CN104935600B

CN104935600B - 一种基于深度学习的移动自组织网络入侵检测方法与设备

Info

Publication number: CN104935600B
Application number: CN201510344393.2A
Authority: CN
Inventors: 吴巍; 黄炜; 张林杰; 贾哲; 庄杰; 李强
Original assignee: CETC 54 Research Institute
Current assignee: CETC 54 Research Institute
Priority date: 2015-06-19
Filing date: 2015-06-19
Publication date: 2019-03-22
Anticipated expiration: 2035-06-19
Also published as: CN104935600A

Abstract

本发明公开了一种基于深度学习的移动自组织网络入侵检测方法与设备，涉及无线网络安全领域。本发明的设备包括数据采集模块、数据融合模块、预处理模块、存储模块、入侵检测模块和响应告警模块，将捕获到的无线数据包进行融合和去冗余后，提取网络行为特征并存储；深度学习网络行为特征后建立表达网络行为的深度神经网络模型；将待检测的网络数据输入深度神经网络模型，完成对入侵的判断和识别后响应告警。本发明方法将检测为异常的网络行为特征向量进行存储并用来训练深度神经网络，当这些入侵类型再次发生时，就能被检测识别。本发明在保证模型训练和检测效率的前提下，提高检测准确率，进一步提高移动自组织网络的安全性。

Description

一种基于深度学习的移动自组织网络入侵检测方法与设备

技术领域

本发明涉及移动自组织网络领域和深度学习领域，尤其自组织网络中的入侵检测方法与设备。

背景技术

移动自组织(Ad hoc)网络与固定有线网络的差别，导致入侵检测系统(IntrusionDetection System,IDS)在Adhoc网络中面临不同的问题。Adhoc网络采用开放式的无线信道，无固定路由器，使其更容易遭受入侵。Ad hoc网络无固定基础设施，导致IDS不能很好的统计数据，采集的网络特征局限于特定的无线通信范围。因此，迫切需要解决入侵检测技术在移动自组织网络中的面临的问题，进而可以增强网络的安全防护体系。

深度学习在大数据、多维特征的机器学习问题上表现出了很好的性能。ad hoc网络中存在的入侵多种多样，需要收集大量数据、统计多维特征来分析ad hoc网络行为，进行入侵检测。将深度学习应用于ad hoc网络入侵检测中，能发挥深度神经网络在机器学习、特征提取上的优势，为ad hoc网络入侵检测这一复杂的行为模式识别问题提供一个有效途径。

在公告号为CN101610516A、发明名称为“自组织网络中的入侵检测方法与设备”的专利文件中公开了一种基于信息增益将网络特征分类，采用支持向量机从分组中筛选最优特征子集，判断网络是否被入侵的入侵检测方法。但是该方法只能检测到网络中是否存在入侵，不能识别出入侵类型，只是一种异常检测技术；该方法使用的是一种浅层神经网络学习模型，不具有深度学习的优势；另外，该方法没有涉及无线监测及数据包捕获。

在申请号为201310682813.9、发明名称为“一种基于神经网络的无线传感器网络入侵检测算法”公开了一种无线传感器网络入侵检测模型，包括误用检测、异常检测和决策模块，选取了BP神经网络、广义回归神经网络、基于遗传算法优化的BP神经网络进行MATLAB仿真实验。该发明没有使用深度神经网络，而且只进行了MATLAB仿真，不能说明算法在真实网络环境中的有效性，没有捕获无线自组织网络数据包，没有涉及网络特征提取，不能直接应用于自组织网络中的入侵检测。

发明内容

本发明要解决的技术问题是，针对目前ad hoc网络面临着非常复杂的安全威胁，针对ad hoc网络的入侵检测技术仍然缺少成熟的研究成果，不能很好地满足ad hoc网络的安全需求，提出一种移动自组织网络中的入侵检测方法，能够在保证模型训练和检测效率的前提下，提高检测准确率。

为解决上述技术问题，本发明采用如下技术方案：

一种基于深度学习的移动自组织网络入侵检测方法，包括以下步骤：

①从正常的移动自组织网络中捕获无线数据包，经过数据预处理，得到网络正常行为特征数据集，并将其拆分为网络正常行为特征的训练集和测试集；在移动自组织网络中加入多种已知的入侵节点，从加入入侵节点的移动自组织网络中捕获无线数据包，经过数据预处理，得到网络入侵行为特征数据集，并将其拆分为网络入侵行为特征的训练集和测试集；所述的无线数据包包括路由请求包、路由应答包、路由错误包和业务数据包；

