本申请的实施例涉及网络安全技术领域,公开了一种网络入侵检测方法、装置、电子设备及存储介质。上述网络入侵检测方法包括:将获取的网络流量数据集作为训练数据;采用训练数据对以下网络结构进行训练得到网络入侵检测模型,网络结构包括:依次连接的卷积层、残差网络和分类器,卷积层用于提取所述训练数据的空间特征,残差网络的残差连接上插入有门控循环单元GRU层,用于提取训练数据的时间特征,分类器用于根据训练数据的空间特征和时间特征,对训练数据进行分类;将待识别的网络流量数据输入网络入侵检测模型中,得到网络流量数据的分类结果,以完成网络的入侵检测。本申请的实施例提供的网络入侵检测方法,可以提升网络入侵检测的准确率。
【技术实现步骤摘要】
本申请实施例涉及网络安全,特别涉及一种网络入侵检测方法、装置、电子设备及存储介质。
技术介绍
1、随着网络生态系统的进一步扩大,网络安全事件频发,网络入侵检测已成为最关键的问题之一,因此在入侵检测中提升对恶意流量的有效识别已成为网络安全技术发展的必然要求。入侵检测(intrusion detection)是对那些企图破坏计算机或者计算机网络机密性、完整性、安全性等特征进行识别的过程,网络入侵检测的实质是通过对计算机网络流量关键信息的分析,提取其中主要特征,然后做出智能判断,发现潜在的恶意活动或入侵,实现对网络有效的保护。
2、近年来,一些传统的机器学习方法被应用到入侵检测中,例如贝叶斯网络、隐马尔可夫模型、支持向量机、k均值聚类算法(k-means clustering algorithm)等。传统的机器学习方法对网络流量数据特征的要求更高,需要更“纯粹”的特征,但随着网络环境越来越复杂,网络流量数据的特征信息更丰富,干扰因素增多,传统的机器学习方法已经不再适用更多变的网络环境。深度学习作为现今的一个热点方向,能够在海量数据中提取到关键特征,因此也被大量应用在网络入侵检测中。
3、在入侵检测领域,系统按时间顺序收集网络流量信息,所以最终获取的网络流量数据整体上大都具有强烈的时序性,但是目前常用的神经网络等群智能算法在当前复杂的网络环境中未考虑网络流量数据的时序性,导致神经网络模型提取的特征信息并不充分,这在实际检测中,可能会因为信息不足盲目决策而造成误分类,导致无法实现网络流量数据的有效识别。
r/>技术实现思路
1、本申请实施例的目的在于提供一种网络入侵检测方法、装置、电子设备及存储介质,旨在解决网络入侵检测时,由于未考虑网络流量数据的时序性,导致的网络入侵检测准确率偏低的问题。
2、为解决上述技术问题,本申请的实施例提供了一种网络入侵检测方法,包括以下步骤:将获取的网络流量数据集作为训练数据;采用所述训练数据对以下网络结构进行训练得到网络入侵检测模型,所述网络结构包括:依次连接的卷积层、残差网络和分类器,所述卷积层用于提取所述训练数据的空间特征,所述残差网络的残差连接上插入有门控循环单元gru层,用于提取所述训练数据的时间特征,所述分类器用于根据所述训练数据的空间特征和时间特征,对所述训练数据进行分类;将待识别的网络流量数据输入所述网络入侵检测模型中,得到所述网络流量数据的分类结果,以完成网络的入侵检测。
3、本申请的实施例还提供了一种网络入侵检测装置,包括:数据采集模块,用于将获取的网络流量数据集作为训练数据;模型训练模块,用于采用所述训练数据对以下网络结构进行训练得到网络入侵检测模型,所述网络结构包括:依次连接的卷积层、残差网络和分类器,所述卷积层用于提取所述训练数据的空间特征,所述残差网络的残差连接上插入有门控循环单元gru层,用于提取所述训练数据的时间特征,所述分类器用于根据所述训练数据的空间特征和时间特征,对所述训练数据进行分类;入侵检测模块,用于将待识别的网络流量数据输入所述网络入侵检测模型中,得到所述网络流量数据的分类结果,以完成网络的入侵检测。
4、本申请的实施例还提供了一种电子设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器中存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述网络入侵检测方法。
5、本申请的实施例还提供了一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现上述网络入侵检测方法。
6、在一些可选的实施例中,所述卷积层为多通道卷积层,所述多通道卷积层中的每个通道采用不同大小的卷积核,用于提取所述训练数据的不同细粒度的空间特征;
7、所述残差网络包含与所述多通道卷积层中的每个通道对应的残差模块,每个残差模块的残差连接上均插入有所述gru层,用于提取对应通道的训练数据的时间特征。
8、在一些可选的实施例中,所述网络结构还包括特征融合层,所述网络结构还包括特征融合层,所述特征融合层层用于分别对所述训练数据的所有空间特征和所有时间特征进行融合,所述特征融合层采用concatenate层或者add层。
9、在一些可选的实施例中,所述网络结构还包括池化层,所述池化层采用softpool层,用于对融合后的空间特征和时间特征作下采样处理。
10、在一些可选的实施例中,所述网络结构还包括双向门控循环单元bigru层,所述bigru层用于提取所述训练数据的空间特征中时间步距较大的依赖关系。
11、在一些可选的实施例中,在所述采用训练数据对网络结构进行训练之前,还包括:采用独热编码对所述训练数据进行编码,将所述训练数据中的字符型特征转换为数值型特征;对转换后的训练数据作归一化处理。
12、在一些可选的实施例中,所述方法还包括:对所述训练数据进行卡方检验,以对所述训练数据进行降维。
13、本申请的实施例提供的网络入侵检测方法,至少具有一下有益效果:
14、通过在网络结构中设计卷积层,可以提取网络流量数据的空间特征,而在常规的残差网络特有的残差连接中上插入门控循环单元gru层,可以提取网络流量数据的时间特征,弥补了传统的残差网络并不能有效提取时间特征的缺点,最后通过分类器根据训练数据的空间特征和时间特征,对网络流量数据进行分类,可以识别出网络流量数据是否为异常数据,从而实现网络入侵检测。不仅考虑到了网络流量数据的空间特征,还考虑到了网络流量数据的时间特征(时序性),所提取的网络流量数据的特征信息更加充分,不会出现特征信息不足导致分类器出现误分类的情况,有效提升了网络流量数据的分类效果,即提升了网络入侵检测的准确度。
本文档来自技高网...
【技术保护点】
1.一种网络入侵检测方法,其特征在于,包括:
2.根据权利要求1所述的网络入侵检测方法,其特征在于,所述卷积层为多通道卷积层,所述多通道卷积层中的每个通道采用不同大小的卷积核,用于提取所述训练数据的不同细粒度的空间特征;
3.根据权利要求2所述的网络入侵检测方法,其特征在于,所述网络结构还包括特征融合层,所述特征融合层层用于分别对所述训练数据的所有空间特征和所有时间特征进行融合,所述特征融合层采用Concatenate层或者Add层。
4.根据权利要求3所述的网络入侵检测方法,其特征在于,所述网络结构还包括池化层,所述池化层采用softpool层,用于对融合后的空间特征和时间特征作下采样处理。
5.根据权利要求1至4中任一项所述的网络入侵检测方法,其特征在于,所述网络结构还包括双向门控循环单元BiGRU层,所述BiGRU层用于提取所述训练数据的空间特征中时间步距较大的依赖关系。
6.根据权利要求1所述的网络入侵检测方法,其特征在于,在所述采用训练数据对网络结构进行训练之前,还包括:
7.根据权利要求6所述的网络入侵检测方法,其特征在于,所述方法还包括:
8.一种网络入侵检测装置,其特征在于,包括:
9.一种电子设备,其特征在于,包括:
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现如权利要求1至7中任一项所述的网络入侵检测方法。
...
【技术特征摘要】
1.一种网络入侵检测方法,其特征在于,包括:
2.根据权利要求1所述的网络入侵检测方法,其特征在于,所述卷积层为多通道卷积层,所述多通道卷积层中的每个通道采用不同大小的卷积核,用于提取所述训练数据的不同细粒度的空间特征;
3.根据权利要求2所述的网络入侵检测方法,其特征在于,所述网络结构还包括特征融合层,所述特征融合层层用于分别对所述训练数据的所有空间特征和所有时间特征进行融合,所述特征融合层采用concatenate层或者add层。
4.根据权利要求3所述的网络入侵检测方法,其特征在于,所述网络结构还包括池化层,所述池化层采用softpool层,用于对融合后的空间特征和时间特征作下采样处理。
5...
【专利技术属性】
技术研发人员:杨超,杜琪琪,蒋碧波,朱智凯,陈俊杰,王浩,邹炎烨,张文迪,程镇,
申请(专利权)人:湖北大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。