一种基于深度学习的网络入侵检测方法和报警系统与流程

本发明涉及网络安全的技术领域，特别涉及一种基于深度学习的网络入侵检测方法和报警系统。

背景技术：

在大数据时代，互联网相关的应用呈现爆炸式的增长，伴随着更多、更复杂的网络安全问题暴露出来，再加上黑客的攻击和网络病毒的广泛传播，为了保证网络安全，网络安全技术应运而生。入侵检测技术作为一种主动的安全防御技术，可以检测网络中未经允许的操作或非法入侵。入侵检测(intrusiondetection，id)是通过收集和分析计算机网络或计算机系统中若干信息，检查网络或系统中是否存在违反安全策略的行为和遭到攻击的迹象，并采取相应的对抗措施。当前，国内外学者已提出大量的入侵检测算法，如统计方法、贝叶斯推理方法、机器学习方法、神经网络、数据挖掘、遗传算法、支持向量机等方法。评判入侵检测系统的参数主要有两个，即正确率和误检率。正确率是指检测到的入侵总数占数据集入侵总数的比率，而误检率是指将非入侵行为错检测为入侵行为的比率。

然而，现有技术的入侵检测方法都是直接在粗糙的入侵检测数据集kddcup99上应用入侵检测算法，但是这种入侵检测模式对应的数据集基本上是过时且不可靠的。此外，这种入侵检测模式的其中一些数据集缺乏流量的多样性和数量，另外一些数据集并未涵盖各种已知的攻击，这都无法有效地实现对网络入侵快速和准确的检测。

技术实现要素：

针对现有技术存在的缺陷，本发明提供一种基于深度学习的网络入侵检测方法和报警系统，该基于深度学习的网络入侵检测方法和报警系统主要通过对入侵检测数据集进行归一化处理、可视化图像转换处理和滤波处理，以提高所述入侵检测数据集的纹理特征的清晰度，并且还构建和优化训练关于多层卷积和深度置信网络相结合的模型，并基于该模型对所述入侵检测数据集进行测试处理，以获得相应的网络入侵检测结果；可见，该基于深度学习的网络入侵检测方法和报警系统能够有效地解决现有技术直接在kddcup99数据集上应用入侵检测算法时，检测速度慢和准确率低下的问题，此外，其还具有如下优点：第一、其通过将卷积神经网络和深度置信网络结合，实现对网络入侵行为的精确和高效的检测；第二、其采用优化选择的网络入侵数据特征集，并对网络连接数据进行归一化处理和可视化为图像转换处理，使其适应深度学习多层卷积和深度置信网络模型，从而提高入侵检测模型提取异常行为特征的精确度和效率。

本发明提供一种基于深度学习的网络入侵检测方法，其特征在于，所述基于深度学习的网络入侵检测方法包括如下步骤：

步骤s1，获取关于网络的入侵检测数据集，并对所述入侵检测数据集进行归一化处理；

步骤s2，将经过所述归一化处理的所述入侵检测数据集进行可视化图像转换处理；

步骤s3，将经过所述可视化图像转换处理的所述入侵检测数据集进行滤波处理，以提高所述入侵检测数据集的纹理特征的清晰度；

步骤s4，构建关于多层卷积和深度置信网络相结合的模型，并对所述模型进行优化训练处理；

步骤s5，通过与经过所述优化训练处理的模型关联的分类器，对所述入侵检测数据集进行测试处理，以获得相应的网络入侵检测结果；

进一步，所述步骤s1具体包括，

步骤s101，获取关于网络的cse-cic-ids-2017数据集以作为所述入侵检测数据集，其中，所述cse-cic-ids-2017数据集包括网络中每一个机器对应捕获的网络流量信息和系统日志信息、以及通过cicflowmeter-v3对应捕获的网络流量中的若干个特征；

步骤s102，通过下面公式(1)，对所述cse-cic-ids-2017数据集中的每一个数据进行关于极差变换的归一化计算，以使每一个数据的特征属性进行统计性的同一归纳

在上述公式(1)中，xij为所述cse-cic-ids-2017数据集中对应的第i条网络连接数据中的第j个特征的原取值，xik为所述原取值对应的归一化计算值，min为所述cse-cic-ids-2017数据集中对应的第i条网络连接数据中所有特征对应的最小原取值，max为所述cse-cic-ids-2017数据集中对应的第i条网络连接数据中所有特征对应的最大原取值；

进一步，所述步骤s2具体包括，

步骤s201，确定经过所述归一化处理的所述入侵检测数据集的每一条数据对应的维度值；

步骤s202，将对应于所述维度值的数据进行关于均值填充、中位数填充或者-1填充的数据填充处理，以将对应于所述维度值的数据填充转换为9*9的可视化图像；

以及，

所述步骤s3中具体包括，

根据下面公式(2)，采用3*3窗口大小的滤波器对所述9*9的可视化图像进行关于局部二值lbp的去噪处理

在上述公式(2)中，lbp(xc，yc)为所述去噪处理后得到的局部二值lbp，i(c)为所述9*9的可视化图像的中心像素点的灰度值，i(p)为所述9*9的可视化图像的第p个像素点的灰度值，其中p＝1、2、…、8，s(x)的具体表达式如下面公式(3)

进一步，所述步骤s4具体包括，

步骤s401，通过对比散度算法将所述入侵检测数据集对应的权值进行初始化处理；

步骤s402，将经过所述初始化处理的权值通过下面公式(4)对应的能量函数公式计算得到所述入侵检测数据集中对应每一个数据对应的神经元

在上述公式(4)中，e(v，h|θ)为神经元的能量值，wij为所述模型的可见层第i个神经元到隐藏层第j个神经元的连接权值，bj为可见层第j个神经元的偏置，ci为隐藏层第i个神经元的偏置，vj和hi均为预设联合概率；

步骤s403，将所述步骤s402得到的神经元对应的两层rbm与卷积神经网络相结合来对网络入侵行为进行建模，以构建一个包括输入层、输出层和五个隐含层的所述模型，其中，所述输入层将一维待检测数据转化为二维特征矩阵，以使对应的网络连接数据匹配于rbm网络结构；

步骤s404，对所述模型包含的两层rbm、卷积层、池化层和全连接层进行训练层，以实现所述模型的参数初始值；

进一步，所述步骤s5具体包括，

步骤s501，构建与经过所述优化训练处理的模型关联的softmax分类器；

步骤s502，将所述模型中的卷积神经网络提取得到的关于所述入侵检测数据的网络审计数据特征输入至所述softmax分类器进行激活处理；

步骤s503，根据所述激活处理的结果，输出网络入侵类型对应的暴力攻击、heartbleed、僵尸网络、dos、ddos、web攻击和网络内部渗透对应的概率值；

步骤s504，获取具有最大概率值的网络入侵类型的标签属性，以此作为所述网络入侵检测结果。

本发明还提供一种基于深度学习的网络入侵报警系统，其特征在于：

所述基于深度学习的网络报警系统包括实时流量获取模块、数据处理模块、数据检测模块和报警模块；其中，

所述实时流量获取模块用于获取当前用户在网络中的实时流量数据；

所述数据处理模块用于对所述实时流量数据进行所述归一化处理和所述可视化图像转换处理；

所述数据检测模块用于将所述数据处理模块处理后的数据，输入至所述关于多层卷积和深度置信网络相结合的模型，以进行所述测试处理；

所述报警模块用于根据所述测试处理的结果，对当前网络入侵状态进行适应性的报警提醒操作；

进一步，所述数据处理模块包括归一化处理子模块和可视化图像转换处理子模块；其中，

所述归一化处理子模块用于对所述实时流量数据进行所述归一化处理，以获得相应的归一化入侵检测数据集；

所述可视化图像转换处理子模块用于对所述归一化入侵检测数据集进行数据填充处理，以对应获得9*9的可视化图像；

进一步，所述数据检测模块包括模型构建子模块、模型优化训练子模块和测试处理子模块；其中，

所述模型构建子模块用于构建关于多层卷积和深度置信网络相结合的模型；

所述模型优化训练子模块用于对所述模型进行关于参数初始值设置的优化训练；

所述测试处理子模块用于通过经过优化训练的所述模型，对所述数据处理模块输出的数据进行所述测试处理；

进一步，所述测试处理子模块包括分类器单元、网络入侵类型概率确定单元和标签属性获取单元；其中，

所述分类器单元用于对经过优化训练的所述模型提取得到的网络审计数据特征进行softmax分类激活处理；

所述网络入侵类型概率确定单元用于根据所述softmax分类激活处理的结果，输出网络入侵类型对应的暴力攻击、heartbleed、僵尸网络、dos、ddos、web攻击和网络内部渗透对应的概率值；

所述标签属性获取单元用于获取具有最大概率值的网络入侵类型的标签属性，以此作为所述网络入侵检测结果；

进一步，所述报警模块包括阈值比较子模块、报警提醒子模块和强制关闭子模块；其中，

所述阈值比较子模块用于将所述测试处理的结果与预设阈值进行比较处理；

所述报警提醒子模块用于在所述比较处理确定所述测试处理的结果超过所述预设阈值时，进行适应性的报警提醒操作；

所述强制关闭子模块用于在所述报警提醒操作持续时间超过预设时长阈值时，将网络入侵对应的网络操作进行强制关闭。

相比于现有技术，该基于深度学习的网络入侵检测方法和报警系统主要通过对入侵检测数据集进行归一化处理、可视化图像转换处理和滤波处理，以提高所述入侵检测数据集的纹理特征的清晰度，并且还构建和优化训练关于多层卷积和深度置信网络相结合的模型，并基于该模型对所述入侵检测数据集进行测试处理，以获得相应的网络入侵检测结果；可见，该基于深度学习的网络入侵检测方法和报警系统能够有效地解决现有技术直接在kddcup99数据集上应用入侵检测算法时，检测速度慢和准确率低下的问题，此外，其还具有如下优点：第一、其通过将卷积神经网络和深度置信网络结合，实现对网络入侵行为的精确和高效的检测；第二、其采用优化选择的网络入侵数据特征集，并对网络连接数据进行归一化处理和可视化为图像转换处理，使其适应深度学习多层卷积和深度置信网络模型，从而提高入侵检测模型提取异常行为特征的精确度和效率。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的一种基于深度学习的网络入侵检测方法的流程示意图。

图2为本发明提供的一种基于深度学习的网络入侵报警系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参阅图1，为本发明实施例提供的一种基于深度学习的网络入侵检测方法的流程示意图。该基于深度学习的网络入侵检测方法包括如下步骤：

步骤s1，获取关于网络的入侵检测数据集，并对该入侵检测数据集进行归一化处理；

步骤s2，将经过该归一化处理的该入侵检测数据集进行可视化图像转换处理；

步骤s3，将经过该可视化图像转换处理的该入侵检测数据集进行滤波处理，以提高该入侵检测数据集的纹理特征的清晰度；

步骤s4，构建关于多层卷积和深度置信网络相结合的模型，并对该模型进行优化训练处理；

步骤s5，通过与经过该优化训练处理的模型关联的分类器，对该入侵检测数据集进行测试处理，以获得相应的网络入侵检测结果。

优选地，在该步骤s1中，获取关于网络的入侵检测数据集，并对该入侵检测数据集进行归一化处理具体包括，

步骤s101，获取关于网络的cse-cic-ids-2017数据集以作为该入侵检测数据集，其中，该cse-cic-ids-2017数据集包括网络中每一个机器对应捕获的网络流量信息和系统日志信息、以及通过cicflowmeter-v3对应捕获的网络流量中的若干个特征；

步骤s102，通过下面公式(1)，对该cse-cic-ids-2017数据集中的每一个数据进行关于极差变换的归一化计算，以使每一个数据的特征属性进行统计性的同一归纳

在上述公式(1)中，xij为该cse-cic-ids-2017数据集中对应的第i条网络连接数据中的第j个特征的原取值，xik为该原取值对应的归一化计算值，min为该cse-cic-ids-2017数据集中对应的第i条网络连接数据中所有特征对应的最小原取值，max为该cse-cic-ids-2017数据集中对应的第i条网络连接数据中所有特征对应的最大原取值。

优选地，在该步骤s2中，将经过该归一化处理的该入侵检测数据集进行可视化图像转换处理具体包括，

步骤s201，确定经过该归一化处理的该入侵检测数据集的每一条数据对应的维度值；

步骤s202，将对应于该维度值的数据进行关于均值填充或者中位数填充的数据填充处理，以将对应于该维度值的数据填充转换为9*9的可视化图像。

优选地，在该步骤s3中，将经过该可视化图像转换处理的该入侵检测数据集进行滤波处理，以提高该入侵检测数据集的纹理特征的清晰度具体包括，

根据下面公式(2)，采用3*3窗口大小的滤波器对该9*9的可视化图像进行关于局部二值lbp的去噪处理

在上述公式(2)中，lbp(xc，yc)为该去噪处理后得到的局部二值lbp，i(c)为该9*9的可视化图像的中心像素点的灰度值，i(p)为该9*9的可视化图像的第p个像素点的灰度值，其中p＝1、2、…、8，s(x)的具体表达式如下面公式(3)

优选地，在该步骤s4中，构建关于多层卷积和深度置信网络相结合的模型，并对该模型进行优化训练处理具体包括，

步骤s401，通过对比散度算法将该入侵检测数据集对应的权值进行初始化处理；

步骤s402，将经过该初始化处理的权值通过下面公式(4)对应的能量函数公式计算得到该入侵检测数据集中对应每一个数据对应的神经元

在上述公式(4)中，e(v，h|θ)为神经元的能量值，wij为该模型的可见层第i个神经元到隐藏层第j个神经元的连接权值，bj为可见层第j个神经元的偏置，ci为隐藏层第i个神经元的偏置，vj和hi均为预设联合概率；

