[发明专利]一种基于深度学习的移动自组织网络入侵检测方法与设备

摘要

本发明公开了一种基于深度学习的移动自组织网络入侵检测方法与设备，涉及无线网络安全领域。本发明的设备包括数据采集模块、数据融合模块、预处理模块、存储模块、入侵检测模块和响应告警模块，将捕获到的无线数据包进行融合和去冗余后，提取网络行为特征并存储；深度学习网络行为特征后建立表达网络行为的深度神经网络模型；将待检测的网络数据输入深度神经网络模型，完成对入侵的判断和识别后响应告警。本发明方法将检测为异常的网络行为特征向量进行存储并用来训练深度神经网络，当这些入侵类型再次发生时，就能被检测识别。本发明在保证模型训练和检测效率的前提下，提高检测准确率，进一步提高移动自组织网络的安全性。

主权项

1.一种基于深度学习的移动自组织网络入侵检测方法，其特征在于，包括以下步骤：①从正常的移动自组织网络中捕获无线数据包，经过数据预处理，得到网络正常行为特征数据集，并将其拆分为网络正常行为特征的训练集和测试集；在移动自组织网络中加入多种已知的入侵节点，从加入入侵节点的移动自组织网络中捕获无线数据包，经过数据预处理，得到网络入侵行为特征数据集，并将其拆分为网络入侵行为特征的训练集和测试集；所述的无线数据包包括路由请求包、路由应答包、路由错误包和业务数据包；所述网络正常行为特征数据集和网络入侵行为特征数据集中的特征均包括：(1)RREQ Sent：节点发送的路由请求消息包总数；(2)RREQ Received：节点接收的路由请求消息包总数；(3)RREP Sent：节点发送的路由应答消息包总数；(4)RREP Received：节点接收的路由应答消息包总数；(5)RERR Sent：节点发送的路由错误消息包总数；(6)RERR Received：节点接收的路由错误消息包总数；(7)Data Sent：节点发送的业务数据包总数；(8)Data Received：节点接收的业务数据包总数；(9)Route Drop：节点丢弃的路由包总数；(10)Route Transmit：节点转发的路由包总数；(11)Data Drop：节点丢弃的业务数据包总数；(12)Data Transmit：节点转发的业务数据包总数；(13)Packet size：数据包平均大小；(14)Active Node：活跃节点个数；②使用网络正常行为特征训练集训练深度神经网络异常检测模型，得到对网络正常行为的表达；使用网络入侵行为特征训练集训练深度神经网络误用检测模型，得到对网络入侵行为的表达；③使用网络正常行为特征测试集测试深度神经网络异常检测模型，根据测试结果进一步调整模型参数；使用网络入侵行为特征测试集测试深度神经网络误用检测模型，根据测试结果进一步调整模型参数；④入侵检测时，多个无线监测节点实时从移动自组织网络中捕获无线数据包，经过数据预处理得到网络行为特征向量，将网络行为特征向量输入调整参数后的深度神经网络异常检测模型进行识别，将判断为异常的网络行为特征向量输入调整参数后的深度神经网络误用检测模型进行识别，对入侵类型的识别结果进行判断；⑤如果识别结果符合已知入侵类型，则告警显示该类入侵；如果识别结果不符合已知入侵类型，则将异常的网络行为特征向量作为新网络入侵特征向量进行存储，当深度神经网络能识别存储的新网络入侵特征向量之后，使用聚类算法对其进行类划分，将聚类后的新网络入侵特征向量作为网络入侵行为特征训练集训练深度神经网络误用检测模型，当这些入侵类型再次发生时，就能被检测识别；完成基于深度学习的移动自组织网络入侵检测方法。