CN110881037A - 网络入侵检测方法及其模型的训练方法、装置和服务器 - Google Patents

网络入侵检测方法及其模型的训练方法、装置和服务器 Download PDF

Info

Publication number
CN110881037A
CN110881037A CN201911146668.6A CN201911146668A CN110881037A CN 110881037 A CN110881037 A CN 110881037A CN 201911146668 A CN201911146668 A CN 201911146668A CN 110881037 A CN110881037 A CN 110881037A
Authority
CN
China
Prior art keywords
data
intrusion
network
preset
training
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911146668.6A
Other languages
English (en)
Inventor
何泾沙
葛加可
朱娜斐
韩松
张胜凡
李文欣
滕达
李想
杨玥
杜晋晖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Technology
Original Assignee
Beijing University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Technology filed Critical Beijing University of Technology
Priority to CN201911146668.6A priority Critical patent/CN110881037A/zh
Publication of CN110881037A publication Critical patent/CN110881037A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biophysics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Image Analysis (AREA)

Abstract

本发明提供了一种网络入侵检测方法及其模型的训练方法、装置和服务器,该包括获取待检测的网络流量数据;通过预先训练完成的入侵数据检测模型,提取网络流量数据的特征数据,并基于特征数据确定网络流量数据是否是入侵数据;其中,入侵数据检测模型通过双向长短时记忆神经网络训练得到;入侵数据检测模型还用于为提取出的特征数据设置预设的权重值,该检测模型加入了注意力机制,既可以融合所有特征,又可以将关键特征赋予更高的权重,进而增强模型提取入侵数据序列信息的能力,提高了入侵检测的准确率。

