技术领域
[0001] 本
发明属于网络安全技术领域,特别是涉及一种基于深度学习的机载网络入侵检测方法。
背景技术
[0002] 机载网络在全球范围内取得了飞速的发展,并预期在未来20年内打造一个价值1300亿美元的市场。但曾一度被认为是最后的网络
孤岛的飞机,其网络开放性的增强同时也为复杂多变的网络攻击敞开了大
门。开放性带来的安全问题给处于快速发展阶段的机载网络提出挑战,对机载网络安全问题的研究迫在眉睫。
[0003] Jacob基于多独立安全层(MILS)理念提出以标签、过滤、信息流控制等为例的中间服务,并使用分区通信系统来负责各MILS
节点间的通信。Laarouchi等,提出类似“
二极管”的解决方案,允许
自上而下(即从
风险等级较高向风险等级较低方向)的信息流,而对
自下而上的信息流采取Totel完整性模型验证来确保其符合安全性要求。Silvia提出基于
机器学习算法的机载网络
异常检测模型,分别选取监督式学习中的单分类
支持向量机算法和非监督式学习中的子空间
聚类算法对模型进行了训练,并使用局部离群因子降低误报率。
[0004] 然而由于网络入侵数据越来越呈现出复杂化、特征多样化的特点,受限于时间、空间复杂度的约束,传统的机器学习算法往往会表现得捉襟见肘,极易出现“维度爆炸”问题,导致检测模型的误报率、漏报率高和自适应能
力差。深度学习凭借其强大的特征提取能力和对复杂数据的处理能力在近年来飞速发展,席卷
计算机视觉、
语音识别、人体行为识别、多模态学习等众多领域,均取得了优异的成果。
[0005] 通过对以上文献的研究和分析发现,入侵检测作为一种主动的网络安全保障措施,以一个独立自治模
块的形式接入机载网络环境中,不会给飞机原系统引入新的安全问题。同时,深度学习理论作为一种优秀的特征
降维工具,可与传统机器学习方法相结合,解决过去检测性能的
瓶颈问题。
发明内容
[0006] 为了解决上述问题,本发明的目的在于提供一种基于深度学习的机载网络入侵检测方法。
[0007] 为了达到上述目的,本发明提供的基于深度学习的机载网络入侵检测方法包括按顺序进行的下列步骤:
[0008] 1)对机载网络交换的通信数据包进行监听和采集,并加上时间戳;
[0009] 2)对步骤1)中获得的通信数据包进行特征映射,提取出包括协议类型、服务类型、连接状态在内的网络特征,并由这些网络特征生成特征数据集;
[0010] 3)对上述特征数据集进行预处理,首先将字符型离散特征转换为数值型特征,然后进行归一化使特征无量纲且同量级;
[0011] 4)从步骤3)获得的经过预处理的特征数据集中
抽取20%的特征作为测试集,其余80%作为训练集;
[0012] 5)设计深度置信网络的结构,首先确定多层受限
玻尔兹曼机结构节点数,然后在
受限玻尔兹曼机末端连接BP神经网络层;以步骤4)中得到的训练集作为首层受限玻尔兹曼机的输入,经
迭代训练后,得到
固化的深度置信网络模型;
[0013] 6)设计支持向量机分类层,以步骤5)中受限玻尔兹曼机末层输出作为输入,经监督式训练后,得到固化的深度置信网络-支持向量机混合模型并作为机载网络入侵检测模型;
[0014] 7)将步骤4)中得到的测试集输入上述固化的深度置信网络-支持向量机混合模型中得出最终分类结果;
[0015] 8)从准确率、精确率、召回率和F1指标四个方面对上述最终分类结果进行评估,以判断上述机载网络入侵检测模型的性能是否符合检测要求;
[0016] 9)在机载网络入侵检测模型经过性能评估达到要求的前提下,将待检测的机载网络交换的通信数据包输入机载网络入侵检测模型,根据机载网络入侵检测模型的输出即可确定出机载网络中是否出现恶意的入侵行为。
[0017] 在步骤1)中,所述的采集机载网络交换的通信数据包的方法是:在乘客信息和娱乐服务域中接入一个设置为混杂模式的网卡,监听并采集经过该网卡的数据流。
[0018] 在步骤3)中,所述的将字符型离散特征转换为数值型特征的方法是采用One Hot编码,将N个字符型离散特征状态用N位状态寄存器表示,每种特征状态都只对应一个有效寄存器位。
[0019] 在步骤5)中,所述的深度置信网络模型采用4层受限玻尔兹曼机及
单层BP神经网络结构。
[0020] 在步骤6)中,所述的深度置信网络-支持向量机混合模型采用Rbf核函数,将样本映射到一个线性可分的高维空间。
[0021] 与
现有技术相比,本发明提供的基于深度学习的机载网络入侵检测方法生成的机载网络入侵检测模型与传统的检测模型相比具有更好的检测性能,降低了由于漏检或误报而导致的机载网络遭受攻击的概率。
附图说明
[0022] 图1为本发明提供的基于深度学习的机载网络入侵检测方法
流程图。
[0023] 图2为本发明提供的混合深度置信网络结构图。
具体实施方式
