首页 / 专利库 / 电信 / 迭代 / 一种基于嵌入式特征选择架构的通信网络入侵检测方法

一种基于嵌入式特征选择架构的通信网络入侵检测方法

阅读:234发布:2021-09-19

专利汇可以提供一种基于嵌入式特征选择架构的通信网络入侵检测方法专利检索,专利查询,专利分析的服务。并且本 发明 涉及一种基于嵌入式特征选择架构的通信网络入侵检测方法,所述方法包括:S1:智能体训练:首先对待检测通信网络的历史传输数据进行 数据处理 ,再对嵌入式智能体进行训练,筛选出通信数据的特征属性,并训练得到满足收敛 精度 要求的嵌入式智能体;S2:在线监测:利用满足训练收敛准确率要求的嵌入式智能体,在线监测通信通道的实时传输数据;包括:通信通道的实时传输进行数据处理,再对通信网络是否存在入侵 信号 进行判定,并得出判定结果。本发明引入嵌入式特征选择方法,在智能体训练阶段通过将特性属性辨识与检测智能体训练融合一体,大幅简化了检测智能体辨识实施流程,有效提高了检测效率。,下面是一种基于嵌入式特征选择架构的通信网络入侵检测方法专利的具体信息内容。

1.一种基于嵌入式特征选择架构的通信网络入侵检测方法,其特征在于,所述方法包括:
S1:智能体训练:首先对待检测通信网络的历史传输数据进行数据处理,再对嵌入式智能体进行训练,筛选出通信数据的特征属性,并训练得到满足收敛精度要求的嵌入式智能体;
S2:在线监测:利用满足训练收敛准确率要求的嵌入式智能体,在线监测通信通道的实时传输数据;包括:通信通道的实时传输进行数据处理,再对通信网络是否存在入侵信号进行判定,并得出判定结果。
2.根据权利要求1所述的基于嵌入式特征选择架构的通信网络入侵检测方法,其特征在于,S1和S2中的数据处理具体为:将数据的属性数值进行处理,结合嵌入式智能体训练需要,将其规范化为离散数值型数据;
规范化处理过程包括:字符转化、标幺化、离散化三个阶段;
字符转化:对于取值为字符类型的通信网络传输数据根据其字符数值对应转化为离散化的整数值;
标幺化:将连续数值型通信网络传输数据属性,根据其取值范围,将其转化为0-1范围内的数值,转化公式可表示为:
   (1)
式(1)中, 为标幺化前后第i项属性的取值, 分别为 取值的
上下限;
离散化:将标幺化处理的连续数值型通信网络传输数据属性转化为离散型取值,采用线性化离散处理的方式,将其转化为1至20的离散整数。
3.根据权利要求2所述的基于嵌入式特征选择架构的通信网络入侵检测方法,其特征在于,将标幺化处理的连续数值型通信网络传输数据属性转化为离散型取值的转化方法为当标幺值属于[0,0.05)时,转化为离散化数值为1;当标幺值属于[0.05,0.1)时,转化为离散化数值为2;当标幺值属于[0.1,0.15)时,转化为离散化数值为3;当标幺值属于[0.15,
