一种基于深度学习的网络入侵检测方法技术

本发明专利技术提供一种基于深度学习的网络入侵检测方法，属于数据处理技术领域，具体包括：对网络流量数据进行获取，并基于网络流量数据进行训练样本的构建；对训练样本进行样本不平衡处理，得到处理完成后的平衡训练样本；基于特征提取算法对平衡训练样本进行特征提取得到数据特征，其中数据特征包括平衡训练样本的空间特征和时间特征，并基于数据特征，采用基于深度学习算法的网络入侵分类模型进行训练和建模，得到训练完成后的网络入侵分类模型，并基于网络入侵分类模型进行网络入侵的实时检测，从而进一步提升了网络入侵检测的细粒度学习以及效率的进一步提升。习以及效率的进一步提升。习以及效率的进一步提升。

【技术实现步骤摘要】
一种基于深度学习的网络入侵检测方法


[0001]本专利技术属于网络安全
，具体涉及一种基于深度学习的网络入侵检测方法。

技术介绍

[0002]随着网络攻击手段的不断提升，基于浅层模型的网络人侵检测系统很难对复杂情况下的网络流量进行有效识别。因此，网络入侵检测模型结构的优化已经成为当前安全研究领域的研究热点。传统的入侵检测方法主要包括统计分析方法、阈值分析方法、特征分析方法等。这些异常检测方法虽然能够对恶意流量进行识别，但只是对已经发现的恶意流量行为的总结，并不能适应当前互联网的海量数据和多变的网络攻击方式。深度学习能够直接从原始数据中提取特征，已逐渐被用于网络流量分类任务中。
[0003]为了实现对网络入侵的实时检测，在授权专利技术专利授权公告号CN111970259B《一种基于深度学习的网络入侵检测方法和报警系统》中通过对入侵检测数据集进行归一化处理、可视化图像转换处理和滤波处理，以提高所述入侵检测数据集的纹理特征的清晰度，并且还构建和优化训练关于多层卷积和深度置信网络相结合的模型，并基于该模型对所述入侵检测数据集进行测试处理，以获得相应的网络入侵检测结果，但是却存在一下技术问题：
[0004]1、未考虑对训练样本进行样本不平衡处理，由于在网络入侵检测中，由于样本各类别间数量差异较大，容易使模型对某一或某些样本的判别具有倾向性，从而导致检测结果不够准确。
[0005]2、在进行入侵检测数据特征构建时，未考虑流量数据的空间特征和时间特征，从而无法实现对入侵数据的准确检测，不仅无法达到细粒度学习的目的，而且有可能会导致对网络入侵数据的错误识别。
[0006]基于上述技术问题，需要设计及一种基于深度学习的网络入侵检测方法。

