CN111786999A - 一种入侵行为的检测方法、装置、设备和存储介质 - Google Patents

一种入侵行为的检测方法、装置、设备和存储介质 Download PDF

Info

Publication number
CN111786999A
CN111786999A CN202010622161.XA CN202010622161A CN111786999A CN 111786999 A CN111786999 A CN 111786999A CN 202010622161 A CN202010622161 A CN 202010622161A CN 111786999 A CN111786999 A CN 111786999A
Authority
CN
China
Prior art keywords
intrusion behavior
sample data
intrusion
behavior
network model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010622161.XA
Other languages
English (en)
Other versions
CN111786999B (zh
Inventor
司瑞彬
顾杜娟
杨传安
田宇
徐澄
王静平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
China Academy of Electronic and Information Technology of CETC
Original Assignee
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
China Academy of Electronic and Information Technology of CETC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nsfocus Technologies Inc, Nsfocus Technologies Group Co Ltd, China Academy of Electronic and Information Technology of CETC filed Critical Nsfocus Technologies Inc
Priority to CN202010622161.XA priority Critical patent/CN111786999B/zh
Publication of CN111786999A publication Critical patent/CN111786999A/zh
Application granted granted Critical
Publication of CN111786999B publication Critical patent/CN111786999B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/33Querying
    • G06F16/3331Query processing
    • G06F16/334Query execution
    • G06F16/3347Query execution using vector based model
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/35Clustering; Classification
    • G06F16/353Clustering; Classification into predefined classes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Mathematical Physics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Signal Processing (AREA)
  • Molecular Biology (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Algebra (AREA)
  • Image Analysis (AREA)

Abstract

本发明实施例提供了一种入侵行为的检测方法、装置、设备和存储介质,用以使网络设备对未知类别的入侵行为做出正确响应,提高网络设备的安全性。所述方法包括:获取入侵行为数据;将入侵行为数据与预先配置的包含多个入侵行为类别标签的入侵行为类别集合,分别输入至预先训练的度量神经网络模型中,根据度量神经网络模型的输出结果,确定入侵行为数据与每一入侵行为类别标签的相似度,其中,度量神经网络模型是基于训练样本数据、与训练样本数据对应的行为类别、以及非对应行为类别训练生成的;通过对相似度进行排序,确定与入侵行为数据相似度最高的目标入侵行为类别标签,并将目标入侵行为类别标签确定为入侵行为数据所属的入侵行为类别。

