[发明专利]基于深度学习的机载网络入侵检测方法

说明书

一种基于深度学习的机载网络入侵检测方法。其包括数据包监听、数据包采集、时间戳标记、过滤采样、特征映射、字符型特征数值化、归一化处理、特征学习、性能评估等步骤。本发明提供的方法生成的机载网络入侵检测模型与传统的检测模型相比具有更好的检测性能，降低了由于漏检或误报而导致机载网络遭受攻击的概率。

技术领域

本发明属于网络安全技术领域，特别是涉及一种基于深度学习的机载网络入侵检测方法。

背景技术

机载网络在全球范围内取得了飞速的发展，并预期在未来20年内打造一个价值1300亿美元的市场。但曾一度被认为是最后的网络孤岛的飞机，其网络开放性的增强同时也为复杂多变的网络攻击敞开了大门。开放性带来的安全问题给处于快速发展阶段的机载网络提出挑战，对机载网络安全问题的研究迫在眉睫。

Jacob基于多独立安全层(MILS)理念提出以标签、过滤、信息流控制等为例的中间服务，并使用分区通信系统来负责各MILS节点间的通信。Laarouchi等，提出类似“二极管”的解决方案，允许自上而下(即从风险等级较高向风险等级较低方向)的信息流，而对自下而上的信息流采取Totel完整性模型验证来确保其符合安全性要求。Silvia提出基于机器学习算法的机载网络异常检测模型，分别选取监督式学习中的单分类支持向量机算法和非监督式学习中的子空间聚类算法对模型进行了训练，并使用局部离群因子降低误报率。

然而由于网络入侵数据越来越呈现出复杂化、特征多样化的特点，受限于时间、空间复杂度的约束，传统的机器学习算法往往会表现得捉襟见肘，极易出现“维度爆炸”问题，导致检测模型的误报率、漏报率高和自适应能力差。深度学习凭借其强大的特征提取能力和对复杂数据的处理能力在近年来飞速发展，席卷计算机视觉、语音识别、人体行为识别、多模态学习等众多领域，均取得了优异的成果。

通过对以上文献的研究和分析发现，入侵检测作为一种主动的网络安全保障措施，以一个独立自治模块的形式接入机载网络环境中，不会给飞机原系统引入新的安全问题。同时，深度学习理论作为一种优秀的特征降维工具，可与传统机器学习方法相结合，解决过去检测性能的瓶颈问题。

发明内容

为了解决上述问题，本发明的目的在于提供一种基于深度学习的机载网络入侵检测方法。

为了达到上述目的，本发明提供的基于深度学习的机载网络入侵检测方法包括按顺序进行的下列步骤：

1)对机载网络交换的通信数据包进行监听和采集，并加上时间戳；

2)对步骤1)中获得的通信数据包进行特征映射，提取出包括协议类型、服务类型、连接状态在内的网络特征，并由这些网络特征生成特征数据集；

3)对上述特征数据集进行预处理，首先将字符型离散特征转换为数值型特征，然后进行归一化使特征无量纲且同量级；

4)从步骤3)获得的经过预处理的特征数据集中抽取20％的特征作为测试集，其余80％作为训练集；

5)设计深度置信网络的结构，首先确定多层受限玻尔兹曼机结构节点数，然后在受限玻尔兹曼机末端连接BP神经网络层；以步骤4)中得到的训练集作为首层受限玻尔兹曼机的输入，经迭代训练后，得到固化的深度置信网络模型；

6)设计支持向量机分类层，以步骤5)中受限玻尔兹曼机末层输出作为输入，经监督式训练后，得到固化的深度置信网络-支持向量机混合模型并作为机载网络入侵检测模型；

7)将步骤4)中得到的测试集输入上述固化的深度置信网络-支持向量机混合模型中得出最终分类结果；

8)从准确率、精确率、召回率和F1指标四个方面对上述最终分类结果进行评估，以判断上述机载网络入侵检测模型的性能是否符合检测要求；