所述网络正常行为特征数据集和网络入侵行为特征数据集中的特征均包括：

(1)RREQ Sent：节点发送的路由请求消息包总数；

(2)RREQ Received：节点接收的路由请求消息包总数；

(3)RREP Sent：节点发送的路由应答消息包总数；

(4)RREP Received：节点接收的路由应答消息包总数；

(5)RERR Sent：节点发送的路由错误消息包总数；

(6)RERR Received：节点接收的路由错误消息包总数；

(7)Data Sent：节点发送的业务数据包总数；

(8)Data Received：节点接收的业务数据包总数；

(9)Route Drop：节点丢弃的路由包总数；

(10)Route Transmit：节点转发的路由包总数；

(11)Data Drop：节点丢弃的业务数据包总数；

(12)Data Transmit：节点转发的业务数据包总数；

(13)Packet size：数据包平均大小；

(14)Active Node：活跃节点个数；

②使用网络正常行为特征训练集训练深度神经网络异常检测模型，得到对网络正常行为的表达；使用网络入侵行为特征训练集训练深度神经网络误用检测模型，得到对网络入侵行为的表达；

③使用网络正常行为特征测试集测试深度神经网络异常检测模型，根据测试结果进一步调整模型参数；使用网络入侵行为特征测试集测试深度神经网络误用检测模型，根据测试结果进一步调整模型参数；

④入侵检测时，多个无线监测节点实时从移动自组织网络中捕获无线数据包，经过数据预处理得到网络行为特征向量，将网络行为特征向量输入调整参数后的深度神经网络异常检测模型进行识别，将判断为异常的网络行为特征向量输入调整参数后的深度神经网络误用检测模型进行识别，对入侵类型的识别结果进行判断；

⑤如果识别结果符合已知入侵类型，则告警显示该类入侵；如果识别结果不符合已知入侵类型，则将异常的网络行为特征向量作为新网络入侵特征向量进行存储，当深度神经网络能识别存储的新网络入侵特征向量之后，使用聚类算法对其进行类划分，将聚类后的新网络入侵特征向量作为网络入侵行为特征训练集训练深度神经网络误用检测模型，当这些入侵类型再次发生时，就能被检测识别；

完成基于深度学习的移动自组织网络入侵检测方法。

其中，所述的数据预处理具体包括以下步骤：

(101)计算捕获到的各无线数据包的大小，然后分别进行帧解析并提取出代表无线数据包类型的字段；

(102)判断出各无线数据包的类型并对各无线数据包进行分类；

(103)提取每类无线数据包的网络行为特征向量。

其中，所述的网络行为特征向量是由多个表征网络性能的元素组成的一个向量，具体包括：路由请求消息的发送接收频率、路由应答消息的发送接收频率和数据包投递率。

其中，所述的使用网络正常行为特征训练集训练深度神经网络异常检测模型具体包括以下步骤：

(201)初始化深度神经网络的模型参数；所述的深度神经网络的模型参数包括学习率、深度和每一层的神经元个数；

(202)将网络正常行为特征训练集输入深度神经网络模型，深度神经网络模型自动调整神经元之间的连接权重，得到对训练数据的抽象表达。

其中，所述的深度神经网络异常检测模型和深度神经网络误用检测模型采用的数学模型均为深度神经网络模型；所述的深度神经网络是采用深度学习算法的数学模型，具体为：深度信念网络或卷积神经网络。

其中，所述的步骤③具体包括以下步骤：

(301)将网络正常行为特征测试集和网络入侵行为特征测试集输入调整参数后的深度神经网络异常检测模型，深度神经网络异常检测模型识别测试集中的每一个特征向量是正常还是异常的，统计出检测正确率、漏报率和误报率；

(302)将(301)中识别结果为异常的特征向量输入调整参数后的深度神经网络误用检测模型，对入侵类型进行识别，统计出识别正确率；

(303)如果统计结果没有达到预设目标要求，调整深度神经网络异常检测模型和误用检测模型的参数，重新训练深度神经网络异常检测模型和误用检测模型的参数，直到达到预设目标要求。

