【技术实现步骤摘要】
本专利技术属于网络安全,更为具体地讲,涉及一种基于可解释人工智能技术的网络入侵分析方法。
技术介绍
1、随着计算机技术的普及和网络服务的不断增长,计算机网络已经在人们的生活、学习和工作中扮演着不可或缺的角色。然而,它在给人们带来的便利的同时,也随之带来了一些网络安全问题。云计算、5g通信和物联网的发展使得接入互联网的物理设备日益增加,数据的大范围流动,也使得恶意攻击者能够趁虚而入。攻击者通过利用互联网的联通性,寻找系统的弱点,以非授权方式达到破坏、欺骗和窃取数据信息等目的。为了对抗这些攻击者,入侵检测系统作为一种积极主动的安全防护技术被用于检测主机网络中的未授权使用和恶意攻击等行为,并对这些行为进行相应处理,为系统的正常运行提供了保证。
2、图1是入侵检测和分析的系统示意图。如图1所示,网络攻击者使用计算机通过网络对目标主机进行攻击,入侵检测系统通过获取网络流量数据对网络进行监控。由于使用大量的正常和异常的网络流量数据对入侵检测模型进行训练,所以当新的网络流量数据流经入侵检测模型的时候,模型能对这些数据进行高效的预测,识别异常的数据。而对异常数据的进一步分析则是为系统响应异常,并做出相应的处理提供了依据。
3、目前已经有一些方法被提出并用于实现入侵检测系统中的入侵检测和分析,其中包括一些简单的机器学习算法,如k-近邻、支持向量机、随机森林等。近年来,随着计算机硬件的提升,基于深度学习的方法,如深度神经网络、卷积神经网络、循环神经网络和transformer等逐渐取代传统的机器学习算法。由于拥有数量庞大的拟
4、可解释人工智能是指人工智能系统或算法能够提供对其决策和行为的解释和理解。它的目标是提供对决策的透明性,使人们能够理解为什么系统做出了特定的决策。这种解释可以是以人类可理解的形式呈现,例如自然语言描述或可视化展示。通过提供解释,可解释人工智能可以帮助用户和相关利益相关者更好地理解和信任人工智能系统,并确保其决策符合法律、伦理和可接受的标准。
5、很多可解释技术已被应用于对模型的预测生成可解释信息。一种是基于梯度的方法,例如deeplift,它将深度学习模型中的所有神经元的贡献反向传播到输入的数据特征中。还有一种是基于扰动的方法,例如lime,这是一种模型不可知方法,在局部建立一个可理解的线性可分模型来解释预测。在此基础上又提出了anchors算法,该算法建立了一套更精细的规则系统来解释预测。虽然以上的这些方法都可以解释输入模型的数据,但是这些方法由于缺乏扎实的理论基础,使得结果缺乏有力的说服力。
技术实现思路
1、本专利技术的目的在于克服现有技术的不足,提供一种基于可解释人工智能技术的网络入侵分析方法,通过采用可解释人工智能技术得到不同网络入侵类型的代表特征,从而更为准确地表征不同网络入侵类型的数据,提高用户对网络入侵模型的可信任度的同时,提供可靠且较高准确率的网络入侵分析。
2、为了实现上述专利技术目的,本专利技术基于可解释人工智能技术的网络入侵分析方法包括以下步骤:
3、s1:根据实际情况设置网络的m种入侵状态,获取网络处于正常状态和m种入侵状态下的若干网络流量数据,得到原始数据集;
4、s2:对原始数据集中每个网络流量数据采用预设方法提取n个特征构成网络流量数据特征,然后标记对应的网络入侵类型;分别对每个网络流量数据特征标注两个标签,第一个是入侵状态标签p,其中p=0表示正常状态,p=1表示入侵状态,第二个是入侵类型标签y,其中y=0表示正常状态,y=m表示属于第m种网络入侵,m=1,2,…,m;将网络流量数据特征作为输入、将对应的入侵状态标签作为期望输出构成训练样本,从而得到训练样本集a;将训练样本集中的训练样本按照对应的入侵类型标签划分为m+1个训练样本子集ay;
5、s3:根据实际需要构建网络入侵检测模型,然后将步骤s2得到的训练样本集对网络入侵检测模型进行训练,得到训练好的网络入侵检测模型;
6、s4:对于每个训练样本子集ay,将其中每个训练样本输入训练好的网络入侵检测模型,判断网络入侵检测模型的检测结构是否准确,如果准确,则保留该训练样本,否则删除该训练样本,从而得到训练样本子集a′y;然后对于每个训练样本子集a′y,采用可解释方法对该训练样本的预测结果进行解释,得到该训练样本中每个特征对于网络入侵预测的贡献值;
7、s5:根据各个训练样本子集a′y中训练样本所对应的特征的贡献值,提取用于表示不同入侵类型的分类标准向量,具体方法为:
8、s5.1:对于训练样本子集a′y中每个训练样本,将所有特征按照贡献值进行降序排列,将前k个特征作为该训练样本的最佳贡献特征,然后获取每个训练样本的最佳贡献特征向量fy,d=(fy,d,1,fy,d,2,…,fy,d,n),其中fy,d,n表示第n个特征是否为训练样本子集a′y中第d个训练样本的最佳贡献特征,如果是,fy,d,n=1,否则fy,d,n=0,d=1,2,…,|a′y|,|a′y|表示训练样本子集a′y中训练样本数量;
9、s5.2:将每个训练样本子集a′y中所有训练样本的最佳贡献特征向量fy,d求和得到入侵类型y的特征出现次数向量zy=(zy,1,zy,2,…,zy,n),其中zy,n表示训练样本子集a′y中第n个特征作为最佳贡献特征的次数;
10、s5.3:计算入侵类型y的分类标准向量py=(py,1,py,2,…,py,n)=zy/|a′y|,|a′y|表示训练样本子集a′y中训练样本数量;
11、s6:采用如下方法进行网络入侵分析:
12、s6.1:当需要进行网络入侵分析时,将待分析网络流量数据采用步骤s2中的相同方法提取n个特征构成网络流量数据特征,将该网络流量数据特征训练好的网络入侵检测模型得到预测结果,将网络流量数据特征和预测结果构成待分析样本;
13、s6.2:将训练好的网络入侵检测模型和待分析样本作为可解释方法的输入,对待分析样本的预测结果进行解释,得到待分析样本中每个特征对于网络入侵预测的贡献值;
14、s6.3:采用步骤s5.1中的相同方法筛选得到待分析样本的k个最佳贡献特征,构成最佳贡献特征向量其中表示第n个特征是否为待分析样本的最佳贡献特征,如果是,否则
15、s6.4:分别计算待分析样本的最佳贡献特征向量与各个入侵类型的分类标准向量py之间的相似度,选择最大相似度对应的入侵类型作为待分析网络流量数据的入侵类型。
16、本专利技术基于可解释人工智能技术的网络入侵分析方法,首先获取正常状态和每种入侵状态的训练样本,并对构建好的网络入侵检测模型进行训练,筛选出训练好的网络入侵检测模型检测准确的训练样本,将训练好的网络入侵检测模型和每个检测准确的训练样本采用本文档来自技高网...
【技术保护点】
1.一种基于可解释人工智能技术的网络入侵分析方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的网络入侵分析方法,其特征在于,所述步骤S2中网络流量数据特征提取包括以下步骤:
3.根据权利要求1所述的网络入侵分析方法,其特征在于,所述步骤S4中可解释方法采用SHAP可解释方法,贡献值为沙普利值。
4.根据权利要求1所述的网络入侵分析方法,其特征在于,所述步骤S5中最佳贡献特征的数量K采用如下方法确定:
5.根据权利要求1所述的网络入侵分析方法,其特征在于,所述步骤S6.4中相似度采用两个向量的内积。
【技术特征摘要】
1.一种基于可解释人工智能技术的网络入侵分析方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的网络入侵分析方法,其特征在于,所述步骤s2中网络流量数据特征提取包括以下步骤:
3.根据权利要求1所述的网络入侵分析方法,其特征在于,所述步骤s4中可解释...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。