一种基于双通道时空特征融合的网络入侵检测方法技术

本发明专利技术公开了一种基于双通道时空特征融合的网络入侵检测方法，包括：从监控网络中收集网络流量数据，生成待检测样本集；对生成的待检测样本集中的字符型特征进行one

【技术实现步骤摘要】
一种基于双通道时空特征融合的网络入侵检测方法


[0001]本专利技术属于网络安全领域，涉及网络入侵检测技术，具体涉及一种基于双通道时空特征融合的网络入侵检测方法。

技术介绍

[0002]随着互联网和传感器技术的快速发展，人机交互、设备与设备之间的通信(Device to Device,D2D)交互使得生活更加便利。然而网络之间的结构越来越呈现出动态性和异构性，从单一的集中式结构到分布式和集中式混合结构，此外，由于大多数传感器设备的低廉和网络缺乏安全有效的防御机制，网络中充斥着各种类型的网络攻击，网络攻击者的攻击技术在不断的发展。例如攻击者可以通过修改军事监视数据来入侵其它国家的水域；也可以通过对监测区域发起分布式拒绝服务攻击(Distributed Denial of Service,DDoS)，使节点能量耗尽而消失。攻击者还可以非法访问未授权的传感器网络并篡改数据，破坏了网络的可用性、完整性和可靠性。如何有效的检测网络中的攻击是网络安全领域亟需解决的重要问题。
[0003]传统的安全机制防火墙、用户身份认证和加密技术等在当今面对日益多样化的攻击类型已经难以识别出经过伪装的攻击，例如，当密钥暴露并被攻击者获取时，加密技术完全失效。
[0004]入侵检测作为一种主动式防御机制，不仅能够抵御入侵者的网络攻击，也可以增强系统的安全性。入侵检测系统(Intrusion Detection System,IDS)从部署位置的角度来看，划分为基于主机的入侵检测(Host
‑
based Intrusion Detection System,HIDS)和基于网络的入侵检测(Network Intrusion Detection System,NIDS)。HIDS部署在单个主机上，监视主机上所有活动并对可疑行为进行检测，其优点是为监视主机提供较高的安全性能，但效率低。相比之下，NIDS则不存在这样的问题，它部署在网络的关键位置，通过不断监视网络中的实时流量，从而达到对整个网络和设备的保护。
[0005]近年来，基于机器学习(Machine Learning,ML)的方法在网络入侵检测领域受到了极大的关注，并在物联网(Internet of Things,IoT)、无线传感器网络(Wireless Sensor Network,WSN)和车联网(Internet of Vehicles,IoV)中取得了显著的成果。此外，基于深度学习(Deep Learning,DL)的方法被用来解决ML方法处理高维大数据困难的问题，并提高了检测率。Kim
‑
Hung Le等人(Le K H,Nguyen M H,Tran T D,et al.IMIDS:An Intelligent Intrusion Detection System against Cyber Threats in IoT[J].Electronics,2022,11(4):524.)采用卷积神经网络(Convolutional Neural Network,CNN)结构来对网络中的攻击进行检测，缓解了少数攻击样本缺乏条件下难检测的问题，但是提出的CNN模型参数数量庞大，占据资源大，实时性难以保障。Lei等人(Lei S,Xia C,Li Z,et al.HNN:a novel model to study the intrusion detection based on multi
‑
feature correlation and temporal
‑
spatial analysis[J].IEEE Transactions on Network Science and Engineering,2021,8(4):3257
‑
3274.)通过特征选择和多特征相关
性分析来减少冗余，采用CNN、长短期记忆网络(Long Short
‑
Term Memory,LSTM)和深度神经网络(Deep Neural Network,DNN)作为入侵检测模型，取得了较好的检测结果，但是同样存在模型复杂度高的情况，实时性得不到保障。
[0006]目前，基于深度学习的网络入侵检测，大多数研究要么采用单一CNN来提取网络流量数据的空间特征来检测网络攻击，要么采用单一LSTM、RNN来提取网络流量的时序特征来检测网络攻击，或者简单的将CNN和LSTM级联起来检测网络攻击，并不能够有效的提取网络流量的空间特征和时序特征，从而导致网络入侵的检测率不高。其次，提出来的模型并未充分考虑IoT和WSN等场景存在资源受限的情况，因此，亟需一种能够有效提取网络流量数据的空间和时序特征的轻量级网络入侵检测模型。

