2. 专利
    3. 一种基于FCNN的多方位安全入侵检测方法及系统与流程

    一种基于FCNN的多方位安全入侵检测方法及系统与流程

    专利2022-07-07  135
    本申请涉及网络安全
    技术领域
    :,具体而言,涉及一种基于fcnn的多方位安全入侵检测方法及系统。
    背景技术
    ::目前,随着数字技术的快速发展,计算机网络的安全威胁在近十年里急剧增加。同时,极具灾难性和危害性的网络攻击会导致个人和商业敏感信息暴露、关键操作中断、持续的漏洞、未经授权和非法访问设备及软件,给国家社会及个人经济带来高成本。网络安全是银行、零售店、关键基础设施、电网、运营商等知名机构长期面临的问题,使得网络安全的研究不断成为学者和机构关注的重大问题。现有技术中,在解决网络安全方面,深度学习技术随着功能的改进而不断涌进。目前传统的机器学习技术,如支持向量机、随机森林和adaboosting等,对nsl-kdd数据的准确率为50.3-82.5%;针对深度学习的方法主要包括深度信念网络、递归神经网络等,这些方法虽对异常检测的准确率和性能都有提高,但是在网络训练中存在训练数据量大、训练设备要求高、训练时间长等问题。针对相关技术中训练数据量大、训练设备要求高、训练时间长的问题,目前尚未提出有效的解决方案。技术实现要素:本申请的主要目的在于提供一种基于fcnn的多方位安全入侵检测方法及系统,以解决相关技术中训练数据量大、训练设备要求高、训练时间长的问题。为了实现上述目的,第一方面,本申请提供了一种基于fcnn的多方位安全入侵检测方法,包括如下步骤:获取网络数据流;针对网络数据流中的数据进行数据预处理;将预处理后的数据进行异常分类检测,得到异常检测分类结果;若异常检测分类结果显示所述预处理后的数据为异常信息,则拦截该异常信息,同时将异常状态信息对应的将所述预处理后的数据输入到攻击分类检测中;若异常检测分类结果显示所述预处理后的数据为正常数据,则所述网络数据流正常通过;所述预处理后的数据输入攻击分类检测中后,得到攻击检测结果,并将所述攻击检测结果记录到攻击记录手册中。所述异常分类检测包括:异常特征筛选;建立异常检测数据库;二类fcnn网络模型。所述异常特征筛选:降低用于建立模型的数据维度,进行异常特征筛选。所述建立异常检测数据库:将所筛选的异常特征添加到异常检测数据库中,并且根据预设定时间阈值与预设定数据数量阈值,不断更新数据库,当所收集的数据大于预设定时间阈值与预设定数据数量阈值时,重新建立二类fcnn网络模型。所述二类fcnn网络模型,采用全连接网络模型创建二类fcnn网络模型,并且采用adam自适应学习率算法以及sgd算法对所述二类fcnn网络模型中的参数进行优化,得到优化后的二类fcnn网络模型。所述采用全连接网络模型创建二类fcnn网络模型,训练过程如下:将所述异常检测数据库中的所有数据进行数据预处理;将数据预处理后的数据通过输入层、隐藏层、输出层进行正向传播,得到模型输出的预测值;根据损失函数,计算所述模型输出的预测值与期望输出值的误差,将所述误差在输出层、隐藏层、输入层进行反向传播,利用每一层的误差更新神经网络的权值,得到二类fcnn网络模型。所述攻击分类检测,包括:攻击特征筛选;建立攻击检测数据库;四类类fcnn网络模型。所述攻击特征筛选:降低用于建立模型的数据维度,进行攻击特征筛选。所述建立攻击检测数据库:将所筛选的攻击特征添加到攻击检测数据库中,并且不断更新数据库,当数据库更新时,重新建立四类fcnn网络模型。所述四类fcnn网络模型,采用全连接网络模型创建四类fcnn网络模型,并且采用adam自适应学习率算法以及sgd算法对所述四类fcnn网络模型中的参数进行优化,得到优化后的四类fcnn网络模型。所述采用全连接网络模型创建四类fcnn网络模型,训练过程如下:将所述攻击检测数据库中的所有数据进行数据预处理;将数据预处理后的数据通过输入层、隐藏层、输出层进行正向传播,得到模型输出的预测值;根据损失函数,计算所述模型输出的预测值与期望输出值的误差,将所述误差在输出层、隐藏层、输入层进行反向传播,利用每一层的误差更新改变神经网络的权值,得到四类fcnn网络模型。所述数据预处理包括:对所述网络数据流中的数据进行z-score标准化;对所述网络数据流中的数据分类值进行one-hotencoding编码。