通过卷积神经网络或循环神经网络等结构,自动学习网络流量中的高级特征,提高了入侵检测的准确率。
六、模型训练模型训练基于深度学习算法,使用已经提取的特征向量作为输入,通过多层神经网络进行训练。
常用的深度学习算法包括卷积神经网络(CNN)、长短时记忆网络(LSTM)和深度信念网络(DBN)等。
模型训练过程中需要使用大量标记好的入侵和非入侵数据,通过反向传播算法不断调整网络参数,提高模型对入侵行为的识别能力。
基于深度学习的网络入侵检测技术研究
基于深度学习的网络入侵检测技术研究随着互联网的迅猛发展,网络安全问题也日益突出。
网络入侵行为给个人和组织带来了巨大的损失和风险。
因此,网络入侵检测技术的研究和应用变得至关重要。
近年来,深度学习作为一种强大的数据分析工具,已经在各个领域取得了显著的成果。
本文将讨论基于深度学习的网络入侵检测技术研究。
一、深度学习简介深度学习是机器学习领域的一个重要分支,其核心思想是模拟人脑神经网络的学习和识别能力。
相比传统的机器学习方法,深度学习通过多层次的神经网络结构来学习数据的表征,能够自动提取特征并进行高效的分类和预测。
二、网络入侵检测的问题和挑战网络入侵检测是指通过监测和分析网络流量中的异常行为来识别潜在的入侵者和安全威胁。
然而,传统的入侵检测方法往往依赖于专家设计的规则或者特征工程,无法适应不断变化的网络安全环境。
此外,网络入侵涉及大量的数据和复杂的模式,传统方法往往无法有效捕捉到其中的隐藏规律和关联性。
三、基于深度学习的网络入侵检测技术基于深度学习的网络入侵检测技术通过使用深层次的神经网络结构来自动学习和提取网络流量中的特征,并进行入侵行为的分类和预测。
相比传统方法,基于深度学习的入侵检测技术具有以下优势:1. 自动学习特征:深度学习能够从原始的网络流量数据中自动学习到最具代表性的特征,无需依赖于繁琐的特征工程。
2. 多层次表示:深度学习模型可以通过多层次的神经网络结构来学习不同层次的特征表示,从而提高检测的准确性和泛化能力。
3. 强大的泛化能力:深度学习通过大规模的训练数据和优化算法,能够捕捉到网络入侵中的隐含规律和关联性,具有较强的泛化能力。
4. 实时响应:基于深度学习的入侵检测技术能够实时处理大规模的网络流量数据,并快速准确地检测到入侵行为,提高了网络安全的响应速度。
四、基于深度学习的网络入侵检测模型基于深度学习的网络入侵检测模型可以分为两类:基于传统神经网络的模型和基于卷积神经网络的模型。
1. 基于传统神经网络的模型:传统的神经网络模型如多层感知机(Multi-Layer Perceptron, MLP)和循环神经网络(Recurrent Neural Network, RNN)可以应用于网络入侵检测任务。
基于机器学习的网络入侵检测与防御系统
基于机器学习的网络入侵检测与防御系统网络入侵对个人和组织的网络资产造成了严重的威胁。
为了保护网络安全,传统的网络入侵检测与防御系统已经变得不够强大和灵活。
随着机器学习算法的发展,利用机器学习来构建网络入侵检测与防御系统已经成为一种重要的趋势。
一、机器学习在网络入侵检测与防御中的应用现代网络环境中存在大量的网络数据流量,传统的基于规则的入侵检测系统面对这种复杂的场景往往效果不佳。
而机器学习算法通过训练模型,可以从大量的网络数据中学习到网络攻击的特征,从而准确地检测出网络入侵行为。
1.1 机器学习算法的选择在网络入侵检测与防御系统中,选择适合的机器学习算法是非常关键的。
常用的机器学习算法包括决策树、支持向量机、朴素贝叶斯、神经网络等。
不同的算法适用于不同的应用场景,需要根据实际情况选择最适合的算法。
1.2 特征选择与提取在构建网络入侵检测系统时,选择合适的特征对于提高检测的准确度非常重要。
网络入侵的特征可以包括源IP地址、目的IP地址、端口号、协议等。
通过特征选择和提取,可以从大量的网络数据中提取出与入侵行为相关的特征,用于训练机器学习模型。
1.3 模型训练与优化在网络入侵检测与防御系统中,模型的训练是一个重要的过程。
通过使用已标记的网络数据进行训练,机器学习模型可以学习到网络入侵的模式和特征。
同时,在训练过程中需要对模型进行不断的优化,以提高检测的准确性和效率。
二、机器学习在网络入侵检测与防御系统中的挑战尽管机器学习在网络入侵检测与防御中具有巨大的潜力,但仍然面临一些挑战。
2.1 数据集不平衡网络入侵数据往往是一个不平衡的数据集,正常流量的样本数量远远多于入侵行为的样本数量。
这会导致机器学习模型在训练过程中对于正常流量的判断准确率较高,但对于入侵行为的判断准确率较低。
解决这个问题的方法可以是采用数据预处理技术,如欠采样或过采样,来平衡数据集。
2.2 新型入侵行为的检测随着网络攻击技术的不断演进,新型的入侵行为和攻击手段不断出现。
基于机器学习的网络入侵检测技术综述
基于机器学习的网络入侵检测技术综述随着互联网的迅速发展和普及,网络安全问题也日益突出。
网络入侵成为一个严重的威胁,给个人、企业乃至国家带来了巨大的损失。
为了提高网络安全水平,研究人员提出了各种网络入侵检测技术。
其中,基于机器学习的方法因其高效且准确的特点而备受关注。
本文将对基于机器学习的网络入侵检测技术进行综述。