Description

一种入侵行为的检测方法、装置、设备和存储介质
技术领域
本发明涉及深度学习领域,尤其涉及一种入侵行为的检测方法、装置、设备和存储介质。
背景技术
随着网络技术的飞速发展,网络安全问题日益凸显。入侵检测技术通过分析网络流量信息,检测识别出入侵行为,从而及时拦截该攻击行为,避免对网络造成损害对用户造成损失。
传统机器学习方法,如支持向量机分类器、K近邻分类器以及随机森林分类器等方法在早期入侵检测系统中取得了一定的效果。但是随着网络数据的急剧膨胀,上述模型对大数据的拟合能力不断下降,导致识别精度也在逐渐下降,已不能满足大数据下的网络入侵识别要求。
深度学习技术通过自动学习数据的层次表达可以有效学习网络入侵数据的内在规律,加之其强大的模型拟合能力,在入侵检测上已逐渐超越传统的分类方法。目前广泛应用在入侵检测的深度学习技术包括深度置信网络、多层感知器网络、卷积神经网络以及循环神经网络等。相关技术可以提高入侵检测率。但是所有方法仅能识别出已知入侵类型,不能识别出未知类别的入侵行为。其根本原因在于网络模型的训练无法将未知入侵类型纳入考虑,也就决定了其仅能识别出训练集中出现的入侵类型。
综上所述,现有技术中的入侵行为检测模型只能识别出已知的入侵行为,不能在零样本训练条件下对未知类别的入侵行为进行识别,进而使得网络设备无法对该入侵行为做出正确响应。
发明内容
本发明实施例提供了一种入侵行为的检测方法、装置、设备和存储介质,用以使网络设备对未知类别的入侵行为做出正确响应,提高网络设备的安全性。
第一方面,本发明实施例提供一种入侵行为的检测方法,包括:
获取入侵行为数据;
将入侵行为数据与预先配置的包含多个入侵行为类别标签的入侵行为类别集合,分别输入至预先训练的度量神经网络模型中,根据度量神经网络模型的输出结果,确定入侵行为数据与每一入侵行为类别标签的相似度,其中,度量神经网络模型是基于训练样本数据、与训练样本数据对应的行为类别、以及与训练样本数据非对应行为类别训练生成的;
通过对相似度进行排序,确定与入侵行为数据相似度最高的目标入侵行为类别标签,并将目标入侵行为类别标签确定为入侵行为数据所属的入侵行为类别。
本发明实施例提供的入侵行为的检测方法,首先获取入侵行为数据,然后将入侵行为数据与预先配置的包含多个入侵行为类别标签的入侵行为类别集合,分别输入至预先训练的度量神经网络模型中,根据度量神经网络模型的输出结果,确定入侵行为数据与每一入侵行为类别标签的相似度,最后通过对相似度进行排序,确定与入侵行为数据相似度最高的目标入侵行为类别标签,并将目标入侵行为类别标签确定为入侵行为数据所属的入侵行为类别。其所获取的入侵行为数据为待检测数据,并基于预先训练的度量神经网络模型进行检测与分类,与现有技术相比,可以在零样本训练条件下对未知类别的入侵行为进行识别,进而使得网络设备对未知类别的入侵行为做出正确响应,提高网络设备的安全性。
在一种可能的实施方式中,预先训练的度量神经网络模型,采用如下步骤训练生成:
获取训练样本数据、入侵行为样本数据对应的入侵行为类别和入侵行为样本数据非对应的入侵行为类别,其中,训练样本数据中包括入侵行为样本数据和正常行为样本数据;
将训练样本数据、入侵行为样本数据对应的入侵行为类别和入侵行为样本数据非对应的入侵行为类别,分别输入至第一全连接网络模型中进行特征处理,确定训练样本数据的数据特征向量,入侵行为样本数据对应的入侵行为类别的类别特征向量,和入侵行为样本数据非对应的入侵行为类别的类别特征向量;
基于训练样本数据的特征向量,入侵行为样本数据对应的入侵行为类别的类别特征向量,和入侵行为样本数据非对应的入侵行为类别的类别特征向量,构建度量神经网络模型的损失函数;
基于损失函数,通过误差反传算法对度量神经网络模型进行训练,直至满足损失函数无明显下降的收敛条件,将满足收敛条件的度量神经网络模型作为训练生成的度量神经网络模型。
在一种可能的实施方式中,将训练样本数据、入侵行为样本数据对应的入侵行为类别和入侵行为样本数据非对应的入侵行为类别,分别输入至第一全连接网络模型中进行特征处理,确定训练样本数据的数据特征向量,入侵行为样本数据对应的入侵行为类别的类别特征向量,和入侵行为样本数据非对应的入侵行为类别的类别特征向量,包括:
将训练样本数据输入至第二全连接网络模型中进行特征提取,确定训练样本数据的一维向量;
将入侵行为样本数据对应的入侵行为类别和入侵行为样本数据非对应的入侵行为类别,分别在预先配置的入侵行为类别词向量集合中进行查找,确定入侵行为样本数据对应的入侵行为类别的输出向量,及入侵行为样本数据非对应的入侵行为类别的输出向量;
将训练样本数据的一维向量、入侵行为样本数据对应的入侵行为类别的输出向量,及入侵行为样本数据非对应的入侵行为类别的输出向量,分别输入至第一全连接网络模型中进行特征处理,确定训练样本数据的数据特征向量,入侵行为样本数据对应的入侵行为类别的类别特征向量,和入侵行为样本数据非对应的入侵行为类别的类别特征向量。
在一种可能的实施方式中,第二全连接神经网络模型为预先训练的第三全连接神经网络模型中除最后一个分类层之外的其它层。
