文摘

网络公开课在许多高校,已经应用在许多课程,包括思想政治课程,这是非常重要的大学生思想道德教育。网络公开课思想政治打破时间和空间的限制,和学生可以方便而快速地通过网络思想政治课程学习。然而,由于网络公开课的开放,可能会有一些异常访问行为,影响正常的网络公开课的过程。因此,在本文中,我们提出一种检测方法的异常访问行为网络公开课的意识形态和政治在学院和大学。深度学习的基础上,建立了网络行为检测模型区分网络行为是否正常,以便检测异常访问网络的行为。为了证明该算法的有效性和效率,该算法与其他两个网络异常行为检测方法相比,结果证明该方法能有效地检测异常访问行为在网络公开课思想政治。

1。介绍

信息网络技术的迅速发展和应用的普及,MOOCs已成为一个新的基于互联网技术的教学模式。高校网络公开课思想政治网络公开课运用思想政治课程,突破时间和空间的局限,大大提高教育的针对性和灵活性,这是非常有利于学生学习思想政治课程迅速和有效地。除了正常的网络公开课学生学习,可能会有一些不正常的网络访问行为,如广告和偷学生的信息。网络访问异常会影响的正常发展,对学生的信息安全构成威胁。因此,它是非常必要的检测异常访问行为在网络公开课思想政治,以确保正常和保护学生用户的信息安全。

在传统的网络安全技术,它大致包括身份验证、加密技术和防火墙技术。认证主要是验证当前的实际身份实体通过验证密码,短信,指纹,等。加密技术主要是通过一定的技术手段进行加密数据,然后通过网络传输加密的数据到目标,最后解密数据。技术方法主要依赖于加密算法和密钥(1]。一方面,加密技术结合了原始数据和通过算法生成密文的关键;另一方面,它还依赖于算法和密钥恢复原始数据的加密文件。防火墙技术是建立一个网络传输网络,其中包含软件和硬件设备之间的保护屏障(2]。障碍允许屏蔽内部网和外部网,从而防止干扰和攻击系统通过网络异常行为(2]。不难发现,这些技术主要是针对静态预防。他们主要安全系统通过控制访问权限的用户或数学上加密他们的访问权限3]。然而,一方面,它不能抵御来自内部的攻击系统和实时监控的攻击。因此,基于动态防御网络异常行为检测技术弥补了传统网络安全这两个方面的短缺,成为计算机网络安全研究的重点。网络异常行为检测的过程就是识别和监控行为,试图访问网络(4]。这是一个积极的和动态的方式来保护计算机或网络的安全行为。通过比较正常以前收集的接入网网络访问数据,它决定了当前接入网是否正常。网络异常检测的整个过程分为三个步骤:首先,收集数据,过滤数据,并整理所需的信息;第二,建立一个模型和建立一个歧视模型通过训练所收集的数据;第三,网络数据异常行为检测,应用到建立模型来检测网络是否正常(5]。深度学习的发展,目前的前沿研究,提供了一个新的研究方向和突破网络异常检测。

传统的网络异常行为检测方法主要依赖特性和规则,不能自动使用历史数据来检测最新的攻击时间。深度学习,无监督或semisupervised功能可以使用学习方法而不是传统的手动功能获取方法(6]。深度学习的训练过程是初始数据抽象和概括,形成更抽象的高级特性结合低级特征,然后使用这些功能来执行数据的分布式特性表示。深度学习观察可以以多种方式,如矢量图像的像素强度值和更抽象的点可以被表示成边缘地区或特定形状,等。本文基于深度学习,我们提出一个基于深入学习网络异常行为检测方法检测的异常访问行为大学网络公开课思想政治。

剩下的纸是组织如下。部分2给出了相关工作。部分3构建的模型提出了问题。节4,深上优于异常网络行为检测算法。部分5仿真结果的报告。本文的结论部分6

入侵检测系统是在1987年首次提出丹宁(7]。这个系统描述了实时异常行为检测系统模型,可以检测滥用电脑入侵的形式,渗透,等。目前,虽然用户对入侵检测系统的期望值都很高,在实际应用中,目前的网络异常行为分析模型不能解决假警报和泄漏率高的问题,这也有问题,如系统不容易管理,检测表现不佳,缺乏自动化,安全性能差。因此,设计一个真正有效的入侵检测系统通过改善网络异常行为检测算法在网络安全领域的核心作用。

