CN115086029A - 一种基于双通道时空特征融合的网络入侵检测方法 - Google Patents
一种基于双通道时空特征融合的网络入侵检测方法 Download PDFInfo
- Publication number
- CN115086029A CN115086029A CN202210672884.XA CN202210672884A CN115086029A CN 115086029 A CN115086029 A CN 115086029A CN 202210672884 A CN202210672884 A CN 202210672884A CN 115086029 A CN115086029 A CN 115086029A
- Authority
- CN
- China
- Prior art keywords
- network
- feature
- detected
- features
- layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 66
- 230000004927 fusion Effects 0.000 title claims abstract description 41
- 238000010606 normalization Methods 0.000 claims abstract description 14
- 238000012544 monitoring process Methods 0.000 claims abstract description 11
- 238000012549 training Methods 0.000 claims description 30
- 238000000605 extraction Methods 0.000 claims description 26
- 230000006870 function Effects 0.000 claims description 26
- 238000000034 method Methods 0.000 claims description 26
- 230000002123 temporal effect Effects 0.000 claims description 13
- 230000004913 activation Effects 0.000 claims description 12
- 239000011159 matrix material Substances 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 9
- 238000012886 linear function Methods 0.000 claims description 6
- ORILYTVJVMAKLC-UHFFFAOYSA-N Adamantane Natural products C1C(C2)CC3CC1CC2C3 ORILYTVJVMAKLC-UHFFFAOYSA-N 0.000 claims description 4
- 230000002457 bidirectional effect Effects 0.000 claims description 4
- 238000004422 calculation algorithm Methods 0.000 claims description 4
- 238000011176 pooling Methods 0.000 claims description 3
- 239000002131 composite material Substances 0.000 claims description 2
- 238000013527 convolutional neural network Methods 0.000 description 10
- 238000002474 experimental method Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000013135 deep learning Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000012706 support-vector machine Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 208000018208 Hyperimmunoglobulinemia D with periodic fever Diseases 0.000 description 2
- 206010072219 Mevalonic aciduria Diseases 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000008260 defense mechanism Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000010355 oscillation Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000007637 random forest analysis Methods 0.000 description 2