在一种可能的实施方式中,预先训练的第三全连接神经网络模型,采用如下步骤训练生成:
获取训练样本数据、入侵行为样本数据对应的入侵行为类别和正常行为样本数据对应的正常行为类别,其中,训练样本数据中包括入侵行为样本数据和正常行为样本数据;
将入侵行为样本数据和正常行为样本数据,分别输入特征处理模型中进行特征提取,获取入侵行为样本数据和正常行为样本数据的一维向量;
构建基于第三全连接神经网络模型的分类器,对训练样本数据中的正常行为样本数据和入侵行为样本数据的所属行为类别进行分类识别,其中,分类器的最后一个分类层的节点数目为正常行为类别与入侵行为类别数目之和;
将正常行为样本数据和入侵行为样本数据的一维向量输入至第三全连接神经网络模型中进行训练,将实现损失函数平稳且无明显下降的第三全连接神经网络模型,作为训练生成的第三全连接神经网络模型。
在一种可能的实施方式中,预先配置的入侵行为类别词向量集合,采用如下步骤配置:
在入侵行为类别语料库中,基于神经网络语言模型进行语料库中词间关系的训练;
基于所输出的入侵行为类别词向量建立入侵行为类别词向量集合,其中,入侵行为类别词向量表征入侵行为类别本身的语义信息。
第二方面,本发明实施例还提供一种入侵行为的检测装置,包括:
获取单元,用于获取入侵行为数据;
处理单元,用于将入侵行为数据与预先配置的包含多个入侵行为类别标签的入侵行为类别集合,分别输入至预先训练的度量神经网络模型中,根据度量神经网络模型的输出结果,确定入侵行为数据与每一入侵行为类别标签的相似度,其中,度量神经网络模型是基于训练样本数据、与训练样本数据对应的行为类别、以及与训练样本数据非对应行为类别训练生成的;
确定单元,用于通过对相似度进行排序,确定与入侵行为数据相似度最高的目标入侵行为类别标签,并将目标入侵行为类别标签确定为入侵行为数据所属的入侵行为类别。
在一种可能的实施方式中,处理单元采用如下步骤训练生成度量神经网络模型:
获取训练样本数据、入侵行为样本数据对应的入侵行为类别和入侵行为样本数据非对应的入侵行为类别,其中,训练样本数据中包括入侵行为样本数据和正常行为样本数据;
将训练样本数据、入侵行为样本数据对应的入侵行为类别和入侵行为样本数据非对应的入侵行为类别,分别输入至第一全连接网络模型中进行特征处理,确定训练样本数据的数据特征向量,入侵行为样本数据对应的入侵行为类别的类别特征向量,和入侵行为样本数据非对应的入侵行为类别的类别特征向量;
基于训练样本数据的特征向量,入侵行为样本数据对应的入侵行为类别的类别特征向量,和入侵行为样本数据非对应的入侵行为类别的类别特征向量,构建度量神经网络模型的损失函数;
基于损失函数,通过误差反传算法对度量神经网络模型进行训练,直至满足损失函数无明显下降的收敛条件,将满足收敛条件的度量神经网络模型作为训练生成的度量神经网络模型。
在一种可能的实施方式中,处理单元,具体用于:
将训练样本数据输入至第二全连接网络模型中进行特征提取,确定训练样本数据的一维向量;
将入侵行为样本数据对应的入侵行为类别和入侵行为样本数据非对应的入侵行为类别,分别在预先配置的入侵行为类别词向量集合中进行查找,确定入侵行为样本数据对应的入侵行为类别的输出向量,及入侵行为样本数据非对应的入侵行为类别的输出向量;
将训练样本数据的一维向量、入侵行为样本数据对应的入侵行为类别的输出向量,及入侵行为样本数据非对应的入侵行为类别的输出向量,分别输入至第一全连接网络模型中进行特征处理,确定训练样本数据的数据特征向量,入侵行为样本数据对应的入侵行为类别的类别特征向量,和入侵行为样本数据非对应的入侵行为类别的类别特征向量。
在一种可能的实施方式中,第二全连接神经网络模型为预先训练的第三全连接神经网络模型中除最后一个分类层之外的其它层。
在一种可能的实施方式中,处理单元采用如下步骤训练生成第三全连接神经网络模型:
获取训练样本数据、入侵行为样本数据对应的入侵行为类别和正常行为样本数据对应的正常行为类别,其中,训练样本数据中包括入侵行为样本数据和正常行为样本数据;
将入侵行为样本数据和正常行为样本数据,分别输入特征处理模型中进行特征提取,获取入侵行为样本数据和正常行为样本数据的一维向量;
构建基于第三全连接神经网络模型的分类器,对训练样本数据中的正常行为样本数据和入侵行为样本数据的所属行为类别进行分类识别,其中,分类器的最后一个分类层的节点数目为正常行为类别与入侵行为类别数目之和;
将正常行为样本数据和入侵行为样本数据的一维向量输入至第三全连接神经网络模型中进行训练,将实现损失函数平稳且无明显下降的第三全连接神经网络模型,作为训练生成的第三全连接神经网络模型。
在一种可能的实施方式中,处理单元采用如下步骤配置入侵行为类别词向量集合:
在入侵行为类别语料库中,基于神经网络语言模型进行语料库中词间关系的训练;
基于所输出的入侵行为类别词向量建立入侵行为类别词向量集合,其中,入侵行为类别词向量表征入侵行为类别本身的语义信息。
第三方面,本发明实施例还提供一种入侵行为的检测设备,包括:
至少一个处理器、至少一个存储器以及存储在存储器中的计算机程序指令,当计算机程序指令被处理器执行时,以实现本发明实施例第一方面提供的入侵行为的检测方法。
第四方面,本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序指令,当计算机程序指令被处理器执行时,使得入侵行为的检测设备能够执行本发明实施例第一方面提供的入侵行为的检测方法。
附图说明
通过参考附图阅读下文的详细描述,本发明示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中,以示例性而非限制性的方式示出了本发明的若干实施方式,其中:
图1为本发明实施例提供的一种网络模型训练的示意流程图;
图2为本发明实施例提供的一种入侵行为的检测方法的示意流程图;
图3为本发明实施例提供的一种入侵行为的检测装置的结构示意图;
图4为本发明实施例提供的一种入侵行为的检测设备的结构示意图。
具体实施方式
鉴于现有技术中的入侵行为检测模型只能识别出已知的入侵行为,不能在零样本训练条件下对未知的入侵行为进行识别,进而使得网络设备无法对未知入侵行为做出正确响应,本发明实施例提供一种入侵行为的检测方案,用以使网络设备对未知类别的入侵行为做出正确响应,提高网络设备的安全性。
进一步地,本发明实施例采用深度度量学习的方法进行入侵行为分类。具体实施时,借助深度学习技术与度量学习技术关联已知入侵行为与入侵类别,同时借助于自然语言词向量技术关联入侵类别,其中入侵类别包括已知类别与未知类别,通过上述两层关联关系的构建,提供了未知类别入侵行为的零样本识别可能。
图1中示例性的示出了一种网络模型训练的示意流程图,如图1所示,其包括基于深度学习的入侵数据分类预训练,基于自然语言神经网络模型的入侵类别词向量训练,基于深度度量学习的入侵数据与入侵类别关联训练三个主要步骤。网络模型训练完成之后,基于深度度量学习网络进行入侵行为与所有入侵类别的关系度量,且基于其度量排序进行该入侵行为的最终入侵类别判断,下面对上述三个步骤作详细说明。
步骤一:基于深度学习的入侵数据分类预训练
S1、获取训练样本数据、入侵行为样本数据对应的入侵行为类别和正常行为样本数据对应的正常行为类别,其中,训练样本数据中包括入侵行为样本数据和正常行为样本数据。
S2、对入侵行为样本数据和正常行为样本数据进行特征提取,即将所有特征以向量化形式进行表征,获得上述两种行为数据的一维向量化表达。
S3、构建基于第三全连接神经网络模型的分类器,进行训练样本数据的分类,该分类器最后一层的节点数目为正常行为类别与入侵行为类别之和。
S4、将正常行为样本数据和入侵行为样本数据的一维向量输入至第三全连接神经网络模型中进行参数训练,直到满足损失函数平稳且无明显下降的收敛条件。
步骤二:基于自然语言神经网络模型的入侵类别词向量训练
S1、收集CAPEC网络入侵行为类别的自然语料库。
S2、在上述语料库中基于标准的神经网络语言模型进行语料库中词间关系的训练,并根据输出结果得到入侵行为类别词向量集合,其可以有效反应类别本身的语义信息。
步骤三:基于深度度量学习的入侵数据与入侵类别关联训练
S1、获取训练样本数据、入侵行为样本数据对应的入侵行为类别和入侵行为样本数据非对应的入侵行为类别,其中,训练样本数据中包括入侵行为样本数据和正常行为样本数据。
S2、将上述训练样本数据输入至第二全连接神经网络模型中进行处理,得到上述训练样本数据的一维向量a。
需要说明的是,第二全连接神经网络模型为步骤一训练得到的第三全连接神经网络模型中除最后一个分类层之外的其它层。
S3、将入侵行为样本数据对应的入侵行为类别在入侵行为类别词向量集合中进行查找,得到入侵行为样本数据对应的入侵行为类别b。
需要说明的是,入侵行为类别词向量集合为根据步骤二的训练结果得到的。
进一步地,在入侵行为类别词向量集合中,除了入侵行为样本数据对应的入侵行为类别之外的词向量,为入侵行为样本数据非对应的入侵行为类别。
S4、将S2中确定的训练样本数据的一维向量a经过第一全连接神经网络模型进行特征再处理,得到训练样本数据的数据特征向量ai
需要说明的是,第一全连接神经网络模型是与第三全连接神经网络模型并不是相同的网络模型。
S5、将S3中确定的入侵行为样本数据对应的入侵行为类别b经过第三全连接神经网络模型进行特征再处理,得到入侵行为样本数据对应的入侵行为类别的类别特征向量bi
S6、在入侵行为类别词向量集合中的入侵行为样本数据非对应的入侵行为类别里进行随机挑选,并将所挑选到的非对应的入侵行为类别经过第三全连接神经网络模型进行特征再处理,得到入侵行为样本数据非对应的入侵行为类别的类别特征向量bj
S7、将bi的度量表示为
Figure BDA0002563400110000091
bj的度量表示为
Figure BDA0002563400110000092
其中M为可学习的度量矩阵。
S8、构建整体度量神经网络模型的损失函数,其公式如下,其中,γ为超参数,表示期望的相似样本相似度与非相似样本间相似度的差异。
Figure BDA0002563400110000101