网络异常行为检测主要是基于网络流量分类和网络拓扑分析、和网络异常行为的研究主要分为以下几类:(1)基于测量的网络流量异常检测研究学习网络流量指的是网络上的数据传输,记录大量的用户信息。它在网络安全领域中起着重要的作用,是网络行为检测的一个重要特性。金和杨8)提出了一种基于协方差分析的算法模型来检测异常流量。在这个算法中,所有的数据包在单位时间内清点,分类根据不同的网络协议。每种类型得到的协方差矩阵,根据矩阵和异常检测。然而,该算法需要大量的复杂的数学计算,这很容易影响正常网络通信的使用异常检测。Barford et al。9)提出了一种基于多尺度分析和小波变换检测算法,以交通数据之间的时间相关性为切入点。然而,该算法只能分析交通数据捕获在一个链接,链接只能完成异常检测。由于上述算法的缺点,鲁宾斯坦et al。10)提出了一个基于组件的网络异常行为检测方法分析(PCA)。这种方法将原始数据转换成流量矩阵,基于空间差异不同链接之间的交通数据,检测和过程中的数据建立的子空间算法。然而,这些算法有共同的缺点。一方面,当数据很大,这些算法的计算更为复杂和耗时。另一方面,很难避免偏差引起的主体性在网络异常数据的特征提取,并不能完全依赖于算法完成特征提取,分类,和检测异常数据。(2)研究基于报警传输网络异常行为在当前环境下的网络设备和网络数据,它已成为一个重要的方法来快速分析报警传输通过监测网络维护网络通信的质量,特别是对设备质量进行高精度相关分析的网络拓扑结构来定位报警,这是非常重要的,以减少故障的影响,提高网络维护的质量。胡锦涛et al。(11)认为,静态报警分析并不足以实现报警位置,利用时间序列报警信息和相应的动态时间矩阵实现报警关联分析,完成报警位置。卡和Abonyi12)把multiperiod报警序列我报警数据和完整的报警数据的压缩。然而,上述研究没有关注网络管理数据,特别是当终端节点的类型增加和警报消息是巨大的和稀疏,冗余算法的挖掘结果高,和警报传输分析是很困难的。(3)基于级联失效对网络传播模型的研究网络异常行为往往伴随着网络中的异常点的运动和扩散,其扩散单个节点的失败到多个节点和造成更大的损失。级联失效是指,在一个节点失败,重新分配给其相邻节点的负载根据节点之间的耦合关系,从而导致过载的相邻节点上的负载,然后失败,导致大面积的网络瘫痪。级联故障可能发生在任何实际的网络系统,如通信网络、计算机网络和交通网络,这将导致网络性能急剧下降,甚至网络系统崩溃。有争议和赖13和金等。14)认为,网络节点或边缘的过载是最重要的一个原因。他们提出了一个模型来分析层叠过载故障引起的动态交通分配。结果表明,网络容易受到这种级联异常。Parshani et al。15)建立了一个网络组成的连接和相关链接,介绍了模型和分析框架研究相互依存的网络,并得出结论,更广泛的分布,网络就越容易受到相互依赖的网络的随机故障。亚历山德罗(16)建议,除了拓扑连接链接,网络节点之间的依赖关系也加快了网络故障的传播和影响机制的层叠例外,和可以功能或逻辑的关系。

从上面的不同,本文应用访问异常行为检测到网络公开课思想政治领域。除此之外,本文的模拟还依赖于真实的数据集。特别是,异常访问行为检测方法提高了考虑深度学习。

3所示。问题建模

3.1。网络访问行为系统模型

网络公开课在大学思想政治网络访问系统,如图1,每个学生可以请求从服务器网络访问通过校园网来获取视频资源。在系统中,向量的形式用于表示网络用户的访问,和每个用户的网络访问行为表示为N= (ID、IP、URL、时间),ID请求用户的ID, IP是请求用户的IP, URL请求的URL,并请求用户的时间是时间浏览网站。


图1
网络公开课大学思想政治网络访问系统。
3.2。网络异常行为检测模型

网络异常行为检测的过程是定性识别和检测网络入侵企图。这是一个充满活力和积极向上的安全行为来保护计算机或网络,而不是一个被动的在入侵发生时应急措施工作。网络异常行为检测工作如下。一方面,每件事都有共同的行为特征。另一方面,异常行为通常有严重的分歧而正常行为。然后,检测网络是否主题由异常攻击行为,当前行为可以比以前收集的正常行为全面判断当前的行为是正常的。因此,共同特征的基础上正常行为和异常行为的差异,我们可以定量分析这些正常的行为,从而找出既定规则正常行为的结果。

我们的算法的目标是识别异常的网络访问行为。本文的特点,不同类型的交通标识multiclassification通过网络异常流量的采集和特征提取。整个算法的流程如下:首先,收集网络异常流量;然后由元组划分交通,交通包含不同类别;和标签对应的类别。因为交通数据的存储格式本身就是十六进制代码,它可以直接转换成十进制值,提取和定位价值可以从每个交通形成一个高维向量来完成向量化。矢量化样品发送到网络流量分类由CNN进行训练。网络异常访问行为的检测过程如图2


