[发明专利]一种基于深度学习的移动自组织网络入侵检测方法与设备

权利要求书

1.一种基于深度学习的移动自组织网络入侵检测方法，其特征在于，包括以下步骤：

①从正常的移动自组织网络中捕获无线数据包，经过数据预处理，得到网络正常行为特征数据集，并将其拆分为网络正常行为特征的训练集和测试集；在移动自组织网络中加入多种已知的入侵节点，从加入入侵节点的移动自组织网络中捕获无线数据包，经过数据预处理，得到网络入侵行为特征数据集，并将其拆分为网络入侵行为特征的训练集和测试集；所述的无线数据包包括路由请求包、路由应答包、路由错误包和业务数据包；

所述网络正常行为特征数据集和网络入侵行为特征数据集中的特征均包括：

(1)RREQ Sent：节点发送的路由请求消息包总数；

(2)RREQ Received：节点接收的路由请求消息包总数；

(3)RREP Sent：节点发送的路由应答消息包总数；

(4)RREP Received：节点接收的路由应答消息包总数；

(5)RERR Sent：节点发送的路由错误消息包总数；

(6)RERR Received：节点接收的路由错误消息包总数；

(7)Data Sent：节点发送的业务数据包总数；

(8)Data Received：节点接收的业务数据包总数；

(9)Route Drop：节点丢弃的路由包总数；

(10)Route Transmit：节点转发的路由包总数；

(11)Data Drop：节点丢弃的业务数据包总数；

(12)Data Transmit：节点转发的业务数据包总数；

(13)Packet size：数据包平均大小；

(14)Active Node：活跃节点个数；

②使用网络正常行为特征训练集训练深度神经网络异常检测模型，得到对网络正常行为的表达；使用网络入侵行为特征训练集训练深度神经网络误用检测模型，得到对网络入侵行为的表达；

③使用网络正常行为特征测试集测试深度神经网络异常检测模型，根据测试结果进一步调整模型参数；使用网络入侵行为特征测试集测试深度神经网络误用检测模型，根据测试结果进一步调整模型参数；

④入侵检测时，多个无线监测节点实时从移动自组织网络中捕获无线数据包，经过数据预处理得到网络行为特征向量，将网络行为特征向量输入调整参数后的深度神经网络异常检测模型进行识别，将判断为异常的网络行为特征向量输入调整参数后的深度神经网络误用检测模型进行识别，对入侵类型的识别结果进行判断；

⑤如果识别结果符合已知入侵类型，则告警显示该类入侵；如果识别结果不符合已知入侵类型，则将异常的网络行为特征向量作为新网络入侵特征向量进行存储，当深度神经网络能识别存储的新网络入侵特征向量之后，使用聚类算法对其进行类划分，将聚类后的新网络入侵特征向量作为网络入侵行为特征训练集训练深度神经网络误用检测模型，当这些入侵类型再次发生时，就能被检测识别；

完成基于深度学习的移动自组织网络入侵检测方法。

2.根据权利要求1所述的一种基于深度学习的移动自组织网络入侵检测方法，其特征在于：所述的数据预处理具体包括以下步骤：

(101)计算捕获到的各无线数据包的大小，然后分别进行帧解析并提取出代表无线数据包类型的字段；

(102)判断出各无线数据包的类型并对各无线数据包进行分类；

(103)提取每类无线数据包的网络行为特征向量。

3.根据权利要求1或2所述的一种基于深度学习的移动自组织网络入侵检测方法，其特征在于：所述的网络行为特征向量是由多个表征网络性能的元素组成的一个向量，具体包括：路由请求消息的发送接收频率、路由应答消息的发送接收频率和数据包投递率；

所述网络行为特征向量的获取方式为：对无线数据包进行帧解析，判断数据包大小，提取代表数据包类型的字段，判断数据包类型，统计单位时间内每一种类型的数据包的发送频率、接收频率、平均大小、持续时间，得到网络行为特征向量。