- DTXLBRAVKYTGFE-UHFFFAOYSA-J tetrasodium;2-(1,2-dicarboxylatoethylamino)-3-hydroxybutanedioate Chemical compound [Na+].[Na+].[Na+].[Na+].[O-]C(=O)C(O)C(C([O-])=O)NC(C([O-])=O)CC([O-])=O DTXLBRAVKYTGFE-UHFFFAOYSA-J 0.000 description 2
- 238000002679 ablation Methods 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000003197 catalytic effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000002790 cross-validation Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000015654 memory Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
- 238000012732 spatial analysis Methods 0.000 description 1
- 239000003643 water by type Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于双通道时空特征融合的网络入侵检测方法,包括:从监控网络中收集网络流量数据,生成待检测样本集;对生成的待检测样本集中的字符型特征进行one‑hot编码,并对待检测样本的所有特征进行Min‑Max归一化,得到预处理完的待检测样本集;将预处理完的待检测样本输入到训练好的双通道时空特征融合网络进行检测,得到待检测样本的检测结果;若检测的结果为攻击流量数据,则对监控网络中的数据来源进行隔离,并通知管理员,若检测的结果为正常流量数据,则允许该流量正常通过。本发明能够有效提取网络流量数据的空间特征和时序特征,并降低入侵检测模型的复杂性,具有更好的特征表示能力和更高的检测率。
Description
技术领域
本发明属于网络安全领域,涉及网络入侵检测技术,具体涉及一种基于双通道时空特征融合的网络入侵检测方法。
背景技术
随着互联网和传感器技术的快速发展,人机交互、设备与设备之间的通信(Deviceto Device,D2D)交互使得生活更加便利。然而网络之间的结构越来越呈现出动态性和异构性,从单一的集中式结构到分布式和集中式混合结构,此外,由于大多数传感器设备的低廉和网络缺乏安全有效的防御机制,网络中充斥着各种类型的网络攻击,网络攻击者的攻击技术在不断的发展。例如攻击者可以通过修改军事监视数据来入侵其它国家的水域;也可以通过对监测区域发起分布式拒绝服务攻击(Distributed Denial of Service,DDoS),使节点能量耗尽而消失。攻击者还可以非法访问未授权的传感器网络并篡改数据,破坏了网络的可用性、完整性和可靠性。如何有效的检测网络中的攻击是网络安全领域亟需解决的重要问题。
传统的安全机制防火墙、用户身份认证和加密技术等在当今面对日益多样化的攻击类型已经难以识别出经过伪装的攻击,例如,当密钥暴露并被攻击者获取时,加密技术完全失效。
入侵检测作为一种主动式防御机制,不仅能够抵御入侵者的网络攻击,也可以增强系统的安全性。入侵检测系统(Intrusion Detection System,IDS)从部署位置的角度来看,划分为基于主机的入侵检测(Host-based Intrusion Detection System,HIDS)和基于网络的入侵检测(Network Intrusion Detection System,NIDS)。HIDS部署在单个主机上,监视主机上所有活动并对可疑行为进行检测,其优点是为监视主机提供较高的安全性能,但效率低。相比之下,NIDS则不存在这样的问题,它部署在网络的关键位置,通过不断监视网络中的实时流量,从而达到对整个网络和设备的保护。
近年来,基于机器学习(Machine Learning,ML)的方法在网络入侵检测领域受到了极大的关注,并在物联网(Internet of Things,IoT)、无线传感器网络(WirelessSensor Network,WSN)和车联网(Internet of Vehicles,IoV)中取得了显著的成果。此外,基于深度学习(Deep Learning,DL)的方法被用来解决ML方法处理高维大数据困难的问题,并提高了检测率。Kim-Hung Le等人(Le K H,Nguyen M H,Tran T D,et al.IMIDS:AnIntelligent Intrusion Detection System against Cyber Threats in IoT[J].Electronics,2022,11(4):524.)采用卷积神经网络(Convolutional Neural Network,CNN)结构来对网络中的攻击进行检测,缓解了少数攻击样本缺乏条件下难检测的问题,但是提出的CNN模型参数数量庞大,占据资源大,实时性难以保障。Lei等人(Lei S,Xia C,LiZ,et al.HNN:a novel model to study the intrusion detection based on multi-feature correlation and temporal-spatial analysis[J].IEEE Transactions onNetwork Science and Engineering,2021,8(4):3257-3274.)通过特征选择和多特征相关性分析来减少冗余,采用CNN、长短期记忆网络(Long Short-Term Memory,LSTM)和深度神经网络(Deep Neural Network,DNN)作为入侵检测模型,取得了较好的检测结果,但是同样存在模型复杂度高的情况,实时性得不到保障。
