入侵检测方法、设备和服务器、存储介质技术

本申请涉及计算机技术领域，特别涉及一种入侵检测方法、设备和服务器、存储介质，用以解决现有技术中存在的入侵检测方法数据处理维度较高的技术问题。该方法包括：采用词嵌入方式，将目标字节序列中的各个字节对应的高维特征向量，分别嵌入到低维空间中，获得低维特征向量；以所述低维特征向量作为训练数据，通过卷积神经网络CNN和循环神经网络RNN学习所述目标字节序列的时空结构特征；基于所述时空结构特征，通过预先获取的线性分类器识别攻击流量。本申请在降低处理维度、减少运算负荷的同时，能够有效提升入侵检测的精确度。

【技术实现步骤摘要】
入侵检测方法、设备和服务器、存储介质
本申请涉及计算机
，特别涉及一种入侵检测方法、设备和服务器、存储介质。
技术介绍
近年来随着网络信息技术的快速发展，信息安全的问题也随之突出，入侵检测为目前维护网络信息安全的主要技术手段之一。入侵检测，即通过检查操作系统的审计数据或网络数据包信息，监测系统中违背安全策略或危及系统安全的行为或活动，一般是从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，帮助系统对付网络攻击，扩展了系统管理员在安全审计、监视、进攻识别和响应等方面的安全管理能力，提高了信息安全基础结构的完整性，从而提供对内部攻击、外部攻击和误操作的实时保护。黑客攻击正在从个人行为向组织化、国家化方向发展，针对性强且往往有明确的商业、经济利益或政治诉求，攻击手段从传统的随机病毒、木马感染以及网络攻击，发展到利用社交工程、各种零日漏洞以及高级逃逸技术(AdvancedEvasionTechnique，AET)，发起有针对性的高级持续性威胁(AdvancedPersistentThreat，APT)等类型的攻击，这些攻击往往具有高级化、组合化、长期化等特点，有时能够轻易绕过传统的安全检测和防御体系。因此，为应对日益增多的复杂攻击，全球已有多个国家将防范高级持续性威胁攻击定位为国家安全防御战略的重要环节，研究能应对现在复杂网络形式的入侵检测方法，对提高入侵检测系统性能及可靠性，具有重大的意义。随着数据挖掘与机器学习的快速发展，该领域研究人员提出了多种基于机器学习的入侵检测方案。传统机器学习方法虽然能够从历史数据中训练，从而提取反映网络入侵行为的模式，参阅图1所示，传统的机器学习通常分为两个阶段：训练阶段和测试阶段。在训练阶段，历史数据通过特征提取形成特征向量(featurevector)，人类专家对每个特征向量附加分类标签得到训练样本，在训练样本上运行各种学习算法(如决策树、支持向量机、人工神经网络等)得到分类模型。在测试阶段，新数据同样通过特征提取得到特征向量，再使用分类模型对该特征向量进行分类判断，得到分类结果。可见，传统的机器学习方案中，特征提取阶段仍然需要人工的干预，需要人类专家根据经验、领域知识来对每个特征向量附加分类标签，来确定能够反映入侵本质的特征。而当前技术水平下，并不能够得出公认的能够反映入侵本质的若干特征。之后，人们将智能算法应用到入侵检测的领域中，结合智能算法的入侵检测技术包括以下方面：特征提取和学习算法。特征提取研究的核心目的是寻找能够表达入侵核心本质的特征；而学习算法研究的核心目的是寻找能够高效获取训练样本中的隐藏模式的算法。其中，特征可以分为三类：经典特征、序列特征和语法特征；学习算法的研究可以分为三类：单一分类器、混合分类器和聚合分类器。结合智能算法的入侵检测技术虽然具有自适应、自组织等优点，但同时也存在学习时间过长，容易陷入局部最优值，在包含多个隐藏层的神经网络学习过程中表现不佳等缺点。造成这些缺点的一个重要原因是其采用了浅层结构学习。