CN111431849A - 一种网络入侵检测方法及装置 - Google Patents

一种网络入侵检测方法及装置 Download PDF

Info

Publication number
CN111431849A
CN111431849A CN202010098831.2A CN202010098831A CN111431849A CN 111431849 A CN111431849 A CN 111431849A CN 202010098831 A CN202010098831 A CN 202010098831A CN 111431849 A CN111431849 A CN 111431849A
Authority
CN
China
Prior art keywords
data
intrusion
sample
detection
training
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010098831.2A
Other languages
English (en)
Other versions
CN111431849B (zh
Inventor
李小勇
纪宇晨
雷铭鉴
高雅丽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Posts and Telecommunications
Original Assignee
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Posts and Telecommunications filed Critical Beijing University of Posts and Telecommunications
Priority to CN202010098831.2A priority Critical patent/CN111431849B/zh
Publication of CN111431849A publication Critical patent/CN111431849A/zh
Application granted granted Critical
Publication of CN111431849B publication Critical patent/CN111431849B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Burglar Alarm Systems (AREA)
  • Image Analysis (AREA)

Abstract

本发明实施例提供了一种网络入侵检测方法及装置,该方法可以通过对所获得的入侵数据进行预处理,并将预处理后的待检测数据输入至预设的入侵检测模型中,得到待检测数据所属类型的检测结果,针对新的入侵数据种类,应用本发明实施例不一定需要重新更新入侵检测模型的情况下,也能够检测出该入侵数据所属种类,进而也就不必频繁对入侵检测模型进行维护,也就减小了维护工作量,另外,入侵检测模型是基于深度因子分解机模型进行训练所得的模型,可见,应用本发明实施例提供的方案不仅能够减小维护工作量,还能提高检测效率和准确率。