目前,基于深度学习的网络入侵检测,大多数研究要么采用单一CNN来提取网络流量数据的空间特征来检测网络攻击,要么采用单一LSTM、RNN来提取网络流量的时序特征来检测网络攻击,或者简单的将CNN和LSTM级联起来检测网络攻击,并不能够有效的提取网络流量的空间特征和时序特征,从而导致网络入侵的检测率不高。其次,提出来的模型并未充分考虑IoT和WSN等场景存在资源受限的情况,因此,亟需一种能够有效提取网络流量数据的空间和时序特征的轻量级网络入侵检测模型。
发明内容
发明目的:为了克服现有技术中存在的不足,提供一种基于双通道时空特征融合的网络入侵检测方法,能够有效提取网络流量数据的空间特征和时序特征,并降低入侵检测模型的复杂性,提高了网络入侵的检测准确率。
技术方案:为实现上述目的,本发明提供一种基于双通道时空特征融合的网络入侵检测方法,包括如下步骤:
S1:从监控网络中收集网络流量数据,生成待检测样本集;
S2:对生成的待检测样本集中的字符型特征进行one-hot编码,并对待检测样本的所有特征进行Min-Max归一化,得到预处理完的待检测样本集;
S3:将预处理完的待检测样本输入到训练好的双通道时空特征融合网络进行检测,得到待检测样本的检测结果;
S4:若检测的结果为攻击流量数据,则对监控网络中的数据来源进行隔离,并通知管理员,若检测的结果为正常流量数据,则允许该流量正常通过。
进一步地,所述步骤S1中收集的网络流量数据原始格式为Pcap格式,首先对每一条Pcap格式的网络流量进行解析,得到对应的一个特征向量。
进一步地,所述步骤S1中每个特征向量包括流特征、基本特征、内容特征、时间特征和合成特征共五类特征,这五类特征可以划分为字符型特征和数值型特征。
进一步地,所述步骤S2中的one-hot编码用于将字符型特征转化为网络入侵检测模型可以处理的二进制数值特征,所述步骤S2的具体过程为:
设定一个字符特征有α1,α2,α3,α4四种字符取值,则可以分别编码为(1,0,0,0)、(0,1,0,0)、(0,0,1,0)、(0,0,0,1),Min-Max归一化方法将特征向量中的各个特征缩放到0-1之间,减小各个特征之间由于取值的数量级不同造成的影响,如公式(1)所示:
其中x和x'为归一化前后的特征,xmax和xmin为特征的最大值和最小值。
进一步地,所述步骤S3中的双通道时空特征融合网络包括一维向量卷积的空间特征提取模块、状态注意力单元的BiGRU的时序特征提取模块和分类器模块,所述空间特征提取模块用于提取待检测样本的空间特征,所述时序特征提取模块用于提取待检测样本的时序特征,所述分类器模块用于根据提取的空间特征和时序特征输出检测分类结果。
进一步地,所述空间特征提取模块包括3层一维向量卷积层,卷积核数量分别为16,32,32,卷积核大小为3,3,3,步长为2,2,2,激活函数均为修正线性函数relu,在每一层一维向量卷积层后添加一个Maxpool1D层,池化大小为2,然后添加Flatten层和一个单元数16的全连接层。
进一步地,所述时序特征提取模块包括2层BiGRU,单元数分别为36,18,在第二层BiGRU后面添加一个Dropout层,丢弃率为0.3,然后添加一个状态注意力单元和一个单元数为6的全连接层。
进一步地,所述分类器模块包括一个输入单元为22的Concatenate层,2个单元数分别为32,16的全连接层,激活函数为修正线性函数relu,每一全连接层后添加一个Dropout层,丢弃率分别为0.1,0.1,在最后添加一个输出层,在二分类情况下,输出层单元数为1,激活函数为sigmoid,损失函数为binary_crossentropy,在十分类情况下,输出层单元数为10,损失函数为Sparse_categorical_crossentropy,激活函数为Softmax。
进一步地,所述时序特征提取模块中的状态注意力单元具体为:
w=softmax(tanh(QK+b)V) (2)
其中,K,V,b分别为键矩阵、值矩阵和偏置向量;w是维度为2T的列向量;
Q输入到状态注意力单元的输出o通过公式(3)计算:
o=wTQ (3)。
进一步地,所述步骤S3中双通道时空特征融合网络的训练过程为:对双通道时空特征融合网络的参数采用Xavier方式初始化,选择交叉熵函数作为损失函数,采用Adam优化器,反向传播算法更新参数;选择网络入侵检测基准数据集UNSW-NB15作为训练数据集,并对网路入侵检测基准数据集中的字符型特征进行one-hot编码,然后对网络入侵检测基准数据集中的所有特征进行Min-Max归一化,得到预处理完的训练样本集;将预处理后的训练数据集按网络流量生成的时间顺序输入到双通道时空特征融合网络进行训练,得到训练完的双通道时空特征融合网络入侵检测模型。