一种基于深度学习的移动自组织网络入侵检测设备，包括：数据采集模块、数据融合模块、预处理模块、存储模块、入侵检测模块和响应告警模块；

所述数据采集模块，根据要检测的移动自组织网络大小，在移动自组织网络中布置多个无线监测节点，用于实时捕获移动自组织网络中的无线数据包并将无线数据包无线传输至数据融合模块；所述的无线数据包包括路由请求包、路由应答包、路由错误包和业务数据包；

所述数据融合模块用于将接收到的多个无线监测点捕获的无线数据包进行融合，去掉冗余信息后经线缆发送或无线传输至预处理模块；

所述预处理模块用于对融合后的数据进行帧解析处理，提取、统计网络行为特征，得到网络行为特征向量，并将网络行为特征向量发送至存储模块；

所述网络行为特征包括：

(1)RREQ Sent：节点发送的路由请求消息包总数；

(2)RREQ Received：节点接收的路由请求消息包总数；

(3)RREP Sent：节点发送的路由应答消息包总数；

(4)RREP Received：节点接收的路由应答消息包总数；

(5)RERR Sent：节点发送的路由错误消息包总数；

(6)RERR Received：节点接收的路由错误消息包总数；

(7)Data Sent：节点发送的业务数据包总数；

(8)Data Received：节点接收的业务数据包总数；

(9)Route Drop：节点丢弃的路由包总数；

(10)Route Transmit：节点转发的路由包总数；

(11)Data Drop：节点丢弃的业务数据包总数；

(12)Data Transmit：节点转发的业务数据包总数；

(13)Packet size：数据包平均大小；

(14)Active Node：活跃节点个数；

所述存储模块包括一般存储区和新入侵特征存储区，用于将经过预处理后得到的网络行为特征向量存储在一般存储区，并将网络行为特征向量发送给入侵检测模块；

所述入侵检测模块，用于实时检测网络入侵，将入侵信息通知响应告警模块并将新入侵网络行为特征存储在新入侵特征存储区；

如果检测到网络入侵并识别出入侵类型，则将入侵信息通知响应告警模块；如果检测到网络入侵但没有识别出入侵类型，判断网络中存在未知入侵类型，通知响应告警模块，将对应的新入侵网络行为特征存储在新入侵特征存储区，所述的入侵信息包括入侵类型和入侵发生时间；

所述响应告警模块用于在接收到入侵检测模块的通知后发出告警信息；所述的告警信息包括入侵类型和入侵发生时间；

所述新入侵特征存储区用于在新入侵网络行为特征的存储量达到入侵检测模块能识别后，使用聚类算法对其进行类划分，并将聚类后的新入侵网络行为特征发送至入侵检测模块。

其中，所述入侵检测模块包括异常检测单元和误用检测单元，

所述异常检测单元，用于基于网络正常行为特征训练深度神经网络，得到对网络正常行为的表达，并实时检测网络入侵；所述的网络正常行为特征向量是从正常的移动自组织网络中采集的无线数据包经预处理模块预处理后得到的；

所述误用检测单元，用于基于网络入侵行为特征训练深度神经网络，得到对网络入侵行为的表达，并识别入侵类型然后将入侵信息通知响应告警模块；所述的网络入侵行为特征是从加入已知入侵节点的移动自组织网络中采集的无线数据包经预处理模块预处理后得到的。

本发明相对于背景技术的优点在于：

通过采用所述的入侵检测方法和设备，由于采用深度学习技术构建深度神经网络入侵检测模型，能学习训练数据的深层属性，得到对网络正常行为或入侵行为的特征表达，所以能够在保证模型训练和检测效率的前提下，提高检测准确率。

附图说明

图1为本发明入侵检测方法流程图；

图2为本发明入侵检测设备方框图；

图3为本发明实施例中入侵检测的训练测试过程流程图；

图4为本发明实施例中入侵检测检测流程图。

图2中：1.入侵检测设备、2.数据采集模块(无线监测节点)、3.数据融合模块、4.预处理模块、5.存储模块、6.入侵检测模块、7.响应告警模块、8.移动自组织网络、9.网络节点。

