[发明专利]一种基于深度置信网络和SVM的网络攻击检测方法

说明书

本发明公开了一种基于深度置信网络和SVM的网络攻击检测方法，其中，包括：步骤1：构造网络攻击行为特征向量；步骤2：确定模型训练集和测试集，给数据制定标签，区分正常行为与攻击行为，并将攻击行为分类；步骤3：构建深度置信网络模型，逐层训练，提取网络攻击行为特征，并计算误差，直至收敛，再对模型的权值进行微调,得到特征向量；步骤4：将提取的特征向量作为输入参数，选择合适的SVM分类器进行训练，对网络攻击行为进行分类，构建网络攻击检测模型；步骤5：构建网络攻击行为分析模型，使用测试集测试模型准确率，计算准确率、误报率与漏报率，并将识别出的网络攻击行为作为训练数据，进行优化。

技术领域

本发明属于网络安全技术领域，提出了一种基于深度置信网络和SVM的网络攻击检测方法。

背景技术

当前，网络在人们生活当中发挥了越来越重要的作用，各国对于网络安全也愈发重视，网络空间逐渐成为了全球各大国间竞争的新疆域。网络空间中的攻击行为具有发生速度快，范围广，突发性强等特征，并且在行动过程中伴随着大量的事件与数据，这也对网络攻击行为的发现带来了全新的挑战。

网络攻击行为检测需要采集大量的数据，使得特征向量维度过高，使用分类模型进行训练时，准确率下降，导致网络攻击行为检测失败。而使用人工手段提取网络攻击行为特征的方法局限性大、泛化能力差，不具有通用性，通常只能在模式相近的数据集下取得良好的结果。因此采用深度学习的方法提取特征数据，并用分类模型，对网络空间中的攻击行为进行动态检测与发现，弥补传统方法局限性大、泛化能力弱和通用性差等短板。利用深度学习方法进行提取过后的特征，往往具有更好的分类效果，利于提高模型识别的准确率。

深度置信网络(DBN,Deep Belief Nets)作为深度神经网络中无监督学习的代表，能在缺少大量无标签训练集的情况下，取得较好的学习效果。支持向量机(SVM)作为常用的分类算法模型，在解决非线性、高维模式识别中也表现出许多良好的特性。因此本发明主要利用这两个算法，构造网络攻击行为检测模型。

(一)深度置信网络包括：

深度置信网络由多个受限玻尔兹曼机(Restricted Boltzmann Machine,RBM)堆叠组成，深度置信网络中的每一个隐含层就是一个受限玻尔兹曼机，随着RBM层的增加，深度置信网络结构逐层加深。因此，使用RBM训练算法来进行深度置信网络的权值预训练过程。深度置信网络最终的输出层加入了一个反馈神经网络，输出层利用训练数据与标签数据进行对比，利用误差反向传播算法(BP，Back-Propagation)进行网络微调。

在DBN网络进行无监督权值预训练过程中，要解决的一个问题是，当输入数据从显层神经元通过计算得到隐层神经元状态时，如何利用隐含层神经元状态，将信息重构成输入数据，同时保证原始输入数据与重构的输入数据之间的误差尽可能小。在wake-sleep算法当中，模型可以通过学习到认知权值，由显层神经元输入数据得到隐层神经元的状态。然后通过学习生成权值，实现将隐层神经元重构显层输入的过程。同时，不断调整认知权值与生成权值，减少重构数据时所产生的误差。

(二)支持向量机包括：

支持向量机(Support Vectors Machine,SVM)是一种监督学习模型，主要用于分析数据、识别模式，对数据的分类分析和回归分析。标准的支持向量机是非概率的线性分类器，也就是说，对于每一个特定的输入，它能够预测输入为已知两类的某一个类别。由于SVM是一个分类器，因此给定一组训练集，每一个训练样本就会被标记为属于两个类别的之一，支持向量机算法适合解决非黑即白的问题，所以通常被用于解决二分类的问题。

发明内容

本发明的目的在于提供一种基于深度置信网络和SVM的网络攻击检测方法，用于解决上述现有技术的问题。