本发明提供的基于双通道时空特征融合的网络入侵检测方法,充分考虑了网络流量数据特征之间的空间关系和网络流量数据之间的时序关系。通过使用空间特征提取模块提取所述空间特征,使用时序特征提取模块提取所述时序特征。将所述的空间特征和时序特征输入到全连接分类器进行检测,克服了使用单一的CNN结构不能提取网络流量数据之间的时序关系和单一的LSTM、RNN结构对网络流量数据特征之间的空间特征提取能力差的问题。
有益效果:本发明与现有技术相比,具备如下优点:
1、综合考虑了网络流量数据特征之间的空间关系和网络流量数据之间的时序关系,克服了单独采用CNN网络和RNN网络不能有效提取时空特征的缺点,且设计的网络入侵检测模型充分考虑了IoT、WSN场景存在资源受限的情况,具有更好的特征表示能力和更高的检测率,提高了网络入侵的检测准确率。
2、整个检测方法过程中,需要训练的参数少,减少了计算复杂度和占用资源,大大降低了检测所需要的时间开销;并通过消融实验验证了每一个组成部分的有效性。
附图说明
图1为一种双通道时空特征融合网络入侵检测方法的流程示意图;
图2为双通道时空特征融合网络的结构示意图;
图3为二分类训练过程损失变化示意图;
图4为十分类训练过程损失变化示意图。
具体实施方式
下面结合附图和具体实施例,进一步阐明本发明,应理解这些实施例仅用于说明本发明而不用于限制本发明的范围,在阅读了本发明之后,本领域技术人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定的范围。
本发明提供一种基于双通道时空特征融合的网络入侵检测方法,如图1所示,其包括如下步骤:
S1:从监控网络中收集网络流量数据,收集的网络流量数据原始格式为Pcap格式,首先对每一条Pcap格式的网络流量进行解析,得到对应的一个特征向量,每个特征向量包括流特征、基本特征、内容特征、时间特征和合成特征共五类特征,这五类特征一共49个特征,其中除proto、service和state为字符型特征,其余为数值型特征,根据这些特征生成待检测样本集;
S2:对生成的待检测样本集中的字符型特征进行one-hot编码,并对待检测样本的所有特征进行Min-Max归一化,得到预处理完的待检测样本集;
设定一个字符特征有α1,α2,α3,α4四种字符取值,则可以分别编码为(1,0,0,0)、(0,1,0,0)、(0,0,1,0)、(0,0,0,1),Min-Max归一化方法将特征向量中的各个特征缩放到0-1之间,减小各个特征之间由于取值的数量级不同造成的影响,如公式(1)所示:
其中x和x'为归一化前后的特征,xmax和xmin为特征的最大值和最小值。
S3:将预处理完的待检测样本输入到如图2所示的训练好的双通道时空特征融合网络进行检测,得到待检测样本的检测结果;
双通道时空特征融合网络包括一维向量卷积的空间特征提取模块、状态注意力单元的BiGRU的时序特征提取模块和分类器模块,所述空间特征提取模块用于提取待检测样本的空间特征,所述时序特征提取模块用于提取待检测样本的时序特征,所述分类器模块用于根据提取的空间特征和时序特征输出检测分类结果。
空间特征提取模块包括3层一维向量卷积层,卷积核数量分别为16,32,32,卷积核大小为3,3,3,步长为2,2,2,激活函数均为修正线性函数relu,在每一层一维向量卷积层后添加一个Maxpool1D层,池化大小为2,然后添加Flatten层和一个单元数16的全连接层。
时序特征提取模块包括2层BiGRU,单元数分别为36,18,在第二层BiGRU后面添加一个Dropout层,丢弃率为0.3,然后添加一个状态注意力单元和一个单元数为6的全连接层。
分类器模块包括一个输入单元为22的Concatenate层,2个单元数分别为32,16的全连接层,激活函数为修正线性函数relu,每一全连接层后添加一个Dropout层,丢弃率分别为0.1,0.1,在最后添加一个输出层,在二分类情况下,输出层单元数为1,激活函数为sigmoid,损失函数为binary_crossentropy,在十分类情况下,输出层单元数为10,损失函数为Sparse_categorical_crossentropy,激活函数为Softmax。
时序特征提取模块中的状态注意力单元具体为:
w=softmax(tanh(QK+b)V) (2)
其中,K,V,b分别为键矩阵、值矩阵和偏置向量;w是维度为2T的列向量;
Q输入到状态注意力单元的输出o通过公式(3)计算:
o=wTQ (3)
双通道时空特征融合网络的训练过程为:对双通道时空特征融合网络的参数采用Xavier方式初始化,选择交叉熵函数作为损失函数,采用Adam优化器,反向传播算法更新参数;选择网络入侵检测基准数据集UNSW-NB15作为训练数据集,并对网路入侵检测基准数据集中的字符型特征进行one-hot编码,然后对网络入侵检测基准数据集中的所有特征进行Min-Max归一化,得到预处理完的训练样本集;将预处理后的训练数据集按网络流量生成的时间顺序输入到双通道时空特征融合网络进行训练,得到训练完的双通道时空特征融合网络入侵检测模型。
S4:若检测的结果为攻击流量数据,则对监控网络中的数据来源进行隔离,并通知管理员,若检测的结果为正常流量数据,则允许该流量正常通过。
为了验证上述网络入侵检测方法的有效性和实际效果,本实施例中利用准确率(Accuracy)、精确率(Precision)、召回率(Recall)和F1-Score四个评价标准,进行如下实验过程:
实验工具:本次实验的硬件系统是Windows 10,Intel(R)Core(TM)i7-8700KCPU,16GB内存。所有技术都在Python3.6中使用TensorFlow和Scikit-learn框架实现。
本实验采用UNSW-NB15入侵检测基准数据集作为实验数据集,UNSW-NB15数据是澳大利亚网络安全中心的网络范围实验室创建的,包括真实的正常活动和合成的当代攻击行为,数据集有257,673个样本,其中175,341个样本在训练集中,其余82,332个样本在测试集中。数据集一共包含10种样本类型:Normal、Generic、Exploits、Fuzzers、DoS、Reconnaissance、Analysis、Backdoor、Shellcode、Worms。详细样本数量见表1所示。
对训练集和测试集进行预处理,采用one-hot编码对proto、service和state进行编码,将数据从49维扩展到196维,使用Min-Max归一化将所有特征的取值缩放到0-1之间。
将预处理后的训练集输入到双通道时空特征融合网络进行训练,网络初始参数采用Xavier方式初始化,采用Adam优化器,学习率为0.0035,训练数据的批量大小为1024,训练周期数为120,二分类情况下,损失函数为binary_crossentropy,十分类的情况下,损失函数为Sparse_categorical_crossentropy。从训练数据集中随机抽取20%作为交叉验证集观察训练过程是否过拟合,双通道时空特征融合网络中的空间特征提取模块、时序特征提取模块和全连接分类器模块具体参数见表2,3,4所示。
图3和图4分别为二分类和十分类情况下的损失变化图示意图,观察到模型在二分类情况下,训练集损失和验证集损失在前期快速下降,在第50个周期开始趋于收敛,震荡幅度小,且训练集损失和验证集损失没有出现高方差的情况,说明本发明设计的双通道时空特征融合网络在二分类的情况下能够有效的从数据中学习;如图4所示,在十分类的情况下,训练集损失和验证集损失随着训练周期的增加,逐渐趋于收敛,震荡幅度较小,也没有出现训练集损失和验证集损失相差大的情况,并未出现过拟合的现象,验证了本发明设计的双通道时空特征融合网络学习能力强的特点。
实验结果,将本发明与随机森林(Random Forest,RF)、支持向量机(SupportVector Machines,SVM)、深度神经网络(DNN)、卷积神经网络(CNN)和双向门控循环单元(BiGRU)算法进行实验对比,如表5所示为二分类实验结果,如表6所示为十分类实验结果:
从表5中结果可知,本发明提出的一种基于双通道时空特征融合的网络入侵检测方法在准确率、召回率和F1-Score指标上取得了最优的结果,准确率比对比方法提高了8.76%-33.76%,F1-Score比对比方法最高多33.16%,最少多6.06%,在准精确率指标上取得了次优的结果,但是相差不大,精确率与最优的SVM相差0.74%,综合考虑的四个评价指标,本发明设计的双通道时空特征融合网络在对比算法中取得了最优的结果,与单一的CNN和单一的BiGRU相比较,本发明在各项指标上显著提升,这验证了本发明的有效性。
从表6中结果可知,本发明提出的一种基于双通道时空特征融合的网络入侵检测方法在准确率、精确率、召回率和F1-score四个指标上均取得了最优的结果,在准确率上,提高了11.32%-28.72%;在精确率上,提高了3.37%-26.5%;在召回率上,提高了11.33%-28.73%;在F1-Score上,提高了12.2%-35.16%。这验证了本发明在对攻击进行多分类的情况下也取得很好的性能。
本发明对预处理后的测试集中82,332个样本进行检测一共消耗的时间为2.149秒,平均每秒处理38311个样本,这表明本发明能够满足现实情况所需要的实时处理能力。
本发明设计的双通道时空特征融合网络充分考虑了模型的复杂度,在二类分类情况下,所需要训练的参数数量为64179,在十分类情况下,所需要训练的参数数量为64332.。具有轻量级的特点,这验证了本发明能够适应IoT和WSN等存在资源受限的场景下的网络入侵检测。
Claims (10)
1.一种基于双通道时空特征融合的网络入侵检测方法,其特征在于,包括如下步骤:
S1:从监控网络中收集网络流量数据,生成待检测样本集;
S2:对生成的待检测样本集中的字符型特征进行one-hot编码,并对待检测样本的所有特征进行Min-Max归一化,得到预处理完的待检测样本集;
S3:将预处理完的待检测样本输入到训练好的双通道时空特征融合网络进行检测,得到待检测样本的检测结果;
S4:若检测的结果为攻击流量数据,则对监控网络中的数据来源进行隔离,并通知管理员,若检测的结果为正常流量数据,则允许该流量正常通过。
2.根据权利要求1所述的一种基于双通道时空特征融合的网络入侵检测方法,其特征在于,所述步骤S1中收集的网络流量数据原始格式为Pcap格式,首先对每一条Pcap格式的网络流量进行解析,得到对应的一个特征向量。
3.根据权利要求2所述的一种基于双通道时空特征融合的网络入侵检测方法,其特征在于,所述步骤S1中每个特征向量包括流特征、基本特征、内容特征、时间特征和合成特征共五类特征,这五类特征可以划分为字符型特征和数值型特征。
5.根据权利要求1所述的一种基于双通道时空特征融合的网络入侵检测方法,其特征在于,所述步骤S3中的双通道时空特征融合网络包括一维向量卷积的空间特征提取模块、状态注意力单元的BiGRU的时序特征提取模块和分类器模块,所述空间特征提取模块用于提取待检测样本的空间特征,所述时序特征提取模块用于提取待检测样本的时序特征,所述分类器模块用于根据提取的空间特征和时序特征输出检测分类结果。