具体实施方式

本发明实施例提供一种基于深度学习的移动自组织网络中的入侵检测方法与设备，能够在保证模型训练和检测效率的前提下，提高检测准确率。

下面结合附图对本发明实施例进行详细描述。

如图1所示，本发明的一种基于深度学习的移动自组织网络入侵检测方法包括以下步骤：

①数据包捕获及预处理：从正常的移动自组织网络中捕获大量数据包，经过帧解析，判断数据包大小，提取代表数据包类型的字段，判断数据包类型，统计单位时间内每一种类型的数据包的发送频率、接收频率、平均大小、持续时间等特征信息，得到网络正常行为特征数据集，并将其按照3:1的比例拆分为训练集和测试集；在移动自组织网络中分别加入多种已知的入侵节点，分别捕获大量数据，同上述过程，得到网络入侵行为特征数据集，并将其拆分为训练集和测试集；所述的无线数据包包括路由请求包、路由应答包、路由错误包和业务数据包；

②使用网络行为特征训练集训练深度神经网络检测模型：将网络正常行为特征训练集输入深度神经网络异常检测模型，模型自动调整神经元之间的连接权重，得到对网络正常行为的表达；将网络入侵特征训练集输入深度神经网络误用检测模型，模型自动调整神经元之间的连接权重，得到对网络入侵行为的表达；

训练过程具体为：

(202)将网络行为特征训练集输入深度神经网络模型，深度神经网络模型自动调整神经元之间的连接权重，得到对训练数据的抽象表达。

③使用网络行为特征测试集测试深度神经网络检测模型：将网络正常行为特征测试集输入深度神经网络异常检测模型，测试模型检测效果，进一步调整模型参数(层数、神经元个数、学习率等)；将网络入侵行为特征测试集输入深度神经网络异常检测模型，测试模型检测效果，进一步调整模型参数(层数、神经元个数、学习率等)；

测试过程具体为：

(301)将网络行为特征测试集和网络入侵行为特征测试集输入调整参数后的深度神经网络异常检测模型，深度神经网络异常检测模型识别测试集中的每一个特征向量是正常还是异常的，统计出检测正确率、漏报率和误报率；

实施例：本发明实施例移动自组织网络中入侵检测方法对深度神经网络入侵检测的训练测试流程如图3所示，入侵检测流程如图4所示。

例如，针对移动自组织网络路由层攻击，包括：序列号攻击、错误距离矢量攻击、黑洞攻击等，无线监测节点捕获无线数据包，经过数据融合、预处理，提取以下特征集合：

(1)RREQ Sent：节点发送的路由请求消息包总数；

(2)RREQ Received：节点接收的路由请求消息包总数；

(3)RREP Sent：节点发送的路由应答消息包总数；

(4)RREP Received：节点接收的路由应答消息包总数；

(5)RERR Sent：节点发送的路由错误消息包总数；

(6)RERR Received：节点接收的路由错误消息包总数；

(7)Data Sent：节点发送的业务数据包总数；

(8)Data Received：节点接收的业务数据包总数；

(9)Route Drop：节点丢弃的路由包总数；

(10)Route Transmit：节点转发的路由包总数；

(11)Data Drop：节点丢弃的业务数据包总数；

(12)Data Transmit：节点转发的业务数据包总数；

(13)Packet size：数据包平均大小；

(14)Active Node：活跃节点个数。

以上所有特征共同组成网络行为特征向量，作为深度神经网络的输入。

本发明实施例采用深度信念网络(Deep Belief Nets,DBN)对训练数据进行建模，DBN是一种比较成熟的深度神经网络模型，由两层受限玻尔兹曼机(Restricted BoltzmannMachine,RBM)加一层BP(BackPropagation)神经网络组成。对DBN采用逐层训练的方式，关键是无监督地训练RBM，根据RBM的结构，经过推导可得到公式(1)(2)(3)。公式(1)中，T表示样本容量，v表示网络特征向量，即RBM可见层的状态向量；公式(2)、公式(3)中，v_i表示可见层第i个神经元的状态，a_i表示可见层第i个神经元的偏置，h_j表示隐藏层第j个神经元的状态，b_j表示隐藏层第j个神经元的偏置；P(h|v,θ)为条件分布；θ为RBM的参数集{W,a,b}；W为连接权重矩阵。

训练一个RBM实际上就是调整参数集θ，以拟合给定的训练样本，即，在该参数下由相应的RBM表示的概率分布尽可能地与训练数据相符合，数学表达上可以描述为最大化公式(1)描述的似然函数。

如果直接计算公式(1)，过程将非常复杂，而本发明实施例采用计算效率更高的CD快速学习算法，主要步骤为：

(1)将RBM的参数集θ＝{W,a,b}初始化为较小值，将训练数据拆分为包含几十至上百个样本的小批量数据；

(2)令可视层v₁等于第一个小批量样本batch 1；

(3)利用公式(2)求得h₁＝sigmoid(b'+v₁·W')；利用公式(3)得v₂＝sigmoid(a'+h₁·W)，再利用公式(2)求得h₂＝sigmoid(b'+v₂·W')；

