【摘要】：在入侵檢測中,通常的異常檢測主要通過建立正常行為網(wǎng)絡行為模式,來對網(wǎng)絡數(shù)據(jù)流行為是否符合正常網(wǎng)絡行為模式進行對比判定,但如何生成正常網(wǎng)絡行為模式是一個比較難以解決的問題。另外,入侵檢測研究中存在一個普遍的問題:實際檢測系統(tǒng)的訓練數(shù)據(jù)集合不可能涵蓋所有的網(wǎng)絡數(shù)據(jù)情況,特別是有標注的網(wǎng)絡數(shù)據(jù)比較缺乏,而無標注的網(wǎng)絡數(shù)據(jù)卻沒有得到充分利用。再者,網(wǎng)絡攻擊行為的復雜多變,以及網(wǎng)絡數(shù)據(jù)的高維度特性,決定了對網(wǎng)絡數(shù)據(jù)流的人工分析標注存在困難。本文的入侵異常檢測方法的基本設計思想是,對給定的網(wǎng)絡數(shù)據(jù)流使用深度人工神經(jīng)網(wǎng)絡重新學習表征,在計算后的特征表示上進行異常數(shù)據(jù)流的鑒別。與傳統(tǒng)的網(wǎng)絡異常檢測方法不同的是:可以依靠神經(jīng)網(wǎng)絡的自學習特性學習獲取網(wǎng)絡數(shù)據(jù)流中不同類型特征,以及其包含的隱藏特征,然后在此基礎上再進行網(wǎng)絡異常檢測。本文的異常檢測方法的主要組成部分分為:深層特征學習模塊、特征處理模塊、異常檢測模塊。針對網(wǎng)絡異常檢測的以上特點,本文的異常檢測模型研究主要集中在對深度表征過程以及異常檢測方法兩個部分。本文主要從以下幾個方面進行研究:對人工神經(jīng)網(wǎng)絡算法分析實現(xiàn),利用其學習的特征深度表示進行網(wǎng)絡異常檢測,并對特征深度表示在異常檢測模型的提升進行實驗驗證。實驗驗證如何充分利用無標數(shù)據(jù)集合對模型訓練進行補充改進,研究將無標數(shù)據(jù)對RBM進行補充訓練的效果。對不同的判別算法進行分析,直接采用BP算法進行分類訓練所需要的時間很長,本文提出采用DRBM擴展結(jié)構構建異常檢測模型,并通過設計對比實驗對模型的檢測結(jié)果進行比對分析。通過深度特征與原始特征的結(jié)合,提高了模型的準確率以及運行效率。本文實驗結(jié)果表明:對網(wǎng)絡數(shù)據(jù)流的特征重新學習表達,能夠提高分類器的準確率,同時其對于新的未知的網(wǎng)絡入侵行為的檢測也有幫助。通過采用無監(jiān)督的特征學習,當可用的訓練數(shù)據(jù)集有限時,采用無標數(shù)據(jù)進行補充,可以有效的提升異常檢測模型的精準度。通過深度特征組合以及無標數(shù)據(jù)的補充訓練,DRBM在檢測準確率上略低于BP算法,但是在檢測效率上要遠勝于BP算法和SVM。
[Abstract]:In intrusion detection, the normal behavior network behavior pattern is established to determine whether the network data flow behavior conforms to the normal network behavior pattern. However, it is difficult to solve the problem of how to generate normal network behavior patterns. In addition, there is a common problem in the research of intrusion detection: the training data set of the actual detection system can not cover all the network data, especially the lack of labeled network data. However, the unmarked network data is not fully utilized. Furthermore, the complexity of network attack behavior and the high dimensional characteristics of network data make it difficult to analyze and label the network data flow manually. The basic design idea of the intrusion anomaly detection method in this paper is to re-study the representation of the given network data stream using the depth artificial neural network, and to identify the abnormal data flow on the calculated feature representation. Different from the traditional network anomaly detection methods, different types of features and hidden features in the network data flow can be obtained by learning from the self-learning characteristics of neural networks, and then the network anomaly detection can be carried out on this basis. The main components of the anomaly detection method are as follows: deep feature learning module, feature processing module and anomaly detection module. In view of the above characteristics of network anomaly detection, the research of anomaly detection model in this paper mainly focuses on the depth representation process and anomaly detection methods. In this paper, the following aspects are studied: the algorithm of artificial neural network is analyzed and implemented, and the feature depth representation is used to detect the anomaly of the network, and the experimental verification of the feature depth representation in the enhancement of anomaly detection model is carried out. The experiment verifies how to make full use of the non-standard data set to supplement and improve the model training, and studies the effect of supplementing the RBM with the non-standard data. After analyzing different discriminant algorithms, it takes a long time to use BP algorithm directly for classification training. In this paper, an outlier detection model based on extended structure of DRBM is proposed. The test results of the model are compared and analyzed through the design and contrast experiment. Through the combination of depth features and original features, the accuracy and efficiency of the model are improved. The experimental results show that the accuracy of the classifier can be improved by relearning the features of the network data stream, and it is also helpful to detect the new unknown network intrusion behavior. By using unsupervised feature learning and when the available training data set is limited, the accuracy of anomaly detection model can be effectively improved by using non-standard data to supplement it. Through depth feature combination and supplementary training without standard data, DRBM is slightly lower than BP algorithm in detection accuracy, but it is much more efficient than BP algorithm and SVM in detection efficiency.
【學位授予單位】：哈爾濱工業(yè)大學
【學位級別】：碩士
【學位授予年份】：2014
【分類號】：TP393.08;TP183