图2
网络异常行为检测模型。

4所示。基于深度学习的网络异常行为检测

多层感知器(MLP)是深层神经网络的基础(17]。然而,很难处理多层感知隐藏层的体重问题,只能解决这个问题后的发展反向传播算法(18]。与大数据和云计算的快速发展,深层神经网络已逐渐成为机器学习领域的一个热门话题,在许多领域取得了一定的成就。卷积神经网络(CNN)是一个代表算法的深入学习。本文使用CNN网络行为检测模型建立。

CNN的本质是使用非线性深网络结构近似函数,以表达从输入到输出的映射关系。与传统的神经网络相比,CNN已经改变了原始的方式维护完整的在每一层神经元之间的连接,但采用的方法维护部分在每一层神经元之间的连接。因此,CNN可以学习训练集的基本特征从一个小数量的样品。

在本文提出的算法,CNN网络结构的网络结构是使用Lenet-5 [19)修改根据网络异常行为特征的数据。Lenet-5是卷积神经网络由燕勒存于1998年设计的。主要用于手写数字识别,是CNN的代表结构之一。Lenet-5由7层,如图3。一般来说,主要分为卷积层、汇聚层,充分连接层。每一层包含一个不同数量的训练参数。Lenet-5的同时,每一层有多个特征图,和输入特性提取卷积过滤器与多个神经元/特性图。整个神经网络反向传播算法训练的使用原始图像数据。因为本文的目的是检测网络访问是否正常与否,本文设计的结构模型分为两类:正常和不正常的。


图3
神经网络结构。
4.1。褶积层

卷积网络层的重量代表神经元彼此连接的比例,通常表示为一个卷积内核。在这一层中,每个神经元连接的上层部分连接而不是完整的连接。每个特性映射输出通过卷积层复杂的卷积处理内核和功能上一层的地图,和相应的元素是积累,然后添加一个偏移值。最后,结果是由s形的处理函数。在图所示的卷积过程4


图4
卷积的过程。

我们假设卷积层的数量是1,卷积核k上层的功能图j,偏移值b;卷积层的公式表达如下:

4.2。汇聚层

池层是本地信息的抽象。在神经网络中,池层是用于处理功能映射来自上层的输出。在这一层,取样操作不会改变地图的功能,但将过程map和reduce功能映射的大小在一定程度上。根据卷积层、汇聚层的映射公式表示为 在哪里 函数代表了抽样函数,通常包括两种方法:意思是池和最大池。在本文中,我们使用的最大池方法,如图所示5


图5
最大池方法。
4.3。完全连接层

完整的连接层主要用来计算数据处理前褶积层和抽样层及其计算结果是网络的输出值。

有两个独立的卷积核在CNN网络。每一层上面提到的操作后,将softmax层,每个网络访问行为都有一种得分输出。假设有N培训部分,我们把n训练样本。通过网络之后,输出On(t),然后通过将softmax层,根据数据在时间t样本的得分的类别计算如下:

最后损失函数计算如下:

5。模拟和分析

在本节中,我们提出的机制进行模拟和分析仿真结果通过比较我们与其他两种算法机制,以显示我们的机制是有效的和有效的检测异常访问行为在网络公开课思想政治。

5.1。实验准备
5.1.1。实验环境

进行模拟Python与电脑配置与英特尔(R)的核心(TM) i5 - 9400 f, 2.90 GHZ CPU、8 GB RAM。

5.1.2中。数据集

本文实验是基于真实数据集来验证该算法的有效性和效率。真正的数据集来自于网络公开课统计思想政治大学的网站。网站使用Apache服务器,包括异常样本数据集和一个正常的样本数据集。异常样本数据集包括3964请求,异常和正常的样本包括55059个正常的请求。实验数据集的详细信息如表所示1

表1
实验数据集的详细信息。
5.1.3。数据预处理

在检测web日志数据之前,有必要进行预处理的日志数据。数据预处理日志分析是一个非常重要的一步。目的是将收集到的原始数据转换为数据格式适用于分析和删除噪声数据,很容易导致干扰实验。本文数据预处理主要包括数据清洗和数据规范化。数据清洗包括日志过滤日志解析和antiobfuscation。

(1)数据清洗。基于Web的网络异常行为分析日志是获取原始数据信息从Web服务器,然后Web日志分析。然而,由于用户随机浏览网站的过程中,web日志将会产生很多无用的信息,也就是说,日志记录与入侵检测;只有相关和准确的日志信息,只有通过建模和分析我们可以得到准确的检测结果。例如,GIF和JPEG后缀的日志是特殊的服务器返回的数据给用户。因此,如果反复HTTP请求包含日志与JPEG、GIF和CSS后缀,它需要被清除。这些日志文件是记录中嵌入网站实际上不是web页面请求的用户。当攻击者发动攻击,他们通常使用js困惑,URL编码和Unicode编码隐藏入侵行为。在入侵检测网络日志的请求属性,有必要执行antiobfuscation, URL解码和Unicode解码HTTP请求公开攻击模式和消除所有随后的入侵检测的干扰因素。通过数据清洗过程、Web日志转化为可靠的数据进行安全分析。 In addition, we need to de-duplicate the HTTP requests of Web logs and delete the duplicate HTTP request records, which can prevent the deviation of detection results caused by overlearning certain types of samples.

