[发明专利]一种基于信息熵理论结合卷积神经网络的入侵检测方法

说明书

一种基于信息熵理论结合卷积神经网络的入侵检测方法，首先对数据集进行字符型数据转换成数值型数据、数据标准化、数据归一化操作；然后将数据集放入卷积神经网络中进行降维和分类，并结合信息熵不确定度计算对部分数据进行延迟再学习分类决策，延迟决策方法选取随机森林方法。当出现入侵行为时，利用训练好的模型就可以区分出正常数据和攻击数据。该发明利用卷积神经网络特征提取能力和分类学习效果上表现性能较优的特点并结合信息熵理论对分类后的数据进行评估将评估结果作为二次学习分类决策依据，该方法能够尽可能规避因信息提取不充分从而造成误分类的风险提高了入侵检测的性能。

技术领域

本发明涉及一种基于信息熵理论结合卷积神经网络的入侵检测方法，属于网络中的入侵检测技术领域。

背景技术

近年来，随着网络技术的不断更迭和网络规模的不断扩大，国内外的网络安全事件频发，网络安全问题得到了更多的重视。因此对入侵检测系统的研究以成为当前网络安全发展的重要内容。入侵检测系统的研究是为弥补传统防火墙内部袭击防御的不足并加强对网络和系统的运行状况进行监视，尽可能发现各种攻击企图，攻击行为或者攻击结果以保障网络网络系统资源的机密性，完整性和可用性。入侵检测系统截止到目前已经历经了几十年的发展并取得了一定的成果，但对于入侵检测系统的研究还有较大的空间。

传统的入侵检测系统仍存在一些问题，具体为：不能够自主对攻击行为展开调查区分，面对数据规模较大检测时响应不够及时并且签名数据库要实时的进行更新。以上问题将导致系统在检测时，检测数据流量的准确率较低并产生相对较高的误报率。面对未知异常流量时并没有更好的划分方式，缺乏自主学习能力。

发明内容

为了弥补现有技术的不足，本发明提供了一种基于信息熵理论结合卷积神经网络的入侵检测方法。通过卷积神经网络的特征提取和分类的优异性能提升检测的准确率，引入信上理论作为二次评判进而降低误判的发生降低误报率，以解决背景技术中提到的问题。

为实现上述目的，本发明提供如下技术方案：一种基于信息熵理论结合卷积神经网络的入侵检测方法，所述具体步骤如下：

第一步：从数据集中获取训练数据集和测试数据集对数据集进行数据预处理；

第二步：数据预处理后的训练集传入网络模型进行训练，得到训练好的网络模型；

第三步：通过卷积圣经网络模型得到数据的概率分布及置信度通过信息熵理论来计算信息熵值进行评估；

第四步：将熵值小于阈值的数据直接由卷积神经网络输出分类结果，将大于阈值的数据进行随机森林模型进行学习再分类；

第五步：数据预处理后的测试集传入训练好的网络模型得到分类结果。

作为优选方案，所述第一步对入侵检测数据集进行数据预处理具体过程如下：

(1)由于入侵检测数据集中的某些特征为字符型数据因此需将字符型数据转换成数值型数据；

(2)为了减小特征中数据分散度高以及数值大小对模型的影响因此需对转换后的数值型数据进行标准化处理；

(3)为减小模型的计算量对标准化处理后的数据进行数据归一化，使数据映射到[0,1]区间内。

作为优选方案，所述第二步将处理后的网络数据对网络模型进行训练，得到训练好的网络模型具体过程如下：

(1)前向计算每个神经元的输出值；

(2)确定优化目标函数；

(3)根据卷积神经网络损失函数的梯度指引，进行前向和反向传播更新网络权值参数；

(4)重复以上三个步骤，直至网络误差小于给定值，确定最优的卷积神经网络模型。