Description

一种网络入侵检测方法及装置
技术领域
本发明涉及网络安全的技术领域,特别是涉及一种网络入侵检测方法及装置。
背景技术
在当今互联网时代,各种各样的在线服务已经成为人们生活中不可或缺的部分。但是随着互联网的发展,各种各样的网络攻击也层出不穷。网络入侵对现有的网络安全造成了非常大的威胁,造成了非常大的经济损失。在这一背景下,网络安全的重要性越来越凸显,网络安全技术的研究也成了一个非常大的热点。
入侵检测系统(Intrusion Detection System,IDS)是一种用来检测入侵、并对入侵进行主动防御的网络安全技术。在入侵检测系统中,最重要的一环就是对经过该系统的数据进行分析,并检测出异常的入侵数据。现有的入侵检测方法主要是利用系统或用户的正常行为和异常行为构建模式库,当获得入侵数据时,则将入侵数据与构建的模式库中的各种行为进行匹配,以确定是否入侵数据是否为异常入侵数据。
但是随着越来越多、越来越新颖的攻击行为出现,为了提高检测率,必然会对该模式库进行频繁更新,这样,也会造成更新后的模式库越来越庞大,同时也使得维护该模式库的工作量巨大,且在对入侵数据进行检测时,入侵数据要与更新后的庞大模式库中的行为进行匹配,进而也会造成检测效率低,因此,现有的方法存在检测效率低和维护工作量大等缺点。
发明内容
本发明实施例的目的在于提供一种网络入侵检测方法及装置,以在减小维护工作量的基础上,还能提高检测效率和准确率。具体技术方案如下:
第一方面,本发明实施例提供了一种网络入侵检测方法,所述方法包括:
获得入侵数据;
对所获得的入侵数据进行预处理,得到处理后的待检测数据;
将所述待检测数据输入至预设的入侵检测模型中,得到待检测数据所属类型的检测结果;其中,所述入侵检测模型是预先采用样本入侵数据对预设的深度因子分解机模型进行训练,得到的、用于预测检测数据所属类型的检测结果。
本发明的一个实施例中,通过以下训练方式获得所述入侵检测模型:
对原入侵数据进行预处理,得到处理后的样本入侵数据;
针对每一样本入侵数据,获得用于表征该样本入侵数据所属类型的标注信息;
以所述样本入侵数据为预设的深度因子分解机模型的输入信息,以所述标注信息为训练基准,对所述深度因子分解机模型进行训练,得到用于预测检测数据所属类型的入侵检测模型。
本发明的一个实施例中,所述对所获得的入侵数据进行预处理,得到处理后的待检测数据,包括:
对所获得的入侵数据按照预设规则进行划分,得到待检测连续数据和待检测离散数据;
对所述待检测连续数据进行归一化处理,同时,对所述待检测离散数据进行编码处理,得到处理后的待检测数据;
所述对原入侵数据进行预处理,得到处理后的样本入侵数据,包括:
对原入侵数据按照预设规则进行划分,得到样本连续训练数据和样本离散训练数据;
对所述样本连续训练数据进行归一化处理,同时,对所述样本离散训练数据进行编码处理,得到处理后的样本入侵数据。
本发明的一个实施例中,所述以所述样本入侵数据为预设的深度因子分解机模型的输入信息,以所述标注信息为训练基准,对所述深度因子分解机模型进行训练,得到用于预测检测数据所属类型的入侵检测模型,包括:
将样本离散训练特征输入到嵌入层,得到离散特征向量,其中,所述样本入侵数据包括对样本连续训练数据进行预处理后的样本连续训练特征和对样本离散训练数据进行预处理后的样本离散训练特征,所述深度因子分解机模型包括嵌入层、输出为1的全连接神经网络、一阶因子分解机FM、二阶FM和深度神经网络;
将样本连续训练特征输入到输出为1的全连接神经网络,得到连续特征向量;
将连续特征向量和离散特征向量作为输入数据依次输入到一阶FM、二阶FM和深度神经网络中,分别得到一阶FM输出的第一检测结果、二阶FM输出的第二检测结果以及深度神经网络输出的第三检测结果;
对所述第一检测结果、所述第二检测结果和所述第三检测结果进行融合,得到融合后的目标检测结果;
将目标检测结果输入到归一化指数函数softmax分类器中,得到样本入侵数据所属类型;
基于所得到的样本入侵数据所属类型和每一样本入侵数据对应的标注信息,利用损失函数,分别调整所述一阶FM、所述二阶FM和所述深度神经网络的模型参数,得到目标深度因子分解机模型,作为入侵检测模型。
本发明的一个实施例中,在所述利用损失函数,分别调整所述一阶FM、所述二阶FM和所述深度神经网络的模型参数,得到入侵检测模型,得到目标深度因子分解机模型之后,所述方法还包括:
将预设的样本检测数据输入到所述目标深度因子分解机模型中,得到所述样本检测数据所属类型;其中,所述样本检测数据包括样本连续检测特征和样本离散检测特征,所述样本连续检测特征为对与原入侵数据不同的检测数据按照预设规则进行划分后的连续数据进行归一化处理得到的特征数据,所述样本离散检测特征对与原入侵数据不同的检测数据按照预设规则进行划分后的离散数据进行编码处理得到的特征数据;
获得各个样本检测数据所属类型的标注信息;
利用得到的样本检测数据所属类型和所述样本检测数据所属类型的标注信息,计算所述目标深度因子分解机模型检测样本检测数据的准确率;
如果所述准确率未达到阈值,则更新所述样本入侵数据,并返回将样本离散训练特征输入到嵌入层,得到离散特征向量的步骤;
如果所述准确率达到阈值,则将所述目标深度子机模型作为入侵检测模型。
本发明的一个实施例中,所述样本连续检测特征为利用min-max归一化方法,对与原入侵数据不同的检测数据按照预设规则进行划分后的连续数据进行归一化处理得到的特征数据,所述样本离散检测特征为利用独热编码方法,对与原入侵数据不同的检测数据按照预设规则进行划分后的离散数据进行编码处理得到的特征数据;
所述对所述待检测连续数据进行归一化处理,同时,对所述待检测离散数据进行编码处理,得到处理后的待检测数据,包括:
利用min-max归一化方法,对所述待检测连续数据进行归一化处理,同时,利用独热编码方法,对所述待检测离散数据进行编码处理,得到处理后的待检测数据;
所述对所述样本连续训练数据进行归一化处理,同时,对所述样本离散训练数据进行编码处理,得到处理后的样本入侵数据,包括:
利用min-max归一化方法,对所述样本连续训练数据进行归一化处理,同时,利用独热编码方法,对所述样本离散训练数据进行编码处理,得到处理后的样本入侵数据。
第二方面,本发明实施例提供一种网络入侵检测装置,所述装置包括:
入侵数据获得模块,用于获得入侵数据;
预处理模块,用于对所获得的入侵数据进行预处理,得到处理后的待检测数据;
检测模块,用于将所述待检测数据输入至预设的入侵检测模型中,得到待检测数据所属类型的检测结果;其中,所述入侵检测模型是预先采用入侵数据样本对预设的深度因子分解机模型进行训练,得到的、用于预测检测数据所属类型的检测结果。
本发明的一个实施例中,所述装置还包括:用于通过训练方式获得所述入侵检测模型的训练模块,
所述训练模块,包括:
训练数据获得子模块,用于对原入侵数据进行预处理,得到处理后的样本入侵数据;
标注信息获得子模块,用于针对每一样本入侵数据,获得用于表征该样本入侵数据所属类型的标注信息;
入侵检测模型获得子模块,用于以所述样本入侵数据为预设的深度因子分解机模型的输入信息,以所述标注信息为训练基准,对所述深度因子分解机模型进行训练,得到用于预测检测数据所属类型的入侵检测模型。
第三方面,本发明实施例又提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一实施例所述的网络入侵检测方法。
第四方面,本发明实施例又提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一实施例所述的网络入侵检测方法。
本发明实施例有益效果:
