一种小样本入侵检测方法、系统、介质、设备及终端技术方案

本发明专利技术属于网络安全技术领域，公开了一种小样本入侵检测方法、系统、介质、设备及终端，部署小型局域网实验环境，抓取正常网络流量和网络攻击流量并进行虚拟VPN划分，构建CWIDS2023数据集；对CWIDS2023数据集进行预处理，划分为训练集与测试集；分别构建改进的BiGRU特征提取网络和原型度量网络并进行级联，得到端到端的小样本入侵检测模型BiP

【技术实现步骤摘要】
一种小样本入侵检测方法、系统、介质、设备及终端


[0001]本专利技术属于网络安全
，尤其涉及一种小样本入侵检测方法、系统、介质、设备及终端。

技术介绍

[0002]目前，随着互联网的普及，网络已渗透到不同领域，与人类的生活息息相关。网络空间已与陆地、海洋、太空、宇宙空间齐名，并称为五大空间，成为关系到国家主权与领土完整的重要部分。然而，网络体系结构的提出，最初就是不可靠的。近年来，针对国家机构、政府机关、工业设施、科研院校等发动的网络攻击数不胜数，危害极大。因此，网络安全防护技术应运而生。传统技术如防火墙、数据加密、访问控制等属于静态被动防护技术，已不能适应目前网络攻击频率高、变化快、影响大的特点。入侵检测技术很好地解决了此问题，其属于积极动态防御的网络安全防护技术，能够有效识别外部入侵、内部入侵及误操作。目前常将机器学习及深度学习方法应用在入侵检测领域，实现正常与攻击数据的正确分类。但是，现有入侵检测方法所需数据量大，对小样本及零样本检测性能差，而训练数据获取及标签标注费时费力；对不同任务的迁移能力差，模型通常只适用于固定任务集，对新任务的泛化能力低，检测性能差；无法有效检测到训练集中未出现的新型恶意攻击，检测精度低；通常在公开数据集上进行训练与测试，不包含数据采集的环节，无法实现端到端的检测；无法适应动态博弈的对抗性真实网络环境，对于实时更新的网络攻击检测精度低。
[0003]面对当前网络攻击更新换代快、出现频率低、造成危害大的特点，传统的基于有监督学习的方法需要大量有标签样本数据，已不能满足入侵检测的需求。因此，亟需设计一种新的基于元学习框架的小样本入侵检测方法。
[0004]通过上述分析，现有技术存在的问题及缺陷为：
[0005](1)传统的基于有监督学习的方法所需数据量大，对小样本及零样本检测性能差，而训练数据获取及标签标注费时费力；无法有效检测到训练集中未出现的新型恶意攻击，检测精度低。
[0006](2)现有入侵检测方法对不同任务的迁移能力差，模型通常只适用于固定任务集，对新任务的泛化能力低，检测性能差。
[0007](3)现有入侵检测方法在公开数据集上进行训练与测试，不包含数据采集环节，无法实现端到端的检测；无法适应动态博弈的对抗性真实网络环境，对于实时更新的网络攻击检测精度低。

技术实现思路

[0008]针对现有技术存在的问题，本专利技术提供了一种小样本入侵检测方法、系统、介质、设备及终端，尤其涉及一种基于元学习框架的小样本入侵检测方法、系统、介质、设备及终端。
[0009]本专利技术是这样实现的，一种小样本入侵检测方法，小样本入侵检测方法包括：部署
含有四台计算机的小型局域网实验环境，抓取正常网络流量和网络攻击流量并进行虚拟VPN划分，构建CWIDS2023数据集；对CWIDS2023数据集进行预处理，划分为训练集与测试集；分别构建改进的BiGRU特征提取网络和原型度量网络并进行级联，得到端到端的小样本入侵检测模型BiP
‑
Net；定义损失函数并最小化损失，训练模型；对已训练模型进行测试，评估模型性能。
[0010]进一步，小样本入侵检测方法包括以下步骤：
[0011]步骤一，部署小型局域网实验环境，采集真实网络流量数据，形成数据集CWIDS2023；将数据集CWIDS2023转换为适于输入元学习框架的形式；
[0012]步骤二，构建基于元学习框架的入侵检测模型BiP
‑
Net，利用数据集CWIDS2023对入侵检测模型BiP
‑
Net进行训练；
[0013]步骤三，利用三个数据集对已训练的BiP
‑
Net模型进行测试；将构建好的BiP
‑
Net模型部署在真实网络环境中进行入侵检测，评估模型性能。
[0014]进一步，步骤一中的部署小型局域网实验环境，采集真实网络流量数据，形成数据集CWIDS2023包括：
[0015](1)部署含有四台计算机的同属一个网段的小型局域网实验环境，利用Wireshark软件抓取正常网络流量，形成.pcap文件，并输入CICFlowMeters软件进行特征转换，输出.csv文件，包含85维特征；
[0016](2)部署含有四台计算机的小型局域网实验环境，进行虚拟VPN划分后包含两个子网段，其中每个子网段中包括一个攻击机和目标机，在攻击机上部署Kali
‑
Linux黑客系统模拟网络攻击对目标机实施入侵操作，同时在目标机上利用Wireshark软件抓取网络攻击流量，形成.pcap文件，并输入CICFlowMeters软件进行特征转换，输出.csv文件，包含85维特征；
[0017](3)将已抓取的正常流量和异常流量结合形成CWIDS2023数据集。
[0018]进一步，步骤一中的将数据集CWIDS2023转换为适于输入元学习框架形式包括：
[0019](1)对数据集CWIDS2023进行数据预处理；
[0020]1)对数据集CWIDS2023进行数据类型的转化：数据数值化，利用one
‑
hot编码方式将85维特征全部转化为数值型数据；
[0021]2)对转化后的数值型数据进行归一化处理，将85维特征涵盖的所有数据范围均限制在[0，1]之间；
[0022]3)采用DNN
‑
WGAN模型生成对抗样本；WGAN模型由一个生成器和一个鉴别器组成，其中生成器和鉴别器均由DNN组成，为最小
‑
最大游戏的双方，在动态博弈对抗的过程中生成对抗样本。
[0023]其中，归一化公式为：
[0024][0025]其中，x
*
表示归一化后的样本数据值，x
min
表示样本数据中的最小值，x
max
表示样本数据中的最大值。
[0026](2)对数据集CWIDS2023进行训练集与测试集划分；
[0027]1)选取5种不同攻击类型与正常类型数据构成训练集中的样本集，其中共有五个不同的样本集，每一样本集含有一种攻击类型和正常类型，样本数均为5，查询集与样本集一一对应且类型一致；
[0028]2)选取训练集不包含的一种攻击类型与正常类型构成测试集。
[0029]进一步，步骤二中的构建基于元学习框架的入侵检测模型BiP
‑
Net包括：
[0030](1)构建改进的BiGRU特征提取网络，用于提取网络流量数据的前后相关时间特征；其中，改进的BiGRU特征提取网络包括两个单行反向的GRU模型，由输入层、隐藏层与输出层共同组成，输出由当前输入状态x
t
、前向隐层状态与反向隐层状态共同决定；引入自注意力机制，使得模型挖掘隐藏特征；
[0031](2)构建原型度量网络，用于比较分类不同类型的网络流量数据，包括对提取后的同一维度空间内的特征向量进行一系列度量操作，最终实现本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种小样本入侵检测方法，其特征在于，小样本入侵检测方法包括：部署含有四台计算机的小型局域网实验环境，抓取正常网络流量和网络攻击流量并进行虚拟VPN划分，构建CWIDS2023数据集；对CWIDS2023数据集进行预处理，划分为训练集与测试集；分别构建改进的BiGRU特征提取网络和原型度量网络并进行级联，得到端到端的小样本入侵检测模型BiP
‑
Net；定义损失函数并最小化损失，训练模型；对已训练模型进行测试，评估模型性能。2.如权利要求1所述小样本入侵检测方法，其特征在于，小样本入侵检测方法包括以下步骤：步骤一，部署小型局域网实验环境，采集真实网络流量数据，形成数据集CWIDS2023；将数据集CWIDS2023转换为适于输入元学习框架的形式；步骤二，构建基于元学习框架的入侵检测模型BiP
‑
Net，利用数据集CWIDS2023对入侵检测模型BiP
‑
Net进行训练；步骤三，利用三个数据集对已训练的BiP
‑
Net模型进行测试；将构建好的BiP
‑
Net模型部署在真实网络环境中进行入侵检测，评估模型性能。3.如权利要求2所述小样本入侵检测方法，其特征在于，步骤一中的部署小型局域网实验环境，采集真实网络流量数据，形成数据集CWIDS2023包括：(1)部署含有四台计算机的同属一个网段的小型局域网实验环境，利用Wireshark软件抓取正常网络流量，形成.pcap文件，并输入CICFlowMeters软件进行特征转换，输出.csv文件，包含85维特征；(2)部署含有四台计算机的小型局域网实验环境，进行虚拟VPN划分后包含两个子网段，其中每个子网段中包括一个攻击机和目标机，在攻击机上部署Kali
‑
Linux黑客系统模拟网络攻击对目标机实施入侵操作，同时在目标机上利用Wireshark软件抓取网络攻击流量，形成.pcap文件，并输入CICFlowMeters软件进行特征转换，输出.csv文件，包含85维特征；(3)将已抓取的正常流量和异常流量结合形成CWIDS2023数据集。4.如权利要求2所述小样本入侵检测方法，其特征在于，步骤一中的将数据集CWIDS2023转换为适于输入元学习框架形式包括：(1)对数据集CWIDS2023进行数据预处理；1)对数据集CWIDS2023进行数据类型的转化：数据数值化，利用one
‑
hot编码方式将85维特征全部转化为数值型数据；2)对转化后的数值型数据进行归一化处理，将85维特征涵盖的所有数据范围均限制在[0，1]之间；3)采用DNN
‑
WGAN模型生成对抗样本；WGAN模型由一个生成器和一个鉴别器组成，其中生成器和鉴别器均由DNN组成，为最小
‑
最大游戏的双方，在动态博弈对抗的过程中生成对抗样本；其中，归一化公式为：其中，x
*
表示归一化后的样本数据值，x
min
表示样本数据中的最小值，x
max
表示样本数据
中的最大值；(2)对数据集CWIDS2023进行训练集与测试集划分；1)选取5种不同攻击类型与正常类型数据构成训练集中的样本集，其中共有五个不同的样本集，每一样本集含有一种攻击类型和正常类型，样本数均为5，查询集与样本集一一对应且类型一致；2)选取训练集不包含的一种攻击类型与正常类型构成测试集。5.如权利要求2所述小样本入侵检测方法，其特征在于，步骤二中的构建基于元学习框架的...

【专利技术属性】
技术研发人员：杨宇，闫钰，申芳，齐静，高敏娜，谷宇恒，赵琪，张炜，
申请(专利权)人：中国人民武装警察部队工程大学，
类型：发明
国别省市：