【技术实现步骤摘要】
Network and Information Security期刊上的“Deep LearningApproach onNetwork IntrusionDetection System usingNSL
‑
KDD Dataset”一文中,Gurung S等提出一种带逻辑回归的稀疏自动编码器,通过堆叠自动编码器创建深度网络,在NSL
‑
KDD数据集二分类准确率达到84.6%。这些模型相比于机器学习方法,在识别准确率上均有所提升,但仍具备提升空间。大部分研究对于数据都未进行合理的预处理,尤其对于不平衡数据集,通常直接采用归一化处理,这直接弱化了神经网络对小样本数据的特征学习能力,进而导致小样本的识别率低下,特征选择出现偏差,模型泛化性不强。
技术实现思路
[0005]本专利技术的目的是提供一种入侵流量检测识别方法及系统,能够提升攻击流量在数据集中的所占比例,防止小样本特征被忽略,并完成不同情况下的入侵流量检测、分类任务。
[0006]为实现上述目的,本专利技术提供了如下方案:
[0007]一种入侵流量检测识别方法,包括:
[0008]获取入侵流量数据集;所述入侵流量数据集为NSL
‑
KDD入侵流量数据集;所述NSL
‑
KDD入侵流量数据集包括:正常流量及4种攻击流量;所述攻击流量包括:DoS、Probing、R2L以及U2R;
[0009]将所述入侵流量数据集分为训练数据集和测试数据集;
[0010]利用ADASYN采样器对所述训练...
【技术保护点】
【技术特征摘要】
1.一种入侵流量检测识别方法,其特征在于,包括:获取入侵流量数据集;所述入侵流量数据集为NSL
‑
KDD入侵流量数据集;所述NSL
‑
KDD入侵流量数据集包括:正常流量及4种攻击流量;所述攻击流量包括:DoS、Probing、R2L以及U2R;将所述入侵流量数据集分为训练数据集和测试数据集;利用ADASYN采样器对所述训练数据集进行升采样;利用升采样后的训练数据集训练入侵流量检测识别网络;所述入侵流量检测识别网络以入侵流量数据为输入,以入侵流量检测识别结果为输出;将所述测试数据集输入训练好的入侵流量检测识别网络,利用改进残差网络分类器在多分类和二分类的情况下对测试集的入侵流量类型进行检测识别,确定检测识别结果;所述改进残差网络分类器Inception
‑
ResNet为基础构建,利用Inception模块进行多尺寸卷积,并在模块中添加跳跃连接线构成残差网络;利用Stem模块加深网络结构、扩充数据维数;利用Reduction模块进行特征压缩;利用全局平均池化层对数据进行池化操作;利用Softmax函数进行分类器输出。2.根据权利要求1所述的一种入侵流量检测识别方法,其特征在于,所述获取入侵流量数据集,具体包括:将所述入侵流量数据集分为数据部分和非数据部分;所述非数据部分包括:protocol_type、service以及flag;对所述非数据部分按类型数进行One
‑
hot编码转换;对所述数据部分进行归一化处理;将One
‑
hot编码转换后数据和归一化处理后的数据进行合并,得到合并后的数据集;对所述合并的数据集预处理;所述预处理包括无用特征剔除以及尺寸转换。3.根据权利要求2所述的一种入侵流量检测识别方法,其特征在于,所述利用ADASYN采样器对所述训练数据集进行升采样,具体包括:对升采样后的训练数据集中One
‑
hot编码转换后数据进行取整处理。4.根据权利要求1所述的一种入侵流量检测识别方法,其特征在于,所述改进残差网络分类器采用categorical
‑
crossentropy作为损失函数。5.根据权利要求1所述的一种入侵流量检测识别方法,其特征在于,所述将所述测试数据集输入训练好的入侵流量检测识别网络,利用改进残差网络分类器在多分类和二分类的情况下对测试集的入侵流量类型进行检测识别,确定检测识别结果,具体包括:利用公式确定性能值;所述性能值包括:准确率、精确率、召回率以及调和平均值;其中,Accuracy表述准确率,Precision表示精确率,Recall表示召回率,F1
‑
score表示
调和平均值,TP表示被正确分类的正例数量,FN表示被错分为负例的正例数量,TN表示被正确分类的负例数量,FP表示被错分为正例的负例数量。6.一种入侵流量检测识别系统,其特征在于,包括:入侵流量数据集获取模块,用于获取入...
【专利技术属性】
技术研发人员:钟兆根,唐玺博,张立民,谢存祥,金堃,
申请(专利权)人:中国人民解放军海军航空大学航空基础学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。