步骤s403，将该步骤s402得到的神经元对应的两层rbm与卷积神经网络相结合来对网络入侵行为进行建模，以构建一个包括输入层、输出层和五个隐含层的该模型，其中，该输入层将一维待检测数据转化为二维特征矩阵，以使对应的网络连接数据匹配于rbm网络结构；

步骤s404，对该模型包含的两层rbm、卷积层、池化层和全连接层进行训练层，以实现该模型的参数初始值。

优选地，在该步骤s5中，通过与经过该优化训练处理的模型关联的分类器，对该入侵检测数据集进行测试处理，以获得相应的网络入侵检测结果具体包括，

步骤s501，构建与经过该优化训练处理的模型关联的softmax分类器；

步骤s502，将该模型中的卷积神经网络提取得到的关于该入侵检测数据的网络审计数据特征输入至该softmax分类器进行激活处理；

步骤s503，根据该激活处理的结果，输出网络入侵类型对应的暴力攻击、heartbleed、僵尸网络、dos、ddos、web攻击和网络内部渗透对应的概率值；

步骤s504，获取具有最大概率值的网络入侵类型的标签属性，以此作为该网络入侵检测结果。

参阅图2，为本发明实施例提供的一种基于深度学习的网络入侵报警系统的结构示意图。该基于深度学习的网络报警系统包括实时流量获取模块、数据处理模块、数据检测模块和报警模块；其中，

该实时流量获取模块用于获取当前用户在网络中的实时流量数据；

该数据处理模块用于对该实时流量数据进行该归一化处理和该可视化图像转换处理；

该数据检测模块用于将该数据处理模块处理后的数据，输入至该关于多层卷积和深度置信网络相结合的模型，以进行该测试处理；

该报警模块用于根据该测试处理的结果，对当前网络入侵状态进行适应性的报警提醒操作。

优选地，该数据处理模块包括归一化处理子模块和可视化图像转换处理子模块；其中，

该归一化处理子模块用于对该实时流量数据进行该归一化处理，以获得相应的归一化入侵检测数据集；

该可视化图像转换处理子模块用于对该归一化入侵检测数据集进行数据填充处理，以对应获得9*9的可视化图像。

优选地，该数据检测模块包括模型构建子模块、模型优化训练子模块和测试处理子模块；其中，

该模型构建子模块用于构建关于多层卷积和深度置信网络相结合的模型；

该模型优化训练子模块用于对该模型进行关于参数初始值设置的优化训练；

该测试处理子模块用于通过经过优化训练的该模型，对该数据处理模块输出的数据进行该测试处理。

优选地，该测试处理子模块包括分类器单元、网络入侵类型概率确定单元和标签属性获取单元；其中，

该分类器单元用于对经过优化训练的该模型提取得到的网络审计数据特征进行softmax分类激活处理；

该网络入侵类型概率确定单元用于根据该softmax分类激活处理的结果，输出网络入侵类型对应的暴力攻击、heartbleed、僵尸网络、dos、ddos、web攻击和网络内部渗透对应的概率值；

该标签属性获取单元用于获取具有最大概率值的网络入侵类型的标签属性，以此作为该网络入侵检测结果。

优选地，该报警模块包括阈值比较子模块、报警提醒子模块和强制关闭子模块；其中，

该阈值比较子模块用于将该测试处理的结果与预设阈值进行比较处理；

该报警提醒子模块用于在该比较处理确定该测试处理的结果超过该预设阈值时，进行适应性的报警提醒操作；

该强制关闭子模块用于在该报警提醒操作持续时间超过预设时长阈值时，将网络入侵对应的网络操作进行强制关闭。

从上述实施例的内容可知，该基于深度学习的网络入侵检测方法和报警系统主要通过对入侵检测数据集进行归一化处理、可视化图像转换处理和滤波处理，以提高该入侵检测数据集的纹理特征的清晰度，并且还构建和优化训练关于多层卷积和深度置信网络相结合的模型，并基于该模型对该入侵检测数据集进行测试处理，以获得相应的网络入侵检测结果；可见，该基于深度学习的网络入侵检测方法和报警系统能够有效地解决现有技术直接在kddcup99数据集上应用入侵检测算法时，检测速度慢和准确率低下的问题，此外，其还具有如下优点：第一、其通过将卷积神经网络和深度置信网络结合，实现对网络入侵行为的精确和高效的检测；第二、其采用优化选择的网络入侵数据特征集，并对网络连接数据进行归一化处理和可视化为图像转换处理，使其适应深度学习多层卷积和深度置信网络模型，从而提高入侵检测模型提取异常行为特征的精确度和效率。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。