[0024] 下面结合附图及具体
实施例对本发明做进一步的说明,但下述实施例绝非对本发明有任何限制。
[0025] 如图1所示,本发明提供的基于深度学习的机载网络入侵检测方法包括按顺序进行的下列步骤:
[0026] 1)对机载网络交换的通信数据包进行监听和采集,并加上时间戳;
[0027] 在乘客信息和娱乐服务域(PIESD)中接入一个设置为混杂模式的网卡,监听并采集经过该网卡的数据流。
[0028] 2)对步骤1)中获得的通信数据包进行特征映射,提取出包括协议类型、服务类型、连接状态在内的网络特征,并由这些网络特征生成特征数据集;
[0029] 3)对上述特征数据集进行预处理,首先将字符型离散特征转换为数值型特征,然后进行归一化使特征无量纲且同量级;
[0030] 所述的将字符型离散特征转换为数值型特征的方法是采用One Hot编码,将N个字符型离散特征状态用N位状态寄存器表示,每种特征状态都只对应一个有效寄存器位。
[0031] 4)从步骤3)获得的经过预处理的特征数据集中抽取20%的特征作为测试集,其余80%作为训练集;
[0032] 5)设计如图2所示的深度置信网络(DBN)的结构,首先确定多层受限玻尔兹曼机(RBM)结构节点数,然后在受限玻尔兹曼机末端连接BP神经网络层;以步骤4)中得到的训练集作为首层受限玻尔兹曼机的输入,经迭代训练后,得到固化的深度置信网络模型;
[0033] 所述的深度置信网络模型采用4层受限玻尔兹曼机及单层BP神经网络结构。
[0034] 6)设计支持向量机(SVM)分类层,以步骤5)中受限玻尔兹曼机末层输出作为输入,经监督式训练后,得到固化的深度置信网络-支持向量机(DBN-SVM)混合模型并作为机载网络入侵检测模型;
[0035] 所述的深度置信网络-支持向量机混合模型采用Rbf核函数,将样本映射到一个线性可分的高维空间。
[0036] 7)将步骤4)中得到的测试集输入上述固化的深度置信网络-支持向量机混合模型中得出最终分类结果;
[0037] 8)从准确率、精确率、召回率和F1指标四个方面对上述最终分类结果进行评估,以判断上述机载网络入侵检测模型的性能是否符合检测要求;
[0038] 9)在机载网络入侵检测模型经过性能评估达到要求的前提下,将待检测的机载网络交换的通信数据包输入机载网络入侵检测模型,根据机载网络入侵检测模型的输出即可确定出机载网络中是否出现恶意的入侵行为。
[0039] 本发明提供的基于深度学习的机载网络入侵检测方法的具体实施过程如下:
[0040] 首先,在PIESD中接入一个设置为混杂模式的网卡,监听所有经过该网卡的数据流。使用Python的Scapy库实现
数据采集功能,捕获和解码网络协议数据包。使用其内置的sniff()函数从网络环境中读取数据包或离线读取pcap格式的数据包文件。使用Python内置的time模块生成时间戳,添加到数据包信息中,以便后期
跟踪或查找。
[0041] 其次,对采集的通信数据包进行特征映射,得到特征数据集。使用One Hot编码将字符型离散特征转换为数值型特征,使用Scikit-learn的MinMaxScaler进行归一化,以避免不同特征之间由于数量级和量纲不同产生的影响。
[0042] 然后,从经过预处理的特征数据集中随机抽取80%的特征作为训练集,其余20%作为测试集。设计混合深度置信网络的结构,自下而上分为多个RBM层、BP神经网络层以及SVM分类层。以训练集为首层RBM的输入,使用对比散度算法非监督式逐层对RBM进行预训练,使用
误差反向传播算法对BP网络进行权值微调。配置Rbf核SVM,以末层RBM输出为输入,监督式训练SVM,得到固化的DBN-SVM混合检测模型。
[0043] 最后,将测试集输入到固化的DBN-SVM混合检测模型中,得到测试集的最终分类结果,并从准确率、精确率、召回率以及F1指标对最终分类结果进行评估,判断该入侵检测模型是否符合检测要求;先定义以下参数:真正类(True Positive,TP),表示入侵数据被分类为恶意的样本个数;假正类(False Positive,FP),表示良性数据被分类为恶意的样本个数;真负类(True Negative,TN),表示良性数据被分类为良性的样本个数;假负类(False Negative,FN),表示入侵数据被分类为良性的样本个数;准确率(Accuracy)=(TP+TN)/(TP+TN+FP+FN),用来衡量总体分类
精度;精确率(Precision)=TP/(TP+FP),表示所有被标记为恶意数据的样本中实际为恶意的比例;召回率(Recall)=TP/(TP+FN),表示识别出的恶意数据占实际恶意数据的比例;F1指标=(2×Precision×Recall)/(Precision+Recall),表示准确率与召回率的调和平均值。
