[发明专利]一种基于深度神经网络的未知威胁检测方法

说明书

本发明公开了一种基于深度神经网络的未知威胁检测方法，步骤包括：在大数据平台的各个节点上部署信息采集器，采集不同维度的网络流量数据，并将网络流量数据进行归一化处理，得到样本集数据；构建卷积神经网络，并基于深度学习算法，用样本集数据集对卷积神经网络进行优化训练，得到未知威胁检测模型；通过未知威胁检测模型对所采集的网络流量数据进行测试处理，以获得相应的未知威胁检测结果。本发明通过应用深度学习技术，可以有效提升信息系统对已知威胁和未知威胁的识别成功率，准确及时发现入侵，保护高价值资产，为保障和提高信息系统的安全稳定的运行提供技术支撑和保障，以最大程度地避免未知威胁对于信息系统安全性的影响。

技术领域

本发明涉及信息安全技术和大数据技术领域，具体涉及一种基于深度神经网络的未知威胁检测方法。

背景技术

伴随着互联网技术、移动通信技术的日益发展和普及，大数据平台也面临着网络威胁和数据安全问题。大数据平台与用户之间的信息交换量大大提高，大数据平台领域的数据安全和风险防范比传统网络更加复杂。例如最为常见的企业信息系统，随时可能受到来自外界和内部的威胁和攻击。因此，如何提高企业信息系统对外界未知威胁的检测和防范能力显得尤为重要。

目前，企业信息系统常用的入侵检测技术包括：(1)基于统计方法的检测技术：传统的基于统计方法的入侵检测技术是应用最早的检测方法，该方法认为通过观测防护主体在过去特定时间段内的正常行为，可以得到防护主体在当前时间段内的出现行为的“可信区间”，在防护期间监测系统会统计相关变量产生的偏差，用该偏差的大小来判定是否发生异常，若偏差超过系统设置的安全阈值时，说明出现异常，此时系统需要进行告警或做出相应处理。(2)基于隐马尔科夫模型的检测技术：隐马尔科夫模型(HMM)善于挖掘数据的前后关系，能有有效的处理时序数据。网络安全领域的很多数据也属于时序数据，如系统的调用顺序、操作命令顺序等。HMM的关键点在于从可观测的数据中确定该过程的隐含参数，然后利用这些参数做进一步的分析，如模式识别。HMM在网络安全领域有着广泛的应用正常行为训练模块对系统中收集的正常行为数据进行训练，形成能描述正常行为的HMM模型，而异常检测模块将系统中的实时数据与正常事件的HMM进行比对，判断是否发生异常行为。(3)基于支持向量机的检测技术：近年来很多研究人员也将SVM应用于入侵检测当中。该方法的实质是通过支持向量来构建不同类别样本间的最优超平面，并以此最优超平面作为样本数据的分割平面。

然而，目前所采用的入侵检测方法普遍存在以下缺陷：①面对大数据量时难以应付：②检测系统面对新型攻击时，没有其特征样本，系统在面临时显得束手无策；③漏报率和误报率较高，误报率和报警率过高是入侵检测系统面临最严重的问题，因为网络环境的复杂性以及攻击手段的多样，致使入侵检测系统始终存在不同程度的误报，而大量的信息漏报和误报，都会降低入侵检测系统的效率和性能，同时耗费人员的精力和降低敏感度。

发明内容

为了解决上述问题，本发明提供一种基于深度神经网络的未知威胁检测方法。

本发明通过以下技术方案来实现上述目的：

一种基于深度神经网络的未知威胁检测方法，步骤包括：

步骤一：在大数据平台的各个节点上部署信息采集器，采集不同维度的网络流量数据，并将网络流量数据进行归一化处理，得到样本集数据；

步骤二：构建卷积神经网络，并基于深度学习算法，用样本集数据集对卷积神经网络进行优化训练，得到未知威胁检测模型；

步骤三：通过未知威胁检测模型对所采集的网络流量数据进行测试处理，以获得相应的未知威胁检测结果。

进一步改进在于，所述神经网络神经元的输入为x₁、x₂、x₃、x₄，输出为Hw,b(x)＝f(WTX),其中f为神经元的激活函数，所述激活函数包括Sigmoid函数、tanh函数和ReLU函数；