首先,我们需要了解什么是网络入侵。
网络入侵指的是未经授权的个人或组织通过网络对目标系统进行非法活动,例如窃取数据、破坏系统等。
传统的网络入侵检测方法主要是通过特征匹配,即事先定义好的规则匹配入侵行为所具有的特征。
但是,这种方法往往难以适应日益复杂多变的入侵手段。
基于机器学习的网络入侵检测技术通过训练算法从大量的网络数据中学习入侵模式,进而对新的网络流量进行分类。
其中,最常用的机器学习算法包括支持向量机(SVM)、决策树、朴素贝叶斯等。
支持向量机是一种常用的分类算法,它通过找到一个超平面将不同类别的数据分开。
在网络入侵检测中,支持向量机可以学习到入侵和正常流量的不同特征,从而能够对新的数据进行准确分类。
然而,支持向量机的训练过程比较耗时,且对于大规模数据的处理存在困难。
决策树是一种以树形结构表示的分类模型,它能够根据特征的重要性依次进行划分。
在网络入侵检测中,决策树可以根据网络流量的各种特征进行分类。
与支持向量机相比,决策树的训练速度更快,但在处理高维数据和特征选择上存在一定的困难。
朴素贝叶斯是一种基于贝叶斯定理的分类算法,它假设各个特征之间是相互独立的。
在网络入侵检测中,朴素贝叶斯可以学习到入侵和正常流量之间的概率分布,从而能够对新的数据进行分类。
然而,朴素贝叶斯算法对于特征之间的依赖关系的处理存在一定的局限性。
除了上述几种常用的机器学习算法,还有一些其他的技术被应用于网络入侵检测中。
例如,深度学习算法,如卷积神经网络(CNN)和循环神经网络(RNN),能够提取更复杂的特征,从而提高网络入侵检测的准确性。
基于深度置信网的电力系统恶意软件检测
基于深度置信网的电力系统恶意软件检测葛朝强,葛敏辉,翟海保,张亮(国家电网公司华东分部,上海200120)摘要:为了实现对电力系统未知恶意软件的准确检测,本文提出了一种基于深度置信网(DBN)的恶意软件检测系统。
该系统将恶意软件解构为操作码序列,提取其中具有检测价值的特征向量,并使用DBN 分类器实现恶意代码的分类。
通过分类性能、特征提取和未标记数据训练的实验,证明了基于DBN 的分类器能够使用未标记数据进行训练且具有优于其他分类算法的准确性,基于DBN 的自动编码器可以有效地明显减小特征向量的维数。
关键词:恶意软件检测;DBN;深度学习;信息安全中图分类号:TP391文献标识码:A文章编号:1003-7241(2021)004-0062-06Power System Malware DetectionBased on Deep Confidence NetworkGE Chao -qiang,GE Min -hui,ZHAI Hai -bao,ZHANG Liang(East China Branch,State Grid Corporation,Shanghai 200120China )Abstract:In order to achieve accurate detection of unknown malware in power system,this paper proposes a malware detection sys-tem based on Deep Trusted Network (DBN).The system deconstructs the malware into an opcode sequence,extracts the feature vector with the detection value,and uses the DBN classifier to classify the malicious code.Through the experi-ments of classification performance,feature extraction and unlabeled data training,it is proved that DBN-based classifiers can use unlabeled data for training and have better accuracy than other classification algorithms.The DBN-based automat-ic encoder can effectively reduce the dimension of the feature vector significantly.Key words:malware detection;DBN(Deep Belief Networks);deep learning;information security收稿日期:2019-10-301引言旨在对计算机系统造成不良影响或有害影响的恶意软件已严重威胁电力系统的安全,因此如何检测恶意软件一直是电力系统和电力网络安全的中心问题[1-3]。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