本发明实施例提供的一种网络入侵检测方法及装置,可以通过对所获得的入侵数据进行预处理,并将预处理后的待检测数据输入至预设的入侵检测模型中,得到待检测数据所属类型的检测结果,相对于现有技术而言,针对新的入侵数据种类,应用本发明实施例不一定需要重新更新入侵检测模型的情况下,也能够检测出该入侵数据所属种类,进而也就不必频繁对入侵检测模型进行维护,也就减小了维护工作量,另外,入侵检测模型是基于深度因子分解机模型进行训练所得的模型,可见,应用本发明实施例提供的方案不仅能够减小维护工作量,还能提高检测效率和准确率。当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种网络入侵检测方法的流程示意图;
图2为本发明实施例提供的一种入侵检测模型的训练过程的流程示意图;
图3为本发明实施例提供的一种训练深度因子分解机模型的具体过程的流程示意图;
图4为本发明实施例提供的一种验证入侵检测模型的流程示意图;
图5为本发明实施例提供的一种网络入侵检测装置的结构示意图;
图6为本发明实施例提供的视一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了在减小维护工作量的基础上,还能够提高检测效率和检测的准确率,本发明实施例提供了一种网络入侵检测方法及装置。
本发明实施例提供的入侵检测方法,如图1所示,该方法的具体处理流程包括:
S10,获得入侵数据。
上述入侵数据可以包括正常行为种类的数据,也可以包括异常行为种类的数据。
本发明实施例可以应用于入侵检测系统又可应用于网络入侵检测系统,其中,入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
网络入侵检测系统(network intrusion detection system,NIDS),是指对收集漏洞信息、造成拒绝访问及获取超出合法范围的系统控制权等危害计算机系统安全的行为,进行检测的软件与硬件的组合。
S20,对所获得的入侵数据进行预处理,得到处理后的待检测数据。
由于所获得的入侵数据可能存在无规律和噪音的问题,因此,需要对入侵数据进行去噪处理,另外,入侵数据也可能存在近似连续数据,以及离散数据,可以分别针对连续数据和离散数据进行不同的预处理,以使处理后的待检测数据便于通过后续的入侵检测模型检测,进而提高学习效果,从而既能提高检测效率,又能提高检测的准确率。
S30,将所述待检测数据输入至预设的入侵检测模型中,得到待检测数据所属类型的检测结果;其中,所述入侵检测模型是预先采用入侵数据样本对预设的深度因子分解机模型进行训练,得到的、用于预测检测数据所属类型的检测结果。
上述检测结果是用于检测待检测数据所属类型。
示例性的,假设待检测数据包括数据A,数据B和数据C,将数据A~数据C输入至入侵检测模型中,得到的检测结果为数据A属于种类W,且标记为异常行为种类;数据B属于种类N,且标记为正常行为种类;数据C属于种类M,且标记为正常行为种类。
上述样本入侵数据为对原入侵数据进行预处理后的样本数据。
这些原入侵数据包括正常行为种类的数据以及异常行为种类的数据。
入侵检测模型输入信息为待检测数据,输出信息为各个检测数据所属类型。
本实施中入侵检测模型的一种设施方式是以样本入侵数据作为深度因子分解机模型的样本训练集,以每一样本入侵数据对应的表征该样本入侵数据所属种类的标注信息为基准参数,调整深度因子分解机模型的模型参数,进而得到训练后的入侵检测模型。
其中,深度因子分解机模型至少包括一阶FM、二阶FM和深度神经网络。通过对深度因子分解机模型中一阶FM(Factorization Machine,中文全称因子分解机)、二阶FM和深度神经网络进行联合训练。因为一阶FM、二阶FM能够有效解决高维数据特征组合的稀疏问题且具有较高的预测精度和计算效率,本实施例将低阶特征输入到深度神经网络来自动学习丰富的高阶交叉特征,旨在减轻深度神经网络的学习压力,以使能够提高入侵检测模型检测数据的准确率,进而使得训练后的入侵检测模型能够检测入侵数据的种类更加广泛。针对一些新的入侵数据种类也能检测出该入侵数据所属种类。
由此可见,本发明实施例提供的方法通过对所获得的入侵数据进行预处理,并将预处理后的待检测数据输入至预设的入侵检测模型中,得到待检测数据所属类型的检测结果,相对于现有技术而言,针对新的入侵数据种类,应用本发明实施例不一定需要重新更新入侵检测模型的情况下,也能够检测出该入侵数据所属种类,进而也就不必频繁对入侵检测模型进行维护,也就减小了维护工作量,另外,入侵检测模型是基于深度因子分解机模型进行训练所得的模型,可见,应用本发明实施例提供的方案不仅能够减小维护工作量,还能提高检测效率和准确率。
随着机器学习方法的不断发展,一些机器学习的方法也可以用于入侵检测。可以将机器学习技术作为特征选择或特征提取的手段应用于入侵检测系统中,以期获得更能反映分类任务统计特性的特征,系统通过这些特征进行模式识别,能够有效检测出未知攻击类型和已知攻击类型的变种,取得极高的入侵检测准确率。
深度学习是在机器学习基础发展起来的新的人工智能方法。深度学习拥有极强的非线性拟合能力,能够从复杂的特征中提取出主要的特征。深度学习已经在图像识别、自然语言处理、推荐等领域获得了巨大的成就,在入侵检测领域引入深度学习也是大势所趋。
传统机器学习算法包括决策树学习、推导逻辑规划、聚类、分类、回归、强化学习和贝叶斯网络等等。但是传统机器学习可能存在着模型训练时间长,特征工程获取的特征冗余度高以及数据不平衡影响检测性能等问题,可见,通过单一的机器学习算法应用己经难以提高入侵检测系统在复杂数据环境下的检测性能。考虑到上述问题,在本发明的一个实施例中,如图2所示,通过以下训练步骤S31~S33获得所述入侵检测模型:
S31,对原入侵数据进行预处理,得到处理后的样本入侵数据。
上述原入侵数据是事先已经检测出各个原入侵数据所属种类的数据。
由于原入侵数据可能存在无规律和噪音的问题,因此,需要对原入侵数据进行去噪处理,另外,入侵数据也可能存在近似连续数据以及相对的离散数据,可以分别针对近似的连续数据和离散数据进行不同的预处理,以使训练的入侵检测模型检测,既能提高检测效率,又能提高检测的准确率。
S32,针对每一样本入侵数据,获得用于表征该样本入侵数据所属类型的标注信息。
每一样本入侵数据所属类型均是已经被检测出来的,基于此,事先对每一样本入侵数据所对应的所属类型进行标注,本步骤获得已经标注好的各个样本入侵数据的标注信息。
S33,以所述样本入侵数据为预设的深度因子分解机模型的输入信息,以所述标注信息为训练基准,对所述深度因子分解机模型进行训练,得到用于预测检测数据所属类型的入侵检测模型。
在训练过程中,深度因子分解机模型的输入信息为样本入侵数据,深度因子分解机模型的输出信息为各个样本入侵数据所属类型,将各个样本入侵数据对应的标注信息作为调整深度因子分解机模型的模型参数的训练基准,最终,得到用于预测检测数据所属类型的入侵检测模型。
可见,本实施例以预处理后的样本入侵数据为预设的深度因子分解机模型的输入信息,以所获得的各个样本入侵数据所属类型的标注信息为训练基准,对深度因子分解机模型进行训练,得到用于预测检测数据所属类型的入侵检测模型,可见,本实施例通过利用预处理后的样本入侵数据作为输入信息,能够提高训练的效率,另外,通过对深度因子分解机模型的训练,能够提高入侵检测模型的检测准确率。
本发明的一个实施例中,S20的具体实现方式可以包括如下步骤A~步骤B:
步骤A,对所获得的入侵数据按照预设规则进行划分,得到待检测连续数据和待检测离散数据。
其中,上述预设规则可以按照间隔时间段来进行划分,例如,可以将每两个入侵数据所间隔的时间段小于或等于预设间隔时间段的数据作为待检测连续数据,将每两个入侵数据所间隔的时间段大于预设间隔时间段的数据作为待检测离散数据。
