【技术实现步骤摘要】
一种基于可解释人工智能的实时入侵检测方法及系统
[0001]本专利技术属于网络流量管理领域,涉及入侵流量检测技术,具体涉及一种基于可解释人工智能的实时入侵检测方法及系统。
技术介绍
[0002]入侵流量检测和识别是网络流量管理技术的重要分支之一。该技术通过在网络通信的中间结点设立检测装置,审查经过的网络流量,以识别和检测具有恶意行为的攻击流量,也称为入侵流量。与其他流量分析器不同的是,入侵检测系统更注重入侵检测的实时性,因此离线流量分析在大多数场景下是不适用的。由于不能影响到正常流量的业务流程,入侵流量检测系统需要满足实时流量检测,因此不能直接使用复杂的特征工程和深度学习模型。
[0003]目前,不少开源的入侵检测系统能够实现实时流量检测。其中,基于专家规则的检测系统是目前的主流方法。这类方法通过专家领域知识,从大量的入侵流量样本中总结出适用于模式匹配的专家规则,在流量引导框架上实现数据包级别的规则匹配。对于经过的数据包,该类检测系统会从规则库中导出规则,检查是否与该数据包的明文字段匹配,以判定该流量包是否为入侵流量...
【技术保护点】
【技术特征摘要】
1.一种基于可解释人工智能的实时入侵检测方法,其步骤包括:1)收集入侵流量与非入侵流量作为数据集;将数据集中每一网络流的前置字节作为对应网络流的特征表示;2)将不可导的决策树模型连接到流序列深度模型之后;将流序列深度模型中输出层的参数与网络流的特征表示对位相乘后,作为所述决策树模型的输入,训练所述决策树模型;训练时使用所述决策树模型的平均决策路径深度函数作为损失函数;3)使用多层感知机替代所述流序列深度模型之后所连接的决策树模型,使用步骤1)处理后的数据集进行训练;训练时所述多层感知机使用所述决策树模型的平均决策路径深度函数作为损失函数;4)循环迭代进行步骤2)~3),训练结束后得到可解释的决策树模型;5)遍历所述可解释的决策树模型中的入侵流量判定路径,提取每一条路径上的决策条件,形成等价的入侵流量检测规则集合;6)入侵流量实时在线检测引擎根据所述入侵流量检测规则集合对网络流量进行实时检测。2.根据权利要求1所述的方法,其特征在于,训练所采用的损失函数为其中,为步骤3)中所述多层感知机使用所述决策树模型的平均决策路径深度函数时计算所得损失值,Ψ(
·
)为步骤2)中使用所述决策树模型的平均决策路径深度函数时计算所得损失值,θ是加入的随机噪声;通过求与Ψ(
·
)的最小二范式,获得所述流序列深度模型的最优参数ω。3.根据权利要求2所述的方法,其特征在于,所述决策树模型的平均决策路径深度函数的计算方法为:使用决策树初始化函数InitTree(xn,f(x
n
,ω))初始化决策树,x
n
是网络流的特征表示,w是流序列深度模型输出层的参数;通过函数f(x
n
,ω)将参数ω与网络流的特征表示x
n
对位相乘,得到决策树T
i
;然后遍历所述决策树T
i
中所有的叶子结点Leaf,通过路径回溯函数PathLength(T
i
,Leaf)获得每一叶子结点到根结点的长度,并记录在总长度count中;然后总长度count除以决策路径数量K得到平均决策路径长度。4.根据权利要求1所述的方法,其特征在于,得到所述...
【专利技术属性】
技术研发人员:张晓宇,李文灏,刘峰,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。