浅层结构是一种包含一层非线性特征映射的结构，在处理简单或者受限问题时表现卓有成效，但在处理复杂的问题时遇到了很大挑战。因此，开发高效的深层学习架构成为迫切需要解决的问题，深度学习的概念应运而生。深度学习是从人工神经网络研究发展而来的，一个典型的例子是拥有多个隐藏层的多层感知器神经网络。深度学习可以通过逐层非线性的特征学习，将原样本映射到新的特征空间，因此该学习机制很合适检测多样的入侵行为。深度学习在网络入侵检测领域可用于预训练特征神经网络初始参数和特征提取，从原始网络数据学习到的特征作为机器学习分类算法(例如logistic回归)的输入来完成分类任务。此外，在大多数的研究中，深度学习算法充当分类器的角色，分类器的输入为人工构造的网络入侵特征。目前应用于网络入侵检测领域的深度学习算法主要分为无监督深度学习算法、有监督深度学习算法和混合学习算法。已有技术下，较少研究者致力于应用深度学习技术从原始网络流量中学习有用的特征或表达。例如，一种基于深度学习的入侵检测方案中提出，采用独热编码(OneHotEncoder，OHE)用作变换方法，对应用层负载中的字节序列对应的字符进行特征提取，将原始网络流量中的字节序列对应的各个字符依次转换为更高维的OHE特征向量，并进一步将其转化为灰度图像，例如，对于转换网络流的前n个流量字节，如果转化后的OHE特征向量是m维的，那么整个网络流量可以被转换成卷积神经网络所需的m×n二维灰度图像，之后以该二维灰度图像作为输入，对卷积神经网络进行训练。OHE虽然能够处理非连续型数值特征，并在一定程度上也扩充了特征，但也存在一定弊端。一方面，OHE假设字符与字符之间的语义和语法关系是相互独立的，因此仅仅靠两个OHE特征向量是无法看出两个字符之间的关系的；另一方面，OHE技术在扩充特征的同时，也增加了数据维度，随着的字符序列规模的增大，相应的灰度图像的维度变得越来越大，矩阵也变得越稀疏，导致了维度爆炸问题。综上，已有技术下，基于OHE编码进行的特征提取方式，存在维度爆炸问题，有鉴于此，需要重新设计一种方法以克服该缺陷。
技术实现思路
本申请实施例提供一种入侵检测方法、装置、智能设备和存储介质，用以解决现有技术中存在的OHE编码导致的维度爆炸技术问题。本申请实施例提供的具体技术方案如下：本申请实施例的第一个方面，提供一种入侵检测方法，包括：采用词嵌入方式，将目标字节序列中的各个字节对应的高维特征向量，分别嵌入到低维空间中，获得与所述目标字节序列中的各个字节分别对应的低维特征向量；以所述低维特征向量作为训练输入，通过预设的卷积神经网络CNN和循环神经网络RNN，学习所述目标字节序列的时空结构特征；基于所述时空结构特征，通过预先获取的线性分类器识别攻击流量。可选的，采用词嵌入方式，将目标字节序列中的各个字节对应的高维特征向量，分别嵌入到低维空间中，获得与所述目标字节序列中的各个字节分别对应的低维特征向量之前，进一步包括：从应用层负载对应的网络流量中确定出目标字节序列，以所述目标字节序列作为输入，对预获取的神经网络语言模型进行训练，输出所述目标字节序列中的各个字节分别对应的词嵌入矩阵；采用词嵌入方式，将目标字节序列中的各个字节对应的高维特征向量，分别嵌入到低维空间中，获得与所述目标字节序列中的各个字节分别对应的低维特征向量，具体包括：针对所述目标字节序列中的每个字节，分别执行以下操作：将一个字节对应的高维特征向量与所述一个字节对应的词嵌入矩阵相乘，得到所述一个字节对应的低维特征向量，其中，所述一个字节对应的高维特征向量，为采用独热编码OHE对所述一个字节进行编码得到。可选的，以所述低维特征向量作为训练输入，通过预设的卷积神经网络CNN和循环神经网络RNN，学习所述目标字节序列本文档来自技高网...

【技术保护点】
1.一种入侵检测方法，其特征在于，包括：/n采用词嵌入方式，将目标字节序列中的各个字节对应的高维特征向量，分别嵌入到低维空间中，获得与所述目标字节序列中的各个字节分别对应的低维特征向量；/n以所述低维特征向量作为训练输入，通过预设的卷积神经网络CNN和循环神经网络RNN，学习所述目标字节序列的时空结构特征；/n基于所述时空结构特征，通过预先获取的线性分类器识别攻击流量。/n

【技术特征摘要】
1.一种入侵检测方法，其特征在于，包括：
采用词嵌入方式，将目标字节序列中的各个字节对应的高维特征向量，分别嵌入到低维空间中，获得与所述目标字节序列中的各个字节分别对应的低维特征向量；
以所述低维特征向量作为训练输入，通过预设的卷积神经网络CNN和循环神经网络RNN，学习所述目标字节序列的时空结构特征；
基于所述时空结构特征，通过预先获取的线性分类器识别攻击流量。


2.如权利要求1所述的方法，其特征在于，采用词嵌入方式，将目标字节序列中的各个字节对应的高维特征向量，分别嵌入到低维空间中，获得与所述目标字节序列中的各个字节分别对应的低维特征向量之前，进一步包括：
从应用层负载对应的网络流量中确定出目标字节序列，以所述目标字节序列作为输入，对预获取的神经网络语言模型进行训练，输出所述目标字节序列中的各个字节分别对应的词嵌入矩阵；
采用词嵌入方式，将目标字节序列中的各个字节对应的高维特征向量，分别嵌入到低维空间中，获得与所述目标字节序列中的各个字节分别对应的低维特征向量，具体包括：
针对所述目标字节序列中的每个字节，分别执行以下操作：
将一个字节对应的高维特征向量与所述一个字节对应的词嵌入矩阵相乘，得到所述一个字节对应的低维特征向量，其中，所述一个字节对应的高维特征向量，为采用独热编码OHE对所述一个字节进行编码得到。


3.如权利要求1所述的方法，其特征在于，以所述低维特征向量作为训练输入，通过预设的卷积神经网络CNN和循环神经网络RNN，学习所述目标字节序列的时空结构特征之前，进一步包括：
设置卷积神经网络，使用大小为第一预设阈值的过滤器，添加第一卷积层和第一最大池化层，使用大小为第二预设阈值的过滤器，添加第二卷积层和第二最大池化层，添加第一密集层，设置输出为第一临时向量；
使用大小为第三预设阈值的过滤器，添加第三卷积层和第三最大池化层，使用大小为第四预设阈值的过滤器，添加第四卷积层和第四最大池化层，添加第二密集层，设置输出为第二临时向量；
将所述第一临时向量和所述第二临时向量连接，作为所述卷积神经网络的输出。


4.如权利要求1所述的方法，其特征在于，以所述低维特征向量作为训练输入，通过预设的卷积神经网络CNN和循环神经网络RNN，学习所述目标字节序列的时空结构特征之前，进一步包括：
设置循环神经网络，在第一层添加第一循环神经网络单元，设置第一压降参数和第一重复丢失参数；
在第二层添加第二循环神经网络单元，设置第二压降参数和第二重复丢失参数；
添加第三密集层，设置输出为流向量。


5.如权利要求1-4任一项所述的方法，其特征在于，以所述低维特征向量作为训练输入，通过预设的卷积神经网络CNN和循环神经网络RNN...

【专利技术属性】
技术研发人员：杨浩，林楠，李俊，
申请(专利权)人：国网江西省电力有限公司电力科学研究院，国家电网有限公司，
类型：发明
国别省市：江西;36