0.2)时,转化为离散化数值为4;当标幺值属于[0.2,0.25)时,转化为离散化数值为5;当标幺值属于[0.25,0.3)时,转化为离散化数值为6;当标幺值属于[0.3,0.35)时,转化为离散化数值为7;当标幺值属于[0.35,0.4)时,转化为离散化数值为8;当标幺值属于[0.4,0.45)时,转化为离散化数值为9;当标幺值属于[0.45,0. 5)时,转化为离散化数值为10;当标幺值属于[0.5,0.55)时,转化为离散化数值为11;当标幺值属于[0.55,0.6)时,转化为离散化数值为12;当标幺值属于[0.6,0.65)时,转化为离散化数值为13;当标幺值属于[0.65,0.7)时,转化为离散化数值为14;当标幺值属于[0.7,0.75)时,转化为离散化数值为15;当标幺值属于[0.75,0.8)时,转化为离散化数值为16;当标幺值属于[0.8,0.85)时,转化为离散化数值为17;当标幺值属于[0.85,0.9)时,转化为离散化数值为18;当标幺值属于[0.9,0.95)时,转化为离散化数值为19;当标幺值属于[0.95,1]时,转化为离散化数值为20。
4.根据权利要求1所述的基于嵌入式特征选择架构的通信网络入侵检测方法,其特征在于,S1中对嵌入式智能体进行训练具体操作为:
基于经历史传输数据处理后的数据集 ,
其中 , ;其中,
为通信通道传输数据流的传输数据序列属性集合,
为根据人工辨识所得到的传输数据是否存在通信网络入侵的
数值量化判定值,其取值越大表明存在入侵概率越高,取值越小表明不存在入侵概率越高;
嵌入式智能体训练模型可表示为:
    (2)
式(2)中, 为线性拟合的系数向量, 为正则化参数,满足 , 为系数向量的一阶范数,也称为一阶正则化系数;
对嵌入式智能体训练模型的求解可采用近端梯度下降算法
令 ,则可在上述模型求解结果所在解处将通过二阶泰
勒展开式近似为:
     (3)
式(3)中,const为与 无关的常数, 为向量内积算子,L为利用L-Lipschitz条件计算所得的常数; 为 任一自变量取值,k为迭代求解的轮数, 为 该自变量位置的函数梯度;
若 取最小值,则可按照如下条件对 修正:
    (4)
对式(2)所示的模型,可进一步将其转化为:
    (5)
对式(5),令 ,则对于 的第i个分量 ,可获得其闭式
解:
     (6)
式(6)中, 分别为 的第i个分量;
利用PGD算法求解所得的系数向量中大量分量将取值为0,其余非零分量所对应的属性即为其特征属性。
5.根据权利要求4所述的基于嵌入式特征选择架构的通信网络入侵检测方法,其特征在于,S1中智能体是否满足收敛精度要求的判定为:根据训练所得的嵌入式智能体,对历史数据进行测试;若测试准确率达到人工设定的阈值要求,则输出;否则重新对嵌入式智能体进行训练,放宽L值,以提升测试准确率,直至满足测试准确率要求。
6.根据权利要求5所述的基于嵌入式特征选择架构的通信网络入侵检测方法,其特征在于,S2中通信网络是否存在入侵信号进行判定具体为:
根据式(2)计算S2通信网络中传输数据属性规范化数值,根据所得结果带入辨识智能体训练后所得到的辨识智能体,计算其所对应的网络入侵指数,记为 ;若实时通信流量的状态参数超过给定限值,则判定为通信正常,即:
    (7)
式中, 即为给定的通信状态限值;若不满足式要求,则表明通信异常,存在入侵信号的可能。