Description

网络入侵检测方法及其模型的训练方法、装置和服务器
技术领域
本发明涉及网络入侵检测技术领域,尤其是涉及一种网络入侵检测方法及其模型的训练方法、装置和服务器。
背景技术
目前机器学习模型已经应用于入侵检测,支持向量机,神经网络,随机森林,决策树和关联规则等算法,都使得入侵检测能力有了一定的提升。但在实际环境中,通常由于入侵数据的复杂性,其数据特征空间具有高维和非线性特征,因此传统的机器学习模型会受到时间和空间复杂度的约束,极其容易出现维度爆炸问题。
目前已有人将深度信念网络作为生成模型应用于入侵检测中的数据降维,使用支持向量机对降维之后的数据进行分类,结果显示,当采用支持向量机进行分类时,相比于其他方法,采用深度信念网络进行降维的检测准确率最高。然而,这种方法关注的是深度学习特征的简约能力,其主要采用深度学习的方法进行预训练,并通过传统的监督模型进行分类,因而入侵检测的准确率较低。
发明内容
有鉴于此,本发明的目的在于提供一种网络入侵检测方法及其模型的训练方法、装置和服务器,以解决现有的入侵检测模型中由于入侵数据特征对模型分类的贡献不相等,以及入侵序列的未来信息对注意力机制赋予当前特征的权重值的影响,而间接影响到了分类性能的技术问题。
第一方面,本发明实施例提供了一种网络入侵检测方法,其中,该方法包括:获取待检测的网络流量数据;通过预先训练完成的入侵数据检测模型,提取网络流量数据的特征数据,并基于特征数据确定网络流量数据是否是入侵数据;
其中,入侵数据检测模型通过双向长短时记忆神经网络训练得到;入侵数据检测模型还用于为提取出的特征数据设置预设的权重值。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,网络流量数据包括网络连接和系统审计数据。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,基于特征数据确定网络流量数据是否是入侵数据的步骤之后,方法还包括:
如果网络流量数据是入侵数据,生成报警信息,将报警信息发送至用户。
第二方面,本发明实施例提供了一种网络入侵数据检测模型的训练方法,其中,该方法包括:基于预设的训练集合确定当前训练样本;将当前训练样本进行数据预处理,得到当前训练样本的训练集合;将训练集合输入至预设的双向长短时记忆神经网络,输出入侵分类预测的输出值;根据输出值和预设的损失函数,计算输出值的损失值;根据输出值和损失值更新双向长短时记忆神经网络模型中的参数;继续执行基于预设的训练集合确定当前训练样本的步骤,直至损失值收敛,得到网络入侵检测模型。
结合第二方面,本发明实施例提供了第二方面的第一种可能的实施方式,其中,当前训练样本包括网络连接和系统审计数据的样本数据;
将当前训练样本进行数据预处理,得到当前训练样本的训练集合的步骤,包括:将当前训练样本输入至预设的特征提取单元,输出预设维度的特征数据;对每个维度的特征数据进行数字化处理,将处理后的特征数据进行归一化处理;对归一化处理后的特征数据设置入侵类型标签;将设置有入侵类型标签的特征数据转换为预设格式;从格式转换后的特征数据中选取预设比例的特征数据,形成训练集合。
结合第二方面,本发明实施例提供了第二方面的第二种可能的实施方式,其中,双向长短时记忆神经网络包含:前向传播单元、反向传播单元和全连接单元;前向传播单元包括:双向长短时记忆神经网络细胞、注意力机制细胞和全连接细胞;
将训练集合输入至预设的双向长短时记忆神经网络,输出入侵分类预测的输出值的步骤,包括:将训练集合输入至双向长短时记忆神经网络细胞中进行特征融合,得到融合之后的特征数据;将融合之后的特征数据输入至注意力机制细胞,以对融合之后的特征进行二次特征融合,并赋予预设的权重值;将赋予权重值的特征数据输入至全连接细胞,输出入侵分类预测输出值。
结合第二方面,本发明实施例提供了第二方面的第三种可能的实施方式,其中,得到网络入侵检测模型的步骤之后,方法还包括:基于预设的测试集合确定当前测试样本;将当前测试样本进行数据预处理,输出当前测试样本的测试集合;将测试集合输入至网络入侵检测模型,输出入侵分类测试结果;判断测试结果是否满足预设精度,如果不满足预设精度,继续执行基于预设的训练集合确定当前训练样本的步骤,直至测试结果满足预设精度。
第三方面,本发明实施例提供了一种网络入侵检测装置,其中,该装置包括:数据获取模块,用于获取待检测的网络流量数据;结果输出模块,通过预先训练完成的入侵数据检测模型,提取网络流量数据的特征数据,并基于特征数据确定网络流量数据是否是入侵数据;
其中,入侵数据检测模型通过双向长短时记忆神经网络训练得到;入侵数据检测模型还用于为提取出的特征数据设置预设的权重值。
第四方面,本发明实施例提供了一种网络入侵检测模型的训练装置,其中,该包括:训练样本确定模块,用于基于预设的训练集合确定当前训练样本;训练集合输出模块,用于将当前训练样本进行数据预处理,输出当前训练样本的训练集合;训练结果输出模块,用于将训练集合输入至预设的双向长短时记忆神经网络,输出入侵分类预测输出值;损失值计算模块,用于根据输出值和预设的损失函数,计算输出值的损失值;参数更新模块,用于根据输出值和损失值更新双向长短时记忆神经网络模型中的参数;执行模块,用于继续执行基于预设的训练集合确定当前训练样本的步骤,直至所述损失值收敛,得到网络入侵检测模型。
第五方面,本发明实施例提供了一种服务器,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器执行机器可执行指令以实现第一方面网络入侵检测方法任一可能的实施方式或第二方面网络入侵检测模型的训练方法任一可能的实施方式。
本发明实施例带来了以下有益效果:
该方法利用双向长短时记忆循环神经网络模型进行检测,该检测模型中当前序列数据的输出不仅与之前的状态相关,还与之后的状态相关,可以利用所有入侵数据特征;不仅在双向长短时记忆循环神经网络的基础上考虑了未来序列对现有输出的影响,而且该模型还用于为提取出的特征数据设置预设的权重值,可将入侵特征数据按照关键程度分配不同的权重值。因此,该检测模型加入了注意力机制,既可以融合所有特征,又可以将关键特征赋予更高的权重,进而增强模型提取入侵数据序列信息的能力,提高了入侵检测的准确率。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种网络入侵检测方法的流程图;
图2为本发明实施例提供的另一种网络入侵检测方法的流程图;
图3为本发明实施例提供的一种网络入侵检测模型的训练方法的流程图;
图4为本发明实施例提供的另一种网络入侵检测模型的训练方法的流程图;
图5为本发明实施例提供的另一种网络入侵检测模型的训练方法的流程图;
图6为本发明实施例提供的一种基于注意力机制的双向长短时记忆循环神经网络的结构图;
图7为本发明实施例提供的一种网络入侵检测模型的测试方法的流程图;
图8为本发明实施例提供的一种网络入侵检测装置的结构示意图;
图9为本发明实施例提供的一种网络入侵检测模型的训练装置的结构示意图;
图10为本发明实施例提供的一种服务器的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前现有的网络入侵检测方法,主要采用深度学习的方法进行预训练,通过传统的监督模型进行分类,没有直接应用深度学习方法进行分类,并且没有考虑入侵特征数据对模型分类的贡献是不相等的问题,本发明实施例提供的一种网络入侵检测方法及其模型训练方法、装置和服务器,该技术可以应用于计算机、手机、平板电脑和笔记本电脑等多种设备中,该技术可采用相应的软件和硬件实现,以下对本发明实施例进行详细介绍。
作为示例,下述实施例可以基于以下实验环境:
CPU:Intel(R)Core(TM)i7-85501.80GHz 1.99GHz;
GPU:NVIDIA GeForce MX150;
RAM:8GB;
OS:Windows 1064-bit;
实施例一:
本实施例提供了一种网络入侵检测方法,如图1所示,该网络入侵检测方法包括如下步骤:
步骤S102,获取待检测的网络流量数据;
上述待检测的网络流量数据可以包括网络连接和系统审计数据,还可以包括其他形式的网络流量数据。
步骤S104,通过预先训练完成的入侵数据检测模型,提取网络流量数据的特征数据,并基于特征数据确定网络流量数据是否是入侵数据;其中,入侵数据检测模型通过双向长短时记忆神经网络训练得到;入侵数据检测模型还用于为提取出的特征数据设置预设的权重值。
上述入侵数据检测模型可以通过CNN(Convolutional Neural Networks,卷积神经网络)、RNN(Recurrent Neural Network,循环神经网络)和DNN(Deep Neural Network,深度神经网络)等网络实现。该入侵数据检测模型需要预先训练,然后将上述待检测的网络流量数据通过数据预处理提取特征数据,最后输入至该入侵数据检测模型中,该入侵数据检测模型即可输出该网络流量数据是否是入侵数据。
在实际实现时,上述入侵数据检测模型通过双向长短时记忆神经网络训练得到,上述提取网络流量数据的特征数据可以通过去除唯一属性、特征编码、数据标准化、正则化、特征选择、数字化或者稀疏表示等方法处理待检测的网络流量数据。上述提取网络流量数据的特征数据还可以包括特征分类,将不同特征的数据按照预设的规则进行分类,即可得到上述特征数据。
然后,将特征数据输入至利用双向长短时记忆神经网络预先训练完成的入侵数据检测模型,该模型每一层的输出都可以处理来自前向单元和后向单元的信息,而且该模型加入了注意力机制,可以快速提取稀疏数据的重要特征,擅长捕捉数据或特征的内部相关性,减少对外部信息的依赖,还可以为提取出的特征数据按照关键程度设置不同的权重值。因此,模型既可以融合所有特征,又可以将关键特征赋予更高的权重,增强了模型提取入侵数据序列信息的能力。
最后基于上述提取的特征数据,通过预先训练完成的入侵数据检测模型确定网络流量数据是否是入侵数据。
本发明实施例提供的一种网络入侵检测方法,该方法中利用双向长短时记忆循环神经网络模型进行检测,该检测模型中当前序列数据的输出不仅与之前的状态相关,还与之后的状态相关,可以利用所有入侵数据特征,且每一层的输出都可以处理来自前向单元和后向单元的信息,解决了经典神经网络的梯度爆炸和梯度消失问题;不仅在双向长短时记忆循环神经网络的基础上考虑了未来序列对现有输出的影响,而且该模型还用于为提取出的特征数据设置预设的权重值,可将入侵特征数据按照关键程度分配不同的权重值。因此,该检测模型加入了注意力机制,既可以融合所有特征,又可以将关键特征赋予更高的权重,增强模型提取入侵数据序列信息的能力,进一步提高入侵检测的准确率。
实施例二:
本实施例提供了另一种网络入侵检测方法,该方法在上述实施例的基础上实现;本实施例重点描述待检测的网络流量数据,以及基于特征数据确定网络流量数据是否是入侵数据之后的步骤。如图2所示,本实施例中的网络入侵检测方法包括如下步骤:
步骤S202,获取待检测的网络流量数据;
上述待检测的网络流量数据可以包括网络连接和系统审计数据,其中,一个网络连接定义为:在某个时间内从开始到结束的TCP数据包序列,并且在这段时间内,数据在预定义的协议(TCP、UDP)下从源IP地址到目的IP地址的传递。
步骤S204,通过预先训练完成的入侵数据检测模型,提取网络流量数据的特征数据,并基于特征数据确定网络流量数据是否是入侵数据;其中,入侵数据检测模型通过双向长短时记忆神经网络训练得到;入侵数据检测模型还用于为提取出的特征数据设置预设的权重值。
步骤S206,如果网络流量数据是入侵数据,生成报警信息,将报警信息发送至用户。
上述步骤S204得到最后的检测结果,将检测结果动态的通知系统用户,如果检测结果为入侵数据,系统将生成报警信息,该报警信息可以是提醒用户,用户可以选择保留或者删除该网络流量数据;或者该报警信息也可以提醒用户说明该数据可能为入侵数据,同时进行拦截。
本发明实施例提供的一种网络入侵检测方法,该方法中利用双向长短时记忆循环神经网络模型进行检测,该检测模型中当前序列数据的输出不仅与之前的状态相关,还与之后的状态相关,可以利用所有入侵数据特征,且每一层的输出都可以处理来自前向单元和后向单元的信息,解决了经典神经网络的梯度爆炸和梯度消失问题;不仅在双向长短时记忆循环神经网络的基础上考虑了未来序列对现有输出的影响,而且该模型还用于为提取出的特征数据设置预设的权重值,可将入侵特征数据按照关键程度分配不同的权重值。最后检测结果如果是入侵数据,生成报警信息,将报警信息发送至用户因此,因此,该方法既可以融合所有特征,又可以将关键特征赋予更高的权重,增强模型提取入侵数据序列信息的能力,进一步提高入侵检测的准确率。
实施例三:
对应上述网络入侵检测方法,本实施例还提供了一种网络入侵检测模型的训练方法,如图3所示,该方法包括如下步骤:
步骤S302,基于预设的训练集合确定当前训练样本;
训练入侵数据检测模型需要预先设置训练集合,训练集合包括:多个当前训练样本和每个当前训练样本对应的标准入侵类型标签。当前训练样本用来输入至网络入侵检测模型,网络入侵检测模型输出的检测结果与标准入侵类型进行对比,以调整网络入侵检测模型的参数。
步骤S304,将当前训练样本进行数据预处理,得到当前训练样本的训练集合;
将当前训练样本进行预处理,可以是通过去除唯一属性、特征编码、数据标准化、正则化、特征选择、数字化或者稀疏表示等方法处理当前训练样本。数据处理完成之后还可以包括入侵类型分类,将不同特征的数据按照预设的规则进行分类,并标注入侵类型,即可得到当前训练样本的训练集合。另外,当前训练样本可以是正常数据以及入侵数据。
步骤S306,将训练集合输入至预设的双向长短时记忆神经网络,输出入侵分类预测的输出值;
上述预设的双向长短时记忆神经网络可以包括前向传播算法和反向传播算法,参见表1所示,为前向传播算法的工作流程,其中,前向传播算法负责计算入侵分类预测输出值;上述预设的双向长短时记忆神经网络可以是没有经过训练的网络,该网络将输入的训练集合进行特征融合,可以将关键特征赋予更高的权重,然后将融合后的数据进行入侵类型分类,输出当前训练样本的入侵类型的分类结果。该网络既可以融合所有特征,又可以将关键特征赋予更高的权重,增强网络提取入侵数据序列信息的能力。
表1
Figure BDA0002279890810000101
Figure BDA0002279890810000111
另外,上述入侵分类预测的输出值可以是经过上述预设的双向长短时记忆神经网络得到的检测结果,其中,该检测结果可能与标准的分类结果不同也有可能相同。
步骤S308,根据输出值和预设的损失函数,计算输出值的损失值;
损失函数是将随机事件或其有关随机变量的取值映射为非负实数以表示该随机事件的“风险”或“损失”的函数。损失函数用来表现预测与实际数据的差距程度,也就是分析分类结果和标准标识字符的差距,该差距用损失值表示。损失函数可以分为经验风险损失函数和结构风险损失函数,经验风险损失函数反映的是预测结果和实际结果之间的差别,结构风险损失函数则是经验风险损失函数加上正则项。其中,损失函数可以是均方误差损失函数、合页损失函数、交叉熵损失函数、指数损失函数、CTC loss函数等。
具体实现时,参见表2所示,为反向传播算法的工作流程,通过该反向传播算法,计算损失值的损失函数,通过如下公式计算:
Figure BDA0002279890810000112
式(1)中,第一项是交叉熵损失函数,y为模型的输出,
Figure BDA0002279890810000113
为数据集标签,i表示输入数据特征维度;第二项为L2正则化项,W为模型中所有的权重值,λ为正则系数,n为训练样本的大小,正则化项的目的是强迫模型学到更有用的入侵特征,避免训练过拟合。
表2
Figure BDA0002279890810000121
步骤S310,根据输出值和损失值更新双向长短时记忆神经网络模型中的参数;
上述反向传播算法负责根据输出值与真实标签的损失值更新模型中所有参数。具体地,参见表2,反向传播算法采用Adam随机传播的优化算法进行参数更新,由如下公式表示:
θt←θtη+dL/dθt (2);
式(2)中,θt为更新后的网络中的所有参数,θtη为上一时刻梯度该变量,η为[0,1]上的随机数,记为学习率,L为上述公式(1)中的
Figure BDA0002279890810000122
步骤S312,继续执行基于预设的训练集合确定当前训练样本的步骤,直至损失值收敛,得到网络入侵检测模型。
如果步骤S308计算出的损失值不收敛,则选择下一个当前训练样本进行模型训练,即执行基于预设的新联集合确定当前训练样本的步骤;如果损失值收敛,则停止执行基于预设的训练集合确定当前训练样本的步骤,将该模型输出,作为网络入侵检测模型。损失值收敛,是指对于不同的训练样本,输出的损失值为固定值,或者十分接近于零的某一范围,且没有负数。
除了损失值收敛之外,还可以将损失值满足预设的损失阈值作为标识识别模型的结束训练条件。这里需要说明的是,损失阈值一般为一个范围,例如,损失阈值可以是e-3到e-4。只要损失值在损失阈值的范围内,即可以说明损失值满足预设的损失阈值。