所述采用adam(adaptivemomentestimation适应性矩估计)自适应学习率算法以及sgd算法(stochasticgradientdescent随机梯度下降)对所述二类fcnn网络模型或者四类fcnn网络模型中的参数进行优化,过程如下:首先采用adam自适应学习率算法对神经元参数进行快速更新:计算adam的一阶动量;计算adam的二阶动量;计算adam的下降方向向量;根据adam的下降方向向量,进行参数更新;当满足切换条件时,由adam自适应学习率算法切换至sgd算法;计算sgd的下降方向向量;根据sgd的下降方向向量进行参数更新,得到更新后参数。第二方面,本申请还提供了一种基于fcnn的多方位安全入侵检测系统,采用所述的基于fcnn的多方位安全入侵检测方法实现,包括:数据获取模块、预处理模块、异常检测分类器、攻击检测分类器;所述数据获取模块、预处理模块、异常检测分类器、攻击检测分类器此次顺序相连接,所述预处理模块与所述攻击检测分类器相连接;所述数据获取模块,用来获取网络数据流;所述预处理模块,用来针对网络数据流中的数据进行数据预处理;所述异常检测分类器,用来将预处理后的数据进行异常分类检测,得到异常检测分类结果;若异常检测分类结果显示所述预处理后的数据为异常信息,则拦截该异常信息,并激活攻击检测分类器,将异常状态信息对应的所述预处理后的数据输入到攻击分类检测中;若异常检测分类结果显示所述预处理后的数据为正常数据,则所述网络数据流正常通过;所述攻击检测分类器,用来将所述预处理后的数据输入攻击分类检测中后,得到攻击检测结果,并将所述攻击检测结果记录到攻击记录手册中。有益技术效果:本申请提出了一种基于fcnn的多方位安全入侵检测方法及系统,采用了二类fcnn网络模型以及四类fcnn网络模型,有效降低了输入的数据量,解决了因训练数据量大而对训练设备要求高的问题,本申请还采用adam自适应学习率算法以及sgd算法,使得神经元网络收敛速度很快,解决了训练时间长的问题。附图说明构成本申请的一部分的附图用来提供对本申请的进一步理解,使得本申请的其它特征、目的和优点变得更明显。本申请的示意性实施例附图及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:图1是根据本申请实施例提供的一种基于fcnn的多方位安全入侵检测方法流程图;图2是根据本申请实施例提供的异常分类检测流程图;图3是根据本申请实施例提供的采用全连接网络模型创建二类fcnn网络模型流程图;图4是根据本申请实施例提供的攻击分类检测流程图;图5是根据本申请实施例提供的采用全连接网络模型创建四类fcnn网络模型流程图;图6是根据本申请实施例提供的采用adam自适应学习率算法对神经元参数进行更新的流程图;图7是根据本申请实施例提供的一种基于fcnn的多方位安全入侵检测系统原理框图。具体实施方式为了使本
    技术领域
    :的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。在本申请中,术语“上”、“下”、“左”、“右”、“前”、“后”、“顶”、“底”、“内”、“外”、“中”、“竖直”、“水平”、“横向”、“纵向”等指示的方位或位置关系为基于附图所示的方位或位置关系。这些术语主要是为了更好地描述本申请及其实施例,并非用于限定所指示的装置、元件或组成部分必须具有特定方位,或以特定方位进行构造和操作。并且,上述部分术语除了可以用于表示方位或位置关系以外,还可能用于表示其他含义,例如术语“上”在某些情况下也可能用于表示某种依附关系或连接关系。对于本领域普通技术人员而言,可以根据具体情况理解这些术语在本申请中的具体含义。另外,术语“多个”的含义应为两个以及两个以上。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。第一方面,本申请提供了一种基于fcnn的多方位安全入侵检测方法,如图1所示,包括如下步骤:步骤s1:获取网络数据流;本实施例从github官网获取nsl-kdd的数据集,该数据集供包含41类特征,类别为1类正常,38中攻击类别。异常检测的nsl-kdd原始数据集,获取完整的nsl-kdd训练集train 、nsl-kdd数据集20%的子集training20、完整的nsk-kdd测试集test 、nsl-kdd测试集的一个子集test-。四组实验分别为:train /test 、training20/test 、train /test-以及training20/test-。攻击类别检测,通过剔除正常标签为normal的样本来获取该分类器的nsl-kdd原始数据集。