(4)各个参数按照下面公式(4)进行更新；公式(4)中，W为连接权重矩阵、a为可见层偏置向量、b为隐藏层偏置向量、η为学习率；

(5)令v₁分别等于其他小批量数据，重复步骤(3)和步骤(4)，得到模型参数；

对两层RBM单独无监督训练完成后，对训练数据添加上标签，有监督地训练BP神经网络。

④入侵检测时，多个无线监测节点实时从移动自组织网络中捕获无线数据包，经过帧解析，判断数据包大小，提取代表数据包类型的字段，判断数据包类型，统计单位时间内每一种类型的数据包的发送频率、接收频率、平均大小、持续时间等特征信息，得到网络行为特征向量，将网络行为特征向量输入调整参数后的深度神经网络异常检测模型进行识别，将判断为异常的网络行为特征向量输入调整参数后的深度神经网络误用检测模型进行识别，对入侵类型的识别结果进行判断；

所述的网络行为特征向量是由多个表征网络性能的元素组成的一个向量，具体包括：路由请求消息的发送接收频率、路由应答消息的发送接收频率和数据包投递率。

⑤如果识别结果符合已知入侵类型，则告警显示该类入侵；如果识别结果不符合已知入侵类型，则将异常的网络行为特征向量作为新网络入侵特征向量进行存储，当深度神经网络能识别存储的新网络入侵特征向量之后，使用聚类算法对其进行类划分，将聚类后的新网络入侵特征向量作为网络入侵特征训练集训练深度神经网络误用检测模型，当这些入侵类型再次发生时，就能被检测识别；

实施例：经过训练后的DBN模型，以参数集的形式保存网络的正常或入侵行为特征，从而建立了移动自组织网络的正常或入侵行为识别模型，检测过程中与正常行为偏差较大网络特征就被判断为异常，与某种入侵行为匹配度较高的网络特征就被判断为这种入侵。检测到入侵后，设备向网络管理发出告警信息，然后更新检测日志文件，继续下一个检测。

完成基于深度学习的移动自组织网络入侵检测方法。

如图2所示，本发明的一种基于深度学习的移动自组织网络入侵检测设备包括：数据采集模块，数据融合模块，预处理模块，存储模块，入侵检测模块和响应告警模块。

①数据采集模块，在移动自组织网络中布置多个无线监测节点，监测网络流量，捕获无线数据包，将捕获的数据无线传输给数据融合模块，完成对数据的融合，去除冗余信息；

②数据融合模块，将多个监测点捕获的数据进行融合，去除冗余信息，保证信息的精确性；

③预处理模块，判断数据包大小，提取代表数据包类型的字段，判断数据包类型，统计单位时间内每一种类型的数据包的发送频率、接收频率、平均大小、持续时间等特征信息，得到网络行为特征向量；

④存储模块，包括一般存储区和新入侵特征存储区，将经过预处理后得到的网络行为特征向量存储在一般存储区，便于下一步分析；

⑤入侵检测模块，包括异常检测单元和误用检测单元，用于实时检测网络入侵，将入侵信息通知响应告警模块并将新入侵网络行为特征存储在新入侵特征存储区；

异常检测单元，用于基于网络正常行为特征训练深度神经网络，得到对网络正常行为的表达，并实时检测网络入侵；所述的网络正常行为特征向量是从正常的移动自组织网络中采集的无线数据包经预处理模块预处理后得到的；

误用检测单元，用于基于网络入侵行为特征训练深度神经网络，得到对网络入侵行为的表达，并识别入侵类型然后将入侵信息通知响应告警模块；所述的网络入侵行为特征是从加入已知入侵节点的移动自组织网络中采集的无线数据包经预处理模块预处理后得到的；