上述预设规则也可以按照两个入侵数据对应的某一进制的差值来进行划分,例如,可以将两个入侵数据进行十进制转换,将转换后的差值小于或等于预设数值的数据作为待检测连续数据,将十进制转换后的差值大于预设数值的数据作为待检测离散数据。
步骤B,对所述待检测连续数据进行归一化处理,同时,对所述待检测离散数据进行编码处理,得到处理后的待检测数据。
本步骤中的归一化处理可以为对待检测连续数据进行Z-score归一化(零-均值规范化)处理,也可以对待检测连续数据进行min-max归一化(最小-最大规范化)处理,本实施例对此并不限定。
本步骤中的编码处理可以为对所述待检测离散数据进行差值处理,也可以进行小波变换处理,还可以进行编码处理,本实施例对此并不限定。
在步骤A~B的基础上,S32的具体实施方式可以包括步骤C~步骤D:
步骤C,对原入侵数据按照预设规则进行划分,得到样本连续训练数据和样本离散训练数据。
其中,上述对原入侵数据按照预设规则进行划分,可以是按照对按照间隔时间段来进行划分,也可以按照两个入侵数据对应的某一进制的差值来进行划分,本实施例对此并不限定。
步骤D,对所述样本连续训练数据进行归一化处理,同时,对所述样本离散训练数据进行编码处理,得到处理后的样本入侵数据。
本步骤中的归一化处理可以为对样本连续训练数据进行Z-score归一化处理,也可以对样本连续训练数据进行min-max归一化处理,本实施例对此并不限定。
本步骤中的编码处理可以为对所述样本离散训练数据进行差值处理,也可以进行小波变换处理,还可以进行编码处理,本实施例对此并不限定。
可见,本实施例在检测时,首先将入侵数据按照预设规则划分为待检测连续数据和待检测离散数据,并分别对待检测连续数据进行归一化处理,对待检测离散数据进行编码处理,将上述预处理的方法获得的待检测数据输入到入侵检测模型中,能够进一步提高检测效率和检测的准确率,同时在训练时,将原检测数据按照预设规则划分为样本连续训练数据和样本离散训练数据,并对样本连续训练数据进行归一化处理,对样本离散训练数据进行编码处理,以使利用所得到的样本入侵数据训练的入侵检测模型在检测按照同样处理方式得到的检测数据时,检测效率和准确率更高。
本发明的一个实施例中,如图3所示,S33的具体实现方式可以包括如下步S331~S336:
S331,将样本离散训练特征输入到嵌入层,得到离散特征向量,其中,所述样本入侵数据包括对样本连续训练数据进行预处理后的样本连续训练特征和对样本离散训练数据进行预处理后的样本离散训练特征,所述深度因子分解机模型包括嵌入层、输出为1的全连接神经网络、一阶FM、二阶FM和深度神经网络。
样本入侵数据包括样本连续训练特征和样本离散训练特征。其中,样本连续训练特征是对样本连续数据进行预处理后获得的数据,样本离散训练特征是对样本离散训练数据进行预处理后获得的数据。
上述FM部分是一个2路因子分解机,计算公式如下:
Figure BDA0002386229680000111
其中,yFM是2路因子分解机的输出,<w,x>是一阶特征的权重表示,交叉项是二阶特征的权重表示,d表示特征值的总数量,w是表示权重矩阵,x是特征值矩阵,vi是特征i的隐向量,vj是特征j的隐向量,xj1是序号j1对应的特征值,xj2是序号j2对应的特征值。
深度神经网络部分可以是一个前馈神经网络。由于该深度神经网络处理的数据大多数是离散数据,因此,本实施例并不能直接将样本入侵数据输入到神经网络中,这样会导致学习的效果下降。基于此,本实施例将样本入侵数据中的样本离散训练特征部分先输入到嵌入层处理,嵌入层将样本离散训练特征按照如下表达式进行降维处理呈低维稠密向量,该表达式具体为:
a(0)=[e1,e2,...,em]
其中,e1,e2,...,em分别是第1,2,……,m个样本连续训练特征域经过嵌入层处理后的输出,m为样本连续训练特征的序号,a(0)为深度神经网络的输入参数,利用如下表达式提取特征,该表达式为:
a(l+1)=σ(W(l)a(l)+b(l))
其中,α(l+1)为第l+1层隐藏层的输出参数,σ(·)表示深度神经网络隐藏层的激活函数,a(l)、W(l)和b(l)分别表示第1层隐藏层的输出参数、权重参数和偏置参数。则最后一层H产生的输出作为深度神经网络部分的输出:
yDNN=σ(W|H|+1a|H|+b|H|+1)
其中,H表示隐藏层的最后一层数,α|H|、W|H|和b|H|分别表示第H层隐藏层的输出参数、权重参数和偏置参数,yDNN为深度神经网络的输出。
上述深度神经网络部分的结构可以如表1所示:
表1
层数 层种类 节点数 激活函数
0-1 全连接层 512 线性整流函数
1-2 节点丢弃率=0.5 / /
2-3 全连接层 256 线性整流函数
3-4 节点丢弃率=0.5 / /
4-5 全连接层 128 线性整流函数
5-6 节点丢弃率=0.5 / /
6-7 全连接层 64 线性整流函数
7-8 节点丢弃率=0.5 / /
8-9 全连接层 32 线性整流函数
9-10 节点丢弃率=0.5
10-11 全连接层 1 线性整流函数
其中,表1中的隐藏层激活函数:线性整流函数(ReLU,Rectified Linear Unit),ReLU可以加快训练速度,并且克服梯度消失的问题,表1中节点丢弃率Dropout能够增加网络的稀疏性,有效减小过拟合风险,且能够增加模型的泛化能力,Dropout的取值为0.5,可以加快本实施例所训练神经网络的收敛。
该神经网络中的优化器可以选用Adam优化算法。Adam是一种可以替代传统随机梯度下降过程的一阶优化算法,它能基于训练数据迭代地更新神经网络权重。Adam相比于传统的随机梯度下降算法,能够为每个参数设计不同的自适应学习率,计算更高效且节省内存。
S332,将样本连续训练特征输入到输出为1的全连接神经网络,得到连续特征向量。
按照前面所述的内容,可知样本连续训练特征输入到输出为1的全连接神经网络进行降维处理,得到连续特征向量。
S333,将连续特征向量和离散特征向量作为输入数据依次输入到一阶FM、二阶FM和深度神经网络中,分别得到一阶FM输出的第一检测结果、二阶FM输出的第二检测结果以及深度神经网络输出的第三检测结果。
分别将连续特征向量和离散特征向量作为一阶FM的输入数据,输入到一阶FM中,得到一阶FM输出的第一检测结果,将连续特征向量和离散特征向量作为二阶FM的输入数据,输入到二阶FM中,得到二阶FM输出的第二检测结果,将连续特征向量和离散特征向量作为深度神经网络的输入数据,输入到深度神经网络中,得到深度神经网络输出的第三检测结果。
S334,对所述第一检测结果、第二检测结果和第三检测结果进行融合,得到融合后的目标检测结果。
本步骤可以采用特征组合层concat层对第一检测结果、第二检测结果和第三检测结果进行融合,得到融合后的目标检测结果。
其中,上述采用concat层对对第一检测结果、第二检测结果和第三检测结果进行融合,能够在一定程度上可以解决过拟合的问题,提高训练的入侵检测模型的检测效率。
S335,将目标检测结果输入到softmax分类器中,得到样本入侵数据所属类型。
采用softmax分类器对concat层输出的目标检测结果进行分类,得到了每一样本入侵数据所属类型。
softmax分类器为归一化指数函数,或称Softmax函数,是逻辑函数的一种推广。它能将一个含任意实数的K维向量z“压缩”到另一个K维实向量σ(z)中,使得每一个元素的范围都在(0,1)之间,并且所有元素的和为1。该Softmax函数通常适用于多分类问题,σ(z)为向量z对应的实向量。
S336,基于所得到的样本入侵数据所属类型和每一样本入侵数据对应的标注信息,利用损失函数,分别调整所述一阶FM、所述二阶FM和所述深度神经网络的模型参数,得到目标深度因子分解机模型,作为入侵检测模型。
