隨著互聯(lián)網(wǎng)新技術(shù)的發(fā)展,網(wǎng)絡(luò)規(guī)模的擴大,互聯(lián)網(wǎng)給予人們生活的便利無處不在,已然成為人們生產(chǎn)生活不可或缺的一部分。但同時,產(chǎn)生的各種網(wǎng)絡(luò)安全問題越來越嚴重,甚至是有預(yù)謀的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)犯罪,給我們的網(wǎng)絡(luò)空間安全帶來巨大挑戰(zhàn)。在面對當前越來越嚴峻的網(wǎng)絡(luò)安全形勢,網(wǎng)絡(luò)入侵檢測作為一種主動防御技術(shù),能夠?qū)W(wǎng)絡(luò)流量進行監(jiān)測,發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為,為實現(xiàn)網(wǎng)絡(luò)的異常行為預(yù)警和動態(tài)防御發(fā)揮著十分重要的作用。目前比較常見的檢測技術(shù)是使用傳統(tǒng)機器學(xué)習方法通過對入侵樣本進行訓(xùn)練得到的入侵檢測模型,但存在檢測率低,僅處理人工標記的標準化數(shù)據(jù),對原始網(wǎng)絡(luò)流量數(shù)據(jù)處理方面研究較少。本文的主要工作內(nèi)容如下:1、針對基于傳統(tǒng)機器學(xué)習的入侵檢測模型準確率不高的情況,本文設(shè)計了一種基于卷積神經(jīng)網(wǎng)絡(luò)算法的網(wǎng)絡(luò)入侵檢測模型。該模型對數(shù)據(jù)進行特征化處理后轉(zhuǎn)化為二維矩陣灰度圖作為模型的輸入數(shù)據(jù),使用了深度可分離卷積層改進了傳統(tǒng)的卷積層,通過舍棄原始卷積操作,采用兩個可分離卷積進行特征提取以減少模型訓(xùn)練參數(shù),使用長短期記憶神經(jīng)網(wǎng)絡(luò)保留了特征的順序結(jié)構(gòu),可以充分提取入侵樣本的有效特征,從而對入侵樣本進行準確分類,并應(yīng)用于入侵檢測領(lǐng)域... 

【文章來源】：山西大學(xué)山西省

【文章頁數(shù)】：65 頁

【學(xué)位級別】：碩士

【部分圖文】：

KDDCUP99數(shù)據(jù)集5條文本數(shù)據(jù)

第三章基于CNN-LSTM的入侵檢測算法設(shè)計21成二進制數(shù)表示后，數(shù)值型特征可由10維的二進制表示，32個數(shù)值型特征則可由10×32=320維的二進制表示。3.2.3轉(zhuǎn)換為對應(yīng)的灰度圖片在KDDCUP99數(shù)據(jù)集中每條流量數(shù)據(jù)有41位有效特征，第42位特征為標簽，第42位標簽位表示4種攻擊類型，也可表示37種小攻擊類型，在加上正常流量的特征，共計38位屬性值，轉(zhuǎn)化成二進制即為38維二進制數(shù)據(jù)。至此41維特征數(shù)據(jù)經(jīng)數(shù)據(jù)處理后擴展為84維符號型特征、12維二進制型特征、320維數(shù)值型特征和38維攻擊類型特征，共計454維的數(shù)據(jù)。在對數(shù)據(jù)集41維特征進行數(shù)據(jù)預(yù)處理擴展成454維數(shù)據(jù)后，需要其進行降維操作以便處理成n×n圖像數(shù)據(jù)格式作為模型的輸入。這里我們采用方差系數(shù)作為降維篩選依據(jù)，函數(shù)定義為：CV=(3.2)其中σ為標準差，μ為均值，方差系數(shù)越大，特征分布越集中，比較后去除方差系數(shù)較小的維度。因此可以將其組合成21*21的矩陣，進而轉(zhuǎn)換成一個21*21像素大小的灰度圖，每個數(shù)字分別代表對應(yīng)的像素灰度值，數(shù)字越大所對應(yīng)的像素點越接近白色。通過將數(shù)值數(shù)據(jù)轉(zhuǎn)化成圖片可以充分的利用卷積神經(jīng)網(wǎng)絡(luò)的對于空間不變形的優(yōu)勢，提取出更加有效的特征，如下圖3.2所示：圖3.2轉(zhuǎn)化為灰度圖的示例圖片3.2.4數(shù)據(jù)結(jié)果如下圖3.3所示：是將KDDCUP99數(shù)據(jù)集中42位有效特征轉(zhuǎn)換為21*21的矩陣原始數(shù)據(jù)轉(zhuǎn)換為灰度圖像類型，圖中的橫行表示的是數(shù)據(jù)的類別，列表示的是相同類別的不同數(shù)據(jù)�？梢钥闯霾煌悇e的數(shù)據(jù)的分布有著不同的表達和顯示，通過轉(zhuǎn)化為圖片可以更加有效的區(qū)分特征和表達。

