【技术实现步骤摘要】
基于显式和隐含特征学习的智能入侵检测方法和系统
本专利技术属于计算机网络安全领域,具体涉及一种基于显式和隐含特征学习的智能入侵检测方法和系统。
技术介绍
随着网络的广泛使用,网络安全的重要性不断提升。在众多网络安全防御技术中,网络入侵检测系统(NIDS)是可以主动保护系统免受非法外部攻击的最重要工具之一。传统的网络入侵检测方法基于模式匹配,将网络模式与现有恶意模式进行比较得出检测结果。如今,随着机器学习技术的发展,将机器学习技术引入入侵检测,将使入侵检测系统更加智能。对网络入侵数据进行分析,可以发现,网络入侵的数据特征比较复杂,表现在不同类别的恶意入侵分布不平衡,并且单个特征不能表现入侵类型的分布,即不同特征从不同角度反映了网络行为。智能入侵检测系统的关键是描述特征之间的复杂关系,并克服数据的不平衡分布。根据特征学习的方式,目前针对入侵检测问题的方法,可以分为两类:基于特征选择的方法和基于深度学习的方法。基于特征选择的方法将数据降维和启发式算法进行结合,先将特征通过一定的方法进行降维,再将降维后的数据作为机器学习的输入,通过启发式算法得出检测结果。其中数据降维的方法包括:(1)过滤法,对各个数据特征进行评分,设定阈值或者待选择阈值的个数,来选择特征,例如计算每个特征与入侵类型的相关性,选择相关性大的特征;(2)包裹式选择,随机产生特征子集,直接将要采用的学习器的性能作为特征子集的评价标准,选择表现更好的特征子集;(3)嵌入法:使用某些机器学习的算法和模型进行训练,得到各个特征的权值系数,根据系数从大到小选择特...
【技术保护点】
1.一种基于显式和隐含特征学习的智能入侵检测方法,其特征在于,包括训练入侵检测神经网络的步骤:/n1)输入网络行为数据包含显式和隐含特征的嵌入式表征e;/n2)将嵌入式表征e输入初始的入侵检测神经网络得到数据表征r;/n3)随机生成随机三元组T
【技术特征摘要】
1.一种基于显式和隐含特征学习的智能入侵检测方法,其特征在于,包括训练入侵检测神经网络的步骤:
1)输入网络行为数据包含显式和隐含特征的嵌入式表征e;
2)将嵌入式表征e输入初始的入侵检测神经网络得到数据表征r;
3)随机生成随机三元组Tr;
4)根据损失函数和随机三元组Tr小批量梯度下降更新入侵检测神经网络的参数集合Θ;
5)判断迭代次数i小于预设阈值epoch是否成立,若成立则结束入侵检测神经网络的训练;否则,跳转执行下一步;
6)利用更新后的侵检测分类器的参数集合Θ更新数据表征r;
7)从随机三元组Tr中生成严格三元组Th;
8)根据损失函数和严格三元组Th小批量梯度下降更新入侵检测神经网络的参数集合Θ;
9)将迭代次数i加1,跳转执行步骤5)。
2.根据权利要求1所述的基于显式和隐含特征学习的智能入侵检测方法,其特征在于,步骤1)中的网络行为数据的嵌入式表征e为由网络行为数据中离散数据的连续型表征ec、网络行为数据中连续数据的连续特征en拼接得到。
3.根据权利要求1所述的基于显式和隐含特征学习的智能入侵检测方法,其特征在于,步骤2)中的入侵检测神经网络为编码器多层神经网络,所述编码器多层神经网络由四层全连接的神经网络构成,初始的入侵检测神经网络是指初始的参数集合Θ设置为:
Θ={W1,W2,W3,W4,b1,b2,b3,b4}
上式中,W1~W4分别为四层神经网络的权重,b1~b4分别为四层神经网络的偏置;且所述入侵检测神经网络通过第二层神经网络得到数据表征r,其函数表达式为:
r=relu(W2relu(W1e+b1)+b2)
上式中,relu为线性整流激活函数,e表示网络行为数据的嵌入式表征。
4.根据权利要求1所述的基于显式和隐含特征学习的智能入侵检测方法,其特征在于,步骤3)中随机生成随机三元组Tr时,随机生成单个随机三元组Tr的步骤包括:从数据表征r的正常样本类数据中选择一个原点样本ra,同样在正常样本类数据中随机选取一个正样本rp,在异常样本类数据中随机选取一个负样本rn,得到由原点样本ra、正样本rp、负样本rn三者构成的随机三元组Tr={<ra,rp,rn>}。
5.根据权利要求3所述的基于显式和隐含特征学习的智能入侵检测方法,其特征在于,步骤4)包括:
4.1)在所有的随机三元组Tr中采样一组小批量三元组B;
4.2)针对小批量三元组B中的每一个随机三元组Tr,根据下式计算损失函数L,根据下式将每一个随机三元组Tr的损失函数L相加,得到小批量三元组B的总损失函数LB:
上式中,Lcls为分类损失函数,且分类损失函数Lcl...
【专利技术属性】
技术研发人员:蹇松雷,王伟,谭郁松,黄辰林,丁滟,任怡,李宝,董攀,王晓川,张建锋,谭霜,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。