6.根据权利要求5所述的一种基于双通道时空特征融合的网络入侵检测方法,其特征在于,所述空间特征提取模块包括3层一维向量卷积层,卷积核数量分别为16,32,32,卷积核大小为3,3,3,步长为2,2,2,激活函数均为修正线性函数relu,在每一层一维向量卷积层后添加一个Maxpool1D层,池化大小为2,然后添加Flatten层和一个单元数16的全连接层。
7.根据权利要求5所述的一种基于双通道时空特征融合的网络入侵检测方法,其特征在于,所述时序特征提取模块包括2层BiGRU,单元数分别为36,18,在第二层BiGRU后面添加一个Dropout层,丢弃率为0.3,然后添加一个状态注意力单元和一个单元数为6的全连接层。
8.根据权利要求5所述的一种基于双通道时空特征融合的网络入侵检测方法,其特征在于,所述分类器模块包括一个输入单元为22的Concatenate层,2个单元数分别为32,16的全连接层,激活函数为修正线性函数relu,每一全连接层后添加一个Dropout层,丢弃率分别为0.1,0.1,在最后添加一个输出层,在二分类情况下,输出层单元数为1,激活函数为sigmoid,损失函数为binary_crossentropy,在十分类情况下,输出层单元数为10,损失函数为Sparse_categorical_crossentropy,激活函数为Softmax。
10.根据权利要求1所述的一种基于双通道时空特征融合的网络入侵检测方法,其特征在于,所述步骤S3中双通道时空特征融合网络的训练过程为:对双通道时空特征融合网络的参数采用Xavier方式初始化,选择交叉熵函数作为损失函数,采用Adam优化器,反向传播算法更新参数;选择网络入侵检测基准数据集UNSW-NB15作为训练数据集,并对网路入侵检测基准数据集中的字符型特征进行one-hot编码,然后对网络入侵检测基准数据集中的所有特征进行Min-Max归一化,得到预处理完的训练样本集;将预处理后的训练数据集按网络流量生成的时间顺序输入到双通道时空特征融合网络进行训练,得到训练完的双通道时空特征融合网络入侵检测模型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210672884.XA CN115086029A (zh) | 2022-06-15 | 2022-06-15 | 一种基于双通道时空特征融合的网络入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210672884.XA CN115086029A (zh) | 2022-06-15 | 2022-06-15 | 一种基于双通道时空特征融合的网络入侵检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115086029A true CN115086029A (zh) | 2022-09-20 |
Family
ID=83250646
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210672884.XA Pending CN115086029A (zh) | 2022-06-15 | 2022-06-15 | 一种基于双通道时空特征融合的网络入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115086029A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115277258A (zh) * | 2022-09-27 | 2022-11-01 | 广东财经大学 | 一种基于时空特征融合的网络攻击检测方法和系统 |
CN117579324A (zh) * | 2023-11-14 | 2024-02-20 | 湖北华中电力科技开发有限责任公司 | 基于门控时间卷积网络与图的入侵检测方法 |
CN117997650A (zh) * | 2024-04-03 | 2024-05-07 | 环球数科集团有限公司 | 一种基于人工智能的攻击检测系统 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110213244A (zh) * | 2019-05-15 | 2019-09-06 | 杭州电子科技大学 | 一种基于时空特征融合的网络入侵检测方法 |
CN111027058A (zh) * | 2019-11-12 | 2020-04-17 | 深圳供电局有限公司 | 一种电力系统检测数据攻击的方法、计算机设备和存储介质 |
CN111368666A (zh) * | 2020-02-25 | 2020-07-03 | 上海蠡图信息科技有限公司 | 一种基于新型池化及注意力机制双流网络的活体检测方法 |
CN112491894A (zh) * | 2020-11-30 | 2021-03-12 | 北京航空航天大学 | 一种基于时空特征学习的物联网网络攻击流量监测系统 |
CN113364787A (zh) * | 2021-06-10 | 2021-09-07 | 东南大学 | 一种基于并联神经网络的僵尸网络流量检测方法 |