(2)数据归一化。所有功能属性的数据集处理工程数字特征向量。然而,每个属性的维度级别是不一致的,所以有必要规范所有功能属性。目的是统一每个特征属性相同的维度级别根据原始特征属性的统计分布,这样不同的维度可以相比的特点,以及每个维度的分类结果的贡献是一样的。在这个实验中,变换方法用于规范范围特性数据,所有的数据分为[0,1]。通过这种方法,不同维度的影响水平原始数据分类结果之间解决。

5.2。评价指标

评估异常检测算法的性能,我们考虑的有效性,算法的探测效率和可用性。有效性主要显示了检测算法的准确性和可靠性,这被认为是入侵检测系统的主要指数评估,的目的,也是入侵检测系统的设计和开发。探测效率考虑数据处理的速度检测系统,包括训练阶段和检测阶段。可用性的措施稳定和检测系统本身的错误恢复能力。

在本质上,异常检测模型是一个分类器正常请求和异常请求,所以我们可以使用分类器的评价指标来评估的性能异常检测模型。在机器学习领域,最常用的评价指标的准确性,回忆,和F测量。这些评价指标用于评价本文提出的检测算法的有效性。样本正确分类的准确性表示数量除以总数量的样本。一般而言,准确性越高,分类效果越好。精密代表有多少样本预测的正样本真阳性样本。召回是指积极正确地预测样本的数量比正确的样本总数的预测。的F测量是一个加权求和平均精度和召回。当F测量较高,该方法更加有效。准确度、精密度、召回和F测量计算如下: (1)真阳性病例(TP):样本的数量预计将是积极的情况下,实际上是积极的情况下,即预测是正确的(2)真阴性病例(TN):样本的数量将是负的情况下,这也是消极的情况下,即预测是正确的(3)假阳性病例(FP):样本的数量预计将是积极的情况下,但实际上是消极的情况下,即预测是错误的(4)假阴性病例(FN):样本的数量预测消极情况下但实际上是积极的情况下,即预测是错误的

5.3。实验结果

为了证明该算法的有效性和效率,本文比较了该算法与检测算法和信念网络(BN)和支持向量机在不同数据量,针对精度,精确,回忆,F测量。

5.3.1。精度

精度计算公式(5),比较精确的实验结果如图6。如图所示,可以看出,与其他两种方法相比,该算法的精度始终是最高的在不同大小的实验数据,这证明了算法执行最佳的准确性。


图6
比较结果的精度在不同大小的数据。
5.3.2。精度

精度计算公式(6),比较精密的实验结果如图7。如图所示,可以看出,与其他两种方法相比,该算法的精度始终是最高的在不同数量的实验数据,这证明了算法执行最佳的精度。


图7
比较结果的精度在不同大小的数据。
5.3.3。回忆

回忆是计算公式(7),比较实验结果的召回如图8。如图所示,可以看出,与其他两种方法相比,这个算法的回忆永远是最高的在不同数量的实验数据,证明该算法执行最好的回忆。


图8
回忆在不同大小的比较结果的数据。
5.3.4。F测量

F测量计算公式(8),比较实验结果进行了比较F测量图所示9。如图所示,可以看出,与其他两种方法相比,F这个算法的测量一直是最高的在不同数量的实验数据,这证明了算法执行最好的F测量。


图9
比较的结果F测量在不同大小的数据。

6。结论

信息网络技术的迅速发展和应用的普及,MOOCs已经使用在许多课程在很多国内高校,包括思想政治教育课程,这是非常重要的大学生的思想道德教育。针对可能的网络访问行为在学院和大学网络公开课思想政治,我们构建基于深度学习的网络异常行为检测模型来检测网络行为是否正常。为了证明该算法的有效性和效率,本文提出的算法与其他两种网络异常行为检测方法。实验结果表明,该方法能有效地检测异常访问行为在网络公开课思想政治。与基于传统分类算法的异常检测方法,该方法基于深度学习可以自适应检测异常的网络访问行为,不需要手动标记功能。然而,也有一些局限性。中使用的数据集的模拟不够复杂,这使得系统的应用非常有限。在未来的工作中,我们应用网络异常行为检测模型基于深度学习更多的数据通过调整网络结构和参数,进一步研究不同的复杂的场景。

数据可用性

使用的数据来支持本研究的发现可以从相应的作者。

的利益冲突

作者宣称没有利益冲突。