步骤s2:针对网络数据流中的数据进行数据预处理;由于原始nsl-kdd数据集是由数值和分类值组成的,因此使用z-score对数值进行规范化,并将分类值编码为数值。使用z-score标准化方法对数值进行规范化处理,其中,xi为原始数据,μ为原始数据的均值,σ为原始数据的标准差,x′i为经标准化转化后的数值。将数据的分类值(protocol_type、service、flag)通过one-hotencoding编码方式进行编码转换为数值,如protocol_type为离散协议类型,包括tcp、udp、icmp三种,则分别编码为三维向量[1,0,0],[0,1,0],[0,0,1]。步骤s3:将预处理后的数据进行异常分类检测,得到异常检测分类结果;步骤s4:若异常检测分类结果显示所述预处理后的数据为异常信息,则拦截该异常信息,并激活攻击检测分类器,将异常状态信息对应的所述预处理后的数据输入到攻击分类检测中;步骤s5:若异常检测分类结果显示所述预处理后的数据为正常数据,则所述网络数据流正常通过;步骤s6:所述预处理后的数据输入攻击分类检测中后,得到攻击检测结果,并将所述攻击检测结果记录到攻击记录手册中。所述异常分类检测包括,如图2所示:步骤s101:异常特征筛选;本本申请共需要两类检测数据集,分别对nsl-kdd数据集进行特征筛选转换等,获取新的候选异常检测数据集和候选攻击检测数据集。其中,候选异常检测数据集(candidateanomalydetectiondataset,简称cad-datesets)。对原始nsl-kdd数据集进行数据清洗,通过预处理,选出数据集的11个重要的特征,包括(1.duration;2.protocol_type;3.service;5.src_bytes;6.dst_bytes;8.wrong_fragment;25.serror_rate;33.dst_host_srv_count;35.dst_host_diff_srv_rate;36.dst_host_same_src_port_rate;40.dst_host_rerror_rate),对原有的数据集进行特征缩减,形成新的数据集ad-datesets。论文(featuresetreductionforautomaticnetworkintrusiondetectionwithmachinelearningalgorithms)中的featuresetreduction的方法可以用于本发明中。数据维度为82维。其中,候选攻击检测数据集candidateintrusiondetectiondataset,简称cid-datasets)。四中攻击类型分别为:拒绝服务攻击dos(back、neptune、smurf、teardrop、land、pod、apache2、mailbomb、processtable);端口检测与扫描prob(satan,portsweep、ipsweep、nmap、mscan、saint);远程主机的未授权访问r2l(warezmaster、warezclient、ftpwrite、guesspassword、imap、multihop、phf、spy、sendmail、named、snmpgetattack、snmpguess、xlock、xsnoop、worm;);未授权的本地超级用户特权访问u2r(rootkit、bufferoverflow、loadmodule、perl)。对每个类别的数据集进行特征选择和提取,选取重要特征,选取包含25个重要特征的特征集包括(1.duration;2.protocol_type;3.service;4.flag;5.src_bytes;6.dst_bytes;8.wrong_fragment;10.hot;12.logged_in;14.root_shell;16.num_root;17.num_file_creations;23.count;24.srv_count;29.same_srv_rate;32.dst_host_count;33.dst_host_srv_count;34.dst_host_same_srv_rate;35.dst_host_diff_srv_rate;36.dst_host_same_src_port_rate;37.dst_host_srv_diff_host_rate;38.dst_host_serror_rate;39.dst_host_srv_serror_rate;40.dst_host_rerror_rate;41.dst_host_srv_rerror_rate)。