[发明专利]一种基于GAN的NDN网络入侵检测方法

权利要求书

1.一种基于生成对抗网络(Generative Adversarial Network,GAN)的命名数据网络(Named Data Networking,NDN)入侵检测方法，其特征在于所述方法包括如下步骤：

步骤1，对从NDN网络路由节点获取的统计信息进行预处理，首先，从NDN路由以及路由节点的缓存数据(Content Store,CS)、兴趣包缓存表(Pending Interest Table,PIT)、目标信息表(Forwarding Information Table,FIT)获取统计时段内通过节点的流量统计信息，统计信息包括：路由节点名称、统计时刻、该路由与其它路由的链接数量、兴趣包收到相应内容包所需的平均时间、接收到兴趣包数目、接收到数据包数目、接收到数据包平均大小、发送兴趣包数目、发送数据包数目、发送的数据包平均大小、被满足兴趣包数目、缓存数据命中数目、缓存存留平均时间、当前时刻缓存数据队列长度、PIT表更新条目数、当前时刻PIT表条目数、PIT表超时删除数目、当前时刻目标信息表条目数，共计18个特征，各特征分布不同，然后，根据攻击实施时间，按照抽样时间以及路由节点名称将所得流量样本划分为正常、CPA攻击、IFA攻击，其次，将所得的流量分类统计信息按照已定义的规则处理，将分类标签进行one-Hot编码处理，最后，将所得样本的数值特征使用变分高斯混合模型进行标准化处理；

步骤2，使用基于GAN的方法进行数据增强，扩充数据样本中恶意样本的数量，首先，用随机噪声z～N(0，1)生成N_z维度数的随机初始向量并依据样本中各类别的比例设置表示向量攻击类别的one-Hot编码d，初始样本z及类别d作为GAN生成器G(z,d)的输入，然后，采用对数频率方法对真实样本进行抽样，将抽样所得的真实攻击样本与GAN生成器的输出作为判别器的输入，其次，采用交叉熵损失函数，交替训练判别器网络和生成器网络，直到达到预设值，最后，利用生成器模型，生成指定攻击类型的样本数据；

步骤3，使用增强后的数据集训练深度神经网络分类器，首先，将生成的样本数据与原始样本数据作为神经网络分类器的输入，训练神经网络分类器，然后，使用Adam优化器训练，获得神经网络分类器模型；

步骤4，分类器监测经由路由的流量统计信息判别恶意入侵攻击类型，根据流量信息中的路由节点名称、采样时间，快速定位入侵检测发生节点。

2.根据权利要求1所述的一种基于GAN的NDN网络入侵检测方法，其特征在于：将步骤1所述的18个NDN路由节点样本特征使用变分高斯混合模型进行预处理：其中r_j为第j条数据处理后的结果；α_i，j指第j条数据中第i个特征的高斯标准化值，处理过程为：首先，对每列特征C_i，使用变分高斯混合模型估计该列特征的高斯模式数量N，并对N个模式进行one-Hot编码，然后，对于该列特征中的一个具体数值c_i，j，以其概率最大的高斯模式标准化处理：α_i，j＝(c_i，j-μ_k)/(4×φ_k)；β_i，j指α_i，j所对应高斯模式的one-Hot编码，为N维向量；Nc＝18，为特征数量；d_j指该条数据标签值的one-Hot编码；表示连接前后向量。

3.根据权利要求1所述的一种基于GAN的NDN网络入侵检测方法，其特征在于：步骤2基于GAN进行数据增强方法中对GAN生成器网络G(z,d)的定义。生成器网络G(z,d)的定义具体如下：

其中生成器网络的输入为(z,d)，输出为z指随机初始向量，d为样本类别one-Hot编码。为输入层，表示连接前后向量；网络共有两个隐藏层，每层256个神经元，同时对隐藏层进行批量归一化(Batch Normalization,BN)处理，并使用线性整流函数(Rectified Linear Unit,ReLU)作为激活函数；隐藏层的输入向量与输出向量连接后作为下一层的输入；生成器网络的输出层为及指第i个特征的标准化值，使用双曲正切函数tanh获取，指所属高斯模式的one-Hot编码，是利用Gumbel-Softmax输出的类别型数据；式中FC(Fully Connected)指全连接，d_i为第i个特征的高斯模式数量。