房产
您的位置:主页 > 房产 >

深度神经网络在入侵检测系统(IDS)中的应用 - SHERO_M

时间:2019-01-31   编辑:admin   点击:123次

版权状况:冠词是视频博客作者的最初的文字。,缺席博主批准,不得任意地转载。。

监控系统:Ubuntu16.04LTS 64位

GPU:GTX 1060 3GB

发达包围着的:Python 2.7、MATLAB R2016a

吃水努力赶上构架系统:TensorFlow 1.1.0

0、总体引见

本下,率先,从科学实验中分离的价值选。,依据设计了一种新的吃水神经网,并将其应用于入侵检测。,与经外传说办法相形,检测率明显的提高。,虚警率也有所少量。。

入侵检测这是一种入侵行动的发掘。,它是对计算者方法或计算者的稍许的枢要点的搜集和剖析。,发现存的少许违背抵押品策略和ATATA表明的行动。。

入侵检测系统(入侵) Detection System,IDS是做完是你这么说的嘛!功用的孤独系统。,这在附近抵押品方法系统的抵押品性具有重要意义。。

经外传说入侵检测系统它是对入侵模特儿和袭击特点的剖析和分离。,使被安排好检测控制库和模特儿库,依据,在迫使和智能性方向在明显的不可。,这也引起未到期的的人工插上一手。。we的占有格形式怀胎经过深刻努力赶上来改善。。

1、IDS形成

从科学实验中分离的价值收集与处置模块:入侵新闻的搜集与搜集。,推理后头形成的资格停止特点从科学实验中分离的价值的选,普通包孕以下学派:从科学实验中分离的价值过滤、使恢复友好状态与使恢复友好状态。

特点努力赶上模块:主要功用是运用NDNN方法形成对宽大用于锻炼的方法从科学实验中分离的价值停止方法特点分离,不时使最优化各方法排列的决定因素。,并使守恒锻炼过的NDNN形成。。

入侵检测与分类学模块:主要功用是运用使守恒的DNDNN方法形成来有别于和CLA。,并对其分类学果实停止使恢复友好状态。。也许断定为袭击典型,撞足以媲美的人和告警。。

2、从科学实验中分离的价值选

KDD99从科学实验中分离的价值集 它是林普遍运用的入侵检测竞赛从科学实验中分离的价值。。

NSL-KDD从科学实验中分离的价值集KDD99从科学实验中分离的价值集的改善,拟出冗余或反复记载,训练和棘手的记载的数更有理。。

锻炼集表现大概500个。一万衔接记载,棘手的集多多少少表现300一万衔接记载。

从科学实验中分离的价值集合的每个衔接具有41个特点。:

        TCP衔接的基本特点(9种),1~9

        TCP衔接的满足特点(共13种),10~22

        本时期的方法流量人口普查特点 (共9种),23~31)

        本硕士的方法流量人口普查特点 (共10种),32~41)

每个记载表现42个属性,内脏表现3使具有特征典型特点、38数值特点与1个属性随从, 每个方法衔接被标志为不变的(不变的)或非常(袭击)。,非常典型被细分为4大类共39种袭击典型,Probe(扫描和检测)、Dos(拒绝服务袭击)、U2R(违法的参观天真的超等的用户)和R2L(缺席使能的远离的参观)。棘手的集表现在TR中缺席产生的稍许的典型的袭击。,在附近系统的泛化功能。

1使恢复友好状态:威尔三使具有特征典型使具有特征和结局一列属性标志数值化,编码处置。随从值停止one-hot编码

Protocal type: 1 icmp; 2 tcp; 3 udp; 4 对立面。

Service: 1 domain-u; 2 ecr_i; 3 eco_i; 4 finger; 5 ftp_data;  6 ftp; 7 http; 8 硕士名 9 imap; 10 login;

              11 mtp; 12 netstat; 13 other; 14 private; 15 smtp; 16 systat; 17 telnet; 18 time; 19 uucp; 20 对立面。

Flag: 1 REJ; 2 RSTO; 3 RSTR; 4 SO; 5 S3; 6 SF; 7 SH; 8 对立面。

2正态化用如次重大聚会度量衡标准数值属性   y = (x-xmin)/(xmax-xmin)

3、方法形成

神经网形成

1Relu非线性起动重大聚会:不只在必然程度上能引领Sigmoid重大聚会易形成“梯度使溶解为液体”景象的藏掖,衍生简略。。                                                            

2自适应的Adam使最优化器产生极性改正后每个迭代努力赶上速率都有必然的射程。,使决定因素对立波动。。它为辨别的决定因素计算辨别的自适应努力赶上率,更少的内存资格。,收敛猛冲更快。,努力赶上胜利更为无效。,并且可以引领努力赶上速率使溶解为液体、决定因素收敛迟钝的收敛或高方差引起较大的FL。成绩

3Softmax起动重大聚会:通常用于具有多个出口神经中枢的方法中。,它是一种多出口竞赛分类学算法。。每个出口值 0 1 经过并确保占有出口神经中枢的总和为1,每个出口表现分类学类的概率。。

4、全连通层:在softmax经历发生性关系5个包装的全连通层,上隐层100广大的出口变为5广大出口,使得softmax输出和出口的广大是分歧的。。

神经网形成选择

Types of detected intrusion

Predicted

Attack

Normal

Actual

Attack

TP

FN

Normal

FP

TN

The specific definitions of the five metrics are as follows:

          

检测率(DR)=r=(检测到非常从科学实验中分离的价值的数/总NU)