本发明实施例提供的一种网络入侵检测模型的训练方法,采用包括当前训练样本和标准入侵类型标签的训练集合进行网络入侵检测模型的训练,通过数据预处理,得到当前训练样本的训练集合;然后将训练集合输入预设的双向长短时记忆神经网络,输出入侵分类预测的输出值;通过上述输出值和预设的损失函数,计算输出值的损失值;根据上述损失值更新双向长短时记忆神经网络模型中的参数;如果该损失值不收敛则继续训练过程,如果该损失值收敛则停止训练,输出网络入侵检测模型。该检测模型中加入了注意力机制,既可以融合所有特征,又可以使模型在提取入侵数据关键特征时不仅运用到所有时间步输出状态,而且可将入侵特征按照关键程度分配不同的权重值,增强模型提取入侵数据序列信息的能力,进一步提高入侵检测的准确率。
实施例四:
本实施例提供了另一种网络入侵检测模型的训练方法,该方法在上述实施例的基础上实现;其中,当前训练样本包括网络连接和系统审计数据的样本数据;本实施例重点描述将当前训练样本进行数据预处理,得到当前训练样本的训练集合步骤的具体过程。如图4所示,该方法包括如下步骤:
步骤S402,基于预设的训练集合确定当前训练样本;
步骤S404,将当前训练样本输入至预设的特征提取单元,输出预设维度的特征数据;
当前训练样本收集的网络流量数据,是某个时间内从开始到结束的TCP数据包序列,该数据包序列为连续的数据,数据序列较长,上述预设的特征提取单元可以将当前训练样本提取121维关键的基本特征。
步骤S406,对每个维度的特征数据进行数字化处理,将处理后的特征数据进行归一化处理;
上述数字化可以是指将任何连续变化的输入,如图画的线条或声音信号等转化为一串分离的单元,在计算机中用0和1表示,通常用模数转换器执行这个转换。由于上述特征数据的类型具有多样性,可以将每个维度的特征数据进行数字化处理,以便计算机进行识别。
上述归一化处理可以是一种简化计算的方式,即将有量纲的表达式,经过变换,化为无量纲的表达式,成为标量。本实施例中,将每维特征数据进行零-均值规范化处理,使得归一化处理的数据的均值为0,标准差为1,具体公式如下:
Figure BDA0002279890810000141
式(3)中,X*为特征规范化处理之后的值,X是特征值,
Figure BDA0002279890810000142
为原始数据的均值,σ为原始数据的标准差。
步骤S408,对归一化处理后的特征数据设置入侵类型标签;
上述特征数据包含正常数据和入侵数据,人为的将正常数据以及入侵数据进行分类。入侵类型可以分为4大类,共39种攻击类型,设置标签可以为2至5。正常数据只有一类,设置标签可以为1。
步骤S410,将设置有入侵类型标签的特征数据转换为预设格式;
上述预设格式可以是指,从现实中获取的信息,存储到计算机中,就需要转换成计算机可识别的格式。上述预设格式的处理可以包括字符串处理、时间格式处理等。在本实施例中,上述特征数据在进行模型训练之前,需要对特征数据进行格式处理,使其满足该网络入侵检测模型的格式规范要求。
步骤S412,从格式转换后的特征数据中选取预设比例的特征数据,形成训练集合;
将上述分类之后的特征数据选取适当的比例,形成训练数据集以及测试数据集。其中,入侵数据包括4大类,每类选取15000条,正常数据选取60000条,共120000条数据作为训练数据。另外,入侵数据每类选取3000条,正常数据选取12000条,共24000条数据作为测试数据。
步骤S414,将训练集合输入至预设的双向长短时记忆神经网络,输出入侵分类预测的输出值;
步骤S416,据输出值和预设的损失函数,计算输出值的损失值;
步骤S418,根据输出值和损失值更新双向长短时记忆神经网络模型中的参数;
步骤S420,继续执行基于预设的训练集合确定当前训练样本的步骤,直至损失值收敛,得到网络入侵检测模型。
本发明实施例提供的另一种网络入侵检测模型的训练方法,采用包括当前训练样本和标准入侵类型标签的训练集合进行网络入侵检测模型的训练,通过数据预处理,得到当前训练样本的训练集合;然后将训练集合输入预设的双向长短时记忆神经网络,输出入侵分类预测的输出值;通过上述输出值和预设的损失函数,计算输出值的损失值;根据上述损失值更新双向长短时记忆神经网络模型中的参数;如果该损失值不收敛则继续训练过程,如果该损失值收敛则停止训练,输出网络入侵检测模型。该检测模型中加入了注意力机制,既可以融合所有特征,又可以使模型在提取入侵数据关键特征时不仅运用到所有时间步输出状态,而且可将入侵特征按照关键程度分配不同的权重值,增强模型提取入侵数据序列信息的能力,进一步提高入侵检测的准确率。
实施例五:
本实施例提供了另一种网络入侵检测模型的训练方法,该方法在上述实施例的基础上实现;其中,双向长短时记忆神经网络包含:前向传播单元、反向传播单元和全连接单元;前向传播单元包括:双向长短时记忆神经网络细胞、注意力机制细胞和全连接细胞;
本实施例重点描述将训练集合输入至预设的双向长短时记忆神经网络,输出入侵分类预测的输出值步骤的具体过程。如图5所示,该方法包括如下步骤:
步骤S502,基于预设的训练集合确定当前训练样本;
步骤5504,将当前训练样本输入至预设的特征提取单元,输出预设维度的特征数据;
步骤S506,对每个维度的特征数据进行数字化处理,将处理后的特征数据进行归一化处理;
步骤S508,对归一化处理后的特征数据设置入侵类型标签;
步骤S510,将设置有入侵类型标签的特征数据转换为预设格式;
步骤S512,从格式转换后的特征数据中选取预设比例的特征数据,形成训练集合;
步骤S514,将训练集合输入至双向长短时记忆神经网络细胞中进行特征融合,得到融合之后的特征数据;
参见图6所示,为基于注意力机制的双向长短时记忆循环神经网络的结构图,其主体结构分为两部分,一部分是两个单项长短时记忆循环神经网络模型的结合,另一部分为注意力机制;上述双向长短时记忆神经网络细胞可以将训练集合进行特征融合,具体数学表达式如下所示:
Figure BDA0002279890810000171
Figure BDA0002279890810000172
Figure BDA0002279890810000173
式(4)和式(5)中,LSTM函数表示双向长短时记忆神经网络内部门控单元处理函数,式(6)中,g函数表示激活函数,可以选择Rectified Linear Unit(ReLU)作为激活函数。Wab表示从a层到b层的权重,比如,Wif为输入层到前向传播层权重,Wif为输入层到前向传播层权重,Wib为输入层到反向传播层权重,Wbb为反向传播层到反向传播层权重,Wfo为前向传播层到输出层的权重,Wbo为反向传播层到输出层的权重;Xt为输入特征,
Figure BDA0002279890810000174
为前向传播的输出,
Figure BDA0002279890810000175
为反向传播的输出,yt为双向长短时记忆神经网络的输出,bn表示n层的权重。
上述激活函数的作用是加入非线性因素,解决线性模型所不能解决的问题,经过上述公式(6)的计算,最后得到融合之后的特征数据。
步骤S516,将融合之后的特征数据输入至注意力机制细胞,以对融合之后的特征进行二次特征融合,并赋予预设的权重值;
上述预设的权重值可以是,根据特征数据的关键性分配特征数据不同的权重值,可以将关键的特征数据赋予更高的权重。参见图6设计了Attention机制部分,包含K、Q、V三个矩阵,分别表示key、query、value,具体计算过程如下所示:
Figure BDA0002279890810000176
Figure BDA0002279890810000177
Figure BDA0002279890810000178
Figure BDA0002279890810000179
Figure BDA00022798908100001710
Figure BDA00022798908100001711
式(7)、(8)、(9)中,K、Q、V为网络流量数据经过双向长短时记忆循环神经网络模型输出的特征表示,其中注意力机制利用了双向长短时记忆循环神经网络模型所有时间步的输出状态,保证了内部特征的完整性。式(10)中,对矩阵K、Q进行了点乘相似度计算得到相似度矩阵,其目的是使特征与特征之间不受间隔的影响,从而能够捕捉到与远程特征的依赖关系。得到的特征空间矩阵H中的每一项都包含了特征个体信息以及特征个体对全局特征的相似性信息;参见图6所示,矩阵A为权重矩阵,其每一项权重ak计算公式如(11)所示,其中,w∈Rm×1,V∈Rm×i
Figure BDA0002279890810000181
为公式(10)的输出,i为输入特征个数。利用双曲正切函数tanh的非线性特点,使得网络训练中每一组训练批次产生梯度流的正负值可映射到固定小区间内。该公式内采取归一化处理,保证得到的权重相加为1,最终通过模型的多次训练,得到赋予特征的权重值。该公式可以针对于不同分布的入侵数据特征空间,网络会动态产生不同的权重值;公式(12)中,i为输入特征个数,将空间特征矩阵H加权并池化,得到加权后的特征向量Z。
