【技术实现步骤摘要】
基于流模型和集成学习的入侵检测方法
[0001]本专利技术属于入侵检测
,涉及基于流模型和集成学习的入侵检测方法
。
技术介绍
[0002]入侵检测技术是现代社会信息安全领域重要的研究方向
。
在当今的网络环境中,各种类型的网络攻击层出不穷,入侵检测技术在维护网络安全的任务中发挥了重要作用
。
网络入侵检测的任务是对网络中的各种异常流量进行识别,并判断出它属于哪一种攻击类型,以便对其采取相应的防御机制
。
目前经典的机器学习分类器如:决策树,支持向量机,逻辑回归以及多层感知机等模型被广泛应用于网络入侵检测的分类任务中
。
然而在网络运营中由于各种类型的网络攻击发生的频次不同,收集到的网络入侵记录中各类别样本的数量差异很大,这使得网络入侵检测领域的相关数据集都存在类别不平衡的问题
。
因为有些罕见攻击类别的样本数量太少,分类器在训练时很难学习到它的普遍特征,所以分类时容易将少数类样本误判成多数类,使少数类样本的召回率较低
。<...
【技术保护点】
【技术特征摘要】
1.
基于流模型和集成学习的入侵检测方法,其特征在于,包括以下步骤:
S1)
对数据集中的少数类样本用
AE
‑
Flow
模型进行新样本的生成;
S2)
对数据集中的多数类样本用
K
‑
means
算法进行聚类欠采样;
S3)
合并以上步骤中得到的数据样本,用
OSS
算法去除类别边界附近的多数类样本;
S4)
对得到的各类别样本数量平衡的数据应用集成学习分类器
XGBoost
进行分类
。2.
根据权利要求1所述的基于流模型和集成学习的入侵检测方法,其特征在于:所述步骤
S1
中,用
AE
‑
Flow
模型进行新样本的生成包括以下步骤:步骤
S1)
样本
x
输入到
AE
‑
Flow
中,先经过编码器网络变成降维后的特征向量
z
,然后
z
一方面经过
Flow
模型变成同维的已知概率分布的隐变量
h
,一方面经过解码器网络变成重构后的样本
x
′
。
其中由
x
到
x
′
的
AE
部分的损失函数为:
L
AE
=
||x
‑
x
′
||2=
||x
‑
D(z)||2=
||x
‑
D(E(x))||2公式中
z
表示样本经过编码后的特征,
E
表示解码器网络,它包含3层卷积神经网络,卷积核大小为
3*3
,作用是对高维的网络入侵数据进行特征提取得到降维后的抽象特征,以便送入流模型进行数据映射
。D
表示编码器网络,它包含与编码器模块
E
相同结构的转置卷积神经网络,转置卷积神经网络能够将低维的特征向量
z
′
经过反卷积和上采样等操作,变成高维的网络入侵样本
。Flow
模型的损失函数为:公式中
h
表示符合高斯分布的隐变量,
F
表示编码器网络,它代表的是一系列可逆变换:
F
=
f1*f2···
*f
n
,每一次的变换
f
i
通过卷积神经网络
(
线性变换
)
以及
Relu
激活函数
(
非线性变换
)
来实现,本发明中使用了
24
层这样的可逆变换来实现流模型的功能
。
整个
AE
‑
Flow
模型的损失函数为:模型训练时...
【专利技术属性】
技术研发人员:熊炫睿,张宇樊,徐稳,方海领,陈怡,林为琴,
申请(专利权)人:重庆邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。