S9、基于S8中确定的损失函数,通过误差反传算法进行整体网络的训练,直到满足损失函数无明显下降的收敛条件。
对度量神经网络模型训练完成后,对于待检测的入侵行为数据,将其与行为类别集合(包括正常行为类别、已知入侵行为类别、未知入侵行为类别)分别送入上述度量神经网络模型中,根据度量神经网络模型的输出结果,得到其关联关系
Figure BDA0002563400110000102
j=1,…,通过对该结果进行排序确定待检测的入侵行为数据所属的入侵行为类别。
具体实施时,以UNSW-NB15数据为例对上述度量神经网络模型的检测过程作详细说明。首先,选取UNSW-NB15中Normal(正常)的行为数据,以及Dos,Exploits,Generic,Reconnaissance四种类别的入侵行为数据作为训练样本数据进行训练,并检测上述正常行为数据及四种类别的入侵行为数据在Normal(正常)以及Dos,Exploits,Generic,Reconnaissance,Analysis,Backdoor六种入侵行为类别构成的测试数据中的识别情况。
步骤1,提取训练样本数据的一维向量化表达,获得其41维度特征以及其对应的5种类别,对第三全连接神经网络模型基于分类交叉熵进行训练。
步骤2,提取7种类别的词向量描述,类别文本信息采用CAPEC语料,基于标准的神经语言模型训练得到训练后的词向量描述。
步骤3,对训练样本数据中入侵行为数据及其对应与非对应类别,进行度量神经网络模型整体训练,直至收敛。该模型作为后续入侵行为数据的入侵行为类别分类依据。
如图2所示,本发明实施例提供一种入侵行为的检测方法,包括:
步骤201,获取入侵行为数据。
步骤202,将入侵行为数据与预先配置的包含多个入侵行为类别标签的入侵行为类别集合,分别输入至预先训练的度量神经网络模型中,根据度量神经网络模型的输出结果,确定入侵行为数据与每一入侵行为类别标签的相似度,其中,度量神经网络模型是基于训练样本数据、与训练样本数据对应的行为类别、以及与训练样本数据非对应行为类别训练生成的。
步骤203,通过对相似度进行排序,确定与入侵行为数据相似度最高的目标入侵行为类别标签,并将目标入侵行为类别标签确定为入侵行为数据所属的入侵行为类别。
在一种可能的实施方式中,预先训练的度量神经网络模型,采用如下步骤训练生成:
获取训练样本数据、入侵行为样本数据对应的入侵行为类别和入侵行为样本数据非对应的入侵行为类别,其中,训练样本数据中包括入侵行为样本数据和正常行为样本数据;
将训练样本数据、入侵行为样本数据对应的入侵行为类别和入侵行为样本数据非对应的入侵行为类别,分别输入至第一全连接网络模型中进行特征处理,确定训练样本数据的数据特征向量,入侵行为样本数据对应的入侵行为类别的类别特征向量,和入侵行为样本数据非对应的入侵行为类别的类别特征向量;
基于训练样本数据的特征向量,入侵行为样本数据对应的入侵行为类别的类别特征向量,和入侵行为样本数据非对应的入侵行为类别的类别特征向量,构建度量神经网络模型的损失函数;
基于损失函数,通过误差反传算法对度量神经网络模型进行训练,直至满足损失函数无明显下降的收敛条件,将满足收敛条件的度量神经网络模型作为训练生成的度量神经网络模型。
在一种可能的实施方式中,将训练样本数据、入侵行为样本数据对应的入侵行为类别和入侵行为样本数据非对应的入侵行为类别,分别输入至第一全连接网络模型中进行特征处理,确定训练样本数据的数据特征向量,入侵行为样本数据对应的入侵行为类别的类别特征向量,和入侵行为样本数据非对应的入侵行为类别的类别特征向量,包括:
将训练样本数据输入至第二全连接网络模型中进行特征提取,确定训练样本数据的一维向量;
将入侵行为样本数据对应的入侵行为类别和入侵行为样本数据非对应的入侵行为类别,分别在预先配置的入侵行为类别词向量集合中进行查找,确定入侵行为样本数据对应的入侵行为类别的输出向量,及入侵行为样本数据非对应的入侵行为类别的输出向量;
将训练样本数据的一维向量、入侵行为样本数据对应的入侵行为类别的输出向量,及入侵行为样本数据非对应的入侵行为类别的输出向量,分别输入至第一全连接网络模型中进行特征处理,确定训练样本数据的数据特征向量,入侵行为样本数据对应的入侵行为类别的类别特征向量,和入侵行为样本数据非对应的入侵行为类别的类别特征向量。
在一种可能的实施方式中,第二全连接神经网络模型为预先训练的第三全连接神经网络模型中除最后一个分类层之外的其它层。
在一种可能的实施方式中,预先训练的第三全连接神经网络模型,采用如下步骤训练生成:
获取训练样本数据、入侵行为样本数据对应的入侵行为类别和正常行为样本数据对应的正常行为类别,其中,训练样本数据中包括入侵行为样本数据和正常行为样本数据;
将入侵行为样本数据和正常行为样本数据,分别输入特征处理模型中进行特征提取,获取入侵行为样本数据和正常行为样本数据的一维向量;
构建基于第三全连接神经网络模型的分类器,对训练样本数据中的正常行为样本数据和入侵行为样本数据的所属行为类别进行分类识别,其中,分类器的最后一个分类层的节点数目为正常行为类别与入侵行为类别数目之和;
