入侵检测模型的训练方法、识别方法和装置制造方法及图纸

本发明专利技术涉及一种入侵检测模型的训练方法、识别方法和装置。具体包括：获取样本数据集,建立分类模型,通过基于MAML的元训练方法对分类模型进行训练。所述分类模型为多通道CNN模型。所述多通道CNN模型包括：输入层以及多个通道，每个通道定义一个块Block，每个块Block包括二维卷积层、激活函数选择LeakyReLU、2维最大池化层以及Dropout层，还包括拼接层，拼接层用于将从多个不同通道中提取的局部特征连接起来，形成一个新的特征向量，在拼接层后依次设置有全连接层和输出层。本申请基于深度神经网络和元学习训练思想的检测方法，可以较好地解决模型因攻击样本数据不足而无法训练的问题。型因攻击样本数据不足而无法训练的问题。型因攻击样本数据不足而无法训练的问题。

【技术实现步骤摘要】
入侵检测模型的训练方法、识别方法和装置


[0001]本专利技术涉及入侵检测领域，特别是涉及入侵检测模型的训练方法、识别方法和装置。

技术介绍

[0002]对于某些特定类型的攻击，只要提供海量数据和足够的计算资源，大多数深度学习方法都可以准确地识别先前训练过的网络攻击类型。然而，当前的互联网环境在不断变化，新的攻击方式层出不穷。例如，零日攻击（Zero
‑
day），它是指被发现后立即被恶意利用的攻击，该攻击使用没有补丁的安全漏洞对系统或软件应用程序进行极具破坏性的网络攻击。深度模型在面临新攻击的检测时需要重新训练，样本需求大且非常耗时。然而，安全机构通常难以在短时间内获得足够的攻击实例提供给模型训练。这就导致模型由于样本数量不足而无法训练的问题。