技术实现思路

[0007]专利技术目的：为了克服现有技术中存在的不足，提供一种基于双通道时空特征融合的网络入侵检测方法，能够有效提取网络流量数据的空间特征和时序特征，并降低入侵检测模型的复杂性，提高了网络入侵的检测准确率。
[0008]技术方案：为实现上述目的，本专利技术提供一种基于双通道时空特征融合的网络入侵检测方法，包括如下步骤：
[0009]S1：从监控网络中收集网络流量数据，生成待检测样本集；
[0010]S2：对生成的待检测样本集中的字符型特征进行one
‑
hot编码，并对待检测样本的所有特征进行Min
‑
Max归一化，得到预处理完的待检测样本集；
[0011]S3：将预处理完的待检测样本输入到训练好的双通道时空特征融合网络进行检测，得到待检测样本的检测结果；
[0012]S4：若检测的结果为攻击流量数据，则对监控网络中的数据来源进行隔离，并通知管理员，若检测的结果为正常流量数据，则允许该流量正常通过。
[0013]进一步地，所述步骤S1中收集的网络流量数据原始格式为Pcap格式，首先对每一条Pcap格式的网络流量进行解析，得到对应的一个特征向量。
[0014]进一步地，所述步骤S1中每个特征向量包括流特征、基本特征、内容特征、时间特征和合成特征共五类特征，这五类特征可以划分为字符型特征和数值型特征。
[0015]进一步地，所述步骤S2中的one
‑
hot编码用于将字符型特征转化为网络入侵检测模型可以处理的二进制数值特征，所述步骤S2的具体过程为：
[0016]设定一个字符特征有α1,α2,α3,α4四种字符取值，则可以分别编码为(1,0,0,0)、(0,1,0,0)、(0,0,1,0)、(0,0,0,1)，Min
‑
Max归一化方法将特征向量中的各个特征缩放到0
‑
1之间，减小各个特征之间由于取值的数量级不同造成的影响，如公式(1)所示：
[0017][0018]其中x和x'为归一化前后的特征，x
max
和x
min
为特征的最大值和最小值。
[0019]进一步地，所述步骤本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于双通道时空特征融合的网络入侵检测方法，其特征在于，包括如下步骤：S1：从监控网络中收集网络流量数据，生成待检测样本集；S2：对生成的待检测样本集中的字符型特征进行one
‑
hot编码，并对待检测样本的所有特征进行Min
‑
Max归一化，得到预处理完的待检测样本集；S3：将预处理完的待检测样本输入到训练好的双通道时空特征融合网络进行检测，得到待检测样本的检测结果；S4：若检测的结果为攻击流量数据，则对监控网络中的数据来源进行隔离，并通知管理员，若检测的结果为正常流量数据，则允许该流量正常通过。2.根据权利要求1所述的一种基于双通道时空特征融合的网络入侵检测方法，其特征在于，所述步骤S1中收集的网络流量数据原始格式为Pcap格式，首先对每一条Pcap格式的网络流量进行解析，得到对应的一个特征向量。3.根据权利要求2所述的一种基于双通道时空特征融合的网络入侵检测方法，其特征在于，所述步骤S1中每个特征向量包括流特征、基本特征、内容特征、时间特征和合成特征共五类特征，这五类特征可以划分为字符型特征和数值型特征。4.根据权利要求1所述的一种基于双通道时空特征融合的网络入侵检测方法，其特征在于，所述步骤S2中的one
‑
hot编码用于将字符型特征转化为网络入侵检测模型可以处理的二进制数值特征，所述步骤S2的具体过程为：设定一个字符特征有α1,α2,α3,α4四种字符取值，则可以分别编码为(1,0,0,0)、(0,1,0,0)、(0,0,1,0)、(0,0,0,1)，Min
‑
Max归一化方法将特征向量中的各个特征缩放到0
‑
1之间，如公式(1)所示：其中x和x'为归一化前后的特征，x
max
和x
min
为特征的最大值和最小值。5.根据权利要求1所述的一种基于双通道时空特征融合的网络入侵检测方法，其特征在于，所述步骤S3中的双通道时空特征融合网络包括一维向量卷积的空间特征提取模块、状态注意力单元的BiGRU的时序特征提取模块和分类器模块，所述空间特征提取模块用于提取待检测样本的空间特征，所述时序特征提取模块用于提取待检测样本的时序特征，所述分类器模块用于根据提取的空间特征和时序特征输出检测分类结果。6.根据权利要求5所述的一种基于双通道时空特征融合的网络入侵检测方法，其特征在于，所述空间特征提取模块包括3层一维向量卷积层，卷积核数量分别为16,32,32，卷积核大小为3,3,3，步长为2,2,2，激活函数均为修正线性函数...

【专利技术属性】
技术研发人员：苏新，张桂福，成振，
申请(专利权)人：河海大学，
类型：发明
国别省市：