说明书全文

一种基于嵌入式特征选择架构的通信网络入侵检测方法

技术领域

[0001] 本发明涉及通信网络安全领域,更具体地,涉及一种基于嵌入式特征选择架构的通信网络入侵检测方法。

背景技术

[0002] 通信网络入侵检测是通信网络安全领域研究的重点,其研究重点在于通过对通信网络传输数据的特征属性进行检测,辨识异常传输内容,防范可能的通信网络入侵行为。通信网络传输数据的特征属性是通信网络入侵检测对象,如何从通信网络传输数据庞大的属性中筛选出关键的特征属性,并设计高效高精度的在线监测智能体,是通信网络入侵检测研究的重点。
[0003] 传统模式下,通信网络入侵检测往往采用包裹式特征选择架构的特征属性辨识方法。如图1所示,为包裹式特征选择结构基本流程图。包裹式特征选择的典型特征在于特征属性筛选或调整、监测智能体训练两个步骤是两个相对独立的步骤。首先按照一定原则从通信网络传输数据的庞大属性库中选择一定比例的属性作为特征属性;接着基于上述属性,利用历史数据对检测智能体进行训练;最后对检测智能体的监测效果进行判定,若满足收敛性要求则输出,否则返回特征属性筛选阶段,对特征属性进行调整。
[0004] 实际上,特征属性与智能体辨识之间具有耦合特性,即所选择的特征属性将影响检测智能体的训练过程,而检测智能体的辨识方法也取决于所选择的特征属性。由于包裹式特征选择将特征属性筛选和检测智能体训练两个步骤解耦,将导致实际训练过程中往往需要经过反复的迭代训练,才能获得符合检测准确性要求的智能体和与之匹配的特征属性。

