一种网络入侵检测方法及系统技术方案

本发明专利技术实施例提供一种网络入侵检测方法及系统，该方法包括：基于训练好的网络入侵检测模型对待检测网络数据进行检测，并对得到的检测结果进行分析判断，若判断获知待检测网络数据为网络已知数据，则根据检测结果，对网络已知数据进行细粒度分类；若判断获知待检测网络数据为网络未知类别入侵数据，则对网络未知类别入侵数据进行聚类，获取网络未知类别入侵数据中各类别的聚类质心；根据网络未知类别入侵数据中各类别的聚类质心，对训练好的网络入侵检测模型的分类器进行更新，以根据更新后的网络入侵检测模型对后续待检测网络数据中网络未知类别入侵数据进行入侵检测。本发明专利技术实施例实现对网络未知入侵的识别和学习。

A network intrusion detection method and system

【技术实现步骤摘要】
一种网络入侵检测方法及系统
本专利技术涉及网络安全
，尤其涉及一种网络入侵检测方法及系统。
技术介绍
如今，随着5G技术的快速发展，以及物联网技术的广泛使用，大量的物理设备接入网络，使得整个网络容易受到各种各样的安全威胁。现有大多数网络系统都使用防火墙进行预防，而将入侵检测系统(IntrusionDetectionSystem，简称IDS)认为是第二道防线。但是，现有基于机器学习和基于深度学习的入侵检测解决方案与IDS实际部署的解决方案之间存在严重脱节。具体而言，现有的大部分算法是基于一些有缺陷的假设，进而扭曲了其映射到实际部署的IDS。目前，大部分的算法都是基于封闭世界的假设，在分类过程中只考虑在训练期间看到的类别，仅评估固定的闭集类的准确性，而实际部署的IDS处于一个动态和开放的环境，新的网络入侵会不断出现，由于训练数据集难以覆盖所有会出现的网络入侵，根据不完整的训练数据集所构建的入侵检测模型可能会将新的网络入侵误检为已有入侵或者已有正常行为，从而导致入侵检测模型在检测未知网络入侵时失效。因此，现在亟需一种网络入侵检测本文档来自技高网...

【技术保护点】
1.一种网络入侵检测方法，其特征在于，包括：/n基于训练好的网络入侵检测模型对待检测网络数据进行检测，并对得到的检测结果进行分析判断，若判断获知所述待检测网络数据为网络已知数据，则根据所述检测结果，对所述网络已知数据进行细粒度分类；若判断获知所述待检测网络数据为网络未知类别入侵数据，则对所述网络未知类别入侵数据进行聚类，获取所述网络未知类别入侵数据中各类别的聚类质心；/n根据所述网络未知类别入侵数据中各类别的聚类质心，对所述训练好的网络入侵检测模型的分类器进行更新，以根据更新后的网络入侵检测模型对后续待检测网络数据中网络未知类别入侵数据进行入侵检测。/n

【技术特征摘要】
1.一种网络入侵检测方法，其特征在于，包括：
基于训练好的网络入侵检测模型对待检测网络数据进行检测，并对得到的检测结果进行分析判断，若判断获知所述待检测网络数据为网络已知数据，则根据所述检测结果，对所述网络已知数据进行细粒度分类；若判断获知所述待检测网络数据为网络未知类别入侵数据，则对所述网络未知类别入侵数据进行聚类，获取所述网络未知类别入侵数据中各类别的聚类质心；
根据所述网络未知类别入侵数据中各类别的聚类质心，对所述训练好的网络入侵检测模型的分类器进行更新，以根据更新后的网络入侵检测模型对后续待检测网络数据中网络未知类别入侵数据进行入侵检测。


2.根据权利要求1所述的网络入侵检测方法，其特征在于，所述训练好的网络入侵检测模型是通过以下步骤得到的：
基于卷积神经网络构建待训练的网络入侵检测模型，所述待训练的网络入侵检测模型包括卷积层、最大池化层、完全连接层和最近类别均值分类器；
获取训练样本集，所述训练样本集包括网络已知样本数据和分布外合成样本网络数据，所述网络已知样本数据包括网络样本正常数据和网络样本入侵类别数据，所述分布外合成样本网络数据是通过所述网络已知样本数据和样本噪声数据合成得到的；
获取预设训练损失函数，所述预设训练损失函数包括Fisher损失函数和MMD损失函数，并将所述Fisher损失函数、所述MMD损失函数和交叉熵损失函数进行联合优化处理，得到整体训练损失函数；
根据所述训练样本集和所述整体训练损失函数，对所述待训练的网络入侵检测模型进行批次训练，得到所述训练好的网络入侵检测模型。


3.根据权利要求2所述的网络入侵检测方法，其特征在于，在所述根据所述训练样本集和所述整体训练损失函数，对所述待训练的网络入侵检测模型进行批次训练，得到所述训练好的网络入侵检测模型之后，所述方法还包括：
通过所述训练好的网络入侵检测模型，对待检测网络数据进行检测，并根据阈值判别方法，对得到的检测结果进行分析判断，若判断获知所述待检测网络数据为网络已知数据，则根据所述检测结果，对所述网络已知数据进行细粒度分类；
判断获知所述待检测网络数据为网络未知类别入侵数据，则根据K-means聚类方法，对所述网络未知类别入侵数据进行聚类，获取所述网络未知类别入侵数据中各类别的聚类质心；
根据增量学习法，获取所述网络未知类别入侵数据的网络入侵类别对应的类均值，以用于对所述训练好的网络入侵检测模型的分类器进行更新，得到更新后的网络入侵检测模型。


4.根据权利要求3所述的网络入侵检测方法，其特征在于，所述根据阈值判别方法，对得到的检测结果进行分析判断，包括：
若检测结果距离最近类别均值的欧式距离大于对应的预设阈值，则判断获知所述待检测网络数据为网络未知类别入侵数据；
若检测结果距离最近类别均值的欧式距离小于等于对应的预设阈值，则判断获知所述待检测网络数据为网络已知数据，并通过最近类别均值分类器对...

【专利技术属性】
技术研发人员：张勇，郭达，张曌，程振杰，李俊杰，牛颉，高杨，马腾滕，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：北京;11