将正常行为样本数据和入侵行为样本数据的一维向量输入至第三全连接神经网络模型中进行训练,将实现损失函数平稳且无明显下降的第三全连接神经网络模型,作为训练生成的第三全连接神经网络模型。
在一种可能的实施方式中,预先配置的入侵行为类别词向量集合,采用如下步骤配置:
在入侵行为类别语料库中,基于神经网络语言模型进行语料库中词间关系的训练;
基于所输出的入侵行为类别词向量建立入侵行为类别词向量集合,其中,入侵行为类别词向量表征入侵行为类别本身的语义信息。
如图3所述,本发明实施例还提供一种入侵行为的检测装置,包括:
获取单元31,用于获取入侵行为数据;
处理单元32,用于将入侵行为数据与预先配置的包含多个入侵行为类别标签的入侵行为类别集合,分别输入至预先训练的度量神经网络模型中,根据度量神经网络模型的输出结果,确定入侵行为数据与每一入侵行为类别标签的相似度,其中,度量神经网络模型是基于训练样本数据、与训练样本数据对应的行为类别、以及与训练样本数据非对应行为类别训练生成的;
确定单元33,用于通过对相似度进行排序,确定与入侵行为数据相似度最高的目标入侵行为类别标签,并将目标入侵行为类别标签确定为入侵行为数据所属的入侵行为类别。
在一种可能的实施方式中,处理单元32采用如下步骤训练生成度量神经网络模型:
获取训练样本数据、入侵行为样本数据对应的入侵行为类别和入侵行为样本数据非对应的入侵行为类别,其中,训练样本数据中包括入侵行为样本数据和正常行为样本数据;
将训练样本数据、入侵行为样本数据对应的入侵行为类别和入侵行为样本数据非对应的入侵行为类别,分别输入至第一全连接网络模型中进行特征处理,确定训练样本数据的数据特征向量,入侵行为样本数据对应的入侵行为类别的类别特征向量,和入侵行为样本数据非对应的入侵行为类别的类别特征向量;
基于训练样本数据的特征向量,入侵行为样本数据对应的入侵行为类别的类别特征向量,和入侵行为样本数据非对应的入侵行为类别的类别特征向量,构建度量神经网络模型的损失函数;
基于损失函数,通过误差反传算法对度量神经网络模型进行训练,直至满足损失函数无明显下降的收敛条件,将满足收敛条件的度量神经网络模型作为训练生成的度量神经网络模型。
在一种可能的实施方式中,处理单元32,具体用于:
将训练样本数据输入至第二全连接网络模型中进行特征提取,确定训练样本数据的一维向量;
将入侵行为样本数据对应的入侵行为类别和入侵行为样本数据非对应的入侵行为类别,分别在预先配置的入侵行为类别词向量集合中进行查找,确定入侵行为样本数据对应的入侵行为类别的输出向量,及入侵行为样本数据非对应的入侵行为类别的输出向量;
将训练样本数据的一维向量、入侵行为样本数据对应的入侵行为类别的输出向量,及入侵行为样本数据非对应的入侵行为类别的输出向量,分别输入至第一全连接网络模型中进行特征处理,确定训练样本数据的数据特征向量,入侵行为样本数据对应的入侵行为类别的类别特征向量,和入侵行为样本数据非对应的入侵行为类别的类别特征向量。
在一种可能的实施方式中,第二全连接神经网络模型为预先训练的第三全连接神经网络模型中除最后一个分类层之外的其它层。
在一种可能的实施方式中,处理单元32采用如下步骤训练生成第三全连接神经网络模型:
获取训练样本数据、入侵行为样本数据对应的入侵行为类别和正常行为样本数据对应的正常行为类别,其中,训练样本数据中包括入侵行为样本数据和正常行为样本数据;
将入侵行为样本数据和正常行为样本数据,分别输入特征处理模型中进行特征提取,获取入侵行为样本数据和正常行为样本数据的一维向量;
构建基于第三全连接神经网络模型的分类器,对训练样本数据中的正常行为样本数据和入侵行为样本数据的所属行为类别进行分类识别,其中,分类器的最后一个分类层的节点数目为正常行为类别与入侵行为类别数目之和;
将正常行为样本数据和入侵行为样本数据的一维向量输入至第三全连接神经网络模型中进行训练,将实现损失函数平稳且无明显下降的第三全连接神经网络模型,作为训练生成的第三全连接神经网络模型。
在一种可能的实施方式中,处理单元32采用如下步骤配置入侵行为类别词向量集合:
在入侵行为类别语料库中,基于神经网络语言模型进行语料库中词间关系的训练;
基于所输出的入侵行为类别词向量建立入侵行为类别词向量集合,其中,入侵行为类别词向量表征入侵行为类别本身的语义信息。
基于上述本发明实施例相同构思,本发明实施例还提供一种入侵行为的检测设备。
如图4所示,本发明实施例还提供一种入侵行为的检测设备40,包括:
至少一个处理器41、至少一个存储器42以及存储在存储器中的计算机程序指令,当计算机程序指令被处理器41执行时,以实现本发明实施例中提供的入侵行为的检测方法。
在示例性实施例中,还提供了一种包括指令的存储介质,例如包括指令的存储器42,上述指令可由入侵行为的检测设备的处理器41执行以完成上述方法。
可选地,存储介质可以是非临时性计算机可读存储介质,例如,非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (10)