其中可以使用决策树和人工经验的方法,对每一大类的攻击分别进行特征的提取。将重要级低的特征删除,留下较少量的重要特征。预处理后维度为106维。步骤s102:建立异常检测数据库;步骤s103:二类fcnn网络模型。所述异常特征筛选:降低用于建立模型的数据维度,进行异常特征筛选。所述建立异常检测数据库:将所筛选的异常特征添加到异常检测数据库中,并且根据预设定时间阈值与预设定数据数量阈值,不断更新数据库,当所收集的数据大于预设定时间阈值与预设定数据数量阈值时,重新建立二类fcnn网络模型。所述二类fcnn网络模型,采用全连接网络模型创建二类fcnn网络模型,并且采用adam自适应学习率算法以及sgd算法对所述二类fcnn网络模型中的参数进行优化,得到优化后的二类fcnn网络模型。所述采用全连接网络模型创建二类fcnn网络模型,如图3所示,训练过程如下:步骤s111:将所述异常检测数据库中的所有数据进行数据预处理;步骤s112:将数据预处理后的数据通过输入层、隐藏层、输出层进行正向传播,得到模型输出的预测值;步骤s113:根据损失函数,计算所述模型输出的预测值与期望输出值的误差,将所述误差在输出层、隐藏层、输入层进行反向传播,利用每一层的误差更新神经网络的权值,得到二类fcnn网络模型。本申请使用了一个基于python的深度学习框架-keras,以tensorflow作为后端,在windows系统中运行。全连接神经网络(fullyconnectedneuralnetwork,简称fcnn)在深度学习发展历程中占据着很重要的地位,且全连接神经网络能较为准确地捕捉数据间的特征关系,预测精度较高,对数据的处理上不会损失信息。本发明对两个模块分别使用基于fcnn的方法进行训练,理论上,隐藏层数量和神经元数量越多,其预测能力越强。但是为了避免过拟合,同时满足komogorov定理和hecht-nielsen理论,本发明采用试错法分别确定隐藏层层数和隐藏层神经元的个数,隐藏层神经元数目满足其中lhj为第j个隐藏层的神经元个数,lin为输入层的神经元个数,lout为输出层的神经元个数,m为调节常数(1~10之内)。每层的输入神经元与输出神经元之间为全连接,通过不断调参获取最佳的网络模型。全连接神经网络优化过程主要分为前向传输和后向传播两个阶段。fcnn训练过程第一阶段为输入信息的前向传输过程,在此过程最终计算得到算法模型输出的预测值,其中每一层网络中第n个神经元输入与输出之间的关系为:式中,fn(w,b)为第n个神经元的输出,wjn为第n个神经元的第j个输入与该神经元之间连接的权重,bn为第n个神经元的偏差。神经网络通过反向传播来训练网络模型。概括地说,反向传播算法是先给定一个输入数据集,取其中一个向量x,通过前向传播得到该向量的输出值y,计算输出值y与期望输出的值的误差,然后将误差在每一层进行反向传播,利用每一层的误差改变权值w,从而拟合模型。所述攻击分类检测,如图4所示,包括:步骤s201:攻击特征筛选;步骤s202:建立攻击检测数据库;步骤s203:四类fcnn网络模型。所述攻击特征筛选:降低用于建立模型的数据维度,进行攻击特征筛选。所述建立攻击检测数据库:将所筛选的攻击特征添加到攻击检测数据库中,并且根据预设定时间阈值与预设定数据数量阈值,不断更新数据库,当所收集的数据大于预设定时间阈值与预设定数据数量阈值时,重新建立四类fcnn网络模型。本实施例中,系统收集一定时间或一定量的检测的数据流及其标签(如1月/次或满1000条数据),存入待更新异常检测数据库、待更新攻击检测数据库,对两个网络分类模型进行微调,使模型保持持续较高的准确度、精度和灵敏度。所述四类fcnn网络模型,采用全连接网络模型创建四类fcnn网络模型,并且采用adam自适应学习率算法以及sgd算法对所述四类fcnn网络模型中的参数进行优化,得到优化后的四类fcnn网络模型。所述采用全连接网络模型创建四类fcnn网络模型,如图5所示,过程如下:步骤s211:将所述攻击检测数据库中的所有数据进行数据预处理;步骤s212:将数据预处理后的数据通过输入层、隐藏层、输出层进行正向传播,得到模型输出的预测值;步骤s213:根据损失函数,计算所述模型输出的预测值与期望输出值的误差值,将所述误差值在输出层、隐藏层、输入层进行反向传播,利用每一层的误差更新神经网络的权值,得到四类fcnn网络模型。所述数据预处理包括:对所述网络数据流中的数据进行z-score标准化;对所述网络数据流中的数据分类值进行one-hotencoding编码。模型训练过程中,针对本申请使用的全连接网络及数据的特点,选用不同优化算法结合的批处理方式。