技术实现思路

[0003]基于此，有必要针对现有的问题，提供一种入侵检测模型的训练方法。该方法可以较好地解决模型因攻击样本数据不足而无法训练的问题。该方法利用有限的样本训练出具有良好泛化能力的分类器，实现对新攻击样本的快速学习和检测。
[0004]一种入侵检测模型的训练方法，包括：获取样本数据集,建立分类模型,通过基于MAML(Model
‑
Agnostic Meta
‑
Learning) 的元训练方法对分类模型进行训练。
[0005]本申请基于深度神经网络和元学习训练思想的检测方法，可以较好地解决模型因攻击样本数据不足而无法训练的问题。
[0006]在其中一个实施例中，所述分类模型为多通道CNN模型。
[0007]在其中一个实施例中，所述多通道CNN模型包括：输入层以及多个通道，每个通道定义一个块Block，每个块Block包括二维卷积层、激活函数选择LeakyReLU、2维最大池化层以及Dropout层，还包括拼接层，拼接层用于将从多个不同通道中提取的局部特征连接起来，形成一个新的特征向量，在拼接层后依次设置有全连接层和输出层。
[0008]在其中一个实施例中，所述输出层中标签y 的概率分布通过Softmax激活函数来计算。
[0009]在其中一个实施例中，所述样本数据集包括元训练集Dmeta
‑
train和元测试集Dmeta
‑
test，所述元训练集Dmeta
‑
train包括样本集和查询集，所述元测试集Dmeta
‑
test包括支持集和测试集,
对分类模型训练完毕后，进入元测试阶段，所述元测试阶段包括微调阶段和验证阶段，所述微调阶段包括：当模型需要适应新的特定任务时，使用预先训练好的模型参数和支持集上的样本数据对模型参数进行微调，具体实现如下式所示，，其中，Pi 表示第i 个任务的支持集, α是内部更新步骤中不同任务之间共享的学习率，表示初始参数为的模型在任务Ti 上的训练损失值，所述验证阶段包括：微调阶段之后，得到一个由参数化的新模型，在测试集上对该新模型进行评估，并取平均值以避免结果的偶然性。
[0010]在其中一个实施例中，所述通过基于MAML 的元训练方法对分类模型进行训练，具体包括：基于双梯度更新进行训练，其中包含内部更新和外部更新,在内部更新阶段，首先使用样本集数据Si计算在每个任务Ti 上的训练损失值，沿梯度下降方向优化更新每个任务Ti 的局部参数θ，公式如下：，其中，α是内部更新步骤中不同任务之间共享的学习率，表示初始参数为θ的模型在任务Ti 上的训练损失值，并通过该损失值对任务Ti 对应内部模型的初始参数θ进行梯度更新，从而得到更新参数为的具有偏好的弱监督模型，在外部更新阶段，采用加权梯度更新机制来最小化每个特定任务对初始模型的偏差，具体的，为每个任务Ti 设置一个梯度更新的权重wi，权重值的更新操作如下式所示：，其中，表示一次迭代操作之后的总损失值，表示加权学习率，t 表示迭代次数，此外，这些权重需要满足权值归一化的条件，即，因此，需要进一步对获取到的权重进行归一化操作，具体如下式所示：，然后，通过查询集训练得到局部更新后的参数，并使用每个任务Ti 对应的查询集得到损失值，计算每批次的总损失，并更新全局网络的参数θ，具体实现如下式所示：，β表示外部更新的学习速率，
经过多次迭代，损失函数的值不断减小，网络模型逐渐收敛，最终可以得到一个训练好的模型。
[0011]一种入侵检测识别方法，包括：获取待识别入侵数据；调用采用所述入侵检测模型的训练方法得到的入侵检测模型，对所述待识别入侵数据进行处理，以获得处理结果。
[0012]一种入侵检测识别装置，包括：数据获取模块和数据处理模块，所述数据获取模块用于获取待识别入侵数据，所述数据处理模块用于调用采用所述入侵检测模型的训练方法得到的入侵检测模型，对所述待识别入侵数据进行处理，以获得处理结果。
[0013]一种计算机存储介质，所述计算机存储介质中存储有至少一个可执行指令，所述可执行指令使处理器执行所述的方法对应的操作。
[0014]一种计算机装置，包括：处理器、存储器、通信接口和通信总线，所述处理器、存储器和通信接口通过所述通信总线完成相互间的通信，所述存储器用于存放至少一个可执行指令，所述可执行指令使所述处理器执行所述的方法对应的操作。
附图说明
[0015]图1为本申请的实施例的入侵检测模型的训练方法的流程图。
[0016]图2为本申请的实施例的多通道CNN模型的示意图。
[0017]图3为本申请的实施例的基于MAML的网络异常检测的元训练阶段流程图。
[0018]图4为本申请的实施例的模型在训练期间的Loss 曲线图。
[0019]图5为不同模型的运行时间的对比图。
具体实施方式
[0020]为使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术的具体实施方式做详细的说明。在下面的描述中阐述了很多具体细节以便于充分理解本专利技术。但是本专利技术能够以很多不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本专利技术内涵的情况下做类似改进，因此本专利技术不受下面公开的具体实施例的限制。
[0021]需要说明的是，当元件被称为“固定于”另一个元件，它可以直接在另一个元件上或者也可以存在居中的元件。当一个元件被认为是“连接”另一个元件，它可以是直接连接到另一个元件或者可能同时存在居中元件。
[0022]除非另有定义，本文所使用的所有的技术和科学术语与属于本专利技术的
的技术人员通常理解的含义相同。本文中在本专利技术的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本专利技术。
[0023]基于此，有必要针对现有的问题，提供一种入侵检测模型的训练方法。该方法可以较好地解决模型因攻击样本数据不足而无法训练的问题。该方法利用有限的样本训练出具有良好泛化能力的分类器，实现对新攻击样本的快速学习和检测。
[0024]如图1所示，本申请的实施例提供了一种入侵检测模型的训练方法，该方法包括：获取样本数据集本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种入侵检测模型的训练方法，其特征在于，包括：获取样本数据集,建立分类模型,通过基于MAML 的元训练方法对分类模型进行训练。2.根据权利要求1所述的入侵检测模型的训练方法，其特征在于，所述分类模型为多通道CNN模型。3.根据权利要求2所述的入侵检测模型的训练方法，其特征在于，所述多通道CNN模型包括：输入层以及多个通道，每个通道定义一个块Block，每个块Block包括二维卷积层、激活函数选择LeakyReLU、2维最大池化层以及Dropout层，还包括拼接层，拼接层用于将从多个不同通道中提取的局部特征连接起来，形成一个新的特征向量，在拼接层后依次设置有全连接层和输出层。4.根据权利要求3所述的入侵检测模型的训练方法，其特征在于，所述输出层中标签y 的概率分布通过Softmax激活函数来计算。5.根据权利要求1所述的入侵检测模型的训练方法，其特征在于，所述样本数据集包括元训练集Dmeta
‑
train和元测试集Dmeta
‑
test，所述元训练集Dmeta
‑
train包括样本集和查询集，所述元测试集Dmeta
‑
test包括支持集和测试集,对分类模型训练完毕后，进入元测试阶段，所述元测试阶段包括微调阶段和验证阶段，所述微调阶段包括：当模型需要适应新的特定任务时，使用预先训练好的模型参数和支持集上的样本数据对模型参数进行微调，具体实现如下式所示，，其中，Pi 表示第i 个任务的支持集, α是内部更新步骤中不同任务之间共享的学习率，表示初始参数为的模型在任务Ti 上的训练损失值，所述验证阶段包括：微调阶段之后，得到一个由参数化的新模型，在测试集上对该新模型进行评估，并取平均值以避免结果的偶然性。6.根据权利要求1所述的入侵检测模型的训练方法，其特征在于，所述通过基于MAML 的元训练方法对分类模型进行训练，具体包括：基于双梯度更新进行训练，其中包含内部更新和外部更新,在内部更新阶段，首先使用样本集数据Si计算在每个任务Ti 上的训练损失值，沿梯度下降方...

【专利技术属性】
技术研发人员：左严，杨萍萍，王正荣，王祥伟，汤斌，包寅杰，贾俊铖，胡梦娜，
申请(专利权)人：江苏新希望科技有限公司，
类型：发明
国别省市：