噪声系数(FDR)=(认为理所当然非常的不变的从科学实验中分离的价值标号/不变的从科学实验中分离的价值总额)×100%

缺陷检测率(MAR)=(1-DR)x 100%

Algorithm

DR

FDR

MAR

Adaboost [28]

0.8340

0.1740

0.1660

Auto-encoder Network [29]

0.9890

0.0110

0.0110

LSSVM-IDS + FMIFS [33]

0.9946

0.0013

0.0054

LSSVM-IDS + MIFS (β=) [33]

0.9938

0.0023

0.0062

LSSVM-IDS + FLCFS [33]

0.9847

0.0061

0.0153

LSSVM-IDS + All features [33]

0.9916

0.0097

0.0084

未使最优化的 DBN-PNN [20]

0.9931

-

0.0069

Optimized DBN-PNN [20]

0.9914

-

0.0086

PCA-PNN [20]

0.9828

-

0.0172

PNN [20]

0.9904

-

0.0096

Proposed algorithm

0.9995

0.0003

0.0005



Related intrusion detection algorithms based on deep neural networks

References

Methods

Performance

Fiore et al. [17]

Restricted Boltzmann Machine (RBM)

准确 around 94%

K. Do et al. [18]

An ensemble of Deep Belief Nets (DBNs)

Detection F-score on mixed data is around 72%.

Khaled et al. [19]

RBM together with DBNs

Detection rate is 97.9%.

G. Zhao et al. [20]

DBNs with probabilistic neural network (PNN)

Detection 迫使 is about 99%. Detection rate is about 90%.

Niyaz et al. [16]

Self-taught learning (STL)

准确 rate is more than 98%, a little lower than 99%.

F-measure can achieve  98.84%

S. Potluri et al. [21]

Accelerated Deep Neural Network (DNN)

The highest detection 迫使 is 97.7%

Roy et al. [22]

Deep Neural Network (DNN)

Better than SVM in intrusion 检测。

Yin et al. [15]

Recurrent neural networks (RNN-IDS)

Superior to traditional machine learning classification 办法。

以每一衔接记载为例,原始从科学实验中分离的价值如次

0,icmp,ecr_i,SF,1032,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,511,511,.

恢复友好状态从科学实验中分离的价值范本:

0.0 0.0 0.0526315789474 0.714285714286 1.48837071923e-06 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 0.0 1.0 1.0 0.0 0.0 0.0 0.0 1.0 0.0 0.0 1.0 1.0 1.0 0.0 1.0 0.0 0.0 0.0 0.0 0.0 0 1 0 0 0

 Details of the KDD 99 dataset

Intrusion category

Number of training data

Number of testing data

Probe

3723

384

DoS

356691

34767

U2R

41

11

R2L

1024

102

Normal

88515

8763

Intrusion category

DR

FDR

MAR

Probe

0.9896

0.0001

0.0104

DoS

0.9997

0

0.0003

U2R

0.9091

0.0001

0.0909

R2L

0.9804

0.0001

0.0196

overall

0.9995

0.0003

0.0005

Intrusion category

recall

迫使

F-measure

Precision

Probe

0.9896

0.9818

0.9909

0.9922

DoS

0.9997

0.9990

0.9998

0.9999

U2R

0.9091

0.8182

0.8333

0.7692

R2L

0.9804

0.9706

0.9756

0.9709

Normal

0.9995

0.9997

0.9997

0.9999

Details of the NSL-KDD dataset

Intrusion category

Number of training data

Number of testing data

Probe

10422

1235

DoS

41407

4520

U2R

41

11

R2L

896

98

Normal

61110

6233

Intrusion category

DR

FDR

MAR

Probe

0.9935

0.0009

0.0065

DoS

0.9940

0

0.0060

U2R

0.9091

0.0002

0.0909

R2L

0.9796

0.0005

0.0204

overall

0.9935

0.0016

0.0065

Intrusion category

recall

迫使

F-measure

precision

Probe

0.9935

0.9773

0.9927

0.9920

DoS

0.9940

0.9867

0.9959

0.9978

U2R

0.9091

0.8182

0.6452

0.5000

R2L

0.9796

0.9694

0.9412

0.9057

Normal

0.9935

0.9984

0.9959

0.9983

features of an original intrusion data record

Description

Feature

Data attributes

Basic features of individual TCP 衔接。

duration

continuous

protocol_type

symbolic

service

symbolic

flag

symbolic

src_bytes

continuous

dst_bytes

continuous

land

symbolic

wrong_fragment

continuous

urgent

continuous

Content features within a connection suggested by domain knowledge

hot

continuous

num_failed_logins

continuous

logged_in

symbolic

num_compromised

continuous

root_shell

continuous

su_attempted

continuous

num_root

continuous

num_file_creations

continuous

num_shells

continuous

num_access_files

continuous

num_outbound_cmds

continuous

is_host_login

symbolic

is_guest_login

symbolic

Traffic features computed using a two-second time window

count

continuous

srv_count

continuous

serror_rate

continuous

srv_serror_rate

continuous

rerror_rate

continuous

srv_rerror_rate

continuous

same_srv_rate

continuous

diff_srv_rate

continuous

srv_diff_host_rate

continuous

Traffic features computed in and out a host

dst_host_count

continuous

dst_host_srv_count

continuous

dst_host_same_srv_rate

continuous

dst_host_diff_srv_rate

continuous

dst_host_same_src_port_rate

continuous

dst_host_srv_diff_host_rate

continuous

dst_host_serror_rate

continuous

dst_host_srv_serror_rate

continuous

dst_host_rerror_rate

continuous

dst_host_srv_rerror_rate

continuous

下一篇:下一篇:没有了