步骤S518,将赋予权重值的特征数据输入至全连接细胞,输出入侵分类预测输出值。
上述全连接细胞为双向长短时记忆循环神经网络的全连接层,将输入到全连接细胞的特征数据进行分类,其中,考虑到数据预处理提取的是121维特征数据,将分类后的特征数据输入到softmax层将数据降至5维特征数据,最后输出入侵分类预测输出值。
参见表1,上述步骤S514、S516、S518利用前向传播算法对特征数据进行入侵预测,得到入侵分类预测输出值。
步骤S520,据输出值和预设的损失函数,计算输出值的损失值;
步骤S522,根据输出值和损失值更新双向长短时记忆神经网络模型中的参数;
步骤S524,继续执行基于预设的训练集合确定当前训练样本的步骤,直至损失值收敛,得到网络入侵检测模型。
本发明实施例提供的另一种网络入侵检测模型的训练方法,采用包括当前训练样本和标准入侵类型标签的训练集合进行网络入侵检测模型的训练,通过数据预处理,得到当前训练样本的训练集合;然后将训练集合输入预设的双向长短时记忆神经网络,输出入侵分类预测的输出值;通过上述输出值和预设的损失函数,计算输出值的损失值;根据上述损失值更新双向长短时记忆神经网络模型中的参数;如果该损失值不收敛则继续训练过程,如果该损失值收敛则停止训练,输出网络入侵检测模型。该检测模型中加入了注意力机制,既可以融合所有特征,又可以使模型在提取入侵数据关键特征时不仅运用到所有时间步输出状态,而且可将入侵特征按照关键程度分配不同的权重值,增强模型提取入侵数据序列信息的能力,进一步提高入侵检测的准确率。
实施例六:
本实施例提供了一种网络入侵检测模型的测试方法,该方法在上述实施例的基础上实现;本实施例重点描述训练完成得到网络入侵检测模型的步骤之后的具体过程。如图7所示,该方法包括如下步骤:
步骤S702,基于预设的测试集合确定当前测试样本;
训练入侵数据检测模型需要预先设置检测集合,检测集合包括:多个当前检测样本和每个当前检测样本对应的标准入侵类型标签。当前检测样本用来输入至网络入侵检测模型,网络入侵检测模型输出的检测结果与入侵类型进行对比,判断测试结果是否满足预设精度,通过模型训练方法继续调整网络入侵检测模型。
步骤S704,将当前测试样本进行数据预处理,输出当前测试样本的测试集合;
与上述训练样本的数据与处理相同,将当前测试样本提取121维关键的基本特征,由于上述基本特征数据的类型具有多样性,可以将每个维度的特征数据进行数字化处理,以便计算机进行识别;对每个维度的特征数据进行数字化处理,将处理后的特征数据进行归一化处理;对归一化处理后的特征数据设置入侵类型标签;将设置有入侵类型标签的特征数据转换为预设格式;从格式转换后的特征数据中选取预设比例的特征数据,形成测试集合。
步骤S706,将测试集合输入至网络入侵检测模型,输出入侵分类测试结果;
上述网络入侵检测模型为已经训练完成的模型,将测试集合输入至双向长短时记忆神经网络细胞中进行特征融合,得到融合之后的特征数据;将融合之后的特征数据输入至注意力机制细胞,以对融合之后的特征进行二次特征融合,并赋予预设的权重值;将赋予权重值的特征数据输入至全连接细胞,输出入侵分类测试输出值。
步骤S708,判断测试结果是否满足预设精度,如果不满足预设精度,继续执行基于预设的训练集合确定当前训练样本的步骤,直至测试结果满足预设精度。
通过上述步骤得到了测试结果,根据测试结果与真实入侵分类标识,计算测试精度。上述预设精度包括测试数据集通过网络入侵检测模型,输出测试结果,其精确度大于99%,精度大于98%,召回率大于98%,F-Measur值大于98%。其中,上述预设精度的评估指标,包括四个不同的参数,分别为:真正例(TP)、真反例(TN)、假正例(FP)、假反例(FN)。TP:被判定为负样本,但事实上是正样本。FP:被判定为正样本,但事实上是负样本。TN:被判定为负样本,事实上也是负样本。FN:被判定为负样本,事实上也是正样本。
具体地,精确度为模型判断正确的数据(TP+TN)占总数据的比例:
精确度=(TP+TN)/(TP+TN+FP+FN);
精度为针对模型判断出的所有正例(TP+FP)而言,其中真正例(TP)占的比例:
精度=TP/(TP+FP);
召回率为针对数据集中的所有正例(TP+FN)而言,模型正确判断出的正例(TP)占数据集中所有正例的比例:
召回率=TP/(TP+FN);
F-Measure值是一种统计量,它是精度和召回率的加权调和平均:
F-Measure值=(2*精度*召回率)/(精度+召回率);
判断测试结果是否满足上述预设精度,如果不满足该预设精度,继续执行基于预设的训练集合确定当前训练样本的步骤,直至测试结果满足上述预设精度。
本发明实施例提供的一种网络入侵检测模型的测试方法,采用包括当前测试样本和标准入侵类型标签的测试集合进行网络入侵检测模型的测试,通过数据预处理,得到当前测试样本的测试集合;然后将测试集合输入网络入侵检测模型,输出入侵分类测试结果;判断测试结果是否满足预设精度,如果不满足预设精度,继续执行基于预设的训练集合确定当前训练样本的步骤,直至测试结果满足预设精度;该检测模型中加入了注意力机制,既可以融合所有特征,又可以使模型在提取入侵数据关键特征时不仅运用到所有时间步输出状态,而且可将入侵特征按照关键程度分配不同的权重值,增强模型提取入侵数据序列信息的能力,同时设置了预设精度,进一步提高了网络入侵检测模型检测的准确度。
实施例七:
对应于上述方法实施例,参见图8所示的一种网络入侵检测装置的结构示意图,该装置包括:
数据获取模块81,用于获取待检测的网络流量数据;
结果输出模块82,通过预先训练完成的入侵数据检测模型,提取网络流量数据的特征数据,并基于特征数据确定网络流量数据是否是入侵数据;
其中,入侵数据检测模型通过双向长短时记忆神经网络训练得到;入侵数据检测模型还用于为提取出的特征数据设置预设的权重值。
进一步地,上述网络流量数据包括网络连接和系统审计数据。
进一步地,上述结果输出模块还用于:如果网络流量数据是入侵数据,生成报警信息,将报警信息发送至用户。
本发明实施例提供的一种网络入侵检测装置,该装置中利用双向长短时记忆循环神经网络模型进行检测,该检测模型中当前序列数据的输出不仅与之前的状态相关,还与之后的状态相关,可以利用所有入侵数据特征,且每一层的输出都可以处理来自前向单元和后向单元的信息,解决了经典神经网络的梯度爆炸和梯度消失问题;不仅在双向长短时记忆循环神经网络的基础上考虑了未来序列对现有输出的影响,而且该模型还用于为提取出的特征数据设置预设的权重值,可将入侵特征数据按照关键程度分配不同的权重值。因此,该检测模型既可以融合所有特征,又可以将关键特征赋予更高的权重,增强模型提取入侵数据序列信息的能力,进一步提高入侵检测的准确率。
参见图9所示的一种网络入侵检测模型的训练装置的结构示意图,该装置包括:
训练样本确定模块91,用于基于预设的训练集合确定当前训练样本;
训练集合输出模块92,用于将当前训练样本进行数据预处理,输出当前训练样本的训练集合;
训练结果输出模块93,用于将训练集合输入至预设的双向长短时记忆神经网络,输出入侵分类预测输出值;
损失值计算模块94,用于根据输出值和预设的损失函数,计算输出值的损失值;
参数更新模块95,用于根据输出值和损失值更新双向长短时记忆神经网络模型中的参数;
执行模块96,用于继续执行基于预设的训练集合确定当前训练样本的步骤,直至所述损失值收敛,得到网络入侵检测模型。
进一步地,上述训练集合输出模块还用于:将当前训练样本输入至预设的特征提取单元,输出预设维度的特征数据;对每个维度的特征数据进行数字化处理,将处理后的特征数据进行归一化处理;对归一化处理后的特征数据设置入侵类型标签;将设置有入侵类型标签的特征数据转换为预设格式;从格式转换后的特征数据中选取预设比例的特征数据,形成训练集合。
进一步地,上述双向长短时记忆神经网络包含:前向传播单元、反向传播单元和全连接单元;前向传播单元包括:双向长短时记忆神经网络细胞、注意力机制细胞和全连接细胞;
进一步地,上述训练结果输出模块还用于:将训练集合输入至双向长短时记忆神经网络细胞中进行特征融合,得到融合之后的特征数据;将融合之后的特征数据输入至注意力机制细胞,以对融合之后的特征进行二次特征融合,并赋予预设的权重值;将赋予权重值的特征数据输入至全连接细胞,输出入侵分类预测输出值。
进一步地,上述装置还包括,基于预设的测试集合确定当前测试样本;将当前测试样本进行数据预处理,输出当前测试样本的测试集合;将测试集合输入至网络入侵检测模型,输出入侵分类测试结果;判断测试结果是否满足预设精度,如果不满足预设精度,继续执行基于预设的训练集合确定当前训练样本的步骤,直至测试结果满足预设精度。
另外,对训练结果输出模块进行性能检测,并对比了其他算法,使用上述训练集合对本申请训练的模型以及AE、DAE、STL、SMR,RNN等模型进行了十次交叉验证,对得到的实验结果进行对比,结果如表3所示。结果表明,本申请提出的模型的测试精度均明显高于其它模型,表现出优秀的入侵分类性能。
表3
Figure BDA0002279890810000241
本发明实施例提供的一种网络入侵检测模型的训练装置,采用包括当前训练样本和标准入侵类型标签的训练集合进行网络入侵检测模型的训练,通过数据预处理,得到当前训练样本的训练集合;然后将训练集合输入预设的双向长短时记忆神经网络,输出入侵分类预测的输出值;通过上述输出值和预设的损失函数,计算输出值的损失值;根据上述损失值更新双向长短时记忆神经网络模型中的参数;如果该损失值不收敛则继续训练过程,如果该损失值收敛则停止训练,输出网络入侵检测模型。该方式中,继续执行基于预设的训练集合确定当前训练样本的步骤,直至损失值收敛,得到网络入侵检测模型。该检测模型中加入了注意力机制,既可以融合所有特征,又可以使模型在提取入侵数据关键特征时不仅运用到所有时间步输出状态,而且可将入侵特征按照关键程度分配不同的权重值,增强模型提取入侵数据序列信息的能力,进一步提高入侵检测的准确率。
实施例八:
本发明实施例还提供了一种服务器,参见图10所示,该服务器包括处理器100和存储器101,该存储器101存储有能够被处理器100执行的机器可执行指令,该处理器100执行机器可执行指令以实现上述网关配置更新方法。
进一步地,图10所示的服务器还包括总线102和通信接口103,处理器100、通信接口103和存储器101通过总线102连接。
其中,存储器101可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口103(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。总线102可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图10中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
处理器100可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器100中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器100可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DigitalSignalProcessor,简称DSP)、专用集成电路(Application Specific IntegratedCircuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器101,处理器100读取存储器101中的信息,结合其硬件完成前述实施例的方法的步骤。
本发明实施例所提供的网络入侵检测方法及其模型训练方法、装置和服务器的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种网络入侵检测方法,其特征在于,所述方法包括:
获取待检测的网络流量数据;
通过预先训练完成的入侵数据检测模型,提取所述网络流量数据的特征数据,并基于所述特征数据确定所述网络流量数据是否是入侵数据;
其中,所述入侵数据检测模型通过双向长短时记忆神经网络训练得到;所述入侵数据检测模型还用于为提取出的所述特征数据设置预设的权重值。
2.根据权利要求1所述的方法,其特征在于,所述网络流量数据包括网络连接和系统审计数据。
3.根据权利要求1所述的方法,其特征在于,基于所述特征数据确定所述网络流量数据是否是入侵数据的步骤之后,所述方法还包括:
如果所述网络流量数据是入侵数据,生成报警信息,将所述报警信息发送至用户。
4.一种网络入侵数据检测模型的训练方法,其特征在于,包括:
基于预设的训练集合确定当前训练样本;
将所述当前训练样本进行数据预处理,得到所述当前训练样本的训练集合;
将所述训练集合输入至预设的双向长短时记忆神经网络,输出入侵分类预测的输出值;
根据所述输出值和预设的损失函数,计算所述输出值的损失值;
根据所述输出值和所述损失值更新所述双向长短时记忆神经网络模型中的参数;
继续执行基于预设的训练集合确定当前训练样本的步骤,直至所述损失值收敛,得到网络入侵检测模型。
5.根据权利要求4所述的方法,其特征在于,所述当前训练样本包括网络连接和系统审计数据的样本数据;
将所述当前训练样本进行数据预处理,得到所述当前训练样本的训练集合的步骤,包括:
将所述当前训练样本输入至预设的特征提取单元,输出预设维度的特征数据;
对每个维度的所述特征数据进行数字化处理,将处理后的所述特征数据进行归一化处理;
对所述归一化处理后的所述特征数据设置入侵类型标签;
将设置有所述入侵类型标签的所述特征数据转换为预设格式;
从格式转换后的所述特征数据中选取预设比例的特征数据,形成训练集合。
6.根据权利要求4所述的方法,其特征在于,所述双向长短时记忆神经网络包含:前向传播单元、反向传播单元和全连接单元;所述前向传播单元包括:双向长短时记忆神经网络细胞、注意力机制细胞和全连接细胞;
将所述训练集合输入至预设的双向长短时记忆神经网络,输出入侵分类预测的输出值的步骤,包括:
将所述训练集合输入至所述双向长短时记忆神经网络细胞中进行特征融合,得到融合之后的特征数据;
将所述融合之后的特征数据输入至所述注意力机制细胞,以对所述融合之后的特征进行二次特征融合,并赋予预设的权重值;
将赋予所述权重值的所述特征数据输入至所述全连接细胞,输出入侵分类预测输出值。
7.根据权利要求4所述的方法,其特征在于,得到网络入侵检测模型的步骤之后,所述方法还包括:
基于预设的测试集合确定当前测试样本;
将所述当前测试样本进行数据预处理,输出所述当前测试样本的测试集合;
将所述测试集合输入至所述网络入侵检测模型,输出入侵分类测试结果;
判断所述测试结果是否满足预设精度,如果不满足所述预设精度,继续执行基于预设的训练集合确定当前训练样本的步骤,直至所述测试结果满足所述预设精度。
8.一种网络入侵检测装置,其特征在于,所述装置包括:
数据获取模块,用于获取待检测的网络流量数据;
结果输出模块,通过预先训练完成的入侵数据检测模型,提取所述网络流量数据的特征数据,并基于所述特征数据确定所述网络流量数据是否是入侵数据;
其中,所述入侵数据检测模型通过双向长短时记忆神经网络训练得到;所述入侵数据检测模型还用于为提取出的所述特征数据设置预设的权重值。
9.一种网络入侵检测模型的训练装置,其特征在于,包括:
训练样本确定模块,用于基于预设的训练集合确定当前训练样本;
训练集合输出模块,用于将所述当前训练样本进行数据预处理,输出所述当前训练样本的训练集合;
训练结果输出模块,用于将所述训练集合输入至预设的双向长短时记忆神经网络,输出入侵分类预测输出值;
损失值计算模块,用于根据所述输出值和预设的损失函数,计算所述输出值的损失值;
参数更新模块,用于根据所述输出值和所述损失值更新所述双向长短时记忆神经网络模型中的参数;
执行模块,用于继续执行基于预设的训练集合确定当前训练样本的步骤,直至所述损失值收敛,得到网络入侵检测模型。
10.一种服务器,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令以实现权利要求1至3任一项所述的网络入侵检测方法或权利要求4-7任一项所述的网络入侵检测模型的训练方法。
CN201911146668.6A 2019-11-19 2019-11-19 网络入侵检测方法及其模型的训练方法、装置和服务器 Pending CN110881037A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911146668.6A CN110881037A (zh) 2019-11-19 2019-11-19 网络入侵检测方法及其模型的训练方法、装置和服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911146668.6A CN110881037A (zh) 2019-11-19 2019-11-19 网络入侵检测方法及其模型的训练方法、装置和服务器

Publications (1)

Publication Number Publication Date
CN110881037A true CN110881037A (zh) 2020-03-13

Family

ID=69730293

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911146668.6A Pending CN110881037A (zh) 2019-11-19 2019-11-19 网络入侵检测方法及其模型的训练方法、装置和服务器

Country Status (1)

Country Link
CN (1) CN110881037A (zh)

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111478913A (zh) * 2020-04-13 2020-07-31 广东电网有限责任公司东莞供电局 配用电通信网络的网络入侵检测方法、装置及存储介质
CN111865932A (zh) * 2020-06-30 2020-10-30 哈尔滨工程大学 基于上下文关联注意力机制和简化lstm网络的入侵检测方法
CN111901340A (zh) * 2020-07-28 2020-11-06 四川大学 一种面向能源互联网的入侵检测系统及其方法
CN111953712A (zh) * 2020-08-19 2020-11-17 中国电子信息产业集团有限公司第六研究所 一种基于特征融合及密度聚类的入侵检测方法及装置
CN111970309A (zh) * 2020-10-20 2020-11-20 南京理工大学 基于Spark车联网组合深度学习入侵检测方法及系统
CN112087442A (zh) * 2020-09-03 2020-12-15 北京交通大学 基于注意力机制的时序相关网络入侵检测方法
CN112653675A (zh) * 2020-12-12 2021-04-13 海南师范大学 一种基于深度学习的智能入侵检测方法及其装置
CN112769752A (zh) * 2020-12-15 2021-05-07 浙江大学 一种基于机器学习集成模型的网络入侵检测方法
CN112910288A (zh) * 2020-12-08 2021-06-04 上海交通大学 一种基于逆变器散热器温度预测的过温预警方法
CN113360907A (zh) * 2021-06-17 2021-09-07 浙江德迅网络安全技术有限公司 一种基于ides和nides的防黑客入侵方法
CN113434859A (zh) * 2021-06-30 2021-09-24 平安科技(深圳)有限公司 入侵检测方法、装置、设备及存储介质
CN113472654A (zh) * 2021-05-31 2021-10-01 济南浪潮数据技术有限公司 一种网络流量数据转发方法、装置、设备及介质
CN113518063A (zh) * 2021-03-01 2021-10-19 广东工业大学 基于数据增强和BiLSTM的网络入侵检测方法及系统
CN113645182A (zh) * 2021-06-21 2021-11-12 上海电力大学 一种基于二次特征筛选的拒绝服务攻击随机森林检测方法
CN113836527A (zh) * 2021-11-23 2021-12-24 北京微步在线科技有限公司 入侵事件检测模型构建方法、装置及入侵事件检测方法
CN114095268A (zh) * 2021-11-26 2022-02-25 河北师范大学 用于网络入侵检测的方法、终端及存储介质
CN114462520A (zh) * 2022-01-25 2022-05-10 北京工业大学 一种基于流量分类的网络入侵检测方法
CN115118511A (zh) * 2022-06-29 2022-09-27 北京奇艺世纪科技有限公司 异常流量识别方法、装置、电子设备及存储介质
CN115174132A (zh) * 2022-05-13 2022-10-11 华北电力大学 一种基于网络流量的电力物联网入侵检测方法
CN115277152A (zh) * 2022-07-22 2022-11-01 长扬科技(北京)股份有限公司 网络流量安全检测方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108200030A (zh) * 2017-12-27 2018-06-22 深信服科技股份有限公司 恶意流量的检测方法、系统、装置及计算机可读存储介质
CN110138787A (zh) * 2019-05-20 2019-08-16 福州大学 一种基于混合神经网络的异常流量检测方法及系统
CN110334843A (zh) * 2019-04-22 2019-10-15 山东大学 一种时变注意力改进Bi-LSTM的住院就医行为预测方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108200030A (zh) * 2017-12-27 2018-06-22 深信服科技股份有限公司 恶意流量的检测方法、系统、装置及计算机可读存储介质
CN110334843A (zh) * 2019-04-22 2019-10-15 山东大学 一种时变注意力改进Bi-LSTM的住院就医行为预测方法及装置
CN110138787A (zh) * 2019-05-20 2019-08-16 福州大学 一种基于混合神经网络的异常流量检测方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘月峰等: ""融合CNN和BiLSTM的网络入侵检测方法"", 《计算机工程》 *

Cited By (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111478913A (zh) * 2020-04-13 2020-07-31 广东电网有限责任公司东莞供电局 配用电通信网络的网络入侵检测方法、装置及存储介质
CN111865932A (zh) * 2020-06-30 2020-10-30 哈尔滨工程大学 基于上下文关联注意力机制和简化lstm网络的入侵检测方法
CN111865932B (zh) * 2020-06-30 2022-04-12 哈尔滨工程大学 基于上下文关联注意力机制和简化lstm网络的入侵检测方法
CN111901340B (zh) * 2020-07-28 2021-06-22 四川大学 一种面向能源互联网的入侵检测系统及其方法
CN111901340A (zh) * 2020-07-28 2020-11-06 四川大学 一种面向能源互联网的入侵检测系统及其方法
CN111953712A (zh) * 2020-08-19 2020-11-17 中国电子信息产业集团有限公司第六研究所 一种基于特征融合及密度聚类的入侵检测方法及装置
CN111953712B (zh) * 2020-08-19 2022-03-29 中国电子信息产业集团有限公司第六研究所 一种基于特征融合及密度聚类的入侵检测方法及装置
CN112087442A (zh) * 2020-09-03 2020-12-15 北京交通大学 基于注意力机制的时序相关网络入侵检测方法
CN112087442B (zh) * 2020-09-03 2021-12-21 北京交通大学 基于注意力机制的时序相关网络入侵检测方法
CN111970309B (zh) * 2020-10-20 2021-02-02 南京理工大学 基于Spark车联网组合深度学习入侵检测方法及系统
CN111970309A (zh) * 2020-10-20 2020-11-20 南京理工大学 基于Spark车联网组合深度学习入侵检测方法及系统
CN112910288A (zh) * 2020-12-08 2021-06-04 上海交通大学 一种基于逆变器散热器温度预测的过温预警方法
CN112910288B (zh) * 2020-12-08 2022-08-09 上海交通大学 一种基于逆变器散热器温度预测的过温预警方法
CN112653675A (zh) * 2020-12-12 2021-04-13 海南师范大学 一种基于深度学习的智能入侵检测方法及其装置
CN112769752B (zh) * 2020-12-15 2021-11-23 浙江大学 一种基于机器学习集成模型的网络入侵检测方法
CN112769752A (zh) * 2020-12-15 2021-05-07 浙江大学 一种基于机器学习集成模型的网络入侵检测方法
CN113518063A (zh) * 2021-03-01 2021-10-19 广东工业大学 基于数据增强和BiLSTM的网络入侵检测方法及系统
CN113472654A (zh) * 2021-05-31 2021-10-01 济南浪潮数据技术有限公司 一种网络流量数据转发方法、装置、设备及介质
CN113360907A (zh) * 2021-06-17 2021-09-07 浙江德迅网络安全技术有限公司 一种基于ides和nides的防黑客入侵方法
CN113645182A (zh) * 2021-06-21 2021-11-12 上海电力大学 一种基于二次特征筛选的拒绝服务攻击随机森林检测方法
CN113434859B (zh) * 2021-06-30 2023-08-15 平安科技(深圳)有限公司 入侵检测方法、装置、设备及存储介质
CN113434859A (zh) * 2021-06-30 2021-09-24 平安科技(深圳)有限公司 入侵检测方法、装置、设备及存储介质
CN113836527A (zh) * 2021-11-23 2021-12-24 北京微步在线科技有限公司 入侵事件检测模型构建方法、装置及入侵事件检测方法
CN114095268A (zh) * 2021-11-26 2022-02-25 河北师范大学 用于网络入侵检测的方法、终端及存储介质
CN114462520A (zh) * 2022-01-25 2022-05-10 北京工业大学 一种基于流量分类的网络入侵检测方法
CN115174132A (zh) * 2022-05-13 2022-10-11 华北电力大学 一种基于网络流量的电力物联网入侵检测方法
CN115174132B (zh) * 2022-05-13 2024-02-06 华北电力大学 一种基于网络流量的电力物联网入侵检测方法
CN115118511A (zh) * 2022-06-29 2022-09-27 北京奇艺世纪科技有限公司 异常流量识别方法、装置、电子设备及存储介质
CN115277152A (zh) * 2022-07-22 2022-11-01 长扬科技(北京)股份有限公司 网络流量安全检测方法及装置
CN115277152B (zh) * 2022-07-22 2023-09-05 长扬科技(北京)股份有限公司 网络流量安全检测方法及装置

Similar Documents

Publication Publication Date Title
CN110881037A (zh) 网络入侵检测方法及其模型的训练方法、装置和服务器
US10929722B2 (en) Anomaly detection in streaming networks
CN108023876B (zh) 基于可持续性集成学习的入侵检测方法及入侵检测系统
CN106790019B (zh) 基于特征自学习的加密流量识别方法及装置
CN111221939B (zh) 评分方法、装置和电子设备
CN106982230B (zh) 一种流量检测方法及系统
CN111008337B (zh) 一种基于三元特征的深度注意力谣言鉴别方法及装置
CN110047506B (zh) 一种基于卷积神经网络和多核学习svm的关键音频检测方法
CN112153002B (zh) 告警信息分析方法、装置、计算机设备和存储介质
CN113536144B (zh) 一种社交网络信息的传播规模预测方法、装置
CN113326377A (zh) 一种基于企业关联关系的人名消歧方法及系统
CN113392197B (zh) 问答推理方法、装置、存储介质及电子设备
CN112183672A (zh) 图像分类方法、特征提取网络的训练方法和装置
CN114331122A (zh) 重点人员风险等级评估方法及相关设备
CN111881972B (zh) 一种黑产用户识别方法及装置、服务器、存储介质
CN113628059A (zh) 一种基于多层图注意力网络的关联用户识别方法及装置
CN117077075A (zh) 用于环境保护的水质监测系统及其方法
CN115659966A (zh) 基于动态异构图和多级注意力的谣言检测方法及系统
CN114821401A (zh) 视频审核方法、装置、设备、存储介质及程序产品
CN113094533A (zh) 一种基于混合粒度匹配的图文跨模态检索方法
CN115374950A (zh) 样本检测方法、样本检测装置、电子设备及存储介质
CN113919361A (zh) 一种文本分类方法和装置
CN113591758A (zh) 一种人体行为识别模型训练方法、装置及计算机设备
CN114444517B (zh) 一种量刑标准知识增强的数值感知的智能法律判决方法
CN116244484A (zh) 一种面向不平衡数据的联邦跨模态检索方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200313

RJ01 Rejection of invention patent application after publication