⑥响应告警模块，接收到入侵检测模块的通知后发出告警信息；所述的告警信息包括入侵类型和入侵发生时间；

⑦新入侵特征存储区，用于在新入侵网络行为特征的存储量达到入侵检测模块能识别后，使用聚类算法对其进行类划分，并将聚类后的新入侵网络行为特征发送至入侵检测模块。

Claims

1.一种基于深度学习的移动自组织网络入侵检测方法，其特征在于，包括以下步骤：

(1)RREQ Sent：节点发送的路由请求消息包总数；

(2)RREQ Received：节点接收的路由请求消息包总数；

(3)RREP Sent：节点发送的路由应答消息包总数；

(4)RREP Received：节点接收的路由应答消息包总数；

(5)RERR Sent：节点发送的路由错误消息包总数；

(6)RERR Received：节点接收的路由错误消息包总数；

(7)Data Sent：节点发送的业务数据包总数；

(8)Data Received：节点接收的业务数据包总数；

(9)Route Drop：节点丢弃的路由包总数；

(10)Route Transmit：节点转发的路由包总数；

(11)Data Drop：节点丢弃的业务数据包总数；

(12)Data Transmit：节点转发的业务数据包总数；

(13)Packet size：数据包平均大小；

(14)Active Node：活跃节点个数；

完成基于深度学习的移动自组织网络入侵检测方法。

2.根据权利要求1所述的一种基于深度学习的移动自组织网络入侵检测方法，其特征在于：所述的数据预处理具体包括以下步骤：

(103)提取每类无线数据包的网络行为特征向量。

3.根据权利要求1或2所述的一种基于深度学习的移动自组织网络入侵检测方法，其特征在于：所述的网络行为特征向量是由多个表征网络性能的元素组成的一个向量，具体包括：路由请求消息的发送接收频率、路由应答消息的发送接收频率和数据包投递率；

所述网络行为特征向量的获取方式为：对无线数据包进行帧解析，判断数据包大小，提取代表数据包类型的字段，判断数据包类型，统计单位时间内每一种类型的数据包的发送频率、接收频率、平均大小、持续时间，得到网络行为特征向量。

4.根据权利要求1所述的一种基于深度学习的移动自组织网络入侵检测方法，其特征在于：所述的使用网络正常行为特征训练集训练深度神经网络异常检测模型具体包括以下步骤：

5.根据权利要求1或4所述的一种基于深度学习的移动自组织网络入侵检测方法，其特征在于：所述的深度神经网络异常检测模型和深度神经网络误用检测模型采用的数学模型均为深度神经网络模型；所述的深度神经网络是采用深度学习算法的数学模型，具体为：深度信念网络或卷积神经网络。

6.根据权利要求1所述的一种基于深度学习的移动自组织网络入侵检测方法，其特征在于：所述的步骤③具体包括以下步骤：

7.一种基于深度学习的移动自组织网络入侵检测设备，其特征在于包括：数据采集模块、数据融合模块、预处理模块、存储模块、入侵检测模块和响应告警模块；

所述数据采集模块，根据要检测的移动自组织网络大小，在移动自组织网络的覆盖范围中布置多个无线监测节点，用于实时捕获移动自组织网络中的无线数据包并将无线数据包无线传输至数据融合模块；所述的无线数据包包括路由请求包、路由应答包、路由错误包和业务数据包；

所述数据融合模块用于将接收到的多个无线监测节点捕获的无线数据包进行融合，去掉冗余信息后经线缆发送或无线传输至预处理模块；

所述网络行为特征包括：

(1)RREQ Sent：节点发送的路由请求消息包总数；

(2)RREQ Received：节点接收的路由请求消息包总数；

(3)RREP Sent：节点发送的路由应答消息包总数；

(4)RREP Received：节点接收的路由应答消息包总数；

(5)RERR Sent：节点发送的路由错误消息包总数；

(6)RERR Received：节点接收的路由错误消息包总数；

(7)Data Sent：节点发送的业务数据包总数；

(8)Data Received：节点接收的业务数据包总数；

(9)Route Drop：节点丢弃的路由包总数；

(10)Route Transmit：节点转发的路由包总数；

(11)Data Drop：节点丢弃的业务数据包总数；

(12)Data Transmit：节点转发的业务数据包总数；

(13)Packet size：数据包平均大小；

(14)Active Node：活跃节点个数；

8.根据权利要求7所述的一种基于深度学习的移动自组织网络入侵检测设备，其特征在于：所述入侵检测模块包括异常检测单元和误用检测单元，

所述异常检测单元，用于基于网络正常行为特征向量训练深度神经网络，得到对网络正常行为的表达，并实时检测网络入侵；所述的网络正常行为特征向量是从正常的移动自组织网络中采集的无线数据包经预处理模块预处理后得到的；