山东农业大学学报(自然科学版),2019,50(2):274-276,349VOL.50NO.22019 Journal of Shandong Agricultural University(Natural Science Edition)doi:10.3969/j.issn.1000-2324.2019.02.022基于DBN和SOFTMAX的网络入侵检测模型魏嘉毅,安琪,周超北方自动控制技术研究所,山西太原030006摘要:针对目前对于网络入侵检测准确率不高的问题,本文提出一种基于深度置信网络(Deep Belief Networks,DBN)和SOFTMAX的入侵检测模型。
该模型可以自动地对网络信息进行拦截、处理并进行入侵检测。
为了验证该模型的有效性,本文将KDD CUP99-10%和KDD CUP99-Correct数据集作为实验对象,总正确率分别达到了99.67%和99.42%。
通过对比实验,将DBN和BP神经网络,TANN等算法进行对比,实验结果证明DBN-SOFTMAX相较于其他算法具有更高的检测效果。
关键词:网络安全;入侵检测模型;深度置信网络;SOFTMAX中图法分类号:TP393.08文献标识码:A文章编号:1000-2324(2019)02-0274-03The Model of Internet Intrusion Detection DBN and SOFTMAX WEI Jia-yi,AN Qi,ZHOU ChaoNorth Institute of Automatic Control Technology,Taiyuan030006,ChinaAbstract:In view of a present low accuracy in network intrusion detection,this paper proposed a model of internet intrusion detection on Deep Belief Network(DBN)and SOFTMAX to be able to automatically intercept and detect an intrusion.In order to verify the validity of the model,the total accuracy of KDD cup99-10%and KDD cup99-correct data set was 99.67%and99.42%pared with DBN and BP neural network and TANN,the DBN-SOFTMAX had the better effect than other algorithms in internet intrusion detection.Keywords:Internet security;intrusion detection model;DBN;SOFTMAX在现代战争中,网络战这种高科技作战式样正在越来越被各国所重视,网络入侵行为不仅数量大而且类型复杂,因此需要一个具有更强大的处理能力的入侵检测系统来与之进行对抗。
目前的入侵检测面临的问题有两个,一是误报问题,入侵检测系统需要很好的识别出用户的正常行为和入侵行为[1]。
二是如何处理瞬时的高数据量的入侵行为,因此如何更高效的处理以上两个问题成了当前入侵检测研究的热点。
近年来随着神经网络的发展,深度置信网络(Deep Belief Networks,后文都统称为DBN)的提出为解决复杂数据的学习问题提供了一种很好的思路。
DBN的拟合能力强,表征能力高,可以快速准确的识别出入侵行为并对其作出相应的处理。
从1980年James PA提出入侵检测的概念以来[2],越来越多的学者将机器学习应用于入侵检测,比如Guevara C提出的与知识提取相结合[3],Dash T提出的将进化算法用于入侵检测以提高其实时性[4]。
国内方面对于入侵检测的研究近年来也有了很多成果,叶炼炼利用BBO算法来优化KELM以提高检测效果[5],闫新娟在入侵检测分析中加入了隐马尔科夫模型[6],刘莘等人验证决策树在入侵检测中也可以达到很好的效果[7]。
但是目前还很少有人在入侵检测数据分析中使用DBN,所以本文将尝试把DBN用于入侵检测的分析中,希望提高分类的准确性和模型识别能力。
1受限玻尔兹曼机的模型介绍DBN是神经网络的一种,他的特点是分类的错误率小,可以得到很好的特征表达,因此选择DBN作为入侵检测的核心处理模块。
作为神经网络,DBN是由以受限玻尔兹曼机为组成元件的若干层神经元所组成。
受限玻尔兹曼机(RBM)是随机生成的神经网络的一种,他通过输入数据集学习概率分布,本质上是为网络状态定义一个“能量”,能量最小化时网络达到理想状态,而网络的训练就是在最小化这个函数,对于一组给定的状态(v,h),可以定义能量函数为公式1。
