本发明属于网络入侵检测,具体涉及一种基于深度学习的入侵检测系统。
背景技术:
1、近几年来,随着大数据、云计算技术的不断发展,计算机网络技术在经济、政治、医疗、工业领域等多个方面普及开来,给人们的日常生活以及生产过程中提供了便利。但是网络安全问题也随之而来,越来越多的服务器设备、非法程序为网络安全埋下了重大隐患,各种私人信息被各种流氓软件和网站不断地上传到云端数据库中,同时,一些不法分子通过非法网络攻击来获取人们的个人信息。面对爆炸式增长的互联网数据,传统的网络安全检测技术已经不能有效的应对当前的形势,因此使用入侵检测系统来预防网络入侵已经成为一项迫切需要。随着近些年来人们对互联网的需求的增加,黑客们对于网络入侵的手段也在不断迭代,入侵数据也呈现着海量、高维度、全方面的特点。机器学习作为人工智能领域重要的一大分支,它无论是在性能上还是准确上来说,已经可以被证实广泛的应用在各种分类问题上面。因此,对于网络入侵的应用场景,它能够促进对网络数据进行更深入的分析,并更快地识别任何异常。现有机器学习常用的学习方式为有监督学习,在现有的机器学习方式中,通常对数据学习效率较低,从而导致最终的入侵检测效果较差。
技术实现思路
1、本发明提供一种基于深度学习的入侵检测系统,用以解决现有技术中存在的问题。
2、一种基于深度学习的入侵检测系统,包括:深度学习模型库、模型算法库、历史数据获取模块、监测数据获取模块以及入侵检测模块;
3、所述深度学习模型库,用于提供多种不同的深度学习模型,并响应于用户通过人机交互输入的模型确定指令,得到目标深度学习模型;
4、所述历史数据获取模块,用于获取历史网络流量特征以及网络流量特征所对应的历史网络入侵结果,得到训练数据;
5、所述模型算法库,用于采用协作超参优化算法使目标深度学习模型对训练数据进行学习,得到具备网络流量特征检测能力的目标深度学习模型;
6、所述监测数据获取模块,用于采集当前的网络流量特征,得到监测数据;
7、所述入侵检测模块,用于调度模型算法库得到的目标深度学习模型对所述监测数据进行分析,得到网络入侵检测结果。
8、进一步地,所述深度学习模型库至少包括cnn、cnn-lstm、lstm以及bp深度学习模型。
9、进一步地,所述历史网络流量特征包括tcp连接基础属性、tcp连接的内容特征、基于时间的网络流量统计特征以及基于主机的网络流量统计特征。
10、进一步地,采用协作超参优化算法使目标深度学习模型对训练数据进行学习,得到具备网络流量特征检测能力的目标深度学习模型,包括:
11、种群初始化,得到多个待训练个体;其中,待训练个体为一个包含目标深度学习模型的待优化参数的向量;
12、以所述训练数据为基础,获取每个待训练个体对应的适应度值,并将适应度值最大的待训练个体确定为最优个体;
13、针对第t次训练过程中的最优个体,采用前t次训练过程中适应度值最大的个体对当前的最优个体进行最优位置搜索,得到最优搜索之后的最优个体;
14、针对除最优个体之外的其他待训练个体,采用螺旋以及信息交互策略对其他待训练个体进行局部区域搜索,得到局部区域搜索之后的其他待训练个体;
15、针对当前种群中所有个体,采用位置变换搜索策略对所有个体进行未知区域搜索,并采用贪心算法对搜索过程进行控制,得到未知区域搜索之后的个体;
16、以未知区域搜索之后的个体为基础,获取最优个体以及最差个体;
17、针对最优个体以及最差个体,采用自适应扰动搜索策略进行全局搜索,得到全局搜索之后的个体;
18、判断当前迭代次数是否大于或者等于最大迭代次数,若是,则以全局搜索之后的个体为基础,重新获取最优个体,并将重新获取的最优个体作为目标深度学习模型的最终参数,得到具备网络流量特征检测能力的目标深度学习模型,否则返回最优搜索的步骤。
19、进一步地,采用前t次训练过程中适应度值最大的个体对当前的最优个体进行最优位置搜索,得到最优搜索之后的最优个体为:
20、
21、其中,gt表示前t次训练过程中适应度值最大的个体;表示当前训练过程中的最优个体,即第t次训练过程中的最优个体;γ表示服从n(0,1)分布的随机数,表示最优搜索之后的最优个体。
22、进一步地,针对除最优个体之外的其他待训练个体,采用螺旋以及信息交互策略对其他待训练个体进行局部区域搜索,得到局部区域搜索之后的其他待训练个体,包括:
23、将除最优个体之外的其他待训练个体进行随机两两配对,得到第i个其他待训练个体对应的配对个体为其中,i=1,2,…,i-1,i表示所有个体总数,当其他待训练个体的数量为单数时,确定最优个体为最后一个其他待训练个体对应的配对个体;
24、对每个其他待训练个体进行螺旋搜索为:
25、
26、α=exp(-5*(1-t/tmax))
27、其中,表示第i个其他待训练个体,表示最优搜索之后的最优个体,表示对应的螺旋搜索值,π表示圆周率,e表示自然常数,α表示中间参数,r表示(-1,1)之间的随机数,tmax表示最大训练次数;