上述损失函数可以采用交叉熵代价函数(Categorical cross-entropy),鉴于该交叉熵代价函数有非负性,而且当真实输出与期望输出相接近时,该交叉熵代价函数中的代价函数接近于0。
另外,交叉熵代价函数还可以解决权重更新慢的问题,加快模型的训练速度。因此,应用该损失函数能够使得样本入侵数据所属类型和每一样本入侵数据对应的标注信息达到快速收敛及稳定,进而提高训练效率。
可见,本实施例通过将样本离散训练特征输入到嵌入层,得到离散特征向量,将样本连续训练特征输入到输出为1的全连接神经网络,得到连续特征向量,并将连续特征向量和离散特征向量依次输入到一阶FM、二阶FM和深度神经网络中,所得到的第一检测结果、第二检测结果以及第三检测结果进行融合,最后将融合后的目标检测结果输入到softmax分类器中,得到样本入侵数据所属类型。在基于各个样本入侵数据的标注信息,利用损失函数,调整一阶FM、所述二阶FM和所述深度神经网络的模型参数,最后得到入侵检测模型,可见,本实施例将连续训练特征输入到嵌入层进行了降维处理,将降维处理后的向量作为输入参数,进而能够同时学习低阶和高阶的组合特征,同时,本发明实施例中在训练深度因子分解机模型时,不需要预训练FM得到隐向量,不需要人工特征工程,且一阶FM、二阶FM和深度神经网络共享嵌入层部分,可以更快的训练,以及能够更加精确地训练学习。
可能存在检测准确率低的问题,基于此,本发明的一个实施例中,如图4所示,在S336之后,还可以包括如下步骤S337~S341。
S337,将预设的样本检测数据输入到所述目标深度因子分解机模型中,得到所述样本检测数据所属类型;其中,所述样本检测数据包括样本连续检测特征和样本离散检测特征,所述样本连续检测特征为对与原入侵数据不同的检测数据按照预设规则进行划分后的连续数据进行归一化处理得到的特征数据,所述样本离散对与原入侵数据不同的检测数据按照预设规则进行划分后的离散数据进行编码处理得到的数据。
为了验证训练所得的目标深度子因子的准确性,样本检测数据是与训练时所使用的原入侵数据不同的检测数据。
样本检测数据的获得过程具体如下:
获得与原入侵数据不同的入侵数据,作为样本验证数据;
对上述验证数据按照上述预设规则进行划分,得到样本连续验证数据和样本离散验证数据;
对样本连续验证数据进行归一化处理,得到样本连续检测特征,并对样本离散验证数据进行编码处理,得到样本离散检测特征。
S338,获得各个样本检测数据所属类型的标注信息。
每一样本检测数据的所属类型均是已知的,利用该已知的各个样本检测数据所属类型,验证利用目标深度因子分解机模型检测出的样本检测数据所属类型是否准确。
为了提高效率,本步骤对每个样本检测数据所属类型进行了标注,就是本步骤的标注信息。
S339,利用得到的样本检测数据所属类型和所述样本检测数据所属类型的标注信息,计算所述目标深度因子分解机模型检测样本检测数据的准确率;如果所述准确率未达到阈值,执行S340,如果所述准确率达到阈值,执行S341。
针对每一样本检测数据,如果目标深度因子所输出的该样本检测数据所属类型与该样本检测数据对应的标注信息一致,则认为目标深度因子分解机模型针对该样本检测数据检测准确。
如果果目标深度因子所输出的该样本检测数据所属类型与该样本检测数据对应的标注信息不一致,则认为目标深度因子分解机模型针对该样本检测数据检测不准确。
经过对各个样本检测数据的准确性进行统计,计算目标深度因子分解机模型检测样本检测的准确率。
S340,更新所述样本入侵数据,并返回执行S331的步骤。
上述更新所述样本入侵数据可以是将上述样本检测数据加入到原样本入侵数据,也可以在增加新的原入侵数据,这些新的入侵数据与原入侵数据是不同的入侵数据,且分别对新的入侵数据进行与原入侵数据相同的划分和预处理,以得到新的样本入侵数据,并将新的样本入侵数据加入到样本入侵数据以进行更新。
如果准确率低于阈值,则说明需要重新对深度因子分解机模型进行训练。
S341,将所述目标深度子机模型作为入侵检测模型。
如果准确率大于或等于阈值,则说明该目标深度因子分解机模型符合要求,可以使用。
可见,本实施例利用样本检测数据对入侵检测模型进行验证,以确实是否还需要对当前入侵检测模型进行继续训练,进而进一步提高入侵检测模型检测入侵数据的准确率,也能够对未知类型的入侵数据攻击起到防范作用。
本发明的一个实施例中,所述样本连续检测特征为利用min-max归一化(最小-最大归一化)方法,对与原入侵数据不同的检测数据按照预设规则进行划分后的连续数据进行归一化处理得到的特征数据,所述样本离散检测特征为利用独热编码方法,对与原入侵数据不同的检测数据按照预设规则进行划分后的离散数据进行编码处理得到的特征数据;
步骤B可以包括如下步骤:
利用min-max归一化方法,对所述待检测连续数据进行归一化处理,同时,利用独热编码方法,对所述待检测离散数据进行编码处理,得到处理后的待检测数据。
其中,独热编码即One-Hot编码,又称一位有效编码,其编码处理的具体过程为:
使用N位状态寄存器来对N个状态进行编码,每个状态都有该状态独立的寄存器位,并且在任意情况下,只有一个寄存器位有效。对每个检测离散数据来说,如果该检测离散数据的可能取值有M种,那么在经过独热编码后,该检测离散数据就变成了M个二元特征,并且在这M个二元特征中只有一个是有效的。可见,经过独热编码后的检测离散数据能够解决分类器无法处理属性数据的问题,同时也在一定程度上扩充了特征。
对于待检测续数据,本步骤采用Min-Max归一化,将所有待检测续数据按照如下表达式映射到[0,1]之间。该表达式如下:
Figure BDA0002386229680000171
其中,s为待检测连续数据,smin为待检测续数据的最小值,smax是待检测续数据的最大值。
基于上述步骤B,步骤D可以包括如下步骤:
利用min-max归一化方法,对所述样本连续训练数据进行归一化处理,同时,利用独热编码方法,对所述样本离散训练数据进行编码处理,得到处理后的样本入侵数据。
独热编码即One-Hot编码,又称一位有效编码,其编码处理的具体过程为:
基于上述描述。对每个样本检测离散特征来说,如果该样本检测离散特征的可能取值有M种,那么在经过独热编码后,该样本检测离散特征就变成了M个二元特征,并且在这M个二元特征中只有一个是有效的。可见,经过独热编码后的样本检测离散特征能够解决分类器无法处理属性数据的问题,同时也在一定程度上扩充了特征。
对于样本连续训练数据,本步骤采用Min-Max归一化,将所有样本连续训练数据按照如下表达式映射到[0,1]之间。该表达式如下:
Figure BDA0002386229680000181
其中,r为样本连续训练数据,rmin为样本连续训练数据的最小值,rmax是待样本连续训练数据的最大值。
可见,本实施例中的样本连续检测特征是利用min-max归一化方法,对与原入侵数据不同的检测数据按照预设规则进行划分后的连续数据进行归一化处理得到的特征数据,样本离散数据是利用独热编码方法,对与原入侵数据不同的检测数据按照预设规则进行划分后的离散数据进行编码处理得到的数据;这样,本实施例在验证时,独热编码后的样本离散数据能够解决分类器无法处理属性数据的问题,同时也在一定程度上扩充了特征,且min-max归一化处理后的样本连续检测特征可以提高检测速度,进一步提高检测效率。在检测时,对待检测连续数据进行min-max归一化处理,同时,对待检测离散数据进行独热编码处理,得到待检测数据;这样,本实施例在检测时,独热编码后的待检测离散数据能够解决分类器无法处理属性数据的问题,同时也在一定程度上扩充了特征,进一步提高检测的准确率,且min-max归一化处理后的待检测连续数据可以提升入侵检测模型的检测速度和提高检测的准确率。在训练时,对样本连续训练数据进行min-max归一化处理,对样本离散训练数据进行独热编码处理,得到本入侵数据,这样,本实施例在训练时,独热编码后的样本检测离散特征能够解决分类器无法处理属性数据的问题,同时也在一定程度上扩充了特征,且min-max归一化处理后的样本检测连续数据可以提升深度因子分解机模型的收敛速度和模型的精度。
与上述网络入侵检测方法相对应,本发明实施例还提供了网络入侵检测装置。
参加图5,图5为本发明实施例提供一种网络入侵检测装置的结构示意图,所述装置可以包括:
入侵数据获得模块501,用于获得入侵数据;
预处理模块502,用于对所获得的入侵数据进行预处理,得到处理后的待检测数据;
检测模块503,用于将所述待检测数据输入至预设的入侵检测模型中,得到待检测数据所属类型的检测结果;其中,所述入侵检测模型是预先采用入侵数据样本对预设的深度因子分解机模型进行训练,得到的、用于预测检测数据所属类型的检测结果。
可选的,所述装置还可以包括:用于通过训练方式获得所述入侵检测模型的训练模块,
所述训练模块可以包括:
训练数据获得子模块,用于对原入侵数据进行预处理,得到处理后的样本入侵数据;
标注信息获得子模块,用于针对每一样本入侵数据,获得用于表征该样本入侵数据所属类型的标注信息;
入侵检测模型获得子模块,用于以所述样本入侵数据为预设的深度因子分解机模型的输入信息,以所述标注信息为训练基准,对所述深度因子分解机模型进行训练,得到用于预测检测数据所属类型的入侵检测模型。
可选的,所述预处理模块502可以包括:
划分子模块,用于对所获得的入侵数据按照预设规则进行划分,得到待检测连续数据和待检测离散数据;
待检测数据得到子模块,用于对所述待检测连续数据进行归一化处理,同时,对所述待检测离散数据进行编码处理,得到处理后的待检测数据;
所述训练数据获得子模块,包括:
划分单元,用于对原入侵数据按照预设规则进行划分,得到样本连续训练数据和样本离散训练数据;
样本入侵数据得到单元,用于对所述样本连续训练数据进行归一化处理,同时,对所述样本离散训练数据进行编码处理,得到处理后的样本入侵数据。
可选的,入侵检测模型获得子模块可以包括:
离散特征向量得到单元,用于将样本离散训练特征输入到嵌入层,得到离散特征向量,其中,所述样本入侵数据包括对样本连续训练数据进行预处理后的样本连续训练特征和对样本离散训练数据进行预处理后的样本离散训练特征,所述深度因子分解机模型包括嵌入层、输出为1的全连接神经网络、一阶FM、二阶FM和深度神经网络;
连续特征向量得到单元,用于将样本连续训练特征输入到输出为1的全连接神经网络,得到连续特征向量;
检测结果得到单元,用于将连续特征向量和离散特征向量作为输入数据依次输入到一阶FM、二阶FM和深度神经网络中,分别得到一阶FM输出的第一检测结果、二阶FM输出的第二检测结果以及深度神经网络输出的第三检测结果;
融合单元,用于对所述第一检测结果、所述第二检测结果和所述第三检测结果进行融合,得到融合后的目标检测结果;
分类单元,用于将目标检测结果输入到softmax分类器中,得到样本入侵数据所属类型;
调整模型参数单元,用于基于所得到的样本入侵数据所属类型和每一样本入侵数据对应的标注信息,利用损失函数,分别调整所述一阶FM、所述二阶FM和所述深度神经网络的模型参数,得到目标深度因子分解机模型,作为入侵检测模型。
可选的,上述入侵检测模型获得子模块还可以包括:
样本检测数据所属类型得到单元,用于将预设的样本检测数据输入到所述目标深度因子分解机模型中,得到所述样本检测数据所属类型;其中,所述样本检测数据包括样本连续检测特征和样本离散检测特征,所述样本连续检测特征为对与原入侵数据不同的检测数据按照预设规则进行划分后的连续数据进行归一化处理得到的特征数据,所述样本离散检测特征对与原入侵数据不同的检测数据按照预设规则进行划分后的离散数据进行编码处理得到的特征数据;
标注信息得到单元,用于获得各个样本检测数据所属类型的标注信息;
准确率计算单元,用于利用得到的样本检测数据所属类型和所述样本检测数据所属类型的标注信息,计算所述目标深度因子分解机模型检测样本检测数据的准确率;如果所述准确率未达到阈值,触发更新单元,如果所述准确率达到阈值,将所述目标深度子机模型作为入侵检测模型。
更新单元,用于更新所述样本入侵数据,并触发离散特征向量得到单元;
可选的,所述样本连续检测特征为利用min-max归一化方法,对与原入侵数据不同的检测数据按照预设规则进行划分后的连续数据进行归一化处理得到的特征数据,所述样本离散检测特征为利用独热编码方法,对与原入侵数据不同的检测数据按照预设规则进行划分后的离散数据进行编码处理得到的特征数据;
所述待检测数据得到子模块可以包括:
待检测数据得到单元,利用min-max归一化方法,对所述待检测连续数据进行归一化处理,同时,利用独热编码方法,对所述待检测离散数据进行编码处理,得到处理后的待检测数据;
上述样本入侵数据得到单元可以包括:
样本入侵数据得到子单元利用min-max归一化方法,对所述样本连续训练数据进行归一化处理,同时,利用独热编码方法,对所述样本离散训练数据进行编码处理,得到处理。
由此可见,本发明实施例提供的装置通过对所获得的入侵数据进行预处理,并将预处理后的待检测数据输入至预设的入侵检测模型中,得到待检测数据所属类型的检测结果,相对于现有技术而言,针对新的入侵数据种类,应用本发明实施例不一定需要重新更新入侵检测模型的情况下,也能够检测出该入侵数据所属种类,进而也就不必频繁对入侵检测模型进行维护,也就减小了维护工作量,另外,入侵检测模型是基于深度因子分解机模型进行训练所得的模型,可见,应用本发明实施例提供的方案不仅能够减小维护工作量,还能提高检测效率和准确率。
本发明实施例还提供了一种电子设备,如图6所示,电子设备包括处理器601、通信接口602、存储器603和通信总线604,其中,处理器601,通信接口602,存储器603通过通信总线604完成相互间的通信,
存储器603,用于存放计算机程序;
处理器601,用于执行存储器603上所存放的程序时,实现本发明实施例提供的网络入侵检测方法。
具体的,上述一种网络入侵检测方法,该方法包括:
获得入侵数据;
对所获得的入侵数据进行预处理,得到处理后的待检测数据;
将所述待检测数据输入至预设的入侵检测模型中,得到待检测数据所属类型的检测结果;其中,所述入侵检测模型是预先采用样本入侵数据对预设的深度因子分解机模型进行训练,得到的、用于预测检测数据所属类型的检测结果。
由此可见,执行本实施例提供的电子设备,通过对所获得的入侵数据进行预处理,并将预处理后的待检测数据输入至预设的入侵检测模型中,得到待检测数据所属类型的检测结果,相对于现有技术而言,针对新的入侵数据种类,可能存在不必重新更新入侵检测模型的情况下,也能够检测出该入侵数据所属种类,进而也就不必时常对入侵检测模型进行维护,减小了维护的工作量,另外,鉴于入侵检测模型是基于深度因子分解机模型进行训练所得的模型,因此,应用本发明实施例提供的方案不仅能够减小维护的工作量,还能提高检测效率和准确率。
上述的相关网络入侵检测方法的实施方式与前述方法实施例部分提供的网络入侵检测方式相同,这里不再赘述。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的网络入侵检测方法。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的网络入侵检测方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字股票投资人线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、电子设备、存储介质或计算机程序产品实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (10)

