CN111967502B

CN111967502B - 一种基于条件变分自编码器的网络入侵检测方法

Info

Publication number: CN111967502B
Application number: CN202010718260.8A
Authority: CN
Inventors: 徐行; 李�杰; 杨阳; 邵杰
Original assignee: University of Electronic Science and Technology of China
Current assignee: University of Electronic Science and Technology of China
Priority date: 2020-07-23
Filing date: 2020-07-23
Publication date: 2021-09-24
Anticipated expiration: 2040-07-23
Also published as: CN111967502A

Abstract

本发明公开了一种基于条件变分自编码器的网络入侵检测方法，属于网络空间入侵检测技术领域，该方法先训练一个以对数双曲余弦函数作为损失函数的条件变分自编码器用于对数据集扩充，然后使用数据扩充后的数据集训练一个基于卷积神经网络的分类器作为整个模型的入侵检测器。本发明利用条件变分自编码的生成能力和卷积网络对数据特征优异的特征提取能力，提升了在网络空间入侵数据集上的分类检测性能，同时也解决了由于数据集样本不均衡造成的性能下降的问题。

Description

一种基于条件变分自编码器的网络入侵检测方法

技术领域

本发明属于网络空间入侵检测技术领域，具体涉及一种基于条件变分自编码器的网络入侵检测方法。

背景技术

网络空间入侵检测技术是指通过获取某网络设备的连接信息、日志文件等信息来检测对该设备的入侵，即任何试图破坏网络设备数据完整性、机密性和可访问性的动作。随着物联网的不断发展和物联网设备的增多，如何确保网络空间中设备的安全逐渐成为一个研究热点。网络空间入侵检测技术旨在物联网网络的网络层识别设备的异常连接信息，以达到对用户数据、隐私等信息进行保护的目的。

随着机器学习特别是深度学习技术的发展，基于机器学习的网络空间入侵检测技术不断涌现。相较于手工设计数据的特征，机器学习方法可以自动学习数据的特征并由此对数据进行分类，因此具有更高的鲁棒性。在机器学习领域，入侵检测技术主要有两类方法：传统机器学习算法和深度学习方法。

1)传统机器学习算法：传统机器学习算法往往是通过各类算法决定不同类数据在样本空间的决策边界来进行分类工作。聚类算法(K-均值和高斯混合模型)往往计算正常数据的分布，并将任何偏离该分布的数据判断为异常。分类算法(支持向量机、K-近邻和随机森林)利用选择的特征建立分类器来检测入侵。

2)深度学习方法：深度学习方法旨在利用深度神经网络对非线性关系的抽象能力学习异常连接的特征而进行检测。自编码器、深度神经网络和递归神经网络等模型可以自动提取数据特征并进行分类工作。

当然也有许多算法使用各种集成和混合技术来提高模型的检测性能，包括装袋算法、提升算法和混合分类器等方法。

现有检测方法存在因数据集样本不足、各类样本数量不均衡和模型特征表征能力不足而导致检测率低的问题。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于条件变分自编码器的网络入侵检测方法；以对数双曲余弦作为损失函数的条件变分自编码器作为模型的数据生成器，该数据生成器通过训练集训练后可以生成不同种类的数据样本，可以达到数据集扩充的作用。同时，以卷积神经网络为主要网络结构的分类器通过提高特征提取的准确率和加强特征之间的相关性来提升模型的特征学习能力，并由此达到提升分类器准确率的目的。

其中所述的对数双曲余弦条件变分自编码器的损失函数设置为：

x_i，

分别表示条件变分自编码器的输入和输出，μ，σ分别表示变分自编码器输出的均值和方差，下标i表示数据的维度编号，下标j表示潜在特征向量的维度，a是超参数，一般设定为10。为解决网络入侵数据集中因样本不均衡而导致的准确率下降等问题，该条件变分自编码器作为整个基于条件变分自编码器的网络入侵检测模型的生成器用于数据扩充。同时，使用以卷积神经网络为主要网络结构的分类器作为网络入侵的分类器；所述的分类器由两层卷积神经网络和三层稠密连接网络组成，卷积神经网络用于提取数据的特征，再使用稠密连接网络预测数据的类别信息。卷积神经网络可以很好地对数据的特征进行提取而且相较于稠密连接网络，卷积神经网络可以获取数据不同维度元素之间的相关性信息。

本发明通过下述技术方案实现：一种基于条件变分自编码器的网络入侵检测方法，先使用以对数双曲余弦作为损失函数的变分自编码器对网络空间入侵数据集进行数据集扩充，然后再使用扩充后的数据集训练一个以卷积神经网络为主要结构的分类器，经过训练之后的分类器进行入侵检测。