28、以每个其他待训练个体对应的螺旋搜索值为基础,与其他待训练个体对应的配对个体进行信息交互为:
29、
30、其中,r1表示(0,1)之间的随机数;表示局部区域搜索之后的其他待训练个体,即局部区域搜索之后的其他待训练个体。
31、进一步地,针对当前种群中所有个体,采用位置变换搜索策略对所有个体进行未知区域搜索,并采用贪心算法对搜索过程进行控制,得到未知区域搜索之后的个体,包括:
32、以当前训练次数为基础,确定自适应搜索因子为:
33、ηt+1=ηt+sin(0.5π*(t/tmax)k)
34、其中,ηt表示第t次训练过程中的自适应搜索因子,ηt+1表示第t+1次训练过程中的自适应搜索控制因子,tmax表示最大训练次数,k表示控制因子;当t为奇数时,k为1;当t为偶数时,k为2;
35、以所述自适应搜索因子为基础,对所有个体进行未知区域搜索为:
36、
37、其中,表示第t次训练过程中局部区域搜索之后的种群中第j个个体,j=1,2,…,i,h表示上界向量,l表示下界向量,c表示(0,1)之间的学习因子,表示未知区域搜索之后的个体
38、判断个体的适应度值是否大于个体的适应度值,若是,则接受该次未知区域搜索之后的个体,否则拒绝该次未知区域搜索之后的个体。
39、进一步地,针对最优个体以及最差个体,采用自适应扰动搜索策略进行全局搜索,得到全局搜索之后的个体,包括:
40、
41、其中,表示第t次训练过程中以未知区域搜索之后的个体为基础重新获取的最优个体,表示全局搜索之后的最优个体,fw表示最差个体对应的适应度值,fg表示最优个体对应的适应度值,ξ表示非线性控制因子,r2表示(0,1)之间的随机数,v0表示初始更新速度,β表示速度增量,表示第t次训练过程中的最差个体,表示全局搜索之后的最差个体,tmax表示最大训练次数,e表示自然常数,v0,d表示初始更新速度中第d维参数,d=1,2,…,d,d表示个体中的超参数总维度,表示最差个体中第d维参数,表示除最优个体以及最差个体之外的随机个体,lwg表示最优个体与最差个体之间的欧式距离,ε表示常数项,且ε=0.0001。
42、进一步地,还包括:智能报警模块;
43、所述智能报警模块,用于在网络入侵检测结果为非正常状态时,生成异常警告信息,并将所述异常警告信息传输至用户指定的设备中。
44、进一步地,还包括:强化监测模块;
45、所述强化监测模块,用于在网络入侵检测结果为非正常状态时,提升监测数据获取模块的数据采样频率,使数据采样频率与网络入侵检测结果所对应,强化入侵检测。
46、本发明提供的一种基于深度学习的入侵检测系统,通过设置深度学习模型库以及历史数据获取模块,可以使用户自定义数据学习方案,从而实现高度自定义化的入侵检测,同时提供了模型算法库,通过一种新的学习策略对数据关系进行学习,可以提升深度学习模型对数据关系学习的效果,从而解决现有深度学习过程中数据学习效果差的技术问题,最终提升了网络入侵检测的准确性以及效率。
1.一种基于深度学习的入侵检测系统,其特征在于,包括:深度学习模型库、模型算法库、历史数据获取模块、监测数据获取模块以及入侵检测模块;
2.根据权利要求1所述的基于深度学习的入侵检测系统,其特征在于,所述深度学习模型库至少包括cnn、cnn-lstm、lstm以及bp深度学习模型。
3.根据权利要求1所述的基于深度学习的入侵检测系统,其特征在于,所述历史网络流量特征包括tcp连接基础属性、tcp连接的内容特征、基于时间的网络流量统计特征以及基于主机的网络流量统计特征。
4.根据权利要求1所述的基于深度学习的入侵检测系统,其特征在于,采用协作超参优化算法使目标深度学习模型对训练数据进行学习,得到具备网络流量特征检测能力的目标深度学习模型,包括:
5.根据权利要求4所述的基于深度学习的入侵检测系统,其特征在于,采用前t次训练过程中适应度值最大的个体对当前的最优个体进行最优位置搜索,得到最优搜索之后的最优个体为:
6.根据权利要求5所述的基于深度学习的入侵检测系统,其特征在于,针对除最优个体之外的其他待训练个体,采用螺旋以及信息交互策略对其他待训练个体进行局部区域搜索,得到局部区域搜索之后的其他待训练个体,包括:
7.根据权利要求6所述的基于深度学习的入侵检测系统,其特征在于,针对当前种群中所有个体,采用位置变换搜索策略对所有个体进行未知区域搜索,并采用贪心算法对搜索过程进行控制,得到未知区域搜索之后的个体,包括:
8.根据权利要求7所述的基于深度学习的入侵检测系统,其特征在于,针对最优个体以及最差个体,采用自适应扰动搜索策略进行全局搜索,得到全局搜索之后的个体,包括:
9.根据权利要求1所述的基于深度学习的入侵检测系统,其特征在于,还包括:智能报警模块;
10.根据权利要求1所述的基于深度学习的入侵检测系统,其特征在于,还包括:强化监测模块;
