[发明专利]一种基于深度置信网络和SVM的网络攻击检测方法

权利要求书

1.一种基于深度置信网络和SVM的网络攻击检测方法，其特征在于，包括：

步骤1：构造网络攻击行为特征向量；

步骤2：确定模型训练集和测试集，给数据制定标签，区分正常行为与攻击行为，并将攻击行为分类；

步骤3：构建深度置信网络模型，逐层训练，提取网络攻击行为特征，并计算误差，直至收敛，再对模型的权值进行微调,得到特征向量；

步骤4：将提取的特征向量作为输入参数，选择合适的SVM分类器进行训练，对网络攻击行为进行分类，构建网络攻击检测模型；

步骤5：构建网络攻击行为分析模型，使用测试集测试模型准确率，计算准确率、误报率与漏报率，并将识别出的网络攻击行为作为训练数据，进行优化；

步骤4包括：

步骤4.1：将经过降维与特征提取的网络攻击特征向量作为输入参数，传入第一个SVM分类器；

步骤4.2：选择不同的SVM分类器，区分不同的网络攻击行为。

2.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法，其特征在于，步骤1包括：

网络攻击行为特征属性作为一组用来描述当前网络攻击的定量分析数据，将从传感器采集到的特征数据构成一个一维向量，得到网络攻击行为特征向量，

针对第i个网络攻击行为，在时间t内采集到的特征向量，记为V_i(t)：

V_i(t)＝{a₁,a₂,a₃,…,a_n}；

其中，a_n为t时刻第i个网络攻击行为第n个属性的值。

3.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法，其特征在于，步骤1中，如果是针对windows操作系统进行攻击，采集的特征数据包括系统文件删除、系统文件重命名、系统文件创建、临时文件创建、文件执行、文件修改、注册表项删除、服务删除、执行方式变更、注册操作、服务注册、添加BHO项、进程创建、进程终止、进程搜索、DLL代码注入、线程创建、端口开放、端口绑定、网络连接建立、网络连接断开、数据发送、数据接收、源IP、目的IP、源端口、目的端口、URL类型、内容类型、行为动作类型、网络流量包数量以及包的长度。

4.如权利要求1所述的基于深度置信网络和SVM的网络攻击检测方法，其特征在于，步骤2具体包括：

步骤2.1:将采集到的特征向量V_i(t)分成带标签的和不带标签的两部分{S₁，S₂}，所谓带标签的数据即能够确定是何种攻击的网络攻击行为的数据,带标签的数据S₂为：

V_i(t)∈{P₁,P₂,P₃,…,P_n}；

其中，P_n代表第i个网络攻击事件属于第n种网络攻击；其余的数据为不带标签的数据S₁；

步骤2.2：制作训练集Training Set＝{S₁+S₂₁}，其中S₁为不带标签的训练数据，S₂₁为带标签的数据，为从S₂中选取a％带标签的数据应用于BP反馈算法的权值微调过程，因此S₂₁＝a％*S₂；

步骤2.3：构造测试集Test Set＝{S₂₂}，测试集用于模型识别准确率的测试，测试集全部为带标签的数据,S₂其余的数据作为S₂₂；

步骤2.4：对训练集与测试集的数据做归一化处理，使：

S₁,S₂∈(0,1)。

5.如权利要求4所述的基于深度置信网络和SVM的网络攻击检测方法，其特征在于，a％为30％。