【技术实现步骤摘要】
本申请涉及网络安全,尤其涉及一种网络入侵检测方法、装置、电子设备及存储介质。
技术介绍
1、随着电网智能化的推进,电力信息网络得到前所未有的发展,电力信息网络的规模也不段扩大。但与此同时,出现了很多非法入侵电力信息网络的行为。这些入侵电力信息网络的行为无疑给电力企业的信息安全带来了重大隐患,不仅会造成严重的经济损失,而且有可能会影响到社会生产和生活的正常开展。基于此原因,网络入侵检测成为电力信息网络安全技术的研究重点之一。电力信息网络入侵检测是通过分析电力信息网络流量中的数据特征来检测和识别电力信息网络或电力信息系统中的潜在入侵行为和安全威胁的过程,以此保护电力信息网络和系统免受未经授权的访问、避免恶意软件的侵害、阻止数据泄露和其他安全漏洞的侵害。
2、目前,相关的电力信息网络入侵检测方法大致可以分为三类:基于机器学习的方法、基于深度学习的方法和混合方法。传统的基于机器学习的方法包括支持向量机(svm)、k-近邻(knn)和决策树(dt)等。但随着电力信息网络规模的不断增大,传统的方法越来越无法满足实际需要。近年来,随着深度学习方法的提出和不断完善,其所具备的泛化能力以及应对高维空间大数据能力的优势也愈专利技术显,因此基于深度学习的入侵检测方法逐渐越来越受到关注。深度学习的方法包括深度信念网络(dbn)、卷积神经网络(cnn)、递归神经网络(rnn)、自编码器等方法。但深度学习方法在准确率上有所不足。为进一步提高识别的准确率,人们将多种方法结合起来,形成混合方法,从而获得比单一方法更好的效果。
3、以上方
4、以上
技术介绍
内容的公开仅用于辅助理解本申请的专利技术构思及技术方案,其并不必然属于本专利申请的现有技术,也不必然会给出技术教导;在没有明确的证据表明上述内容在本专利申请的申请日之前已经公开的情况下,上述
技术介绍
不应当用于评价本申请的新颖性和创造性。
技术实现思路
1、本申请的目的是提供一种入侵检测方法、装置、电子设备及存储介质,基于重要性特征选择和多评论家网络实现网络流量数据入侵检测。
2、为达到上述目的,本申请提供一种网络入侵检测方法,包括
3、获取一待检测的网络流量数据;
4、对所述网络流量数据进行数据处理,并分类得到第一类型特征数据集和第二类型特征数据集;
5、分别从所述第一类型特征数据集和第二类型特征数据集中选取数据,组成一组输入数据;重复选取数据的操作,以得到多组不同的输入数据;
6、将所述多组不同的输入数据输入预先完成训练的入侵检测网络模型,其中,所述入侵检测网络模型配置有多个子模型,多组输入数据与所述多个子模型一一对应,所述子模型被配置为预估对应的输入数据属于入侵数据的概率;
7、利用各个子模型对对应的输入数据分别进行预估,若各个子模型预估的概率值均低于预设的第一概率阈值,则所述网络流量数据不属于入侵数据;否则所述网络流量数据属于入侵数据。
8、进一步地,承前所述的任一技术方案或多个技术方案的组合,所述子模型还被配置为识别入侵数据的入侵攻击类别,其输出的结果包括一种或多种入侵攻击类别及其对应的概率值;
9、根据各个子模型输出的结果,确定所述网络流量数据所属的一种或多种入侵攻击类别。
10、进一步地,承前所述的任一技术方案或多个技术方案的组合,若一子模型预测到第一入侵攻击类别的对应概率值达到预设的第二概率阈值,则该网络流量数据属于所述第一入侵攻击类别的入侵数据,其中,所述第二概率阈值的取值大于所述第一概率阈值,所述第一概率阈值的取值介于50%至100%。
11、进一步地,承前所述的任一技术方案或多个技术方案的组合,所述多个子模型预测得到多个入侵攻击类别的对应概率值;
12、确定达到所述第一概率阈值的概率值中的最大值及其对应的第二入侵攻击类别;
13、则该网络流量数据属于所述第二入侵攻击类别的入侵数据。
14、进一步地,承前所述的任一技术方案或多个技术方案的组合,若多个子模型预测到第三入侵攻击类别的概率值,取所述第三入侵攻击类别的多个概率值的平均值或中位数;
15、若该平均值或中位数达到预设的第三概率阈值,则所述网络流量数据属于所述第三入侵攻击类别的入侵数据,其中,所述第三概率阈值的取值大于所述第一概率阈值,所述第一概率阈值的取值介于50%至100%。
16、进一步地,承前所述的任一技术方案或多个技术方案的组合,多个子模型中至少包括不同的第一特定子模型和第二特定子模型,其中,所述第一特定子模型被配置为专注于预估输入数据属于第一特定入侵攻击类别的概率,包括:利用第一学习样本集训练得到所述第一特定子模型,其中,所述第一学习样本集中的一半以上学习样本以第一特定入侵攻击类别为标签;
17、所述第二特定子模型被配置为专注于预估输入数据属于第二特定入侵攻击类别的概率,包括:利用第二学习样本集训练得到所述第二特定子模型,其中,所述第二学习样本集中的一半以上学习样本以第二特定入侵攻击类别为标签。
18、进一步地,承前所述的任一技术方案或多个技术方案的组合,对所述网络流量数据进行数据处理包括:对所述网络流量数据进行特征提取,计算每个被提取的特征的重要性指标;
19、将重要性指标达到预设分数阈值的特征分类至所述第一类型特征数据集,将重要性指标低于预设分数阈值的特征分类至所述第二类型特征数据集;或者,将被提取的特征按照重要性指标由高到低进行排序,将排序在预设名次比例内的特征分类至所述第一类型特征数据集,将排序在预设名次比例外的特征分类至所述第二类型特征数据集。
20、进一步地,承前所述的任一技术方案或多个技术方案的组合,通过以下方式获取一组输入数据:
21、取所述第一类型特征数据集中的全部数据,以及从所述第二类型特征数据集中随机抽取部分数据,组成一组输入数据,其中,被抽取的数据数量小于所述第一类型特征数据集中的数据数量。
22、进一步地,承前所述的任一技术方案或多个技术方案的组合,基于注意力机制计算被提取的特征的重要性指标:
23、,
24、其中, exp( 本文档来自技高网...
【技术保护点】
1.一种网络入侵检测方法,其特征在于,包括:
2.根据权利要求1所述的网络入侵检测方法,其特征在于,所述子模型还被配置为识别入侵数据的入侵攻击类别,其输出的结果包括一种或多种入侵攻击类别及其对应的概率值;
3.根据权利要求2所述的网络入侵检测方法,其特征在于,若一子模型预测到第一入侵攻击类别的对应概率值达到预设的第二概率阈值,则该网络流量数据属于所述第一入侵攻击类别的入侵数据,其中,所述第二概率阈值的取值大于所述第一概率阈值,所述第一概率阈值的取值介于50%至100%。
4.根据权利要求2所述的网络入侵检测方法,其特征在于,多个子模型预测得到多个入侵攻击类别的对应概率值;
5.根据权利要求2所述的网络入侵检测方法,其特征在于,若多个子模型预测到第三入侵攻击类别的概率值,取所述第三入侵攻击类别的多个概率值的平均值或中位数;
6.根据权利要求2至5中任一项所述的网络入侵检测方法,其特征在于,多个子模型中至少包括不同的第一特定子模型和第二特定子模型,其中,所述第一特定子模型被配置为专注于预估输入数据属于第一特定入侵攻击类别的概
7.根据权利要求1至5中任一项所述的网络入侵检测方法,其特征在于,对所述网络流量数据进行数据处理包括:对所述网络流量数据进行特征提取,计算每个被提取的特征的重要性指标;
8.根据权利要求7所述的网络入侵检测方法,其特征在于,通过以下方式获取一组输入数据:
9.根据权利要求7所述的网络入侵检测方法,其特征在于,基于注意力机制计算被提取的特征的重要性指标:
10.根据权利要求7所述的网络入侵检测方法,其特征在于,对所述网络流量数据进行特征提取之前,还包括以下数据处理的步骤:
11.根据权利要求10所述的网络入侵检测方法,其特征在于,通过以下公式对缺失值进行修复:
12.根据权利要求10所述的网络入侵检测方法,其特征在于,利用SMOTE方法合成新的样本的规则为:dnew=di+rand(0,1)×(dn-di),其中,dnew为合成的新样本点,di为随机选取的样本点,dn为近邻样本中的随机一个样本点,rand(0,1)为产生0到1之间的一个随机数。
13.根据权利要求8至12中任一项所述的网络入侵检测方法,其特征在于,所述入侵检测网络模型为多评论家网络模型,所述子模型为评论家网络子模型,将多评论家网络模型的入侵检测过程构造为一个马尔可夫决策过程,所述多评论家网络模型的更新采用时序差分的方式,所述多评论家网络模型的损失公式定义为:
14.一种网络入侵检测装置,其特征在于,包括以下模块:
15.一种电子设备,其特征在于,包括:
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时执行如权利要求1至13中任一项所述的方法的步骤。
...【技术特征摘要】
1.一种网络入侵检测方法,其特征在于,包括:
2.根据权利要求1所述的网络入侵检测方法,其特征在于,所述子模型还被配置为识别入侵数据的入侵攻击类别,其输出的结果包括一种或多种入侵攻击类别及其对应的概率值;
3.根据权利要求2所述的网络入侵检测方法,其特征在于,若一子模型预测到第一入侵攻击类别的对应概率值达到预设的第二概率阈值,则该网络流量数据属于所述第一入侵攻击类别的入侵数据,其中,所述第二概率阈值的取值大于所述第一概率阈值,所述第一概率阈值的取值介于50%至100%。
4.根据权利要求2所述的网络入侵检测方法,其特征在于,多个子模型预测得到多个入侵攻击类别的对应概率值;
5.根据权利要求2所述的网络入侵检测方法,其特征在于,若多个子模型预测到第三入侵攻击类别的概率值,取所述第三入侵攻击类别的多个概率值的平均值或中位数;
6.根据权利要求2至5中任一项所述的网络入侵检测方法,其特征在于,多个子模型中至少包括不同的第一特定子模型和第二特定子模型,其中,所述第一特定子模型被配置为专注于预估输入数据属于第一特定入侵攻击类别的概率,包括:利用第一学习样本集训练得到所述第一特定子模型,其中,所述第一学习样本集中的一半以上学习样本以第一特定入侵攻击类别为标签;
7.根据权利要求1至5中任一项所述的网络入侵检测方法,其特征在于,对所述网络流量数据进行数据处理包括:对所述网络流量数据进行特征提取,计算每个被提取的特征的重要性指标;
8...
【专利技术属性】
技术研发人员:孟凡军,吴吉,王月娟,薛劲松,冯仁君,
申请(专利权)人:国网江苏省电力有限公司苏州供电分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。