1.一种网络入侵检测方法,其特征在于,所述方法包括:
获得入侵数据;
对所获得的入侵数据进行预处理,得到处理后的待检测数据;
将所述待检测数据输入至预设的入侵检测模型中,得到所述待检测数据所属类型的检测结果;其中,所述入侵检测模型是预先采用样本入侵数据对预设的深度因子分解机模型进行训练,得到的、用于预测检测数据所属类型的检测结果。
2.根据权利要求1所述的方法,其特征在于,通过以下训练方式获得所述入侵检测模型:
对原入侵数据进行预处理,得到处理后的样本入侵数据;
针对每一样本入侵数据,获得用于表征该样本入侵数据所属类型的标注信息;
以所述样本入侵数据为预设的深度因子分解机模型的输入信息,以所述标注信息为训练基准,对所述深度因子分解机模型进行训练,得到用于预测检测数据所属类型的入侵检测模型。
3.根据权利要求2所述的方法,其特征在于,所述对所获得的入侵数据进行预处理,得到处理后的待检测数据,包括:
对所获得的入侵数据按照预设规则进行划分,得到待检测连续数据和待检测离散数据;
对所述待检测连续数据进行归一化处理,同时,对所述待检测离散数据进行编码处理,得到处理后的待检测数据;
所述对原入侵数据进行预处理,得到处理后的样本入侵数据,包括:
对原入侵数据按照预设规则进行划分,得到样本连续训练数据和样本离散训练数据;
对所述样本连续训练数据进行归一化处理,同时,对所述样本离散训练数据进行编码处理,得到处理后的样本入侵数据。
4.根据权利要求3所述的方法,其特征在于,所述以所述样本入侵数据为预设的深度因子分解机模型的输入信息,以所述标注信息为训练基准,对所述深度因子分解机模型进行训练,得到用于预测检测数据所属类型的入侵检测模型,包括:
将样本离散训练特征输入到嵌入层,得到离散特征向量,其中,所述样本入侵数据包括对样本连续训练数据进行预处理后的样本连续训练特征和对样本离散训练数据进行预处理后的样本离散训练特征,所述深度因子分解机模型包括嵌入层、输出为1的全连接神经网络、一阶因子分解机FM、二阶FM和深度神经网络;
将所述样本连续训练特征输入到输出为1的全连接神经网络,得到连续特征向量;
将所述连续特征向量和所述离散特征向量作为输入数据依次输入到一阶FM、二阶FM和深度神经网络中,分别得到所述一阶FM输出的第一检测结果、所述二阶FM输出的第二检测结果以及所述深度神经网络输出的第三检测结果;
对所述第一检测结果、所述第二检测结果和所述第三检测结果进行融合,得到融合后的目标检测结果;
将所述目标检测结果输入到归一化指数函数softmax分类器中,得到样本入侵数据所属类型;
基于所得到的样本入侵数据所属类型和每一样本入侵数据对应的标注信息,利用损失函数,分别调整所述一阶FM、所述二阶FM和所述深度神经网络的模型参数,得到目标深度因子分解机模型,作为入侵检测模型。
5.根据权利要求4所述的方法,其特征在于,在所述利用损失函数,分别调整所述一阶FM、所述二阶FM和所述深度神经网络的模型参数,得到入侵检测模型,得到目标深度因子分解机模型之后,所述方法还包括:
将预设的样本检测数据输入到所述目标深度因子分解机模型中,得到所述样本检测数据所属类型;其中,所述样本检测数据包括样本连续检测特征和样本离散检测特征,所述样本连续检测特征为对与原入侵数据不同的检测数据按照预设规则进行划分后的连续数据进行归一化处理得到的特征数据,所述样本离散检测特征对与原入侵数据不同的检测数据按照预设规则进行划分后的离散数据进行编码处理得到的特征数据;
获得各个样本检测数据所属类型的标注信息;
利用得到的样本检测数据所属类型和所述样本检测数据所属类型的标注信息,计算所述目标深度因子分解机模型检测样本检测数据的准确率;
如果所述准确率未达到阈值,则更新所述样本入侵数据,并返回将样本离散训练特征输入到嵌入层,得到离散特征向量的步骤;
如果所述准确率达到阈值,则将所述目标深度子机模型作为入侵检测模型。
6.根据权利要求5所述的方法,其特征在于,所述样本连续检测特征为利用min-max归一化方法,对与原入侵数据不同的检测数据按照预设规则进行划分后的连续数据进行归一化处理得到的特征数据,所述样本离散检测特征为利用独热编码方法,对与原入侵数据不同的检测数据按照预设规则进行划分后的离散数据进行编码处理得到的特征数据;
所述对所述待检测连续数据进行归一化处理,同时,对所述待检测离散数据进行编码处理,得到处理后的待检测数据,包括:
利用min-max归一化方法,对所述待检测连续数据进行归一化处理,同时,利用独热编码方法,对所述待检测离散数据进行编码处理,得到处理后的待检测数据;
所述对所述样本连续训练数据进行归一化处理,同时,对所述样本离散训练数据进行编码处理,得到处理后的样本入侵数据,包括:
利用min-max归一化方法,对所述样本连续训练数据进行归一化处理,同时,利用独热编码方法,对所述样本离散训练数据进行编码处理,得到处理后的样本入侵数据。
7.一种网络入侵检测装置,其特征在于,所述装置包括:
入侵数据获得模块,用于获得入侵数据;
预处理模块,用于对所获得的入侵数据进行预处理,得到处理后的待检测数据;
检测模块,用于将所述待检测数据输入至预设的入侵检测模型中,得到所述待检测数据所属类型的检测结果;其中,所述入侵检测模型是预先采用入侵数据样本对预设的深度因子分解机模型进行训练,得到的、用于预测检测数据所属类型的检测结果。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:用于通过训练方式获得所述入侵检测模型的训练模块,
所述训练模块,包括:
训练数据获得子模块,用于对原入侵数据进行预处理,得到处理后的样本入侵数据;
标注信息获得子模块,用于针对每一样本入侵数据,获得用于表征该样本入侵数据所属类型的标注信息;
入侵检测模型获得子模块,用于以所述样本入侵数据为预设的深度因子分解机模型的输入信息,以所述标注信息为训练基准,对所述深度因子分解机模型进行训练,得到用于预测检测数据所属类型的入侵检测模型。
9.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-5任一所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-5任一所述的方法步骤。
CN202010098831.2A 2020-02-18 2020-02-18 一种网络入侵检测方法及装置 Active CN111431849B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010098831.2A CN111431849B (zh) 2020-02-18 2020-02-18 一种网络入侵检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010098831.2A CN111431849B (zh) 2020-02-18 2020-02-18 一种网络入侵检测方法及装置