1.一种入侵行为的检测方法,其特征在于,所述方法包括:
获取入侵行为数据;
将所述入侵行为数据与预先配置的包含多个入侵行为类别标签的入侵行为类别集合,分别输入至预先训练的度量神经网络模型中,根据所述度量神经网络模型的输出结果,确定所述入侵行为数据与每一入侵行为类别标签的相似度,其中,所述度量神经网络模型是基于训练样本数据、与所述训练样本数据对应的行为类别、以及与所述训练样本数据非对应行为类别训练生成的;
通过对所述相似度进行排序,确定与所述入侵行为数据相似度最高的目标入侵行为类别标签,并将所述目标入侵行为类别标签确定为所述入侵行为数据所属的入侵行为类别。
2.根据权利要求1所述的方法,其特征在于,所述预先训练的度量神经网络模型,采用如下步骤训练生成:
获取训练样本数据、入侵行为样本数据对应的入侵行为类别和所述入侵行为样本数据非对应的入侵行为类别,其中,所述训练样本数据中包括所述入侵行为样本数据和正常行为样本数据;
将所述训练样本数据、入侵行为样本数据对应的入侵行为类别和所述入侵行为样本数据非对应的入侵行为类别,分别输入至第一全连接网络模型中进行特征处理,确定所述训练样本数据的数据特征向量,所述入侵行为样本数据对应的入侵行为类别的类别特征向量,和所述入侵行为样本数据非对应的入侵行为类别的类别特征向量;
基于所述训练样本数据的特征向量,所述入侵行为样本数据对应的入侵行为类别的类别特征向量,和所述入侵行为样本数据非对应的入侵行为类别的类别特征向量,构建所述度量神经网络模型的损失函数;
基于所述损失函数,通过误差反传算法对所述度量神经网络模型进行训练,直至满足所述损失函数无明显下降的收敛条件,将满足所述收敛条件的度量神经网络模型作为训练生成的度量神经网络模型。
3.根据权利要求2所述的方法,其特征在于,所述将所述训练样本数据、入侵行为样本数据对应的入侵行为类别和所述入侵行为样本数据非对应的入侵行为类别,分别输入至第一全连接网络模型中进行特征处理,确定所述训练样本数据的数据特征向量,所述入侵行为样本数据对应的入侵行为类别的类别特征向量,和所述入侵行为样本数据非对应的入侵行为类别的类别特征向量,包括:
将所述训练样本数据输入至第二全连接网络模型中进行特征提取,确定所述训练样本数据的一维向量;
将所述入侵行为样本数据对应的入侵行为类别和所述入侵行为样本数据非对应的入侵行为类别,分别在预先配置的入侵行为类别词向量集合中进行查找,确定所述入侵行为样本数据对应的入侵行为类别的输出向量,及所述入侵行为样本数据非对应的入侵行为类别的输出向量;
将所述训练样本数据的一维向量、所述入侵行为样本数据对应的入侵行为类别的输出向量,及所述入侵行为样本数据非对应的入侵行为类别的输出向量,分别输入至所述第一全连接网络模型中进行特征处理,确定所述训练样本数据的数据特征向量,所述入侵行为样本数据对应的入侵行为类别的类别特征向量,和所述入侵行为样本数据非对应的入侵行为类别的类别特征向量。
4.根据权利要求3所述的方法,其特征在于,
所述第二全连接神经网络模型为预先训练的第三全连接神经网络模型中除最后一个分类层之外的其它层。
5.根据权利要求4所述的方法,其特征在于,所述预先训练的第三全连接神经网络模型,采用如下步骤训练生成:
获取训练样本数据、入侵行为样本数据对应的入侵行为类别和正常行为样本数据对应的正常行为类别,其中,所述训练样本数据中包括所述入侵行为样本数据和所述正常行为样本数据;
将所述入侵行为样本数据和正常行为样本数据,分别输入特征处理模型中进行特征提取,获取所述入侵行为样本数据和正常行为样本数据的一维向量;
构建基于第三全连接神经网络模型的分类器,对所述训练样本数据中的正常行为样本数据和入侵行为样本数据的所属行为类别进行分类识别,其中,所述分类器的最后一个分类层的节点数目为所述正常行为类别与所述入侵行为类别数目之和;
将所述正常行为样本数据和入侵行为样本数据的一维向量输入至所述第三全连接神经网络模型中进行训练,将实现损失函数平稳且无明显下降的第三全连接神经网络模型,作为训练生成的第三全连接神经网络模型。
6.根据权利要求3所述的方法,其特征在于,所述预先配置的入侵行为类别词向量集合,采用如下步骤配置:
在入侵行为类别语料库中,基于神经网络语言模型进行语料库中词间关系的训练;
基于所输出的入侵行为类别词向量建立所述入侵行为类别词向量集合,其中,所述入侵行为类别词向量表征所述入侵行为类别本身的语义信息。
7.一种入侵行为的检测装置,其特征在于,所述装置包括:
获取单元,用于获取入侵行为数据;
处理单元,用于将所述入侵行为数据与预先配置的包含多个入侵行为类别标签的入侵行为类别集合,分别输入至预先训练的度量神经网络模型中,根据所述度量神经网络模型的输出结果,确定所述入侵行为数据与每一入侵行为类别标签的相似度,其中,所述度量神经网络模型是基于训练样本数据、与所述训练样本数据对应的行为类别、以及与所述训练样本数据非对应行为类别训练生成的;
确定单元,用于通过对所述相似度进行排序,确定与所述入侵行为数据相似度最高的目标入侵行为类别标签,并将所述目标入侵行为类别标签确定为所述入侵行为数据所属的入侵行为类别。
8.根据权利要求7所述的装置,其特征在于,所述处理单元采用如下步骤训练生成所述度量神经网络模型:
获取训练样本数据、入侵行为样本数据对应的入侵行为类别和所述入侵行为样本数据非对应的入侵行为类别,其中,所述训练样本数据中包括所述入侵行为样本数据和正常行为样本数据;
将所述训练样本数据、入侵行为样本数据对应的入侵行为类别和所述入侵行为样本数据非对应的入侵行为类别,分别输入至第一全连接网络模型中进行特征处理,确定所述训练样本数据的数据特征向量,所述入侵行为样本数据对应的入侵行为类别的类别特征向量,和所述入侵行为样本数据非对应的入侵行为类别的类别特征向量;
基于所述训练样本数据的特征向量,所述入侵行为样本数据对应的入侵行为类别的类别特征向量,和所述入侵行为样本数据非对应的入侵行为类别的类别特征向量,构建所述度量神经网络模型的损失函数;
基于所述损失函数,通过误差反传算法对所述度量神经网络模型进行训练,直至满足所述损失函数无明显下降的收敛条件,将满足所述收敛条件的度量神经网络模型作为训练生成的度量神经网络模型。
9.一种入侵行为的检测设备,其特征在于,包括:至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令,当所述计算机程序指令被所述处理器执行时实现如权利要求1-6中任一项所述的入侵行为的检测方法。
10.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,当所述计算机程序指令被处理器执行时实现如权利要求1-6中任一项所述的入侵行为的检测方法。
CN202010622161.XA 2020-06-30 2020-06-30 一种入侵行为的检测方法、装置、设备和存储介质 Active CN111786999B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010622161.XA CN111786999B (zh) 2020-06-30 2020-06-30 一种入侵行为的检测方法、装置、设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010622161.XA CN111786999B (zh) 2020-06-30 2020-06-30 一种入侵行为的检测方法、装置、设备和存储介质

Publications (2)

Publication Number Publication Date
CN111786999A true CN111786999A (zh) 2020-10-16
CN111786999B CN111786999B (zh) 2023-03-24

Family

ID=72760477

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010622161.XA Active CN111786999B (zh) 2020-06-30 2020-06-30 一种入侵行为的检测方法、装置、设备和存储介质

Country Status (1)

Country Link
CN (1) CN111786999B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113469378A (zh) * 2021-05-31 2021-10-01 烟台杰瑞石油服务集团股份有限公司 检修方法及检修设备
CN113836527A (zh) * 2021-11-23 2021-12-24 北京微步在线科技有限公司 入侵事件检测模型构建方法、装置及入侵事件检测方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106656981A (zh) * 2016-10-21 2017-05-10 东软集团股份有限公司 网络入侵检测方法和装置
CN109829514A (zh) * 2019-03-07 2019-05-31 西安电子科技大学 一种网络入侵检测方法、装置、计算机设备和存储介质
CN110516533A (zh) * 2019-07-11 2019-11-29 同济大学 一种基于深度度量的行人再辨识方法
CN110691100A (zh) * 2019-10-28 2020-01-14 中国科学技术大学 基于深度学习的分层网络攻击识别与未知攻击检测方法
CN111191767A (zh) * 2019-12-17 2020-05-22 博雅信安科技(北京)有限公司 一种基于向量化的恶意流量攻击类型的判断方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106656981A (zh) * 2016-10-21 2017-05-10 东软集团股份有限公司 网络入侵检测方法和装置
CN109829514A (zh) * 2019-03-07 2019-05-31 西安电子科技大学 一种网络入侵检测方法、装置、计算机设备和存储介质
CN110516533A (zh) * 2019-07-11 2019-11-29 同济大学 一种基于深度度量的行人再辨识方法
CN110691100A (zh) * 2019-10-28 2020-01-14 中国科学技术大学 基于深度学习的分层网络攻击识别与未知攻击检测方法
CN111191767A (zh) * 2019-12-17 2020-05-22 博雅信安科技(北京)有限公司 一种基于向量化的恶意流量攻击类型的判断方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
徐敏等: "基于神经网络集成的入侵检测系统", 《计算机工程与科学》 *
罗军生等: "基于模糊C-均值聚类算法的入侵检测", 《计算机技术与发展》 *
顾兆军等: "基于ELM-KNN算法的网络入侵检测模型", 《计算机工程与设计》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113469378A (zh) * 2021-05-31 2021-10-01 烟台杰瑞石油服务集团股份有限公司 检修方法及检修设备
CN113469378B (zh) * 2021-05-31 2023-11-24 烟台杰瑞石油服务集团股份有限公司 检修方法及检修设备
CN113836527A (zh) * 2021-11-23 2021-12-24 北京微步在线科技有限公司 入侵事件检测模型构建方法、装置及入侵事件检测方法

Also Published As

Publication number Publication date
CN111786999B (zh) 2023-03-24

Similar Documents

Publication Publication Date Title
EP3657392A1 (en) Image feature acquisition
Jain et al. Machine Learning based Fake News Detection using linguistic features and word vector features
CN111786999B (zh) 一种入侵行为的检测方法、装置、设备和存储介质
CN111401105B (zh) 一种视频表情识别方法、装置及设备
CN113688630A (zh) 文本内容审核方法、装置、计算机设备和存储介质
CN111259823A (zh) 一种基于卷积神经网络的色情图像识别方法
CN112100377A (zh) 文本分类方法、装置、计算机设备和存储介质
CN113469214A (zh) 虚假新闻检测方法、装置、电子设备和存储介质
CN115688024A (zh) 基于用户内容特征和行为特征的网络异常用户预测方法
CN116205482A (zh) 重点人员风险等级评估方法及相关设备
CN111178196B (zh) 一种细胞分类的方法、装置及设备
CN113420117B (zh) 一种基于多元特征融合的突发事件分类方法
CN111475648A (zh) 一种文本分类模型生成方法、文本分类方法及装置、设备
CN115309899B (zh) 一种文本中特定内容识别存储方法及系统
CN111144453A (zh) 构建多模型融合计算模型的方法及设备、网站数据识别方法及设备
CN113792541B (zh) 一种引入互信息正则化器的方面级情感分析方法
CN114139636B (zh) 异常作业处理方法及装置
CN113139379B (zh) 信息识别方法和系统
CN115083511A (zh) 基于图表示学习与注意力的外围基因调控特征提取方法
CN110309285B (zh) 自动问答方法、装置、电子设备和存储介质
CN114022698A (zh) 一种基于二叉树结构的多标签行为识别方法及装置
CN113469288A (zh) 融合多个机器学习算法的高危人员预警方法
CN111859979A (zh) 讽刺文本协同识别方法、装置、设备及计算机可读介质
CN113139382A (zh) 命名实体识别方法及装置
CN111431863B (zh) 基于关系网络的主机入侵检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant