隨著互聯(lián)網(wǎng)新技術(shù)的發(fā)展,網(wǎng)絡(luò)規(guī)模的擴(kuò)大,互聯(lián)網(wǎng)給予人們生活的便利無(wú)處不在,已然成為人們生產(chǎn)生活不可或缺的一部分。但同時(shí),產(chǎn)生的各種網(wǎng)絡(luò)安全問(wèn)題越來(lái)越嚴(yán)重,甚至是有預(yù)謀的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)犯罪,給我們的網(wǎng)絡(luò)空間安全帶來(lái)巨大挑戰(zhàn)。在面對(duì)當(dāng)前越來(lái)越嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì),網(wǎng)絡(luò)入侵檢測(cè)作為一種主動(dòng)防御技術(shù),能夠?qū)W(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè),發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為,為實(shí)現(xiàn)網(wǎng)絡(luò)的異常行為預(yù)警和動(dòng)態(tài)防御發(fā)揮著十分重要的作用。目前比較常見(jiàn)的檢測(cè)技術(shù)是使用傳統(tǒng)機(jī)器學(xué)習(xí)方法通過(guò)對(duì)入侵樣本進(jìn)行訓(xùn)練得到的入侵檢測(cè)模型,但存在檢測(cè)率低,僅處理人工標(biāo)記的標(biāo)準(zhǔn)化數(shù)據(jù),對(duì)原始網(wǎng)絡(luò)流量數(shù)據(jù)處理方面研究較少。本文的主要工作內(nèi)容如下:1、針對(duì)基于傳統(tǒng)機(jī)器學(xué)習(xí)的入侵檢測(cè)模型準(zhǔn)確率不高的情況,本文設(shè)計(jì)了一種基于卷積神經(jīng)網(wǎng)絡(luò)算法的網(wǎng)絡(luò)入侵檢測(cè)模型。該模型對(duì)數(shù)據(jù)進(jìn)行特征化處理后轉(zhuǎn)化為二維矩陣灰度圖作為模型的輸入數(shù)據(jù),使用了深度可分離卷積層改進(jìn)了傳統(tǒng)的卷積層,通過(guò)舍棄原始卷積操作,采用兩個(gè)可分離卷積進(jìn)行特征提取以減少模型訓(xùn)練參數(shù),使用長(zhǎng)短期記憶神經(jīng)網(wǎng)絡(luò)保留了特征的順序結(jié)構(gòu),可以充分提取入侵樣本的有效特征,從而對(duì)入侵樣本進(jìn)行準(zhǔn)確分類,并應(yīng)用于入侵檢測(cè)領(lǐng)域... 

【文章來(lái)源】：山西大學(xué)山西省

【文章頁(yè)數(shù)】：65 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

KDDCUP99數(shù)據(jù)集5條文本數(shù)據(jù)

第三章基于CNN-LSTM的入侵檢測(cè)算法設(shè)計(jì)21成二進(jìn)制數(shù)表示后，數(shù)值型特征可由10維的二進(jìn)制表示，32個(gè)數(shù)值型特征則可由10×32=320維的二進(jìn)制表示。3.2.3轉(zhuǎn)換為對(duì)應(yīng)的灰度圖片在KDDCUP99數(shù)據(jù)集中每條流量數(shù)據(jù)有41位有效特征，第42位特征為標(biāo)簽，第42位標(biāo)簽位表示4種攻擊類型，也可表示37種小攻擊類型，在加上正常流量的特征，共計(jì)38位屬性值，轉(zhuǎn)化成二進(jìn)制即為38維二進(jìn)制數(shù)據(jù)。至此41維特征數(shù)據(jù)經(jīng)數(shù)據(jù)處理后擴(kuò)展為84維符號(hào)型特征、12維二進(jìn)制型特征、320維數(shù)值型特征和38維攻擊類型特征，共計(jì)454維的數(shù)據(jù)。在對(duì)數(shù)據(jù)集41維特征進(jìn)行數(shù)據(jù)預(yù)處理擴(kuò)展成454維數(shù)據(jù)后，需要其進(jìn)行降維操作以便處理成n×n圖像數(shù)據(jù)格式作為模型的輸入。這里我們采用方差系數(shù)作為降維篩選依據(jù)，函數(shù)定義為：CV=(3.2)其中σ為標(biāo)準(zhǔn)差，μ為均值，方差系數(shù)越大，特征分布越集中，比較后去除方差系數(shù)較小的維度。因此可以將其組合成21*21的矩陣，進(jìn)而轉(zhuǎn)換成一個(gè)21*21像素大小的灰度圖，每個(gè)數(shù)字分別代表對(duì)應(yīng)的像素灰度值，數(shù)字越大所對(duì)應(yīng)的像素點(diǎn)越接近白色。通過(guò)將數(shù)值數(shù)據(jù)轉(zhuǎn)化成圖片可以充分的利用卷積神經(jīng)網(wǎng)絡(luò)的對(duì)于空間不變形的優(yōu)勢(shì)，提取出更加有效的特征，如下圖3.2所示：圖3.2轉(zhuǎn)化為灰度圖的示例圖片3.2.4數(shù)據(jù)結(jié)果如下圖3.3所示：是將KDDCUP99數(shù)據(jù)集中42位有效特征轉(zhuǎn)換為21*21的矩陣原始數(shù)據(jù)轉(zhuǎn)換為灰度圖像類型，圖中的橫行表示的是數(shù)據(jù)的類別，列表示的是相同類別的不同數(shù)據(jù)。可以看出不同類別的數(shù)據(jù)的分布有著不同的表達(dá)和顯示，通過(guò)轉(zhuǎn)化為圖片可以更加有效的區(qū)分特征和表達(dá)。