【相似文獻】

相關期刊論文 前10條

1 肖三;楊雅輝;沈晴霓;;基于微簇的在線網(wǎng)絡異常檢測方法[J];計算機工程與應用;2013年06期

2 狄劍光;陳光英;孫東紅;;網(wǎng)絡異常檢測[J];中國教育網(wǎng)絡;2006年05期

3 莫寧;模糊序列模式在網(wǎng)絡異常檢測中的應用[J];山西電子技術;2003年03期

4 彭新光,馬曉麗;會話屬性優(yōu)化的網(wǎng)絡異常檢測模型[J];計算機工程與設計;2005年11期

5 公慧玲;李致勛;郭勇;;數(shù)據(jù)挖掘在網(wǎng)絡異常檢測中的應用[J];計算機安全;2009年05期

6 劉濤;齊愛玲;;基于時間分段的貝葉斯網(wǎng)絡異常檢測方法[J];信息安全與通信保密;2009年06期

7 劉衛(wèi)國;鄒美群;;一種面向混合攻擊的網(wǎng)絡異常檢測方法[J];計算機系統(tǒng)應用;2009年10期

8 陳曉;;基于模糊序列模式挖掘的網(wǎng)絡異常檢測[J];電腦知識與技術;2009年36期

9 李致勛;公慧玲;王繼成;李德鈿;;關聯(lián)規(guī)則在網(wǎng)絡異常檢測中的應用[J];南昌大學學報(理科版);2010年04期

10 賈偉峰;王勇;張鳳荔;童彬;;基于特征壓縮與分支剪裁的網(wǎng)絡異常檢測算法[J];計算機工程;2010年21期

相關會議論文 前2條

1 李洋;方濱興;郭莉;田志宏;張永錚;姜偉;;基于TCM-KNN和遺傳算法的網(wǎng)絡異常檢測技術[A];全國網(wǎng)絡與信息安全技術研討會論文集（上冊）[C];2007年

2 房鼎益;湯戰(zhàn)勇;李元兵;吳曉南;陳曉江;;基于程序行為分析的網(wǎng)絡異常檢測系統(tǒng)[A];全國網(wǎng)絡與信息安全技術研討會'2005論文集（上冊）[C];2005年

相關博士學位論文 前3條

1 魏小濤;在線自適應網(wǎng)絡異常檢測系統(tǒng)模型與相關算法研究[D];北京交通大學;2009年

2 陳寧;網(wǎng)絡異常檢測與溯源方法研究[D];華中科技大學;2009年

3 郭通;基于自適應流抽樣測量的網(wǎng)絡異常檢測技術研究[D];解放軍信息工程大學;2013年

相關碩士學位論文 前10條

1 李進文;基于云計算的網(wǎng)絡異常檢測算法研究[D];鄭州大學;2015年

2 薛成龍;基于深度表征的網(wǎng)絡異常檢測模型研究[D];哈爾濱工業(yè)大學;2014年

3 李平;基于投影尋蹤回歸的網(wǎng)絡異常檢測機制研究[D];華中科技大學;2011年

4 趙健;基于時間序列分析的社會網(wǎng)絡異常檢測改進[D];西安電子科技大學;2011年

5 黃鍇;基于統(tǒng)計和時序分析的網(wǎng)絡異常檢測[D];上海交通大學;2009年

6 韓照國;基于相對熵理論的網(wǎng)絡異常檢測方法[D];西安理工大學;2010年

7 江華;基于組合聚類分析的網(wǎng)絡異常檢測模型[D];中國民航大學;2013年

8 田雪峰;基于馬爾可夫鏈的網(wǎng)絡異常檢測系統(tǒng)研究與實現(xiàn)[D];國防科學技術大學;2005年

9 李小雷;基于數(shù)據(jù)挖掘的網(wǎng)絡異常檢測技術研究[D];湖南大學;2011年

10 朱士瑞;基于小波分析的網(wǎng)絡異常檢測系統(tǒng)[D];江蘇大學;2007年

，

本文編號：2179825