[发明专利]联合对称不确定性和超参数优化神经网络的入侵检测方法

说明书

本发明公开了一种基于联合对称不确定性和超参数优化神经网络的入侵检测方法，属于网络安全、入侵检测技术领域，首先对于非数值特征进行独热编码，转换为数值特征，并对数值做归一化处理；基于对称不确定性和松散条件下的马尔可夫毯，使用联合对称不确定性进行特征选择，获得最优特征子集，降低了原始数据的维度；基于CNN和LSTM构建CNN‑LSTM融合神经网络分类模型，并使用改进后的PSO算法对模型的超参数进行自动优化，提高算法的泛化能力。本发明具有更好的特征选择性能，同时也具有更好的入侵检测流量分类性能。从而在准确率、精确率、召回率等多维评价指标中表现出较好性能。

技术领域

本发明属于网络安全、入侵检测技术领域，特别涉及一种网络流量异常检测方法，即联合对称不确定性和超参数优化神经网络的入侵检测方法。

背景技术

在入侵检测数据的高维特征中包含大量的无关特征和冗余特征。无关特征的学习容易导致模型过拟合，冗余特征会增加分类模型的学习代价。利用特征选择技术根据评价准则选择最小的特征子集，可以减少对原始数据的训练时间并提高分类模型的性能。特征的相关性可以分为特征-类别相关性(C-相关性)和特征-特征相关性(F-相关性)。Kira等人在The Feature Selection Problem:Traditional Methods and a New Algorithm文章中提出的Relief算法，通过随机采样来测量C-相关性，但是忽略了F-相关性，也就导致了在选取的特征子集中仍然存在着冗余特征。Zhang等人在Feature Subset Selection withCumulate Conditional Mutual Information Minimization文章中提出了累计条件互信息最小化准则方法，以找到与原始子集等价的子集并删除冗余特征，但该方法的评估条件过于严格，会去除掉与类别标签有强相关性的特征。Peng等人在Feature Selection basedon Mutual Information Criteria of Max-Dependency,Max-Relevance,and Min-Redundancy文章中提出一种基于信息论的最大相关最小冗余特征选择算法，同时考虑了C-相关性和F-相关性，但该方法需要人为设定选取的特征数量，可能会过多删除强相关特征或者过多保留冗余特征。

传统机器学习算法有着容易过拟合，分类准确率较低的问题，因而，深度学习在入侵检测领域得到了广泛的应用。Gao等人在Research on Network Intrusion Detectionbased on Incremental Extreme Learning Machine and Adaptive PrincipalComponent Analysis文章中提出增量神经网络模I-ELM，相比于传统机器学习模型具有较快的检测效率，但是其误报率较高，这是由于神经网络模型的浅层架构，使得模型对于网络数据特征的抽象能力以及学习能力较差，而入侵检测模型的应用场景往往是海量的高维数据。常见的深度学习算法如CNN，LSTM等则具有深层神经网络架构，因此，具有更强的学习能力。Kim等人在CNN-based Network Intrusion Detection Against Denial-of-ServiceAttacks文章中提出基于CNN的入侵检测算法，但是整体模型较为关注Dos攻击的识别，对于其他样本较少的攻击类别的识别性能较差；Clausen等人在Better Anomaly Detectionfor Access Attacks Using Deep Bidirectional LSTMs文章中采用双向LSTM算法，有效地学习网络流中的短期序列模式作为条件事件概率，以识别网络的时序关联性异常。