CN110875912A - 一种基于深度学习的网络入侵检测方法、装置和存储介质 - Google Patents

一种基于深度学习的网络入侵检测方法、装置和存储介质 Download PDF

Info

Publication number
CN110875912A
CN110875912A CN201811020076.5A CN201811020076A CN110875912A CN 110875912 A CN110875912 A CN 110875912A CN 201811020076 A CN201811020076 A CN 201811020076A CN 110875912 A CN110875912 A CN 110875912A
Authority
CN
China
Prior art keywords
data
sample data
network
network connection
intrusion detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811020076.5A
Other languages
English (en)
Inventor
马桤
王思博
吴贤望
史墨祎
孙艺萍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongchang (hangzhou) Information Technology Co Ltd
China Mobile Communications Group Co Ltd
Original Assignee
Zhongchang (hangzhou) Information Technology Co Ltd
China Mobile Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongchang (hangzhou) Information Technology Co Ltd, China Mobile Communications Group Co Ltd filed Critical Zhongchang (hangzhou) Information Technology Co Ltd
Priority to CN201811020076.5A priority Critical patent/CN110875912A/zh
Publication of CN110875912A publication Critical patent/CN110875912A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

本发明公开了一种基于深度学习的网络入侵检测方法、装置和存储介质,用以提高网络入侵检测效率和检测精度。基于深度学习的网络入侵检测方法,包括:从待检测的网络连接中提取原始数据;对所述原始数据进行预处理后转换为第一图片格式数据;基于所述原始数据转换得到的第一图片格式数据,利用预设的网络入侵检测模型进行检测,其中,所述网络入侵检测模型为利用卷积神经网络对训练数据集中的网络连接样本数据进行训练得到的。