CN113660196A (zh) * | 2021-07-01 | 2021-11-16 | 杭州电子科技大学 | 一种基于深度学习的网络流量入侵检测方法及装置 |
CN113887328A (zh) * | 2021-09-10 | 2022-01-04 | 天津理工大学 | 一种eca-cnn融合双通道rnn并行提取光子晶体空间透射谱时空特征的方法 |
CN114239737A (zh) * | 2021-12-21 | 2022-03-25 | 国家电网有限公司信息通信分公司 | 一种基于时空特征与双层注意力的加密恶意流量检测方法 |
CN114462520A (zh) * | 2022-01-25 | 2022-05-10 | 北京工业大学 | 一种基于流量分类的网络入侵检测方法 |
-
2022
- 2022-06-15 CN CN202210672884.XA patent/CN115086029A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110213244A (zh) * | 2019-05-15 | 2019-09-06 | 杭州电子科技大学 | 一种基于时空特征融合的网络入侵检测方法 |
CN111027058A (zh) * | 2019-11-12 | 2020-04-17 | 深圳供电局有限公司 | 一种电力系统检测数据攻击的方法、计算机设备和存储介质 |
CN111368666A (zh) * | 2020-02-25 | 2020-07-03 | 上海蠡图信息科技有限公司 | 一种基于新型池化及注意力机制双流网络的活体检测方法 |
CN112491894A (zh) * | 2020-11-30 | 2021-03-12 | 北京航空航天大学 | 一种基于时空特征学习的物联网网络攻击流量监测系统 |
CN113364787A (zh) * | 2021-06-10 | 2021-09-07 | 东南大学 | 一种基于并联神经网络的僵尸网络流量检测方法 |
CN113660196A (zh) * | 2021-07-01 | 2021-11-16 | 杭州电子科技大学 | 一种基于深度学习的网络流量入侵检测方法及装置 |
CN113887328A (zh) * | 2021-09-10 | 2022-01-04 | 天津理工大学 | 一种eca-cnn融合双通道rnn并行提取光子晶体空间透射谱时空特征的方法 |
CN114239737A (zh) * | 2021-12-21 | 2022-03-25 | 国家电网有限公司信息通信分公司 | 一种基于时空特征与双层注意力的加密恶意流量检测方法 |
CN114462520A (zh) * | 2022-01-25 | 2022-05-10 | 北京工业大学 | 一种基于流量分类的网络入侵检测方法 |
Non-Patent Citations (3)
Title |
---|
ZHIYONG SHENG: "The Characteristic Extraction Method of Fiber Intrusion Signals Based on Band Cutting and Imaging", 《2018 11TH INTERNATIONAL CONGRESS ON IMAGE AND SIGNAL PROCESSING, BIOMEDICAL ENGINEERING AND INFORMATICS (CISP-BMEI)》 * |
吴启睿; 黄树成: "结合卷积神经网络和三支决策的入侵检测算法", 《计算机工程与应用 》 * |
张行健王怀彬: "基于CNN-GRU的入侵检测算法研究", 《天津理工大学学报》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115277258A (zh) * | 2022-09-27 | 2022-11-01 | 广东财经大学 | 一种基于时空特征融合的网络攻击检测方法和系统 |
CN115277258B (zh) * | 2022-09-27 | 2022-12-20 | 广东财经大学 | 一种基于时空特征融合的网络攻击检测方法和系统 |
CN117579324A (zh) * | 2023-11-14 | 2024-02-20 | 湖北华中电力科技开发有限责任公司 | 基于门控时间卷积网络与图的入侵检测方法 |
CN117579324B (zh) * | 2023-11-14 | 2024-04-16 | 湖北华中电力科技开发有限责任公司 | 基于门控时间卷积网络与图的入侵检测方法 |
CN117997650A (zh) * | 2024-04-03 | 2024-05-07 | 环球数科集团有限公司 | 一种基于人工智能的攻击检测系统 |
CN117997650B (zh) * | 2024-04-03 | 2024-05-28 | 环球数科集团有限公司 | 一种基于人工智能的攻击检测系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Rao et al. | A hybrid intrusion detection system based on sparse autoencoder and deep neural network | |
