[发明专利]物联网环境下基于混合深度学习的网络攻击检测方法

权利要求书

1.物联网环境下基于混合深度学习的网络攻击检测方法，其特征在于，包括如下步骤：

步骤1：构建单一的深度学习模型和混合深度学习模型；

构建SIMPLE模型；一层为输出单元为64，激活函数为ReLU的全连接层，第二层为输出单元为1的全连接层；

构建单一的GRU模型，即门控循环神经网络，首先连上5层输出单元为64的GRU层，并在每层后跟上Dropout层；之后再加一层输出单元为64的GRU层和Dropout层，输出层为输出单元为1的全连接层；

构建单一的LSTM模型，即长短期记忆模型；首先连上5层输出单元为64的LSTM层，并在每层后跟上Dropout层；之后再加一层输出单元为64的LSTM层和Dropout层，输出层为输出单元为1的全连接层；

构建混合深度学习模型Multi-Scale CNN+GRU，即多尺度CNN与GRU混合模型；首先对输入张量进行形状变换，分别为(1,76),(2,38),(4,19)，由这三个输入张量分别构建三个CNN模型，输出层全连接层，输出形状分别为(30),(20),(20)；将这三个CNN模型进行连接，再加上GRU层和全连接层，最后输出单元为1；其结构如表1所示；

Multi-Scale CNN+GRU

表1

构建混合深度学习模型Multi-Scale CNN+LSTM，即多尺度CNN与LSTM混合模型；首先对输入张量进行形状变换，分别为(1,76),(2,38),(4,19)，由这三个输入张量分别构建三个CNN模型，输出层全连接层，输出形状分别为(30),(20),(20)；将这三个CNN模型进行连接，再加上LSTM层和全连接层，最后输出单元为1；

Multi-Scale CNN+LSTM

表2

步骤2：编译所构建的深度学习模型；

每个模型的输出层激活函数，优化器，损失函数，评估指标均一致；即每个模型的输出层激活函数采用Sigmoid函数；优化器选择Adam优化器；损失函数采用标签交叉熵损失函数；评估指标采用二分类精度算法；SIMPLE模型的输入张量形状为(76)，而其余模型均为(1,76)；

步骤3：使用公开的网络入侵检测数据集的训练集对上述五个模型进行训练；

步骤4：使用数据集的测试集测试训练完成的单一模型和混合模型；

所述步骤3具体包括以下步骤：

步骤3.1：利用通信安全机构和加拿大网络安全研究所合作项目收集的网络入侵数据集CIC-IDS-2017，将其中Protocol字段下的字符值按照类别映射到数值，再进行one-hot编码；将Label字段下的BENIGN数据改成0，即正常记录，非BENIGN数据改为1，即异常记录；

步骤3.2：将所有数据进行归一化，从而让各个数据都处于[0,1]之间；归一化算法为：x'＝(x-min)/(max-min)，其中x为特征属性值，min为x的最小值，max为x的最大值，x'为归一化后的特征属性值；

步骤3.3：将数据集打乱，防止出现前一半为正常数据，后一半为异常数据，从而对模型训练造成偏差，之后拆分成训练集和测试集，之后分别将训练集和测试集的数据存入数据库；

步骤3.4：取出数据库中的训练集，将训练集分割成训练集和验证集，分别对5个模型进行训练，将每个模型的history数据保存在本地，同时将训练后的模型保存在本地。

2.如权利要求1所述的物联网环境下基于混合深度学习的网络攻击检测方法，其特征在于：所述步骤4包括以下步骤：

步骤4.1：取出数据库中的测试集，将Label特征字段分割出来，为实际结果，用作与预测结果的分析计算；

步骤4.2：分别用同一个测试集去测试上述5个模型，记录预测值；

步骤4.3：计算预测结果和实际结果的差异，得出各项评估指标，包括准确率、误报率和检测率，精准率、召回率和F1-Measure，并记录训练和测试的消耗时间，绘制各模型ROC曲线。

3.如权利要求1所述的物联网环境下基于混合深度学习的网络攻击检测方法，其特征在于：步骤3.3中训练集和测试集比例为7：3。

4.如权利要求1所述的物联网环境下基于混合深度学习的网络攻击检测方法，其特征在于：步骤3.4中将训练集以6：4的比例分割成训练集和验证集。