基于卷積神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測(cè)算法研究22圖3.3轉(zhuǎn)換后的示例圖片3.3基于CNN+LSTM的入侵檢測(cè)模型設(shè)計(jì)3.3.1卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)處理在對(duì)CNN模型結(jié)構(gòu)設(shè)計(jì)方面，針對(duì)經(jīng)典的LeNet5架構(gòu)中卷積核的尺寸較大，兩段連續(xù)的卷積和池化堆疊方法容易出現(xiàn)過(guò)擬合現(xiàn)象，且提取的特征有限的不足。本文使用深度可分離卷積層替代常規(guī)的卷積層，額外增加網(wǎng)絡(luò)中的非線性模塊，以做到壓縮網(wǎng)絡(luò)的參數(shù)量、加速模型的收斂速度效果。加入批規(guī)范化層，對(duì)中間層進(jìn)行標(biāo)準(zhǔn)正態(tài)分布的規(guī)范化處理，以減輕網(wǎng)絡(luò)中超參數(shù)波動(dòng)的影響，可以平滑訓(xùn)練中的優(yōu)化空間和加快網(wǎng)絡(luò)收斂。在本文選擇使用PReLU函數(shù)作為激活函數(shù)，可以有效降低訓(xùn)練過(guò)程中過(guò)擬合的風(fēng)險(xiǎn)與神經(jīng)單元脆弱的問(wèn)題。最后再融入LSTM方法，利用其能夠保留特征序列的順序性的特點(diǎn)，以使得入侵檢測(cè)更加準(zhǔn)確。3.3.2基于CNN+LSTM的入侵檢測(cè)模型設(shè)計(jì)在對(duì)卷積神經(jīng)網(wǎng)絡(luò)模型結(jié)構(gòu)調(diào)整之后，建立基于CNN+LSTM的入侵檢測(cè)模型，來(lái)處理輸入的數(shù)據(jù)，針對(duì)處理后的網(wǎng)絡(luò)流量，主流方法是以一維卷積為基礎(chǔ)構(gòu)建網(wǎng)絡(luò)模型對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理分類，本文方法在數(shù)據(jù)處理階段將一維序列數(shù)據(jù)類型轉(zhuǎn)換為二維數(shù)字矩陣形式并將二維卷積與LSTM模型相結(jié)合作為本模型的主要數(shù)據(jù)分類器。本文模型如圖3.4所示，具體過(guò)程如下：第一步，數(shù)據(jù)輸入。在3.2節(jié)中對(duì)包含41個(gè)特征的KDDCUP99原始數(shù)據(jù)樣本進(jìn)行預(yù)處理后擴(kuò)充特征到441維，然后將其轉(zhuǎn)換為21*21大小的二維矩陣作為網(wǎng)絡(luò)的輸入。第二步，特征提齲特征提取主要包含深度可分離卷積（DepthwiseSeparable)，最大池化層（Max-Pooling)，以及批規(guī)范化處理和PReLU激活函數(shù)。其中批規(guī)范化和激活函數(shù)嵌套在各個(gè)卷積層中使用。通過(guò)舍棄原始卷積操作，采用兩個(gè)可分離卷積進(jìn)行特征提取以減少模型訓(xùn)練參數(shù)。模型中Co


本文編號(hào)：3320904