本发明专利技术公开了一种基于多网络模型的网络入侵检测方法、装置及电子设备,该网络入侵检测方法包括:获取待处理数据,并对待处理数据进行预处理;对预处理后的数据进行特征提取,得到特征向量;将所述特征向量分别作为预先训练的多个分类网络模型的输入向量,分别得到多个分类网络模型的输出概率值;将多个分类网络模型的输出概率值拼接成一维矩阵信息,作为预先训练的决策模型的输入向量,根据决策模型的输出概率值判断所述待处理数据是否为入侵数据。该基于多网络模型的网络入侵检测方法将多种模型算法有效地结合在一起,共同发挥各自的优势,提高了识别准确率。
【技术实现步骤摘要】
基于多网络模型的网络入侵检测方法、装置及电子设备
本专利技术涉及网络空间安全
,特别是指一种基于多网络模型的网络入侵检测方法、装置及电子设备。
技术介绍
随着互联网和移动互联网的普及,越来越多的人通过网络进行信息的共享。网络信息的共享给人们的生活带了便利的同时,网络安全问题也越来越严峻。入侵检测系统是网络安全系统的重要组成部分,与防火墙等被动检测系统不同的是它能够主动的对潜在的入侵行为信息进行检测,从而能够为用户提供更为全面的信息保护。随着黑客技术的提升,入侵手段以及入侵方式变得多样化和复杂化,对于入侵检测系统的各方面的性能提出了更高的要求。随着近些年人工智能的飞速发展,基于机器学习和神经网络的入侵监测方法作为一种热门而又实用的技术成为目前入侵检测研究的热门领域之一。但是现有的入侵检测技术大多是基于单一模型构建的,由此带有该模型的固有的一些缺点,导致模型的准确率偏低。
技术实现思路
针对现有技术的不足之处,本专利技术的目的是提出一种基于多网络模型的网络入侵检测方法、装置及电子设备,该基于多网络模型的网络入侵检测方法将多种模型算法有效地结合在一起,共同发挥各自的优势,提高了识别准确率。基于上述目的,本专利技术提供的一种基于多网络模型的网络入侵检测方法,包括:获取待处理数据,并对待处理数据进行预处理;对预处理后的数据进行特征提取,得到特征向量;将所述特征向量分别作为预先训练的多个分类网络模型的输入向量,分别得到多个分类网络模型的输出概率值;将多个分类网络模型的输出概率值拼接成一维矩阵信息,作为预先训练的决策模型的输入向量,根据决策模型的输出概率值判断所述待处理数据是否为入侵数据。在本专利技术的一些实施例中,所述对待处理数据进行预处理的步骤包括:采用one-hot编码对待处理数据中的离散类型数据进行编码,转化为数值型数据;经过编码后的数据采用归一化处理,将数据中每个特征映射到0到1之间,其计算公式(1)如下:其中表示经过归一化后的第i行第j列的数据,Xi,j表示第i行第j列的数据,X:,j表示第j列的数据。在本专利技术的一些实施例中,上述基于多网络模型的网络入侵检测方法还包括:将预处理后的数据视为灰度值,形成11*11大小的图像,然后进行特征提取。在本专利技术的一些实施例中,根据分类网络模型的不同选择不同的特征提取方法,以满足各个分类网络模型所需要的数据信息;所述特征提取方法包括Fisher特征提取法,具体步骤包括:输入预处理后的数据,按照公式(2)计算每个特征的Fisher值,根据Fisher值将特征按照重要程序降序排列,从中选择Fisher值高的特征来构建特征向量;其中,mi,r、分别为第i类样本和所有样本的第r个特征的均值;为第i类样本和第r个特征的方差。在本专利技术的一些实施例中,所述特征提取方法还包括PCA主成分分析法,具体步骤包括:输入预处理后的数据,PCA将预处理后的数据进行线性变换,得到由新的主成分构成的新的特征向量空间,根据每一个新的主成分的方差贡献率进行降序排列,从中选择方差贡献率高的特征来构建特征向量。在本专利技术的一些实施例中,所述多个分类网络模型和决策模型均采用sigmoid激活函数,将输出概率值归一化到(0,1)。在本专利技术的一些实施例中,所述决策模型为感知机模型,所述感知机模型的训练过程包括以下步骤:选取感知机模型的初始值w0,b0;其中,感知机模型为y=f(w·x+b);获取输入向量x和标记值t,将输入向量x输入到感知机模型中,得到输出值y,根据公式(3)和(4)来调整权重值wi,经过多轮迭代后,得到感知机模型的权重值w;wi←wi+Δwi(3)b←b+Δb(4)其中,Δwi=η(t-y)xi,Δb=η(t-y),η为学习速率的常数;所述输入向量x是将多个分类网络模型的输出概率值拼接成一维矩阵信息得到的;所述标记值t为正常数据或入侵数据所对应的标记值,正常数据标记为0,入侵数据标记为1。在本专利技术的一些实施例中,所述获取输入向量x的步骤包括:对预先训练的各个分类网络模型进行测试,选择二分类的准确率达到95%以上的分类网络模型;获取历史数据,并对历史数据进行预处理;对预处理后的数据进行特征提取,得到特征向量;将所述特征向量分别作为多个二分类的准确率达到95%以上的分类网络模型的输入向量,分别得到多个分类网络模型的输出概率值;将多个分类网络模型的输出概率值拼接成一维矩阵信息作为输入向量x;所述历史数据为最新的公开数据集CSE-CIC-IDS2018。