收稿日期:2018-04-13修回日期:2018-05-21基金项目:军委装备发展部预研基金资助项目(YYZF1707-07)作者简介:魏嘉毅(1992-),男,硕士研究生,主要研究方法为系统工程.E-mail:404364142@数字优先出版:2019-04-20第2期魏嘉毅等:基于DBN 和SOFTMAX 的网络入侵检测模型·275·∑∑∑∑====---=ni mj n i m j j ij i j j i i h w v h b v a h v E 1111),(θ(1)其中m 和n 分别表示可见神经元节点数和隐藏神经元节点数,v 和h 分别表示显层和隐层的状态向量,a 和b 分别表示显层和隐层的阈值向量,记θ=(w ,a ,b )表示RBM 中的各参数向量的连接,w ij 神经元表示i 与j 之间的连接权。
将(1)变换为矩阵向量形式:v T T T w h h b v a h v E ---=),(θ(2)利用能量函数给出联合概率分布:),(),(h v E e Z h v P θθθ-=1(3)其中∑-=),()(θθθh v E e Z 被称作为配分函数。
由上式可知,E θ(v ,h )越小,P θ(v )越大,表示这个情况下的v ,h 出现的可能性越大。
根据上一步推导出的联合概率分布,我们可以得出v 的概率分布,即P θ(v ,h )的似然函数,公式如下:∑∑-==h h v E h e Z h v P v P ),(),()(θθθθ1(4)∑∑-==v h v E v e Z h v P h P ),(),()(θθθθ1(5)这一步是整个模型的关键,这个公式可以得出在条件θ下v 可能出现的概率。
通过对比刚刚推导出的P θ(v )和真实可见层的P (v ),通过不断的训练来更改权重w 和隐藏层h 的值,便可以使得模型很好的拟合可见层的真实概率分布。
为了使RBM 达到最佳状态,我们选择采用对比散度算法(Contrastive Divergence)对其进行训练,CD 算法的基本思想是将RBM 的隐藏层作为训练样本的起点,以通过少量的状态转移就可以达到RBM 的分布状态。
CD 算法一开始,将可见层的节点利用公式(6)计算出隐藏层的状态值,之后带入公式(7)中得到可视节点为1时的概率,然后将其作为真实的模型代入RBM 的∆中进行梯度下降算法。
)()(iv i i W c sigmoid v h P +==1(6))jh i j W b sigmoid h v P '+==()(1(7)2基于DBN-SOFTMAX 的入侵检测模型在DBN 中,每层都是一个受限玻尔兹曼机(Restricted Boltzmann Machine,RBM),即整个网络可视为若干个RBM 堆叠而成,使用无监督逐层训练后,再利用BP 算法等对整个网络进行训练。
因为BP 网络采用了梯度下降的思路,误差会随着网络向前传播,层数越高,误差会越小,难以对参数修改起到足够作用,而RBM 将除最后层的权重变为双向,这样最后层仍为单层BP 网络,而其他层变为了图模型。
这样的结构设计解决了BP 神经网络收敛速度慢训练时间长和不保证其权值为误差平面的全局最小值的问题。
考虑到在军用网络系统中要求快速准确的识别并处理入侵,我们参考相关文献后选择使用三层RBM 的堆叠、一层BP 神经网络和一层SOFTMAX 分类器作为入侵检测模型。
我们仿照入侵检测通用模型尝试设计了基于DBN-SOFTMAX 的入侵检测模型,通用模型如图1所示,在通用模型的基础上调整了具体模块间的结构,并且使用DBN-SOFTMAX 作为核心处理模块。
整个模型包括网络探测单元、数据预处理单元、数据存储单元和DBN 异常处理单元。
具体单元间关系如图2所示。
图1通用入侵检测模型图2基于DBN-SOFTMAX 入侵检测模型Fig.1The general intrusion detection model Fig.2The intrusion detection model on DBN-SOFTMAX网络探测器:是入侵检测系统的基本模块,该模块的功能是拦截和采集网络中所有流量信息,并在数据预处理模块中对截获信息进行处理,在本实验中主要采用对于路由器端口的监听手段。
·276·山东农业大学学报(自然科学版)第50卷●数据预处理单元:在该单元中共有三种需要处理的数据,根据来源和类型分为本地信息和网络信息,现有入侵类型和新型入侵类型。
在本单元中,将数据通过数据清洗、数据集成、数据变换和数据规约将数据处理后输入到DBN单元。
●数据存储单元:数据库是用于存储数据预处理模块形成的标准数据集。
其中,实际网络标准数据集、本地网络数据标准数据集、本地新型异常标准数据集分别在数据库中存储。
●异常处理单元:是模型中的核心单元,它的主要功能是训练和抽象上一个单元中预处理后的数据。
在本异常处理单元中,分别将本地和网路中采集到的各种攻击类型的数据作为DBN的训练集,训练该单元对于攻击的识别效果,并将新数据加入至数据库中,当数据库累计至一定数值的时候重新将数据库中的网络数据作为输入进行训练,从而进一步提高对于现实入侵数据的识别率。
3实验仿真3.1实验数据介绍与预处理本文采用KDD CUP99-10%和KDD CUP99-Correct作为数据集[8]。
该数据集模仿真实的网络环境仿真了各种攻击类型,其中被分成了有标识的训练数据和无标识的测试数据,测试数据中包括了之前未出现的异常类型。
在这个数据集中,包括一种正常数据Normal类和22种出现在训练集中的攻击类型,另外还有14种是只出现在测试集中。