由于adam自适应学习率算法对于稀疏数据具有优势,且收敛速度很快,因此先用adam算法进行快速下降,再切换到sgd进行充分的调优。实现了快速验证新模型的效果。adam自适应学习率算法对于稀疏数据具有优势,且收敛速度很快。所述采用adam(adaptivemomentestimation适应性矩估计)自适应学习率算法以及sgd算法(stochasticgradientdescent随机梯度下降)对所述二类fcnn网络模型或者四类fcnn网络模型中的参数进行优化,得到优化后的二类fcnn网络模型或者四类fcnn网络模型,如图6所示,过程如下:步骤s301:首先采用adam自适应学习率算法对神经元参数进行快速更新:神经元参数向量表达式:fn(θk)=fn(w,b)其中,θk表示第n个神经元第k个时间步的参数向量,fn(w,b)为第n个神经元的输出;步骤s302:计算adam的一阶动量mk:mk=β1mk-1 (1-β1)gk步骤s303:计算adam的二阶动量nk:其中,β1为一阶矩估计的指数衰减率,β2为二阶矩估计的指数衰减率,gk表示第k个时间步的梯度向量;步骤s304:计算adam的下降方向向量:其中,为β1、β2的k幂次,lrk为第k时间步的学习率。步骤s305:根据adam的下降方向向量,进行参数更新:θk=θk-1 pk步骤s306:当满足切换条件时,由adam自适应学习率算法切换至sgd算法:当满足和时,即偏差修正指数平均值无限接近当前γk值,由adam自适应学习率算法切换至sgd算法,来更新神经元参数进行充分的调优。其中为sgd算法的投影估计学习率值,λk=β2λk-1 (1-β2)γk为指数平均值,∈=10-9。步骤s307:计算sgd的下降方向向量:vk=β1vk-1 gk步骤s308:根据sgd的下降方向向量进行参数更新为,得到更新后参数θk:模型训练过程:异常检测,主要是基于正常行为来检测并拦截异常行为,相当于白名单机制,对白名单外的异常行为进行检测拦截,保证系统能快递准确地规避危险。二分类网络,标签类别label分别是0:norma1、1:attack。针对异常检测训练部分,构建了一个含一个输入层和一个输出层的神经网络,经过多次调试及交叉验证,发现三层隐藏层可以达到较好的精度,因此选取三层隐藏层。由于选定的数据特征维度是82,输出类别为2,因此输入层和输出层的神经元个数分别为82、2。神经元个数分别为16、32、8,神经元拓扑结构最终确定为82∶16∶32∶8∶2。激活函数,选择relu函数。基于这些配置,全连接网络模型执行训练以找到最佳优化,并通过softmax层生成输出,计算整体的loss值。并在训练过程中通过交叉熵损失函数对loss进行优化。攻击类别检测,主要是对异常行为进行分类。四个标签类别label分别是10:dos;11:prob;12:r2l;13:u2r。对攻击类别检测而言,由于输出类别更多,经过多次测试对比,选用5层神经网络,网络模型更优,神经元拓扑结构最终确定为106:16:32:64:32:16:4。分别将获取的预处理后的以新标签为label的测试数据,带入两种不同的分类器,最终通过softmax输出分类结果,并以precision、accuracy、recall、f1-score为评价标准,以判断当前超参数训练获取的分类器是否符合要求。第二方面,本申请还提供了一种基于fcnn的多方位安全入侵检测系统,采用所述的基于fcnn的多方位安全入侵检测方法实现,如图7所示,包括:数据获取模块、预处理模块、异常检测分类器、攻击检测分类器;所述数据获取模块、预处理模块、异常检测分类器、攻击检测分类器此次顺序相连接,所述预处理模块与所述攻击检测分类器相连接;所述数据获取模块,用来获取网络数据流;所述预处理模块,用来针对网络数据流中的数据进行数据预处理;所述异常检测分类器,用来将预处理后的数据进行异常分类检测,得到异常检测分类结果;若异常检测分类结果显示所述预处理后的数据为异常信息,则拦截该异常信息,并激活攻击检测分类器,将异常状态信息对应的所述预处理后的数据输入到攻击分类检测中;若异常检测分类结果显示所述预处理后的数据为正常数据,则所述网络数据流正常通过;所述攻击检测分类器,用来将所述预处理后的数据输入攻击分类检测中后,得到攻击检测结果,并将所述攻击检测结果记录到攻击记录手册中。以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。当前第1页1 2 3 当前第1页1 2 3 
    技术特征:

    1.一种基于fcnn的多方位安全入侵检测方法,其特征在于,包括如下步骤:

    获取网络数据流;

    针对网络数据流中的数据进行数据预处理;

    将预处理后的数据进行异常分类检测,得到异常检测分类结果;

    若异常检测分类结果显示所述预处理后的数据为异常信息,则拦截该异常信息,同时将异常状态信息对应的所述预处理后的数据输入到攻击分类检测中;

    若异常检测分类结果显示所述预处理后的数据为正常数据,则所述网络数据流正常通过;

    所述预处理后的数据输入攻击分类检测中后,得到攻击检测结果,并将所述攻击检测结果记录到攻击记录手册中。

    2.如权利要求1所述的基于fcnn的多方位安全入侵检测方法,其特征在于,所述异常分类检测包括:

    异常特征筛选;

    建立异常检测数据库;

    二类fcnn网络模型。

    3.如权利要求2所述的基于fcnn的多方位安全入侵检测方法,其特征在于,所述异常特征筛选:降低用于建立模型的数据维度,进行异常特征筛选;

    所述建立异常检测数据库:将所筛选的异常特征添加到异常检测数据库中,并且根据预设定时间阈值与预设定数据数量阈值,不断更新数据库,当所收集的数据大于预设定时间阈值与预设定数据数量阈值时,重新建立二类fcnn网络模型;

    所述二类fcnn网络模型,采用全连接网络模型创建二类fcnn网络模型,并且采用adam自适应学习率算法以及sgd算法对所述二类fcnn网络模型中的参数进行优化,得到优化后的二类fcnn网络模型。

    4.如权利要求3所述的基于fcnn的多方位安全入侵检测方法,其特征在于,所述采用全连接网络模型创建二类fcnn网络模型,训练过程如下:

    将所述异常检测数据库中的所有数据进行数据预处理;

    将数据预处理后的数据通过输入层、隐藏层、输出层进行正向传播,得到模型输出的预测值;

    根据损失函数,计算所述模型输出的预测值与期望输出值的误差,将所述误差在输出层、隐藏层、输入层进行反向传播,利用每一层的误差更新神经网络的权值,得到二类fcnn网络模型。

    5.如权利要求1所述的基于fcnn的多方位安全入侵检测方法,其特征在于,所述攻击分类检测,包括:

    攻击特征筛选;

    建立攻击检测数据库;

    四类类fcnn网络模型。

    6.如权利要求5所述的基于fcnn的多方位安全入侵检测方法,其特征在于,所述攻击特征筛选:降低用于建立模型的数据维度,进行攻击特征筛选;

    所述建立攻击检测数据库:将所筛选的攻击特征添加到攻击检测数据库中,并且根据预设定时间阈值与预设定数据数量阈值,不断更新数据库,当所收集的数据大于预设定时间阈值与预设定数据数量阈值时,重新建立四类fcnn网络模型;

    所述四类fcnn网络模型,采用全连接网络模型创建四类fcnn网络模型,并且采用adam自适应学习率算法以及sgd算法对所述四类fcnn网络模型中的参数进行优化,得到优化后的四类fcnn网络模型。

    7.如权利要求6所述的基于fcnn的多方位安全入侵检测方法,其特征在于,所述采用全连接网络模型创建四类fcnn网络模型,训练过程如下:

    将所述攻击检测数据库中的所有数据进行数据预处理;

    将数据预处理后的数据通过输入层、隐藏层、输出层进行正向传播,得到模型输出的预测值;

    根据损失函数,计算所述模型输出的预测值与期望输出值的误差,将所述误差在输出层、隐藏层、输入层进行反向传播,利用每一层的误差更新神经网络的权值,得到四类fcnn网络模型。

    8.如权利要求1或4或7所述的基于fcnn的多方位安全入侵检测方法,其特征在于,所述数据预处理包括:

    对所述网络数据流中的数据进行z-score标准化;

    对所述网络数据流中的数据分类值进行one-hotencoding编码。

    9.如权利要求3或6所述的基于fcnn的多方位安全入侵检测方法,其特征在于,所述采用adam自适应学习率算法以及sgd算法对所述二类fcnn网络模型或者四类fcnn网络模型中的参数进行优化,过程如下:

    首先采用adam自适应学习率算法对神经元参数进行快速更新:

    计算adam的一阶动量;

    计算adam的二阶动量;

    计算adam的下降方向向量;

    根据adam的下降方向向量,进行参数更新;

    当满足切换条件时,由adam自适应学习率算法切换至sgd算法;

    计算sgd的下降方向向量;

    根据sgd的下降方向向量进行参数更新,得到更新后参数。

    10.一种基于fcnn的多方位安全入侵检测系统,其特征在于,采用如权利要求1-9任一项所述的基于fcnn的多方位安全入侵检测方法实现,包括:数据获取模块、预处理模块、异常检测分类器、攻击检测分类器;

    所述数据获取模块、预处理模块、异常检测分类器、攻击检测分类器此次顺序相连接,所述预处理模块与所述攻击检测分类器相连接;

    所述数据获取模块,用来获取网络数据流;

    所述预处理模块,用来针对网络数据流中的数据进行数据预处理;

    所述异常检测分类器,用来将预处理后的数据进行异常分类检测,得到异常检测分类结果;若异常检测分类结果显示所述预处理后的数据为异常信息,则拦截该异常信息,并激活攻击检测分类器,将异常状态信息对应的所述预处理后的数据输入到攻击分类检测中;若异常检测分类结果显示所述预处理后的数据为正常数据,则所述网络数据流正常通过;

    所述攻击检测分类器,用来将所述预处理后的数据输入攻击分类检测中后,得到攻击检测结果,并将所述攻击检测结果记录到攻击记录手册中。

    技术总结
    本申请公开了一种基于FCNN的多方位安全入侵检测方法及系统。所述方法包括:获取网络数据流;进行数据预处理;将预处理后的数据进行异常分类检测,得到异常检测分类结果;拦截异常信息,并激活攻击检测分类器,将异常状态信息对应的所述预处理后的数据输入攻击分类检测中后,得到攻击检测结果,并将所述攻击检测结果记录到攻击记录手册中。所述系统包括:数据获取模块、预处理模块、异常检测分类器、攻击检测分类器。本申请有效降低了输入的数据量,解决了因训练数据量大而对训练设备要求高的问题,本申请还采用Adam自适应学习率算法以及SGD算法,使得神经元网络收敛速度很快,解决了训练时间长的问题。

    技术研发人员:岳志军;尚尔卓;郭敬文
    受保护的技术使用者:郑州迪维勒普科技有限公司
    技术研发日:2020.11.19
    技术公布日:2021.03.12

    转载请注明原文地址:https://wp.8miu.com/read-7920.html

    专利

    最新回复(0)