基于相同的专利技术构思,本专利技术还提供了一种基于多网络模型的网络入侵检测方法装置,包括:获取模块,被配置为获取待处理数据,并对待处理数据进行预处理;特征提取模块,被配置为对预处理后的数据进行特征提取,得到特征向量;计算模块,被配置为将所述特征向量分别作为预先训练的多个分类网络模型的输入向量,分别得到多个分类网络模型的输出概率值;判断模块,被配置为将多个分类网络模型的输出概率值拼接成一维矩阵信息,作为预先训练的决策模型的输入向量,根据决策模型的输出概率值判断所述待处理数据是否为入侵数据。基于相同的专利技术构思,本专利技术还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述基于多网络模型的网络入侵检测方法。与现有技术相比,本专利技术具有以下有益效果:本专利技术利用多种技术进行组合识别,多种模型算法有效地结合在一起,共同发挥各自的优势,有效地提升了模型的识别效果,识别准确率高。附图说明图1为本专利技术实施例的基于多网络模型的网络入侵检测方法的流程图;图2为本专利技术实施例的基于多网络模型的网络入侵检测方法的完整流程图;图3为本专利技术实施例的多个分类网络模型的训练过程;图4为本专利技术实施例的决策模型的训练过程;图5为本专利技术实施例的基于多网络模型的网络入侵检测装置的结构示意图;图6为本专利技术实施例的电子设备结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本专利技术进一步详细说明。随着深度学习和机器学习的快速发展,利用两者进行入侵检测上的研究很多,其中主要方法是支持向量机,多层感知机,卷积神经网络和循环神经网络。·基于支持向量机的入侵检测方法支持向量机是一类按监督学习方式对数据进行二元分类的广义线性分类器,其决策边界是对学习样本求解的最大边距超平面。SVM使用铰链损失函数计算经验风险并在求解系统中加入了正则化项以优化结构风险,是一个具有稀疏性和稳健性的分类器。SVM可以通过核方法进行非线性分类,是常见的核学习方法之一。判断数据包是否正常是一个二分类问题,支持向量机在二分类的效果很本文档来自技高网...
【技术保护点】
1.一种基于多网络模型的网络入侵检测方法,其特征在于,包括:/n获取待处理数据,并对待处理数据进行预处理;/n对预处理后的数据进行特征提取,得到特征向量;/n将所述特征向量分别作为预先训练的多个分类网络模型的输入向量,分别得到多个分类网络模型的输出概率值;/n将多个分类网络模型的输出概率值拼接成一维矩阵信息,作为预先训练的决策模型的输入向量,根据决策模型的输出概率值判断所述待处理数据是否为入侵数据。/n
【技术特征摘要】
1.一种基于多网络模型的网络入侵检测方法,其特征在于,包括:
获取待处理数据,并对待处理数据进行预处理;
对预处理后的数据进行特征提取,得到特征向量;
将所述特征向量分别作为预先训练的多个分类网络模型的输入向量,分别得到多个分类网络模型的输出概率值;
将多个分类网络模型的输出概率值拼接成一维矩阵信息,作为预先训练的决策模型的输入向量,根据决策模型的输出概率值判断所述待处理数据是否为入侵数据。
2.根据权利要求1所述的基于多网络模型的网络入侵检测方法,其特征在于,所述对待处理数据进行预处理的步骤包括:
采用one-hot编码对待处理数据中的离散类型数据进行编码,转化为数值型数据;
经过编码后的数据采用归一化处理,将数据中每个特征映射到0到1之间,其计算公式(1)如下:
其中表示经过归一化后的第i行第j列的数据,Xi,j表示第i行第j列的数据,X:,j表示第j列的数据。
3.根据权利要求1所述的基于多网络模型的网络入侵检测方法,其特征在于,还包括:
将预处理后的数据视为灰度值,形成11*11大小的图像,然后进行特征提取。
4.根据权利要求1所述的基于多网络模型的网络入侵检测方法,其特征在于,根据分类网络模型的不同选择不同的特征提取方法,以满足各个分类网络模型所需要的数据信息;所述特征提取方法包括Fisher特征提取法,具体步骤包括:
输入预处理后的数据,按照公式(2)计算每个特征的Fisher值,根据Fisher值将特征按照重要程序降序排列,从中选择Fisher值高的特征来构建特征向量;
其中,mi,r、分别为第i类样本和所有样本的第r个特征的均值;为第i类样本和第r个特征的方差。
5.根据权利要求4所述的基于多网络模型的网络入侵检测方法,其特征在于,所述特征提取方法还包括PCA主成分分析法,具体步骤包括:
输入预处理后的数据,PCA将预处理后的数据进行线性变换,得到由新的主成分构成的新的特征向量空间,根据每一个新的主成分的方差贡献率进行降序排列,从中选择方差贡献率高的特征来构建特征向量。
6.根据权利要求1所述的基于多网络模型的网络入侵检测方法,其特征在于,所述多个分类网络模型和决策模型均采用sigmoid激...
【专利技术属性】
技术研发人员:郭燕慧,徐国爱,陈仁义,张淼,王浩宇,徐国胜,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。