Gao et al. | A distributed network intrusion detection system for distributed denial of service attacks in vehicular ad hoc network | |
Abdallah et al. | Intrusion detection systems using supervised machine learning techniques: a survey | |
CN113283476B (zh) | 一种物联网网络入侵检测方法 | |
Peng et al. | Network intrusion detection based on deep learning | |
US11595435B2 (en) | Methods and systems for detecting phishing emails using feature extraction and machine learning | |
CN115086029A (zh) | 一种基于双通道时空特征融合的网络入侵检测方法 | |
Rahman et al. | Adaptive intrusion detection based on boosting and naïve Bayesian classifier | |
Elsayed et al. | Detecting abnormal traffic in large-scale networks | |
Celil et al. | Detecting IoT botnet attacks using machine learning methods | |
US20230164180A1 (en) | Phishing detection methods and systems | |
Baich et al. | Machine Learning for IoT based networks intrusion detection: a comparative study | |
Seo et al. | Hunt for unseen intrusion: Multi-head self-attention neural detector | |
Wang et al. | Profiling program and user behaviors for anomaly intrusion detection based on non-negative matrix factorization | |
Dharaneish et al. | Comparative analysis of deep learning and machine learning models for network intrusion detection | |
Alheeti et al. | Intelligent detection system for multi-step cyber-attack based on machine learning | |
El Hajla et al. | Attack and anomaly detection in IoT Networks using machine learning approaches | |
Rele et al. | Supervised and Unsupervised ML Methodologies for Intrusive Detection in Nuclear Systems | |
Kumar | An Efficient Network Intrusion Detection Model Combining CNN and BiLSTM | |
Zhu et al. | Implementation system of network user abnormal behavior detection algorithm based on data layering | |
Bandyopadhyay et al. | A step forward to revolutionise intrusiondetection system using deep convolution neural network | |
Hamadouche et al. | Combining Lexical, Host, and Content-based features for Phishing Websites detection using Machine Learning Models | |
Valavan et al. | Network intrusion detection system based on information gain with deep bidirectional long short-term memory | |
Ghourabi et al. | Automatic analysis of web service honeypot data using machine learning techniques | |
Patil et al. | A Study of Recent Techniques to Detect Zero-Day Phishing Attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220920 |