发明内容

[0005] 本发明为克服上述现有技术所述的通信网络入侵检测效率不够高的缺陷,提供一种基于嵌入式特征选择架构的通信网络入侵检测方法。
[0006] 所述方法包括:S1:智能体训练:首先对待检测通信网络的历史传输数据进行数据处理,再对嵌入式智能体进行训练,筛选出通信数据的特征属性,并训练得到满足收敛精度要求的嵌入式智能体;
S2:在线监测:利用满足训练收敛准确率要求的嵌入式智能体,在线监测通信通道的实时传输数据;包括:通信通道的实时传输进行数据处理,再对通信网络是否存在入侵信号进行判定,并得出判定结果。
[0007] 优选地,S1和S2中的数据处理具体为:将数据的属性数值进行处理,结合嵌入式智能体训练需要,可将其规范化为离散数值型数据;所谓规范化数据是指将通信通道传输的数据序列中属性值转换为能够用于数据分析的离散型数据的过程。一般来说通信通道中传输数据的属性有三种典型的数据类型,第一种为字符型,即是以给定范围的字符出现;第二种为连续数据型,即是在一定范围内连续取值;第三种为离散数据型,在一定范围内可取离散数值。本发明中针对三种类型的数据,所设计的规范化过程包括:字符转化、标幺化、离散化三个阶段;
字符转化:对于取值为字符类型的通信网络传输数据根据其字符数值对应转化为离散化的整数值;
标幺化:将连续数值型通信网络传输数据属性,根据其取值范围,将其转化为0-1范围内的数值,转化公式可表示为:
   (1)
式(1)中, 为标幺化前后第i项属性的取值, 分别为 取值的
上下限;
离散化:将标幺化处理的连续数值型通信网络传输数据属性转化为离散型取值,采用线性化离散处理的方式,将其转化为1至20的离散整数;
优选地,将标幺化处理的连续数值型通信网络传输数据属性转化为离散型取值的转化方法为当标幺值属于[0,0.05)时,转化为离散化数值为1;当标幺值属于[0.05,0.1)时,转化为离散化数值为2;当标幺值属于[0.1,0.15)时,转化为离散化数值为3;当标幺值属于[0.15,0.2)时,转化为离散化数值为4;当标幺值属于[0.2,0.25)时,转化为离散化数值为
5;当标幺值属于[0.25,0.3)时,转化为离散化数值为6;当标幺值属于[0.3,0.35)时,转化为离散化数值为7;当标幺值属于[0.35,0.4)时,转化为离散化数值为8;当标幺值属于[0.4,0.45)时,转化为离散化数值为9;当标幺值属于[0.45,0. 5)时,转化为离散化数值为
10;当标幺值属于[0.5,0.55)时,转化为离散化数值为11;当标幺值属于[0.55,0.6)时,转化为离散化数值为12;当标幺值属于[0.6,0.65)时,转化为离散化数值为13;当标幺值属于[0.65,0.7)时,转化为离散化数值为14;当标幺值属于[0.7,0.75)时,转化为离散化数值为
15;当标幺值属于[0.75,0.8)时,转化为离散化数值为16;当标幺值属于[0.8,0.85)时,转化为离散化数值为17;当标幺值属于[0.85,0.9)时,转化为离散化数值为18;当标幺值属于[0.9,0.95)时,转化为离散化数值为19;当标幺值属于[0.95,1]时,转化为离散化数值为
20。
[0008] 优选地,S1中对嵌入式智能体进行训练具体操作为:基于经历史传输数据处理后的数据集 ,
其中 , ;数据集中,
为通信通道传输数据流的传输数据序列属性集合,
为根据人工辨识所得到的传输数据是否存在通信网络入侵
的数值量化判定值,一般取值范围为[0,100],取值越大表明存在入侵概率越高,取值越小表明不存在入侵概率越高。
[0009] 嵌入式智能体训练模型可表示为:   (2)
式(2)中, 为线性拟合的系数向量, 为正则化参数,满足 , 为系数
向量的一阶范数,也称为一阶正则化系数。
[0010] 上述模型求得过程就是通过通信通道历史传输数据集对上述模型训练,得到拟合程度最高的系数向量取值的过程。
[0011] 对上述模型的求解可采用近端梯度下降(Proximal Gradient Descent,简称PGD)算法。其求解过程要点如下:令 ,则可在上述模型求解结果所在解处将通过二阶
泰勒展开式近似为:
     (3)
式(3)中,const为与 无关的常数, 为向量内积算子,L为利用L-Lipschitz条件计算所得的常数; 为任一自变量取值(k为迭代求解的轮数), 为 该自变量位置的函数梯度;
若 取最小值,则可按照如下条件对 修正:
   (4)
对式(2)所示的模型,可进一步将其转化为:
   (5)
对式(5),令 ,则对于 的第i个分量 ,可获得其闭式
解:
    (6)
式(6)中, 分别为 的第i个分量。
[0012] 利用PGD算法求解所得的系数向量中大量分量将取值为0,其余非零分量所对应的属性即为其特征属性。
[0013] 优选地,S1中智能体是否满足收敛精度要求的判定为:根据训练所得的嵌入式智能体,对历史数据进行测试;若测试准确率达到人工设定的阈值要求,则输出;否则重新对嵌入式智能体进行训练,放宽L值,以提升测试准确率,直至满足测试准确率要求。
[0014] 优选地,S2中通信网络是否存在入侵信号进行判定具体为:根据式(2)计算S2通信网络中传输数据属性规范化数值,根据所得结果带入辨识智能体训练后所得到的辨识智能体,计算其所对应的网络入侵指数,记为 ;若实时通信流量的状态参数超过给定限值,则判定为通信正常,即:
    (7)
式中, 即为给定的通信状态限值;若不满足式要求,则表明通信异常,存在入侵信号的可能。
[0015] 本发明提出了一种基于嵌入式特征选择架构的通信网络入侵检测方法,隶属于通信网络安全领域。相比于传统包裹式特征选择架构为基础的通信网络入侵检测方法,嵌入式特征选择将特征选择与智能体训练融为一体,从而有效提升了特征选择和智能体训练的联系紧密度,能够有效提升通信网络入侵检测的训练效率。该方法流程简单,易于实现,对提升通信网络入侵检测效率具有显著效果。
[0016] 与现有技术相比,本发明技术方案的有益效果是:本发明引入嵌入式特征选择方法,在智能体训练阶段通过将特性属性辨识与检测智能体训练融合一体,大幅简化了检测智能体辨识实施流程,有效提高了检测效率。附图说明
[0017] 图1为包裹式特征选择结构基本流程图。
[0018] 图2为一种基于嵌入式特征选择架构的通信网络入侵检测方法流程图。

具体实施方式

[0019] 附图仅用于示例性说明,不能理解为对本专利的限制;为了更好说明本实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;
对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
[0020] 下面结合附图和实施例对本发明的技术方案做进一步的说明。
[0021] 本实施例提供一种基于嵌入式特征选择架构的通信网络入侵检测方法。如图2所示,所述方法可分为智能体训练和智能体在线检测两个阶段。
[0022] S1:智能体训练:智能体训练是指根据待检测通信网络的历史传输数据,对嵌入式智能体进行训练,筛选出通信数据的特征属性,并训练得到满足收敛精度要求的智能体。
[0023] S1.1:历史数据处理:通信网络传输数据的属性取值较为复杂,包括字符型、离散数值型、连续数值型等多种数据类型。因此首先需要将属性数值处理,结合嵌入式智能体训练需要,可将其规范化为离散数值型数据。
[0024] 所谓规范化数据是指将通信通道传输的数据序列中属性值转换为能够用于数据分析的离散型数据的过程。一般来说通信通道中传输数据的属性有三种典型的数据类型,第一种为字符型,即是以给定范围的字符出现;第二种为连续数据型,即是在一定范围内连续取值;第三种为离散数据型,在一定范围内可取离散数值。本实施例中针对三种类型的数据,所设计的规范化过程包括:字符转化、标幺化、离散化三个阶段;1.字符转化,对于取值为字符类型的通信网络传输数据根据其字符数值对应转化为离散化的整数值;
2.标幺化,将连续数值型通信网络传输数据属性,根据其取值范围,将其转化为0-1范围内的数值,转化公式可表示为:
    (1)
式(1)中, 为标幺化前后第i项属性的取值, 分别为 取值
的上下限。
[0025] 3.离散化,将标幺化处理的连续数值型通信网络传输数据属性转化为离散型取值,一般可采用线性化离散处理的方式,将其转化为1至20的离散整数,转化方法如表1所示。
[0026] 表1:离散化转化方法标幺化数值 离散化数值 标幺化数值 离散化数值
[0,0.05) 1 [0.5,0.55) 11
[0.05,0.1) 2 [0.55,0.6) 12
[0.1,0.15) 3 [0.6,0.65) 13
[0.15,0.2) 4 [0.65,0.7) 14
[0.2,0.25) 5 [0.7,0.75) 15
[0.25,0.3) 6 [0.75,0.8) 16
[0.3,0.35) 7 [0.8,0.85) 17
[0.35,0.4) 8 [0.85,0.9) 18
[0.4,0.45) 9 [0.9,0.95) 19
[0.45,0.5) 10 [0.95,1] 20
S1.2:嵌入式智能体训练:
基于上述处理完毕的数据集 ,其
中 , 。上述数据集中,
为通信通道传输数据流的传输数据序列属性集合,
为根据人工辨识所得到的传输数据是否存在通信网络入侵的
数值量化判定值,一般取值范围为[0,100],取值越大表明存在入侵概率越高,取值越小表明不存在入侵概率越高。
[0027] 嵌入式智能体训练模型可表示为:    (2)
式(2)中, 为线性拟合的系数向量, 为正则化参数,满足 , 为系数
向量的一阶范数,也称为一阶正则化系数。上述模型求得过程就是通过通信通道历史传输数据集对上述模型训练,得到拟合程度最高的系数向量取值的过程。
[0028] 对上述模型的求解可采用近端梯度下降(Proximal Gradient Descent,简称PGD)算法。其求解过程如下:令 ,则可在上述模型求解结果所在解处将通过二
阶泰勒展开式近似为:
     (3)
式(3)中,const为与 无关的常数, 为向量内积算子,L为利用L-Lipschitz条件计算所得的常数, 为任一自变量取值,k为迭代求解的轮数, 为该自变量位置的函数梯度。
[0029] 则若 取最小值,则可按照如下条件对 修正:    (4)
对式(2)所示的模型,可进一步将其转化为:
   (5)
对式(5),令 ,则对于 的第i个分量 ,可获得其闭式
解:
   (6)
式(6)中, 分别为 的第i个分量。
[0030] 利用PGD算法求解所得的系数向量中大量分量将取值为0,其余非零分量所对应的属性即为其特征属性。
[0031] S1.3:收敛性判定:根据训练所得的嵌入式智能体,对历史数据进行测试。若测试准确率达到人工设定的阈值要求,则输出;否则返回上一步骤,放宽L值,以提升测试准确率,直至满足测试准确率要求。
[0032] S2:在线监测:在线监测阶段是利用满足训练收敛准确率要求的嵌入式智能体,在线监测通信通道传输数据的过程,其实施过程也包括数据处理,智能体检测两个步骤。
[0033] S2.1:数据处理:考虑到在线监测阶段数据处理的方式与智能体训练阶段的数据处理方式一致,这里不再赘述其实施步骤。
[0034] S2.2:根据式(2)计算S2通信网络中传输数据属性规范化数值,根据所得结果带入辨识智能体训练后所得到的辨识智能体,计算其所对应的网络入侵指数,记为 ;若实时通信流量的状态参数超过给定限值,则判定为通信正常,即:    (7)
式中, 即为给定的通信状态限值;若不满足式要求,则表明通信异常,存在入侵信号的可能。
[0035] 相比于传统以包裹式特征选择为核心通信网络入侵检测方法,实施例在智能体训练阶段引入了嵌入式特征选择方法,将特征选择和智能体训练两个步骤相结合,有效提升了检测线路和检测速度。
[0036] 附图中描述位置关系的用语仅用于示例性说明,不能理解为对本专利的限制;显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。
高效检索全球专利

专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。

我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。

申请试用

分析报告

专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。

申请试用

QQ群二维码
意见反馈