【技术实现步骤摘要】
基于注意力机制的DRSN和LSTM的网络入侵检测方法
[0001]本专利技术属于网络安全
,特别涉及一种基于注意力机制的DRSN和LSTM的网络入侵检测方法。
技术介绍
[0002]随着互联网规模的增长和各类网络应用的不断出现,网络已经成为人类生活的必需品。目前,互联网上存在着海量的网络流量数据信息,各类网络攻击给网络空间安全带来严重的威胁。入侵检测系统作为一种有效的网络防护手段,是保护人类网络财产安全的重要工具。
[0003]目前的网络入侵检测技术,大多采用特征检测的方式,涉及的检测范围较为有限。具体而言,侧重于特征检测的入侵检测技术,仅适用于计算机网络开展相对简单的入侵行为检测和基本的防御管理,面对复杂的网络环境而言,基于特征检测的入侵检测依赖于已知攻击标志的数据库,将事件和流量与已知标志数据库匹配,从而判断是否存在攻击,但无法检测未知攻击。另一部分入侵检测采用异常检测,试图学习正常行为规律并将其他一切识别为异常或入侵,但是由于数据量庞大,特征过多,且有噪声数据和冗余数据,存在着准确率低和误报率高的问题。
技术实现思路
[0004]为了克服上述现有技术的缺点,本专利技术的目的在于提供一种基于注意力机制(Attention Mechanism,AM)的DRSN(Deep Residual Shrinkage Networks,DRSN)和长短期记忆网络(Long Short
‑
Term Memory,LSTM)的网络入侵检测方法,由于特征的重要程度存在差异,首先使用A...
【技术保护点】
【技术特征摘要】
1.一种基于注意力机制的DRSN和LSTM的网络入侵检测方法,其特征在于,包括如下步骤:步骤1,对入侵检测数据集进行预处理,得到数据集X;所述入侵检测数据集包含网络流量数据与类识别标签label,所述网络流量数据包括数值数据和标签数据,所述类识别标签label用于标识入侵类别;所述预处理,将入侵类别编码为不同数字;将所述标签数据编码转化为数值数据,并通过一组二进制数表示一位特征值不同的状态,之后将所有数值数据进行归一化操作缩放到量纲[0,1];步骤2,使用卷积模块和注意力机制模块提取输入的流量特征,得到带有通道和空间注意力机制的特征矩阵MS;步骤3,调整特征矩阵MS为特征矩阵X3,使其能作为深度残差收缩网络的输入;步骤4,利用深度残差收缩网络提取特征矩阵X3的空间特征;步骤5,将所述空间特征输入到LSTM中进行训练,提取数据中的时序特征,通过不断更新权重参数,得到优化的DRSN
‑
LSTM入侵检测模型;步骤6,利用优化的DRSN
‑
LSTM入侵检测模型,以网络流量为输入,以是否为入侵行为为输出,进行网络入侵检测。2.根据权利要求1所述基于注意力机制的DRSN和LSTM的网络入侵检测方法,其特征在于,所述入侵检测数据集为NSL
‑
KDD数据集,并使用其每个连接记录中的41类网络流量数据和一个类识别标签label;所述入侵类别包含Normal、Dos、Proboing、R2L和U2R,分别代表未受到入侵、拒绝服务入侵、监视和其他探测获得、远程机器非法访问和普通用户对本地超级用户特权的非法访问;所述41类网络流量数据中的协议类型protocl_type、服务类型service和标志flag构成标签数据,所述标签数据采用One
‑
Hot编码。3.根据权利要求2所述基于注意力机制的DRSN和LSTM的网络入侵检测方法,其特征在于,对于二分类问题,将Normal编码为1,Dos、Proboing、R2L和U2R均编码为2;对于多分类问题,将Normal、Dos、Proboing、R2L和U2R依次编码为1、2、3、4、5。4.根据权利要求1所述基于注意力机制的DRSN和LSTM的网络入侵检测方法,其特征在于,将步骤1中的一维矢量数据转换为二维矩阵格式,即将入侵检测数据转化为灰度图,转换过程如下:从数据集X中选择一个样本x,使用随机正太分布函数扩充x,使x从n
’
列拓展成n
’
+m
’
列,将x重构成p*q的矩阵,其中,p*q=n
’
+m
’
,重复直至遍历X中所有样本,其中n
’
为样本的初始列数,m
’
为扩充的列数。5.根据权利要求1所述基于注意力机制的DRSN和LSTM的网络入侵检测方法,其特征在于,所述卷积模块,对所述二维矩阵做一次卷积操作,即对局部图像和卷积核矩阵做内积,公式如下:其中,W是卷积核的矩阵,S为经过卷积后...
【专利技术属性】
技术研发人员:王海凤,王凯江,白倩,杜辉,贾颜妃,郑承蔚,刘瑞,
申请(专利权)人:内蒙古工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。