技术实现思路

[0007]本专利技术的目的是提供一种基于深度学习的网络入侵检测方法。
[0008]为了解决上述技术问题，本专利技术第一方面提供了一种基于深度学习的网络入侵检测方法，包括：
[0009]S11对网络流量数据进行获取，并基于所述网络流量数据进行训练样本的构建；
[0010]S12对所述训练样本进行样本不平衡处理，得到处理完成后的平衡训练样本；
[0011]S13基于特征提取算法对所述平衡训练样本进行特征提取得到数据特征，其中所述数据特征包括所述平衡训练样本的空间特征和时间特征，并基于所述数据特征，采用基于深度学习算法的网络入侵分类模型进行训练和建模，得到训练完成后的网络入侵分类模型，并基于所述网络入侵分类模型进行网络入侵的实时检测。
[0012]通过对训练样本数据进行样本不平衡处理，从而防止样本各类别间数量差异较大，容易使模型对某一或某些样本的判别具有倾向性的技术问题的出现，使得最终的预测
结果变得更加准确，也使得样本数据能够更加准确的反应实际的网络入侵分类的实际状况。
[0013]通过采用特征提取算法实现对平衡训练样本的空间特征和时间特征的提取，从而实现了从多角度对原始的平衡训练样本的特征的提取，避免了采用单一特征导致的预测不够全面、准确度欠佳、无法实现细化学习粒度的学习和预测的技术问题的出现，能够实现对平衡训练样本的细化学习力度的学习。
[0014]进一步的技术方案在于，所述网络流量数据至少包括产生所述网络流量数据的设备标识类型、数据包类型、设备操作类型，并按照所述网络流量数据的种类对其进行标注操作，得到所述训练样本。
[0015]进一步的技术方案在于，对所述述训练样本进行样本不平衡处理的具体步骤为：
[0016]S21计算所述训练样本的不平衡率，基于所述不平衡率计算合成的新样本总数；
[0017]S22提取所述训练样本中的少数类样本，并采用欧氏距离计算得到少数类样本x
i
的K个近邻样本,并计算每一个少数类样本的比例r；
[0018]S23对所述比例r进行归一化处理得到归一化后的数据，基于所述归一化的数据以所述及新样本总数得到所述每一个少数类样本合成的样本数量；
[0019]S24基于每一个少数类样本以及每一个少数类样本的近邻样本，生成不平衡类别的新样本，直到达到所述每一个少数类样本合成的样本数量。
[0020]进一步的技术方案在于，所述特征提取算法采用深度神经网络结构IDNet，通过堆叠CNN+RNN模块，采用细粒度学习的方式，对所述平衡训练样本的空间特征和时间特征进行提取。
[0021]进一步的技术方案在于，所述堆叠CNN+RNN模块首先利用CNN模块从平衡训练样本中提取空间特征，CNN模块输出将保留时间特征并被RNN模块捕获，通过CNN模块的滤波器数量和RNN模块的递归单元数量的设置实现细粒度学习的方式。
[0022]通过CNN模块的滤波器数量和RNN模块的递归单元数量来体现，在每一层的子模块保证CNN模块滤波器数量和RNN模块递归单元数量相等，使得CNN模块和RNN模块拥有相同的学习力度。随着模型深度加深增大，滤波器/递归单元数量逐渐增加，达到从粗粒度学习到细粒度学习过渡的目的。
[0023]进一步的技术方案在于，所述网络入侵分类模型采用基于果蝇优化算法的深度森林算法构建，所述网络入侵分类模型构建的具体步骤为：
[0024]S31基于果蝇优化算法对所述深度深林算法的森林树数量和叶节点数量进行寻优，并基于所述深林树数量以及叶节点数量构建寻优完成的深度森林算法；
[0025]S32将所述数据特征拉伸成1维特征向量，并将所述1维特征向量输入到第一层森林中，所述第一层森林由2个随机森林和2个完全随机森林组成，得到类概率；
[0026]S33基于所述类概率以及所述数据特征作为下一层森林的输入，直到最后一层森林；
[0027]S34对最后一层所有的单个森林输出的类概率进行取平均，然后取最大值类概率所对应的类别作为深度森林的输出分类结果。
[0028]通过采用果蝇算法实现对深度森林算法的初始值寻优，从而进一步利用了果蝇算法运行机制简单，优化参数效率高，能够实现对求解空间的群体迭代搜索，将该算法引入随
机森林参数寻优中，能够避免陷入局部最优的情况，同时具有较高的寻优效率和精度。
[0029]通过采用基于深度森林算法实现对结果的辨识，从而使得结果的辨识的准确性大幅度得到提升，同时为了避免深度深林算法的收敛速度较慢的技术问题的出现，采用了果蝇寻优算法，进一步保证了结果辨识的效率和精度。
[0030]进一步的技术方案在于，依据寻优步长的权重α来不断地更新所述果蝇优化算法中的果蝇个体的寻优路径，果蝇个体寻优路径更新的公式为：
[0031][0032]其中，RV为随机值；(X
axis
,Y
axis
)为果蝇群体初始化坐标的X轴与Y轴的值；(X
i
,Y
i
)为果蝇群体更新后坐标的X轴与Y轴的值。
[0033]通过对果蝇个体寻优路径的随机优化，从而避免了原有的固定的寻优路径更新导致的容易陷入局部最优的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于深度学习的网络入侵检测方法，其特征在于，具体包括：S11对网络流量数据进行获取，并基于所述网络流量数据进行训练样本的构建；S12对所述训练样本进行样本不平衡处理，得到处理完成后的平衡训练样本；S13基于特征提取算法对所述平衡训练样本进行特征提取得到数据特征，其中所述数据特征包括所述平衡训练样本的空间特征和时间特征，并基于所述数据特征，采用基于深度学习算法的网络入侵分类模型进行训练和建模，得到训练完成后的网络入侵分类模型，并基于所述网络入侵分类模型进行网络入侵的实时检测。2.如权利要求1所述的网络入侵检测方法，其特征在于，所述网络流量数据至少包括产生所述网络流量数据的设备标识类型、数据包类型、设备操作类型，并按照所述网络流量数据的种类对其进行标注操作，得到所述训练样本。3.如权利要求1所述的网络入侵检测方法，其特征在于，对所述述训练样本进行样本不平衡处理的具体步骤为：S21计算所述训练样本的不平衡率，基于所述不平衡率计算合成的新样本总数；S22提取所述训练样本中的少数类样本，并采用欧氏距离计算得到少数类样本x
i
的K个近邻样本,并计算每一个少数类样本的比例r；S23对所述比例r进行归一化处理得到归一化后的数据，基于所述归一化的数据以所述及新样本总数得到所述每一个少数类样本合成的样本数量；S24基于每一个少数类样本以及每一个少数类样本的近邻样本，生成不平衡类别的新样本，直到达到所述每一个少数类样本合成的样本数量。4.如权利要求1所述的网络入侵检测方法，其特征在于，所述特征提取算法采用深度神经网络结构IDNet，通过堆叠CNN+RNN模块，采用细粒度学习的方式，对所述平衡训练样本的空间特征和时间特征进行提取。5.如权利要求4所述的网络入侵检测方法，其特征在于，所述堆叠CNN+RNN模块首先利用CNN模块从平衡训练样本中提取空间特征，CNN模块输出将保留时间特征并被RNN模块捕获，通过CNN模块的滤波器数量和RNN模...

【专利技术属性】
技术研发人员：余华琼，魏力，伊尚丰，杨为意，
申请(专利权)人：八维通科技有限公司，
类型：发明
国别省市：