基于卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測算法研究22圖3.3轉(zhuǎn)換后的示例圖片3.3基于CNN+LSTM的入侵檢測模型設(shè)計3.3.1卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)處理在對CNN模型結(jié)構(gòu)設(shè)計方面，針對經(jīng)典的LeNet5架構(gòu)中卷積核的尺寸較大，兩段連續(xù)的卷積和池化堆疊方法容易出現(xiàn)過擬合現(xiàn)象，且提取的特征有限的不足。本文使用深度可分離卷積層替代常規(guī)的卷積層，額外增加網(wǎng)絡(luò)中的非線性模塊，以做到壓縮網(wǎng)絡(luò)的參數(shù)量、加速模型的收斂速度效果。加入批規(guī)范化層，對中間層進行標準正態(tài)分布的規(guī)范化處理，以減輕網(wǎng)絡(luò)中超參數(shù)波動的影響，可以平滑訓(xùn)練中的優(yōu)化空間和加快網(wǎng)絡(luò)收斂。在本文選擇使用PReLU函數(shù)作為激活函數(shù)，可以有效降低訓(xùn)練過程中過擬合的風險與神經(jīng)單元脆弱的問題。最后再融入LSTM方法，利用其能夠保留特征序列的順序性的特點，以使得入侵檢測更加準確。3.3.2基于CNN+LSTM的入侵檢測模型設(shè)計在對卷積神經(jīng)網(wǎng)絡(luò)模型結(jié)構(gòu)調(diào)整之后，建立基于CNN+LSTM的入侵檢測模型，來處理輸入的數(shù)據(jù)，針對處理后的網(wǎng)絡(luò)流量，主流方法是以一維卷積為基礎(chǔ)構(gòu)建網(wǎng)絡(luò)模型對網(wǎng)絡(luò)數(shù)據(jù)進行處理分類，本文方法在數(shù)據(jù)處理階段將一維序列數(shù)據(jù)類型轉(zhuǎn)換為二維數(shù)字矩陣形式并將二維卷積與LSTM模型相結(jié)合作為本模型的主要數(shù)據(jù)分類器。本文模型如圖3.4所示，具體過程如下：第一步，數(shù)據(jù)輸入。在3.2節(jié)中對包含41個特征的KDDCUP99原始數(shù)據(jù)樣本進行預(yù)處理后擴充特征到441維，然后將其轉(zhuǎn)換為21*21大小的二維矩陣作為網(wǎng)絡(luò)的輸入。第二步，特征提齲特征提取主要包含深度可分離卷積（DepthwiseSeparable)，最大池化層（Max-Pooling)，以及批規(guī)范化處理和PReLU激活函數(shù)。其中批規(guī)范化和激活函數(shù)嵌套在各個卷積層中使用。通過舍棄原始卷積操作，采用兩個可分離卷積進行特征提取以減少模型訓(xùn)練參數(shù)。模型中Co


本文編號：3320904