Publications (2)

Publication Number Publication Date
CN111431849A true CN111431849A (zh) 2020-07-17
CN111431849B CN111431849B (zh) 2021-04-16

Family

ID=71547144

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010098831.2A Active CN111431849B (zh) 2020-02-18 2020-02-18 一种网络入侵检测方法及装置

Country Status (1)

Country Link
CN (1) CN111431849B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112070131A (zh) * 2020-08-25 2020-12-11 天津大学 一种基于部分深度学习理论的入侵检测方法
CN112839059A (zh) * 2021-02-22 2021-05-25 北京六方云信息技术有限公司 Web入侵检测处理方法、装置及电子设备
CN113114673A (zh) * 2021-04-12 2021-07-13 西北工业大学 一种基于生成对抗网络的网络入侵检测方法及系统
CN113762967A (zh) * 2021-03-31 2021-12-07 北京沃东天骏信息技术有限公司 风险信息确定方法、模型训练方法、设备、程序产品
CN114297477A (zh) * 2021-12-09 2022-04-08 中国科学技术大学 自动识别潜在客户的智能理财方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101394316A (zh) * 2008-11-11 2009-03-25 南京大学 基于完全无向图的贝叶斯的网络入侵分类方法
CN104113544A (zh) * 2014-07-18 2014-10-22 重庆大学 基于模糊隐条件随机场模型的网络入侵检测方法及系统
CN105656886A (zh) * 2015-12-29 2016-06-08 北京邮电大学 一种基于机器学习的网站攻击行为的检测方法及装置
CN109299741A (zh) * 2018-06-15 2019-02-01 北京理工大学 一种基于多层检测的网络攻击类型识别方法
CN109299976A (zh) * 2018-09-07 2019-02-01 深圳大学 点击率预测方法、电子装置及计算机可读存储介质
CN110442810A (zh) * 2019-08-08 2019-11-12 广州华建工智慧科技有限公司 一种基于DeepFM推荐算法的移动端BIM模型智能缓存方法
EP3588352A1 (en) * 2018-06-29 2020-01-01 Crowdstrike, Inc. Byte n-gram embedding model
CN110730164A (zh) * 2019-09-18 2020-01-24 平安科技(深圳)有限公司 安全预警方法及相关设备、计算机可读存储介质

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101394316A (zh) * 2008-11-11 2009-03-25 南京大学 基于完全无向图的贝叶斯的网络入侵分类方法
CN104113544A (zh) * 2014-07-18 2014-10-22 重庆大学 基于模糊隐条件随机场模型的网络入侵检测方法及系统
CN105656886A (zh) * 2015-12-29 2016-06-08 北京邮电大学 一种基于机器学习的网站攻击行为的检测方法及装置
CN109299741A (zh) * 2018-06-15 2019-02-01 北京理工大学 一种基于多层检测的网络攻击类型识别方法
EP3588352A1 (en) * 2018-06-29 2020-01-01 Crowdstrike, Inc. Byte n-gram embedding model
CN109299976A (zh) * 2018-09-07 2019-02-01 深圳大学 点击率预测方法、电子装置及计算机可读存储介质
CN110442810A (zh) * 2019-08-08 2019-11-12 广州华建工智慧科技有限公司 一种基于DeepFM推荐算法的移动端BIM模型智能缓存方法
CN110730164A (zh) * 2019-09-18 2020-01-24 平安科技(深圳)有限公司 安全预警方法及相关设备、计算机可读存储介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
HUIFENG GUO,ET.AL: "《DeepFM: A Factorization-Machine based Neural Network for CTR Prediction》", 《IEEE》 *
R. VINAYAKUMAR,ET.AL: "《Deep Learning Approach for Intelligent Intrusion Detection System》", 《IEEE》 *
王瑞琴等: "《一种基于两阶段深度学习的集成推荐模型》", 《计算机研究与发展》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112070131A (zh) * 2020-08-25 2020-12-11 天津大学 一种基于部分深度学习理论的入侵检测方法
CN112839059A (zh) * 2021-02-22 2021-05-25 北京六方云信息技术有限公司 Web入侵检测处理方法、装置及电子设备
CN113762967A (zh) * 2021-03-31 2021-12-07 北京沃东天骏信息技术有限公司 风险信息确定方法、模型训练方法、设备、程序产品
CN113114673A (zh) * 2021-04-12 2021-07-13 西北工业大学 一种基于生成对抗网络的网络入侵检测方法及系统
CN114297477A (zh) * 2021-12-09 2022-04-08 中国科学技术大学 自动识别潜在客户的智能理财方法

Also Published As

Publication number Publication date
CN111431849B (zh) 2021-04-16

Similar Documents

Publication Publication Date Title
CN111431849B (zh) 一种网络入侵检测方法及装置
Tian et al. An intrusion detection approach based on improved deep belief network
CN111371806B (zh) 一种Web攻击检测方法及装置
CN110287983B (zh) 基于最大相关熵深度神经网络单分类器异常检测方法
CN113596007B (zh) 一种基于深度学习的漏洞攻击检测方法和设备
Elmasry et al. Deep learning approaches for predictive masquerade detection
Farid et al. Novel class detection in concept-drifting data stream mining employing decision tree
Zhuo et al. Attack and defense: Adversarial security of data-driven FDC systems
Qamar et al. Artificial neural networks: An overview
Muslihi et al. Detecting SQL injection on web application using deep learning techniques: a systematic literature review
CN115801374A (zh) 网络入侵数据分类方法、装置、电子设备及存储介质
Ren et al. Bayesian neural networks avoid encoding complex and perturbation-sensitive concepts
Satyanegara et al. Implementation of CNN-MLP and CNN-LSTM for MitM attack detection system
Chen et al. CNFRD: A Few‐Shot Rumor Detection Framework via Capsule Network for COVID‐19
Lin et al. The prediction of network security situation based on deep learning method
CN111797997A (zh) 网络入侵检测方法、模型构建方法、装置及电子设备
Muhammad et al. Cortex-inspired ensemble based network intrusion detection system
CN115426194A (zh) 数据处理方法及装置、存储介质及电子设备
CN113822684A (zh) 黑产用户识别模型训练方法、装置、电子设备及存储介质
CN113259369A (zh) 一种基于机器学习成员推断攻击的数据集认证方法及系统
Su et al. Intrusion detection using convolutional recurrent neural network
Guo Comparison of neural network and traditional classifiers for twitter sentiment analysis
Wang et al. Application of convolutional neural network (CNN) in microblog text classification
US11997137B2 (en) Webpage phishing detection using deep reinforcement learning
Finotti et al. Evaluation of computational intelligence methods using statistical analysis to detect structural damage

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant