發(fā)布時(shí)間：2018-08-12 17:47

【摘要】：在入侵檢測中,通常的異常檢測主要通過建立正常行為網(wǎng)絡(luò)行為模式,來對網(wǎng)絡(luò)數(shù)據(jù)流行為是否符合正常網(wǎng)絡(luò)行為模式進(jìn)行對比判定,但如何生成正常網(wǎng)絡(luò)行為模式是一個比較難以解決的問題。另外,入侵檢測研究中存在一個普遍的問題:實(shí)際檢測系統(tǒng)的訓(xùn)練數(shù)據(jù)集合不可能涵蓋所有的網(wǎng)絡(luò)數(shù)據(jù)情況,特別是有標(biāo)注的網(wǎng)絡(luò)數(shù)據(jù)比較缺乏,而無標(biāo)注的網(wǎng)絡(luò)數(shù)據(jù)卻沒有得到充分利用。再者,網(wǎng)絡(luò)攻擊行為的復(fù)雜多變,以及網(wǎng)絡(luò)數(shù)據(jù)的高維度特性,決定了對網(wǎng)絡(luò)數(shù)據(jù)流的人工分析標(biāo)注存在困難。本文的入侵異常檢測方法的基本設(shè)計(jì)思想是,對給定的網(wǎng)絡(luò)數(shù)據(jù)流使用深度人工神經(jīng)網(wǎng)絡(luò)重新學(xué)習(xí)表征,在計(jì)算后的特征表示上進(jìn)行異常數(shù)據(jù)流的鑒別。與傳統(tǒng)的網(wǎng)絡(luò)異常檢測方法不同的是:可以依靠神經(jīng)網(wǎng)絡(luò)的自學(xué)習(xí)特性學(xué)習(xí)獲取網(wǎng)絡(luò)數(shù)據(jù)流中不同類型特征,以及其包含的隱藏特征,然后在此基礎(chǔ)上再進(jìn)行網(wǎng)絡(luò)異常檢測。本文的異常檢測方法的主要組成部分分為:深層特征學(xué)習(xí)模塊、特征處理模塊、異常檢測模塊。針對網(wǎng)絡(luò)異常檢測的以上特點(diǎn),本文的異常檢測模型研究主要集中在對深度表征過程以及異常檢測方法兩個部分。本文主要從以下幾個方面進(jìn)行研究:對人工神經(jīng)網(wǎng)絡(luò)算法分析實(shí)現(xiàn),利用其學(xué)習(xí)的特征深度表示進(jìn)行網(wǎng)絡(luò)異常檢測,并對特征深度表示在異常檢測模型的提升進(jìn)行實(shí)驗(yàn)驗(yàn)證。實(shí)驗(yàn)驗(yàn)證如何充分利用無標(biāo)數(shù)據(jù)集合對模型訓(xùn)練進(jìn)行補(bǔ)充改進(jìn),研究將無標(biāo)數(shù)據(jù)對RBM進(jìn)行補(bǔ)充訓(xùn)練的效果。對不同的判別算法進(jìn)行分析,直接采用BP算法進(jìn)行分類訓(xùn)練所需要的時(shí)間很長,本文提出采用DRBM擴(kuò)展結(jié)構(gòu)構(gòu)建異常檢測模型,并通過設(shè)計(jì)對比實(shí)驗(yàn)對模型的檢測結(jié)果進(jìn)行比對分析。通過深度特征與原始特征的結(jié)合,提高了模型的準(zhǔn)確率以及運(yùn)行效率。本文實(shí)驗(yàn)結(jié)果表明:對網(wǎng)絡(luò)數(shù)據(jù)流的特征重新學(xué)習(xí)表達(dá),能夠提高分類器的準(zhǔn)確率,同時(shí)其對于新的未知的網(wǎng)絡(luò)入侵行為的檢測也有幫助。通過采用無監(jiān)督的特征學(xué)習(xí),當(dāng)可用的訓(xùn)練數(shù)據(jù)集有限時(shí),采用無標(biāo)數(shù)據(jù)進(jìn)行補(bǔ)充,可以有效的提升異常檢測模型的精準(zhǔn)度。通過深度特征組合以及無標(biāo)數(shù)據(jù)的補(bǔ)充訓(xùn)練,DRBM在檢測準(zhǔn)確率上略低于BP算法,但是在檢測效率上要遠(yuǎn)勝于BP算法和SVM。
[Abstract]:In intrusion detection, the normal behavior network behavior pattern is established to determine whether the network data flow behavior conforms to the normal network behavior pattern. However, it is difficult to solve the problem of how to generate normal network behavior patterns. In addition, there is a common problem in the research of intrusion detection: the training data set of the actual detection system can not cover all the network data, especially the lack of labeled network data. However, the unmarked network data is not fully utilized. Furthermore, the complexity of network attack behavior and the high dimensional characteristics of network data make it difficult to analyze and label the network data flow manually. The basic design idea of the intrusion anomaly detection method in this paper is to re-study the representation of the given network data stream using the depth artificial neural network, and to identify the abnormal data flow on the calculated feature representation. Different from the traditional network anomaly detection methods, different types of features and hidden features in the network data flow can be obtained by learning from the self-learning characteristics of neural networks, and then the network anomaly detection can be carried out on this basis. The main components of the anomaly detection method are as follows: deep feature learning module, feature processing module and anomaly detection module. In view of the above characteristics of network anomaly detection, the research of anomaly detection model in this paper mainly focuses on the depth representation process and anomaly detection methods. In this paper, the following aspects are studied: the algorithm of artificial neural network is analyzed and implemented, and the feature depth representation is used to detect the anomaly of the network, and the experimental verification of the feature depth representation in the enhancement of anomaly detection model is carried out. The experiment verifies how to make full use of the non-standard data set to supplement and improve the model training, and studies the effect of supplementing the RBM with the non-standard data. After analyzing different discriminant algorithms, it takes a long time to use BP algorithm directly for classification training. In this paper, an outlier detection model based on extended structure of DRBM is proposed. The test results of the model are compared and analyzed through the design and contrast experiment. Through the combination of depth features and original features, the accuracy and efficiency of the model are improved. The experimental results show that the accuracy of the classifier can be improved by relearning the features of the network data stream, and it is also helpful to detect the new unknown network intrusion behavior. By using unsupervised feature learning and when the available training data set is limited, the accuracy of anomaly detection model can be effectively improved by using non-standard data to supplement it. Through depth feature combination and supplementary training without standard data, DRBM is slightly lower than BP algorithm in detection accuracy, but it is much more efficient than BP algorithm and SVM in detection efficiency.
【學(xué)位授予單位】：哈爾濱工業(yè)大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2014
【分類號】：TP393.08;TP183

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 肖三;楊雅輝;沈晴霓;;基于微簇的在線網(wǎng)絡(luò)異常檢測方法[J];計(jì)算機(jī)工程與應(yīng)用;2013年06期

2 狄劍光;陳光英;孫東紅;;網(wǎng)絡(luò)異常檢測[J];中國教育網(wǎng)絡(luò);2006年05期

3 莫寧;模糊序列模式在網(wǎng)絡(luò)異常檢測中的應(yīng)用[J];山西電子技術(shù);2003年03期

4 彭新光,馬曉麗;會話屬性優(yōu)化的網(wǎng)絡(luò)異常檢測模型[J];計(jì)算機(jī)工程與設(shè)計(jì);2005年11期

5 公慧玲;李致勛;郭勇;;數(shù)據(jù)挖掘在網(wǎng)絡(luò)異常檢測中的應(yīng)用[J];計(jì)算機(jī)安全;2009年05期

6 劉濤;齊愛玲;;基于時(shí)間分段的貝葉斯網(wǎng)絡(luò)異常檢測方法[J];信息安全與通信保密;2009年06期

7 劉衛(wèi)國;鄒美群;;一種面向混合攻擊的網(wǎng)絡(luò)異常檢測方法[J];計(jì)算機(jī)系統(tǒng)應(yīng)用;2009年10期

8 陳曉;;基于模糊序列模式挖掘的網(wǎng)絡(luò)異常檢測[J];電腦知識與技術(shù);2009年36期

9 李致勛;公慧玲;王繼成;李德鈿;;關(guān)聯(lián)規(guī)則在網(wǎng)絡(luò)異常檢測中的應(yīng)用[J];南昌大學(xué)學(xué)報(bào)(理科版);2010年04期

10 賈偉峰;王勇;張鳳荔;童彬;;基于特征壓縮與分支剪裁的網(wǎng)絡(luò)異常檢測算法[J];計(jì)算機(jī)工程;2010年21期

相關(guān)會議論文 前2條

1 李洋;方濱興;郭莉;田志宏;張永錚;姜偉;;基于TCM-KNN和遺傳算法的網(wǎng)絡(luò)異常檢測技術(shù)[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會論文集（上冊）[C];2007年

2 房鼎益;湯戰(zhàn)勇;李元兵;吳曉南;陳曉江;;基于程序行為分析的網(wǎng)絡(luò)異常檢測系統(tǒng)[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會'2005論文集（上冊）[C];2005年

相關(guān)博士學(xué)位論文 前3條

1 魏小濤;在線自適應(yīng)網(wǎng)絡(luò)異常檢測系統(tǒng)模型與相關(guān)算法研究[D];北京交通大學(xué);2009年

2 陳寧;網(wǎng)絡(luò)異常檢測與溯源方法研究[D];華中科技大學(xué);2009年

3 郭通;基于自適應(yīng)流抽樣測量的網(wǎng)絡(luò)異常檢測技術(shù)研究[D];解放軍信息工程大學(xué);2013年

相關(guān)碩士學(xué)位論文 前10條

1 李進(jìn)文;基于云計(jì)算的網(wǎng)絡(luò)異常檢測算法研究[D];鄭州大學(xué);2015年

2 薛成龍;基于深度表征的網(wǎng)絡(luò)異常檢測模型研究[D];哈爾濱工業(yè)大學(xué);2014年

3 李平;基于投影尋蹤回歸的網(wǎng)絡(luò)異常檢測機(jī)制研究[D];華中科技大學(xué);2011年

4 趙健;基于時(shí)間序列分析的社會網(wǎng)絡(luò)異常檢測改進(jìn)[D];西安電子科技大學(xué);2011年

5 黃鍇;基于統(tǒng)計(jì)和時(shí)序分析的網(wǎng)絡(luò)異常檢測[D];上海交通大學(xué);2009年

6 韓照國;基于相對熵理論的網(wǎng)絡(luò)異常檢測方法[D];西安理工大學(xué);2010年

7 江華;基于組合聚類分析的網(wǎng)絡(luò)異常檢測模型[D];中國民航大學(xué);2013年

8 田雪峰;基于馬爾可夫鏈的網(wǎng)絡(luò)異常檢測系統(tǒng)研究與實(shí)現(xiàn)[D];國防科學(xué)技術(shù)大學(xué);2005年

9 李小雷;基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)異常檢測技術(shù)研究[D];湖南大學(xué);2011年

10 朱士瑞;基于小波分析的網(wǎng)絡(luò)異常檢測系統(tǒng)[D];江蘇大學(xué);2007年

，

本文編號：2179825