Description

一种基于深度学习的网络入侵检测方法、装置和存储介质
技术领域
本发明涉及计算机网络技术领域,尤其涉及一种基于深度学习的网络入侵检测方法、装置和存储介质。
背景技术
互联网现在已经成为人们日常生活中不可或缺的一部分,同时也衍生出很多网络攻击威胁着网络的安全,因此,如何保护网络安全已经成为一个热门的研究领域。入侵检测是保护网络安全的一项重要措施,它通过分析网络流量数据,判断网络是否受到威胁攻击,并且能够确定攻击的类型,根据检测的结果,我们可以针对性地采取防护措施以保护网络的安全。
网络入侵检测方法一般包括两个步骤:特征选择与分类。特征选择是从高纬度的原始数据选择区分数据类别的关键因素,特征选择可以减少数据的存储,提高模型的训练效率和分类精度。分类器对选择的特征数据进行训练,机器学习中很多分类算法都可以用于网络流量的分类,如SVM(支持向量机)、DTs、ANN(人工神经网络)、Bayes(贝叶斯)等,但是机器学习算法依赖于特征选择算法选择特征的优劣,检测结果的准确率很大程度上取决于所选特征,而且随着网络流量数据的迅速增长,对网络安全入侵检测的实时性要求更高,必须在有限的时间内采取防护措施才能保证网络安全,而传统机器学习算法在处理大数据量时,存在检测效率和检测精度低下的问题。
发明内容
本发明实施例提供一种基于深度学习的网络入侵检测方法、装置和存储介质,用以提高网络入侵检测效率和检测精度。
第一方面,提供一种基于深度学习的网络入侵检测方法,包括:
从待检测的网络连接中提取原始数据;
对所述原始数据进行预处理后转换为第一图片格式数据;
基于所述原始数据转换得到的第一图片格式数据,利用预设的网络入侵检测模型进行检测,其中,所述网络入侵检测模型为利用卷积神经网络对训练数据集中的网络连接样本数据进行训练得到的。
可选地,利用卷积神经网络按照以下流程对训练数据集中的样本数据进行训练得到所述网络入侵检测模型:
从训练数据集中获取网络连接样本数据;
对所述网络连接样本数据进行预处理后转换为第二图片格式数据;
初始化网络入侵检测模型参数,所述网络入侵检测模型参数包括针对每一类型的样本数据设置的损失函数权重系数,其中,每一类型的样本数据对应的损失函数权重系数为根据所述训练数据集中包含的每类样本数据的数量确定出的;
利用卷积神经网络对所述第二图片格式数据进行训练,直至网络入侵检测模型输出与期望输出之间的误差不大于预设阈值或者达到预设的迭代次数。
可选地,每一网络连接样本数据由多个特征组成,所述特征包括字符型特征和数字型特征;以及
针对每一网络连接样本数据,按照以下流程对所述网络连接样本数据进行预处理:
针对每一网络连接样本数据,将该网络连接样本数据中包含的字符型特征转换为数字型特征后得到该网络连接样本数据对应的第一特征向量;
对所述第一特征向量中包含的特征进行归一化处理得到第二特征向量;以及
针对每一网络连接样本数据,按照以下流程对第二特征向量转换为图片格式数据:
针对每一网络连接样本数据,将所述第二特征向量转换为N*N的矩阵,其中,N为使得N*N不大于第二特征向量中包含的特征数量的最大整数值。
可选地,如果N*N不等于所述第二特征向量中包含的特征的数量,则在将第二特征向量转换为N*N的矩阵之前,还包括:
从所述第二特征向量中删除M个特征得到第三特征向量,以使N*N等于第三特征向量中包含的特征数量,其中M为正整数。
可选地,按照以下方法从所述第二特征向量中选择删除的特征:
针对所述第二特征向量中包含的每一特征,按照以下公式确定该特征对应的变异系数:
Figure BDA0001787089760000031
根据CV由小到大的顺序选择M个特征删除,其中:
CV表示该特征对应的变异系数;
σ表示该特征对应的标准差;
μ表示该特征对应的平均值。
可选地,针对每一类型的样本数据,根据所述训练数据集中包含的该类样本数据的数量按照以下方法确定其对应的损失函数权重系数:
针对每一类型的样本数据,统计所述训练数据集中该类型样本数据的数量;以及
按照以下公式确定该类样本数据对应的损失函数权重系数:
Figure BDA0001787089760000032
其中:
ni表示第i类样本数据在训练数据集中的数量,i=1,2,3……m,m为样本数据类型总数量;
Wi表示第i类样本数据对应的损失函数权重系数;
Max表示ni中的最大值。
第二方面,提供一种基于深度学习的网络入侵检测装置,包括:
提取单元,用于从待检测的网络连接中提取原始数据;
第一转换单元,用于对所述原始数据进行预处理后转换为第一图片格式数据;
检测单元,用于基于所述原始数据转换得到的第一图片格式数据,利用预设的网络入侵检测模型进行检测,其中,所述网络入侵检测模型为利用卷积神经网络对训练数据集中的网络连接样本数据进行训练得到的。
可选地,本发明实施例提供的基于深度学习的网络入侵检测装置,还包括:
获取单元,用于从训练数据集中获取网络连接样本数据;
第二转换单元,用于对所述网络连接样本数据进行预处理后转换为第二图片格式数据;
初始化单元,用于初始化网络入侵检测模型参数,所述网络入侵检测模型参数包括针对每一类型的样本数据设置的损失函数权重系数,其中,每一类型的样本数据对应的损失函数权重系数为根据所述训练数据集中包含的每类样本数据的数量确定出的;
训练单元,用于利用卷积神经网络对所述第二图片格式数据进行训练,直至网络入侵检测模型输出与期望输出之间的误差不大于预设阈值或者达到预设的迭代次数。
可选地,每一网络连接样本数据由多个特征组成,所述特征包括字符型特征和数字型特征;以及
所述第二转换单元,用于针对每一网络连接样本数据,按照以下流程对所述网络连接样本数据进行预处理:针对每一网络连接样本数据,将该网络连接样本数据中包含的字符型特征转换为数字型特征后得到该网络连接样本数据对应的第一特征向量;对所述第一特征向量中包含的特征进行归一化处理得到第二特征向量;针对每一网络连接样本数据,将所述第二特征向量转换为N*N的矩阵,其中,N为使得N*N不大于第二特征向量中包含的特征数量的最大整数值。
可选地,本发明实施例提供的基于深度学习的网络入侵检测装置,还包括:
删除单元,用于如果N*N不等于所述第二特征向量中包含的特征的数量,则在所述第二转换单元将第二特征向量转换为N*N的矩阵之前,从所述第二特征向量中删除M个特征得到第三特征向量,以使N*N等于第三特征向量中包含的特征数量,其中M为正整数。
可选地,所述删除单元,用于针对所述第二特征向量中包含的每一特征,按照以下公式确定该特征对应的变异系数:
Figure BDA0001787089760000052
根据CV由小到大的顺序选择M个特征删除,其中:
CV表示该特征对应的变异系数;
σ表示该特征对应的标准差;
μ表示该特征对应的平均值。
可选地,所述初始化单元,用于针对每一类型的样本数据,统计所述训练数据集中该类型样本数据的数量;以及按照以下公式确定该类样本数据对应的损失函数权重系数:
Figure BDA0001787089760000051
其中:
ni表示第i类样本数据在训练数据集中的数量,i=1,2,3……m,m为样本数据类型总数量;
Wi表示第i类样本数据对应的损失函数权重系数;
Max表示ni中的最大值。
第三方面,提供一种计算装置,包括至少一个处理器、以及至少一个存储器,其中,所述存储器存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行上述任一基于深度学习的网络入侵检测方法所述的步骤。
第四方面,提供一种计算机可读介质,其存储有可由终端设备执行的计算机程序,当所述程序在终端设备上运行时,使得所述终端设备执行上述任一基于深度学习的网络入侵检测方法所述的步骤。
本发明实施例提供的基于深度学习的网络入侵检测方法、装置和存储介质,利用卷积神经网络对网络连接样本数据进行训练得到网络入侵检测模型,卷积神经网络能够更加深度地抽取表征网络连接样本数据的本质特征,学习到的特征更利于结果分类,而且,随着数据量的增加,卷积神经网络算法可以学习到更全面、更深刻的特征,而且卷积神经网络具有共享卷积核的特点,权重共享的特性大大减少了模型训练的计算量,能够更快地判断流量数据的异常类型,从而提高了网络入侵检测的效率和检测精度。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例中,第一种网络入侵检测模型的训练流程示意图;
图2为本发明实施例中,本发明实施例对网络连接样本数据的预处理流程示意图;
图3为本发明实施例中,经典的卷积网络LeNet5的网络结构示意图;
图4为本发明实施例中,第二种网络入侵检测模型的训练流程示意图;
图5为本发明实施例中,基于深度学习的网络入侵检测方法的实施流程示意图;
图6为根据本发明实施方式的基于深度学习的网络入侵检测装置的结构示意图;
图7为根据本发明实施方式的计算装置的结构示意图。
具体实施方式
为了提高网络入侵检测的效率和检测精度,本发明实施例提供了一种基于深度学习的网络入侵检测方法、装置和存储介质。
本发明中的终端设备可以是个人电脑(英文全称:Personal Computer,PC)、平板电脑、个人数字助理(Personal Digita l Assistant,PDA)、个人通信业务(英文全称:Personal Communication Service,PCS)电话、笔记本和手机等终端设备,也可以是具有移动终端的计算机,例如,可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置,它们能够向用户提供语音和/或数据连通性的设备,以及与无线接入网交换语言和/或数据。
另外,本发明实施例中的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。
在本文中提及的“多个或者若干个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
深度学习自提出以来,因为它能从原始数据中提出高层次特征,从海量的数据中挖掘潜在信息,因此被广泛地应用在图像识别、语音识别、自然语言处理等热门领域,其中在入侵检测领域也有一些深度学习算法的应用:如深度信念网络、多层极限学习机、LSTM(长短期记忆网络)等。卷积神经网络(CNN)是深度学习中一种较为常用的算法,为了解决现在大规模网络实时入侵检测的问题,本发明实施例中利用CNN算法检测流量数据是否存在网络攻击,减少了数据分析的时间,保证了检测的实时性,进而保证网络安全。
本发明实施例提供了一种基于深度学习CNN算法的网络入侵检测方法,主要包括三个步骤:
步骤1:数据预处理。此步骤是把不同类型的数据调整成统一格式,然后对数据进行归一化处理,最后把数据格式调整为图像格式,方便CNN模型进行数据分析训练。
步骤2:模型训练。模型的训练是通过不断调整网络参数来提高CNN模型特征提取和分类的性能,根据每个样本的训练结果调整网络参数,使得模型最终朝着目标方向进行训练,逐步提高模型的性能。
步骤3:模型测试。模型经过在训练集上的多次训练后(步骤2),在测试集上进行测试,根据测试结果判断训练好的模型是否满足准确率要求,如果准确率满足训练要求,则停止模型训练,否则,模型继续执行步骤2。
如图1所示,其为本发明实施例中,网络入侵检测模型的训练流程示意图,包括以下步骤:
S11、从训练数据集中获取网络连接样本数据。
本发明实施例中,以训练数据集为NSL-KDD数据集为例进行说明,NSL-KDD数据集是从KDDCUP99数据集改进而来的,去除了其中的一些错误记录和大量冗余的记录,NSL-KDD数据集在保留原始数据信息的前提下,大大减少了数据量。一个网络连接由数据集中的一条记录表示,每条记录包含41个特征,包括38个数字型特征和3个字符型特。
S12、对网络连接样本数据进行预处理后转换为第二图片格式数据。
具体实施时,每一网络连接样本数据由多个特征组成,所述特征包括字符型特征和数字型特征,为了使得模型可以对所有的特征数据进行训练,需要把字符型特征转换为数字型特征。本发明实施例对网络连接样本数据的预处理包括数据格式转换和归一化处理两个步骤,如图2所示:
S121、针对每一网络连接样本数据,将该网络连接样本数据中包含的字符型特征转换为数字型特征后得到该网络连接样本数据对应的第一特征向量。
本发明实施例中,可以采用one-hot编码方式进行数据类型的转换。one-hot编码又称为独热编码,假设一个属性有n类状态,则用n位状态寄存器对n个状态进行编码,每个状态都有各自独立的寄存器位,每个时刻只有一个寄存器位有效。比如字符型特征protocol_type有三种数据:TCP、UDP和ICMP,使用one-hot进行编码的结果为:TCP用[0,0,1]表示,UDP用[0,1,0]表示,ICMP由[1,0,0]表示。对其他字符型数据也进行one-hot编码,即可把所有数据转换成数字型数据。此外,因为protocol_type的数据类型有3种,所以经过数据格式转换后,该特征的数据由1位变成3位,而特征service的数据类型为70种,特征flag的数据类型有11种,则经过数据格式转换后,再加上原来的38个数字型特征,这样,对于一个网络连接来说包含122位特组成一个1*122的特征向量,为了便于描述,本发明实施例中,后续的数据处理和分析均是基于转换后的1*122维的数据特征进行的。
S122、对第一特征向量中包含的特征进行归一化处理得到第二特征向量。
由于每个属性特征的数据量纲不同,所以每类数据的数值范围大小不一,为了消除数据量纲带来的模型倾斜的影响,本发明实施例中,还可以对数据集进行归一化处理。
数据归一化是数据预处理的一个重要步骤,因为在神经网络的处理过程中,会涉及到数据的加权操作,如果数据量纲不同,不同属性的数据值偏差较大,会造成实验结果倾斜于数据值较大的属性,不能客观的反映属性对结果的重要程度。为了消除量纲和量级对结果的影响,本发明实施例中采用数据归一化处理,把数据统一映射到[0,1]。
具体实施时,可以采用min-max标准化进行数据归一化处理,具体实现方法如下:
Figure BDA0001787089760000091
其中:
max表示样本数据的最大值,样本数据对应的数值即数字型特征对应的数值,min表示样本数据的最小值,X表示待归一化的样本数据,X*表示归一化的样本数据。通过归一化处理,所有的样本数据都映射到[0,1],消除了数据中的量纲、单位等属性,基于归一化后的数据,模型可以更加真实、准确地提取影响结果的关键属性。
经过数据格式统一和数据归一化处理之后,样本数据变成1×122维的向量。为了提高网络入侵检测模型的效率和精度,本发明实施例中,针对每一网络连接样本数据,将所述第二特征向量转换为N*N的矩阵,其中,N为使得N*N不大于第二特征向量中包含的特征数量的最大整数值,将样本数据格式转换为图片数据格式。
其中,如果N*N不等于所述第二特征向量中包含的特征的数量,则在将第二特征向量转换为N*N的矩阵之前,从第二特征向量中删除M个特征得到第三特征向量,以使N*N等于第三特征向量中包含的特征数量,其中M为正整数。
延续上例,即将1*122维的特征向量转换为N*N的特征矩阵。当把特征向量转换为N*N维矩阵时,由于只有N足够大,深度学习模型才能利用更多的原始数据去抓取事物的本质特征,更好的优化模型性能,因此,本发明实施例中,可以按照以下公式确定N的值:1*122≥N*N,且N取满足上述公式的最大值,因此N取值为11。由于1*122-11*11=1,因此,本发明实施例中可以从122维特征中选择删除1个特征。
本发明实施例中,可以选择使用变异系数法(CV)选择待删除的特征。CV越大,说明该特征在表征事物中起的作用越大,因此,可以根据各特征对应的CV,从小到大的选择特征进行删除。因此,本发明实施例中,选择删除具有最小CN的特征。
基于此,本发明实施例中,可以按照以下方法选择出M个特征删除:针对所述第二特征向量中包含的每一特征,按照以下公式确定该特征对应的变异系数:
Figure BDA0001787089760000101
根据CV由小到大的顺序选择M个特征删除,其中:
CV表示该特征对应的变异系数;
σ表示该特征对应的标准差;
μ表示该特征对应的平均值。
当然,具体实施时,还可以随机选择一个特征删除,本发明实施例对此不进行限定。
S13、初始化网络入侵检测模型参数。
在进行训练之前,需要对网络入侵检测模型的迭代次数、批处理大小、学习率、卷积核大小、卷积核个数等参数进行初始化设置。
例如,针对学习率来说,学习率指的是沿着目标函数梯度下降方向搜索的步长,学习率的大小和模型的收敛速度、能否找到最优值紧密相关,因此一定得设置一个合适的学习率才能使模型达到最好的效果。学习率的设置是一个根据实验结果不断调整的过程,一般使用较多的学习率有0.001,0.003,0.01,0.03,0.1,0.3,1,同时,也可以在模型训练的过程中调整学习率的大小,因为在模型训练到一定程度时,可能会出现训练集误差在一定范围内波动,不再继续下降的情况,这时可以适当减小学习率,让模型朝着更优的方向进行。
通常情况下,每一样本数据对应的损失函数权重系数均为1,本发明实施例中,为了避免由于使用的样本数据的类别数量差异较大,导致的模型偏向于大数据量的样本,采用基于损失函数的方法根据不同类型样本所占的比例来调整该类样本损失函数的权重,其中,占比较小的样本的损失函数赋予较大的权重,占比较高的样本的损失函数赋予较小的权重。基于此,本发明实施例中,在计算损失函数时,根据样本数量设置样本损失函数的权重的方法,可以有效避免小样本被忽略的情况。即本发明实施例中,每一类型的样本数据对应的损失函数权重系数为根据所述训练数据集中包含的每类样本数据的数量确定出的。
具体地,针对每一类型的样本数据,根据所述训练数据集中包含的该类样本数据的数量按照以下方法确定其对应的损失函数权重系数:
针对每一类型的样本数据,统计所述训练数据集中该类型样本数据的数量;以及按照以下公式确定该类样本数据对应的损失函数权重系数:
Figure BDA0001787089760000111
其中:
ni表示第i类样本数据在训练数据集中的数量,i=1,2,3……m,m为样本数据类型总数量;
Wi表示第i类样本数据对应的损失函数权重系数;
Max表示ni中的最大值。
例如,根据网络连接中存在的网络攻击类型,NSL-KDD数据集可分为5类:normal、DOS、Probe、U2R、R2L,以相应的样本数据在训练数据集中的个数分别为n1,n2,n3,n4,n5为例,用max表示n1,n2,n3,n4,n5中的最大值,则每类样本的损失函数的权重可以由如下公式进行计算:
Figure BDA0001787089760000121
具体实施时,每类样本的损失函数的权重可以根据上述公式进行计算,也可以根据实际情况对计算公式进行调整。
S14、利用卷积神经网络对第二图片格式数据进行训练,直至网络入侵检测模型输出与期望输出之间的误差不大于预设阈值或者达到预设的迭代次数。
本步骤中,利用深度学习中的CNN(Convolutional Neural Networks,卷积神经网络)模型进行训练。卷积神经网络包括五个基本层:输入层、卷积层、池化层、全连接层、输出层,其中卷积层、池化层可多次交替存在,全连接层也可多次连续存在。经典的卷积网络LeNet5的网络结构如图3所示。
网络入侵检测模型的训练过程如下:
首先定义一些模型中涉及到的变量:
m:m表示样本的数量;
n:n表示卷积层和池化层的个数(本发明中卷积层和池化层成对出现);
xi:xi表示样本i,i=1,2,L,m;
hj:hj表示第j层图像特征数据,j=1,2,L,n,输入层数据用h0表示;
wj:wj表示第j层卷积核,j=1,2,L,n;
bj:bj表示第j层偏差,j=1,2,L,n,其中,j层偏差根据随机数进行初始化;
yi:yi表示第i个样本的输出,i=1,2,L,m。
把预处理之后的11*11维的数据输入到CNN模型中,输入的数据首先经过卷积处理得到卷积层,卷积层的计算公式如下所示:
Figure BDA0001787089760000131
其中
Figure BDA0001787089760000132
表示卷积运算,f(x)表示激活函数,具体实施时,可以采用ReLU函数做为激活函数。
得到卷积层之后,接下来进行池化操作,池化本质上也是卷积操作,目的是缩小数据的维度,同时一定程度上可以避免模型出现过拟合,实现原理是从某一区域中选择一个值代表这个区域特征,一般分为最大化池化、平均池化、最小化池化,本发明选择最大化池化方式进行数据的池化处理,因为最大化池化可以更多地保留图像的纹理信息,即反映类别的特征数据。池化过程用下面的公式表示:
hj=pool(hj-1)
具体实施时,pool函数可以采用max_pool函数,即最大化池化函数。
经过多次卷积-池化操作后,hj由一个N*N的矩阵转换为一个R*R的矩阵,其中,R为小于N的整数,本例中以转换为2*2的矩阵为例,如果最后一层卷积核的个数为n,平铺之后变成n*2*2。
本发明实施例中,以n取值为20为例,当然具体实施时,n可以根据实际需要进行设定,本发明实施例对此不进行限定。
把最后一层得到的特征数据hj平铺成向量数据,该向量经过一个全连接层处理得到模型的输出结果yi
具体地,n*2*2的向量经过一个全连接的神经网络进行计算,计算结果就是样本分类结果。如果样本有10类,则yi就是一个1*10的向量,向量中的每个数据代表样本i属于该类的概率,分类概率最大项就是样本i的类别。
损失函数计算模型输出和期望输出之间的差值,然后采用随机梯度下降算法得到最小的损失函数值,根据计算结果,修正卷积核和偏差继续训练,直至网络入侵检测模型输出与期望输出之间的误差不大于预设阈值或者达到预设的迭代次数。
为例更好地理解本发明实施例,以下结合图4对本发明实施例提供的网络入侵检测模型的训练流程进行说明,包括以下步骤:
S41、读取训练数据集。
S42、统一数据格式。
本发明采用的数据集为NSL-KDD数据集,数据集的每个网络连接用41个属性特征表示,其中有38个特征为数字型,有3个为符号型,为了进行模型训练,需要把数据统一为数字类型。
S43、归一化样本数据。
每个属性特征的数据量纲不同,所以每类数据的数值范围大小不一,为了消除数据量纲带来的模型倾斜的影响,需要对数据集进行归一化处理。
S44、将样本数据转化为图片数据格式。
本发明实施例中,用于训练的数据格式为N*N维的数据格式。经过数据格式统一之后,代表连接的数据为一个1*122的向量,在把数据格式转换为11*11的矩阵后,模型准确率和运行效率提高,因此,本发明实施例中可以把归一化后的数据进行1*122维到11*11维的格式转换。
S45、初始化模型参数。
在模型进行训练之前,需要对模型的迭代次数、批处理大小、学习率、卷积核大小、卷积核个数等参数进行初始化设置,此外,为了避免采用的样本的类别数量差异较大,导致模型偏向于大数据量的样本,在计算损失函数时,本发明实施例提供了一种根据样本数量设置样本损失函数的权重的方法,可以有效避免小样本被忽略的情况。
S46、训练模型。
在模型初始化参数设置完毕后,就可以把预处理之后的训练数据输入模型进行训练,在模型训练过程中,为了加快模型的训练速度,训练前期学习率设置较高,随着模型的不断训练,如果学习率很高,参数向量则会出现无规律的变化,导致模型不能收敛或者找不到最优解,因此,此时可以对学习率进行衰减操作。
S47、判断网络入侵检测模型误差是否满足预设值或达到最大迭代次数,如果是,执行步骤S48,否则,更新网络入侵检测模型参数,并执行步骤S46。
S48、测试模型。
把测试数据集输入已经训练好的入侵检测模型,进行测试数据集的学习及分类。
基于训练好的网络入侵检测模型,本发明实施例还提供了一种基于深度学习的网络入侵检测方法,如图5所示,可以包括以下步骤:
S51、从待检测的网络连接中提取原始数据。
本步骤中,从待检测的网络连接中提取的原始数据同样可以采用41个属性特征标识,其中,38个特征为数字型,有3个为字符型。
S52、对原始数据进行预处理后转换为第一图片格式数据。
其中,本步骤中,对于原始数据进行预处理以及进行图片格式转换的实施过程分别与样本数据的预处理以及进行图片格式转换的实施过程相同,这里不再赘述。
S53、基于原始数据转换得到的第一图片格式数据,利用预设的网络入侵检测模型进行检测。
具体实施时,将得到的第一图片格式数据输入到训练好的网络入侵检测模型中,即可输出是否存在攻击以及存在攻击时,还包括输出网络攻击类型。
本发明实施例提供的网络入侵检测模型训练方法中提出采用深度学习的卷积神经网络进行大规模网络的网络入侵检测,与传统的网络入侵检测模型相比,本发明提出的网络入侵检测模型不再把入侵检测分成特征选择、流量分类两个单独的部分执行,深度学习融合了特征选择算法和分类算法的功能,并且,与传统的特征选择算法相比,深度学习依据其模型特点,能给更加深度地抽取表征事物的本质特征,深度学习算法学习到的特征更利于事务分类,而且,随着数据量的增加,深度学习算法可以学习到更全面、更深刻的特征,模型性能进一步提高,从而提高了网络入侵检测的精度,而传统特征选择算法很难处理大量的数据信息;与其他应用在入侵检测领域地深度学习算法,如RNN、深度置信网络相比,卷积神经网络具有共享卷积核的特点,权重共享的特性大大减少了模型的计算量,模型能给更快地判断流量数据的异常类型,提高了网络入侵检测的效率。
基于同一发明构思,本发明实施例中还提供了一种基于深度学习的网络入侵检测装置,由于上述装置及设备解决问题的原理与网络入侵检方法相似,因此上述装置及设备的实施可以参见方法的实施,重复之处不再赘述。
如图6所示,其为本发明实施例提供的基于深度学习的网络入侵检测装置的结构示意图,包括:
提取单元61,用于从待检测的网络连接中提取原始数据;
第一转换单元62,用于对所述原始数据进行预处理后转换为第一图片格式数据;
检测单元63,用于基于所述原始数据转换得到的第一图片格式数据,利用预设的网络入侵检测模型进行检测,其中,所述网络入侵检测模型为利用卷积神经网络对训练数据集中的网络连接样本数据进行训练得到的。
可选地,本发明实施例提供的基于深度学习的网络入侵检测装置,还包括:
获取单元,用于从训练数据集中获取网络连接样本数据;
第二转换单元,用于对所述网络连接样本数据进行预处理后转换为第二图片格式数据;
初始化单元,用于初始化网络入侵检测模型参数,所述网络入侵检测模型参数包括针对每一类型的样本数据设置的损失函数权重系数,其中,每一类型的样本数据对应的损失函数权重系数为根据所述训练数据集中包含的每类样本数据的数量确定出的;
训练单元,用于利用卷积神经网络对所述第二图片格式数据进行训练,直至网络入侵检测模型输出与期望输出之间的误差不大于预设阈值或者达到预设的迭代次数。
可选地,每一网络连接样本数据由多个特征组成,所述特征包括字符型特征和数字型特征;以及
所述第二转换单元,用于针对每一网络连接样本数据,按照以下流程对所述网络连接样本数据进行预处理:针对每一网络连接样本数据,将该网络连接样本数据中包含的字符型特征转换为数字型特征后得到该网络连接样本数据对应的第一特征向量;对所述第一特征向量中包含的特征进行归一化处理得到第二特征向量;针对每一网络连接样本数据,将所述第二特征向量转换为N*N的矩阵,其中,N为使得N*N不大于第二特征向量中包含的特征数量的最大整数值。
可选地,本发明实施例提供的基于深度学习的网络入侵检测装置,还包括:
删除单元,用于如果N*N不等于所述第二特征向量中包含的特征的数量,则在所述第二转换单元将第二特征向量转换为N*N的矩阵之前,从所述第二特征向量中删除M个特征得到第三特征向量,以使N*N等于第三特征向量中包含的特征数量,其中M为正整数。
可选地,所述删除单元,用于针对所述第二特征向量中包含的每一特征,按照以下公式确定该特征对应的变异系数:
Figure BDA0001787089760000171
根据CV由小到大的顺序选择M个特征删除,其中:
CV表示该特征对应的变异系数;
σ表示该特征对应的标准差;
μ表示该特征对应的平均值。
可选地,所述初始化单元,用于针对每一类型的样本数据,统计所述训练数据集中该类型样本数据的数量;以及按照以下公式确定该类样本数据对应的损失函数权重系数:
Figure BDA0001787089760000172
其中:
ni表示第i类样本数据在训练数据集中的数量,i=1,2,3……m,m为样本数据类型总数量;
Wi表示第i类样本数据对应的损失函数权重系数;
Max表示ni中的最大值。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本发明时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
在介绍了本发明示例性实施方式的基于深度学习的网络入侵检测方法和装置之后,接下来,介绍根据本发明的另一示例性实施方式的计算装置。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
在一些可能的实施方式中,根据本发明的计算装置可以至少包括至少一个处理器、以及至少一个存储器。其中,所述存储器存储有程序代码,当所述程序代码被所述处理器执行时,使得所述处理器执行本说明书上述描述的根据本发明各种示例性实施方式的基于深度学习的网络入侵检测方法中的步骤。例如,所述处理器可以执行如图1中所示的步骤S11、从训练数据集中获取网络连接样本数据,和步骤S12、对网络连接样本数据进行预处理后转换为第二图片格式数据;以及步骤S13、初始化网络入侵检测模型参数;步骤S14、利用卷积神经网络对第二图片格式数据进行训练,直至网络入侵检测模型输出与期望输出之间的误差不大于预设阈值或者达到预设的迭代次数。
下面参照图7来描述根据本发明的这种实施方式的计算装置70。图7显示的计算装置70仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,计算装置70以通用计算设备的形式表现。计算装置70的组件可以包括但不限于:上述至少一个处理器71、上述至少一个存储器72、连接不同系统组件(包括存储器72和处理器71)的总线73。
总线73表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储器72可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)721和/或高速缓存存储器722,还可以进一步包括只读存储器(ROM)723。
存储器72还可以包括具有一组(至少一个)程序模块724的程序/实用工具725,这样的程序模块724包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
计算装置70也可以与一个或多个外部设备74(例如键盘、指向设备等)通信,还可与一个或者多个使得用户能与计算装置70交互的设备通信,和/或与使得该计算装置70能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口75进行。并且,计算装置70还可以通过网络适配器76与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器76通过总线73与用于计算装置70的其它模块通信。应当理解,尽管图中未示出,可以结合计算装置70使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
在一些可能的实施方式中,本发明提供的基于深度学习的网络入侵检测方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在计算机设备上运行时,所述程序代码用于使所述计算机设备执行本说明书上述描述的根据本发明各种示例性实施方式的基于深度学习的网络入侵检测方法中的步骤,例如,所述计算机设备可以执行如图1中所示的步骤S11、从训练数据集中获取网络连接样本数据,和步骤S12、对网络连接样本数据进行预处理后转换为第二图片格式数据;以及步骤S13、初始化网络入侵检测模型参数;步骤S14、利用卷积神经网络对第二图片格式数据进行训练,直至网络入侵检测模型输出与期望输出之间的误差不大于预设阈值或者达到预设的迭代次数。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本发明的实施方式的用于网络入侵检测的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在计算设备上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (14)

1.一种基于深度学习的网络入侵检测方法,其特征在于,包括:
从待检测的网络连接中提取原始数据;
对所述原始数据进行预处理后转换为第一图片格式数据;
基于所述原始数据转换得到的第一图片格式数据,利用预设的网络入侵检测模型进行检测,其中,所述网络入侵检测模型为利用卷积神经网络对训练数据集中的网络连接样本数据进行训练得到的。
2.如权利要求1所述的方法,其特征在于,利用卷积神经网络按照以下流程对训练数据集中的样本数据进行训练得到所述网络入侵检测模型:
从训练数据集中获取网络连接样本数据;
对所述网络连接样本数据进行预处理后转换为第二图片格式数据;
初始化网络入侵检测模型参数,所述网络入侵检测模型参数包括针对每一类型的样本数据设置的损失函数权重系数,其中,每一类型的样本数据对应的损失函数权重系数为根据所述训练数据集中包含的每类样本数据的数量确定出的;
利用卷积神经网络对所述第二图片格式数据进行训练,直至网络入侵检测模型输出与期望输出之间的误差不大于预设阈值或者达到预设的迭代次数。
3.如权利要求2所述的方法,其特征在于,每一网络连接样本数据由多个特征组成,所述特征包括字符型特征和数字型特征;以及
针对每一网络连接样本数据,按照以下流程对所述网络连接样本数据进行预处理:
针对每一网络连接样本数据,将该网络连接样本数据中包含的字符型特征转换为数字型特征后得到该网络连接样本数据对应的第一特征向量;
对所述第一特征向量中包含的特征进行归一化处理得到第二特征向量;以及
针对每一网络连接样本数据,按照以下流程对第二特征向量转换为图片格式数据:
针对每一网络连接样本数据,将所述第二特征向量转换为N*N的矩阵,其中,N为使得N*N不大于第二特征向量中包含的特征数量的最大整数值。
4.如权利要求3所述的方法,其特征在于,如果N*N不等于所述第二特征向量中包含的特征的数量,则在将第二特征向量转换为N*N的矩阵之前,还包括:
从所述第二特征向量中删除M个特征得到第三特征向量,以使N*N等于第三特征向量中包含的特征数量,其中M为正整数。
5.如权利要求4所述的方法,其特征在于,按照以下方法从所述第二特征向量中选择删除的特征:
针对所述第二特征向量中包含的每一特征,按照以下公式确定该特征对应的变异系数:
Figure FDA0001787089750000021
根据CV由小到大的顺序选择M个特征删除,其中:
CV表示该特征对应的变异系数;
σ表示该特征对应的标准差;
μ表示该特征对应的平均值。
6.如权利要求2~5任一权利要求所述的方法,其特征在于,针对每一类型的样本数据,根据所述训练数据集中包含的该类样本数据的数量按照以下方法确定其对应的损失函数权重系数:
针对每一类型的样本数据,统计所述训练数据集中该类型样本数据的数量;以及
按照以下公式确定该类样本数据对应的损失函数权重系数:
Figure FDA0001787089750000022
其中:
ni表示第i类样本数据在训练数据集中的数量,i=1,2,3……m,m为样本数据类型总数量;
Wi表示第i类样本数据对应的损失函数权重系数;
Max表示ni中的最大值。
7.一种基于深度学习的网络入侵检测装置,其特征在于,包括:
提取单元,用于从待检测的网络连接中提取原始数据;
第一转换单元,用于对所述原始数据进行预处理后转换为第一图片格式数据;
检测单元,用于基于所述原始数据转换得到的第一图片格式数据,利用预设的网络入侵检测模型进行检测,其中,所述网络入侵检测模型为利用卷积神经网络对训练数据集中的网络连接样本数据进行训练得到的。
8.如权利要求7所述的装置,其特征在于,还包括:
获取单元,用于从训练数据集中获取网络连接样本数据;
第二转换单元,用于对所述网络连接样本数据进行预处理后转换为第二图片格式数据;
初始化单元,用于初始化网络入侵检测模型参数,所述网络入侵检测模型参数包括针对每一类型的样本数据设置的损失函数权重系数,其中,每一类型的样本数据对应的损失函数权重系数为根据所述训练数据集中包含的每类样本数据的数量确定出的;
训练单元,用于利用卷积神经网络对所述第二图片格式数据进行训练,直至网络入侵检测模型输出与期望输出之间的误差不大于预设阈值或者达到预设的迭代次数。
9.如权利要求8所述的装置,其特征在于,每一网络连接样本数据由多个特征组成,所述特征包括字符型特征和数字型特征;以及
所述第二转换单元,用于针对每一网络连接样本数据,按照以下流程对所述网络连接样本数据进行预处理:针对每一网络连接样本数据,将该网络连接样本数据中包含的字符型特征转换为数字型特征后得到该网络连接样本数据对应的第一特征向量;对所述第一特征向量中包含的特征进行归一化处理得到第二特征向量;针对每一网络连接样本数据,将所述第二特征向量转换为N*N的矩阵,其中,N为使得N*N不大于第二特征向量中包含的特征数量的最大整数值。
10.如权利要求9所述的装置,其特征在于,还包括:
删除单元,用于如果N*N不等于所述第二特征向量中包含的特征的数量,则在所述第二转换单元将第二特征向量转换为N*N的矩阵之前,从所述第二特征向量中删除M个特征得到第三特征向量,以使N*N等于第三特征向量中包含的特征数量,其中M为正整数。
11.如权利要求10所述的装置,其特征在于,
所述删除单元,用于针对所述第二特征向量中包含的每一特征,按照以下公式确定该特征对应的变异系数:
Figure FDA0001787089750000041
根据CV由小到大的顺序选择M个特征删除,其中:
CV表示该特征对应的变异系数;
σ表示该特征对应的标准差;
μ表示该特征对应的平均值。
12.如权利要求8~11任一权利要求所述的装置,其特征在于,
所述初始化单元,用于针对每一类型的样本数据,统计所述训练数据集中该类型样本数据的数量;以及按照以下公式确定该类样本数据对应的损失函数权重系数:
Figure FDA0001787089750000042
其中:
ni表示第i类样本数据在训练数据集中的数量,i=1,2,3……m,m为样本数据类型总数量;
Wi表示第i类样本数据对应的损失函数权重系数;
Max表示ni中的最大值。
13.一种计算装置,其特征在于,包括至少一个处理器、以及至少一个存储器,其中,所述存储器存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行权利要求1~6任一所述方法的步骤。
14.一种计算机可读介质,其特征在于,其存储有可由终端设备执行的计算机程序,当所述程序在终端设备上运行时,使得所述终端设备执行权利要求1~6任一所述方法的步骤。
CN201811020076.5A 2018-09-03 2018-09-03 一种基于深度学习的网络入侵检测方法、装置和存储介质 Pending CN110875912A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811020076.5A CN110875912A (zh) 2018-09-03 2018-09-03 一种基于深度学习的网络入侵检测方法、装置和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811020076.5A CN110875912A (zh) 2018-09-03 2018-09-03 一种基于深度学习的网络入侵检测方法、装置和存储介质

Publications (1)

Publication Number Publication Date
CN110875912A true CN110875912A (zh) 2020-03-10

Family

ID=69716870

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811020076.5A Pending CN110875912A (zh) 2018-09-03 2018-09-03 一种基于深度学习的网络入侵检测方法、装置和存储介质

Country Status (1)

Country Link
CN (1) CN110875912A (zh)

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111404941A (zh) * 2020-03-17 2020-07-10 广东九联科技股份有限公司 网络安全防护方法及网络安全防护装置
CN111428789A (zh) * 2020-03-25 2020-07-17 广东技术师范大学 一种基于深度学习的网络流量异常检测方法
CN111460441A (zh) * 2020-04-17 2020-07-28 武汉大学 一种基于批归一化卷积神经网络的网络入侵检测方法
CN111478913A (zh) * 2020-04-13 2020-07-31 广东电网有限责任公司东莞供电局 配用电通信网络的网络入侵检测方法、装置及存储介质
CN111614665A (zh) * 2020-05-20 2020-09-01 重庆邮电大学 一种基于深度残差哈希网络的入侵检测方法
CN111970259A (zh) * 2020-08-05 2020-11-20 贵州大学 一种基于深度学习的网络入侵检测方法和报警系统
CN111988329A (zh) * 2020-08-27 2020-11-24 国网湖北省电力有限公司 一种基于深度学习的网络入侵检测方法
CN112104602A (zh) * 2020-08-04 2020-12-18 广东工业大学 一种基于cnn迁移学习的网络入侵检测方法
CN112134876A (zh) * 2020-09-18 2020-12-25 中移(杭州)信息技术有限公司 流量识别系统及方法、服务器
CN112287338A (zh) * 2020-11-30 2021-01-29 国网新疆电力有限公司电力科学研究院 基于adasyn算法和改进卷积神经网络的入侵检测方法及装置
CN112866246A (zh) * 2021-01-18 2021-05-28 北方工业大学 基于深度学习的DDoS检测方法、装置、电子设备及存储介质
CN112929382A (zh) * 2021-03-01 2021-06-08 中南大学 用于光突发交换网络中的入侵检测方法
CN113067798A (zh) * 2021-02-22 2021-07-02 中国科学院信息工程研究所 Ics入侵检测方法、装置、电子设备和存储介质
CN113179276A (zh) * 2021-04-30 2021-07-27 中国人民解放军国防科技大学 基于显式和隐含特征学习的智能入侵检测方法和系统
CN113507460A (zh) * 2021-06-30 2021-10-15 贵州电网有限责任公司电力科学研究院 异常报文检测方法、装置、计算机设备和存储介质
CN113792585A (zh) * 2021-08-03 2021-12-14 重庆兆光科技股份有限公司 一种管道振动信号监测方法、系统、电子设备及介质
WO2022007581A1 (en) * 2020-07-10 2022-01-13 Kyndryl, Inc. Deep learning network intrusion detection
CN114826393A (zh) * 2022-04-09 2022-07-29 国网福建省电力有限公司 一种基于深度置信网络的光纤网络链路缺陷数据检测方法
CN115021997A (zh) * 2022-05-26 2022-09-06 广州中南网络技术有限公司 一种基于机器学习的网络入侵检测系统
CN115134168A (zh) * 2022-08-29 2022-09-30 成都盛思睿信息技术有限公司 基于卷积神经网络的云平台隐蔽通道检测方法及系统
CN115396212A (zh) * 2022-08-26 2022-11-25 国科华盾(北京)科技有限公司 检测模型的训练方法、装置、计算机设备和存储介质
CN116112288A (zh) * 2023-04-07 2023-05-12 天翼云科技有限公司 网络入侵检测方法、装置、电子设备和可读存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102158486A (zh) * 2011-04-02 2011-08-17 华北电力大学 一种网络入侵快速检测方法
CN106790019A (zh) * 2016-12-14 2017-05-31 北京天融信网络安全技术有限公司 基于特征自学习的加密流量识别方法及装置
CN107104978A (zh) * 2017-05-24 2017-08-29 赖洪昌 一种基于深度学习的网络风险预警方法
CN107819790A (zh) * 2017-12-08 2018-03-20 中盈优创资讯科技有限公司 攻击报文的识别方法及装置
CN108156130A (zh) * 2017-03-27 2018-06-12 上海观安信息技术股份有限公司 网络攻击检测方法和装置
KR101880907B1 (ko) * 2017-09-22 2018-08-16 펜타시큐리티시스템 주식회사 비정상 세션 감지 방법

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102158486A (zh) * 2011-04-02 2011-08-17 华北电力大学 一种网络入侵快速检测方法
CN106790019A (zh) * 2016-12-14 2017-05-31 北京天融信网络安全技术有限公司 基于特征自学习的加密流量识别方法及装置
CN108156130A (zh) * 2017-03-27 2018-06-12 上海观安信息技术股份有限公司 网络攻击检测方法和装置
CN107104978A (zh) * 2017-05-24 2017-08-29 赖洪昌 一种基于深度学习的网络风险预警方法
KR101880907B1 (ko) * 2017-09-22 2018-08-16 펜타시큐리티시스템 주식회사 비정상 세션 감지 방법
CN107819790A (zh) * 2017-12-08 2018-03-20 中盈优创资讯科技有限公司 攻击报文的识别方法及装置

Cited By (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111404941A (zh) * 2020-03-17 2020-07-10 广东九联科技股份有限公司 网络安全防护方法及网络安全防护装置
CN111428789A (zh) * 2020-03-25 2020-07-17 广东技术师范大学 一种基于深度学习的网络流量异常检测方法
CN111478913A (zh) * 2020-04-13 2020-07-31 广东电网有限责任公司东莞供电局 配用电通信网络的网络入侵检测方法、装置及存储介质
CN111460441A (zh) * 2020-04-17 2020-07-28 武汉大学 一种基于批归一化卷积神经网络的网络入侵检测方法
CN111614665A (zh) * 2020-05-20 2020-09-01 重庆邮电大学 一种基于深度残差哈希网络的入侵检测方法
US11611588B2 (en) 2020-07-10 2023-03-21 Kyndryl, Inc. Deep learning network intrusion detection
WO2022007581A1 (en) * 2020-07-10 2022-01-13 Kyndryl, Inc. Deep learning network intrusion detection
GB2611189A (en) * 2020-07-10 2023-03-29 Kyndryl Inc Deep learning network intrusion detection
CN112104602A (zh) * 2020-08-04 2020-12-18 广东工业大学 一种基于cnn迁移学习的网络入侵检测方法
CN111970259A (zh) * 2020-08-05 2020-11-20 贵州大学 一种基于深度学习的网络入侵检测方法和报警系统
CN111970259B (zh) * 2020-08-05 2022-04-29 贵州大学 一种基于深度学习的网络入侵检测方法和报警系统
CN111988329A (zh) * 2020-08-27 2020-11-24 国网湖北省电力有限公司 一种基于深度学习的网络入侵检测方法
CN111988329B (zh) * 2020-08-27 2022-04-19 国网湖北省电力有限公司 一种基于深度学习的网络入侵检测方法
CN112134876A (zh) * 2020-09-18 2020-12-25 中移(杭州)信息技术有限公司 流量识别系统及方法、服务器
CN112287338A (zh) * 2020-11-30 2021-01-29 国网新疆电力有限公司电力科学研究院 基于adasyn算法和改进卷积神经网络的入侵检测方法及装置
CN112866246A (zh) * 2021-01-18 2021-05-28 北方工业大学 基于深度学习的DDoS检测方法、装置、电子设备及存储介质
CN113067798A (zh) * 2021-02-22 2021-07-02 中国科学院信息工程研究所 Ics入侵检测方法、装置、电子设备和存储介质
CN113067798B (zh) * 2021-02-22 2022-04-12 中国科学院信息工程研究所 Ics入侵检测方法、装置、电子设备和存储介质
CN112929382A (zh) * 2021-03-01 2021-06-08 中南大学 用于光突发交换网络中的入侵检测方法
CN113179276A (zh) * 2021-04-30 2021-07-27 中国人民解放军国防科技大学 基于显式和隐含特征学习的智能入侵检测方法和系统
CN113179276B (zh) * 2021-04-30 2022-07-12 中国人民解放军国防科技大学 基于显式和隐含特征学习的智能入侵检测方法和系统
CN113507460A (zh) * 2021-06-30 2021-10-15 贵州电网有限责任公司电力科学研究院 异常报文检测方法、装置、计算机设备和存储介质
CN113792585A (zh) * 2021-08-03 2021-12-14 重庆兆光科技股份有限公司 一种管道振动信号监测方法、系统、电子设备及介质
CN113792585B (zh) * 2021-08-03 2023-06-27 重庆兆光科技股份有限公司 一种管道振动信号监测方法、系统、电子设备及介质
CN114826393A (zh) * 2022-04-09 2022-07-29 国网福建省电力有限公司 一种基于深度置信网络的光纤网络链路缺陷数据检测方法
CN115021997A (zh) * 2022-05-26 2022-09-06 广州中南网络技术有限公司 一种基于机器学习的网络入侵检测系统
CN115396212A (zh) * 2022-08-26 2022-11-25 国科华盾(北京)科技有限公司 检测模型的训练方法、装置、计算机设备和存储介质
CN115134168A (zh) * 2022-08-29 2022-09-30 成都盛思睿信息技术有限公司 基于卷积神经网络的云平台隐蔽通道检测方法及系统
CN116112288A (zh) * 2023-04-07 2023-05-12 天翼云科技有限公司 网络入侵检测方法、装置、电子设备和可读存储介质
CN116112288B (zh) * 2023-04-07 2023-08-04 天翼云科技有限公司 网络入侵检测方法、装置、电子设备和可读存储介质

Similar Documents

Publication Publication Date Title
CN110875912A (zh) 一种基于深度学习的网络入侵检测方法、装置和存储介质
US11586988B2 (en) Method of knowledge transferring, information processing apparatus and storage medium
CN112905421A (zh) 基于注意力机制的lstm网络的容器异常行为检测方法
US20210150261A1 (en) Method and apparatus for training classification model, and classification method
CN111859010B (zh) 一种基于深度互信息最大化的半监督音频事件识别方法
JP2022141931A (ja) 生体検出モデルのトレーニング方法及び装置、生体検出の方法及び装置、電子機器、記憶媒体、並びにコンピュータプログラム
CN115221516B (zh) 恶意应用程序识别方法及装置、存储介质、电子设备
CN116910752B (zh) 一种基于大数据的恶意代码检测方法
CN111444802B (zh) 一种人脸识别方法、装置及智能终端
CN111950647A (zh) 分类模型训练方法和设备
CN115905855A (zh) 一种改进的元学习算法MG-Reptile
CN117115581A (zh) 一种基于多模态深度学习的智能误操作预警方法及系统
CN116579616B (zh) 一种基于深度学习的风险识别方法
CN114169439A (zh) 异常通信号码的识别方法、装置、电子设备和可读介质
WO2023143498A1 (zh) 火焰检测方法、装置、设备和存储介质
CN115954019A (zh) 一种融合自注意力和卷积操作的环境噪声识别方法及系统
US20230186668A1 (en) Polar relative distance transformer
CN114327045A (zh) 基于类别不平衡信号的跌倒检测方法及系统
CN114445917A (zh) 一种人脸活体识别网络训练方法、系统及电子设备
CN109670552B (zh) 一种图像分类方法、装置、设备及可读存储介质
CN113408896A (zh) 结合大数据和云业务的用户行为检测方法及业务服务器
RU2779408C1 (ru) Способ создания комбинированных каскадов нейронных сетей с едиными слоями извлечения признаков и с несколькими выходами, которые обучаются на разных датасетах одновременно
CN110728615B (zh) 基于序贯假设检验的隐写分析方法、终端设备及存储介质
CN116957045B (zh) 基于最优传输理论的神经网络量化方法、系统及电子设备
CN112800756B (zh) 一种基于prado的实体识别方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200310