一种基于条件变分自编码器的网络入侵检测方法，具体包括以下步骤：

步骤S1：选择训练数据集；

步骤S2：构建基于对数双曲余弦损失的条件变分自编码器模型，对训练数据集进行扩充；

步骤S3：构建基于卷积神经网络的分类器模型；

步骤S4：对扩充后的训练数据集进行预处理操作，得到预处理操作后的训练数据集；

步骤S5：采用步骤S4中预处理操作后的训练数据集训练分类器模型；

步骤S6：使用分类器模型对网络中的攻击或者入侵行为进行检测。

进一步地，所述步骤S2具体包括以下步骤：

步骤S21：构建所述的基于对数双曲余弦损失的条件变分自编码器模型，所述的基于对数双曲余弦损失的条件变分自编码器模型为了解决训练数据集中的样本不均衡问题，使用条件变分自编码器来生成某种特定类别的数据，以此对训练数据集进行扩充；

步骤S22：对训练数据集进行独热编码和归一化处理；

步骤S23：采用预处理后的训练数据集训练条件变分自编码器模型；

步骤S24：使用经过训练条件自编码器生成数据，对训练数据集进行扩充，得到扩充后的训练数据集。

进一步地，所述步骤S3具体是指：使用以卷积神经网络为主要网络结构的分类器作为网络入侵的分类器，所述的分类器由两层卷积神经网络和三层稠密连接网络组成，卷积神经网络用于提取数据的特征，再使用稠密连接网络预测数据的类别信息。具体地，使用RELU函数作为卷积层的激活函数，并且为了加速模型收敛，在每层卷积层之后添加归一化层，最后，在最后一层卷积层之后加上池化层。三层稠密连接网络连接在池化层之后。

进一步地，所述步骤S4中数据预处理操作包括以下步骤；

步骤S41：检索扩充后的训练数据集中的数据每个维度信息；

步骤S42：将经过步骤S42得到的数据中的缺失值用数值0补全；

步骤S43：将经过步骤S43得到的数据中的离散型特征转换为标签编码；

步骤S44：将经过步骤S44得到的数据中的向量形式转换为矩阵形式，缺失值以数值0填充。

进一步地，所述步骤S5具体是指：定义分类器的损失函数为交叉损失熵损失函数，采用随机梯度下降算法对分类器中的参数进行训练。

进一步地，所述步骤S6具体包括以下步骤：

步骤S61：获取网络设备某次连接的连接信息；

步骤S62：将该连接信息进行预处理操作，得到由向量形式转换为矩阵形式的连接信息；

步骤S63：将步骤S62中矩阵形式的连接信息输入分类器模型，并由输出向量计算该次连接所属种类，若为异常类，则判断该次连接行为为入侵行为。

本发明与现有技术相比，具有以下优点及有益效果：

(1)本发明训练一个使用条件变分自编码器作为数据生成器，该生成器经过训练后通过生成指定种类数据的方式来对数据集进行扩充，解决了样本中数据不均衡问题。

(2)本发明将传统条件变分自编码器的损失函数中的重建损失替换为对数双曲余弦损失函数，加强了条件变分编码器的生成能力，可以生成与训练数据较小重建误差的生成数据。

(3)本发明训练一个基于卷积神经网络的分类器，卷积神经网络精确提取数据中的特征并且不会对数据不同维度之间的相关性信息忽视，提高了网络空间数据集上的分类准确率。

(4)本发明综合条件变分编码器和卷积神经网络分类器的优点，使用经条件变分编码器扩充后的数据集来训练卷积神经网络分类器，增强了入侵分类检测的鲁棒性。

附图说明

图1是本发明基于条件变分自编码器进行数据扩充的物联网网络空间入侵检测方法流程图；

图2是条件变分自编码器网络结构示意图；

图3是卷积神经网络分类器网络结构示意图；

图4是数据预处理具体实施方式流程图。

具体实施方式

下面结合附图对本发明的具体实施方式进行描述，以便本领域的技术人员更好地理解本发明。需要特别提醒注意的是，所描述的实施例是本发明一部分实施例，而不是全部的实施例，也并非旨在限制要求保护的本发明的范围。本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1-图4所示，一种基于条件变分自编码器的网络入侵检测方法，使用以对数双曲余弦作为损失函数的条件变分自编码器对原始数据集进行扩充，然后以扩充后的数据集作为训练集训练一个以卷积神经网络为主要网络结构的分类器，使用训练后的分类器进行网络入侵检测。

本实施例中，利用一个以对数双曲余弦函数作为损失函数的条件变分编码器作为数据生成器来对训练数据集进行扩充。使用对数双曲余弦损失函数的条件变分编码器相较于传统条件变分编码器而言，经过训练后可以生成具有较小重建误差的数据。通过产生数据对数据集进行扩充的方式，可以解决原数据集中样本不均衡的问题。同时，以卷积神经网络为主要网络结构的分类器更为精确地提取网络空间入侵数据集中数据的特征，提升分类器的准确率和误判率。

本实施例的一个核心内容在于使用条件变分自编码器数据生成的方式解决样本不均衡问题，同时不同于直接用稠密连接网络对数据进行直接分类，本发明使用一个卷积神经网络提取数据集中的特征，提升了分类器的鲁棒性。另外，使用对数双曲余弦损失函数替换L2范数损失函数来提升条件变分自编码器的生成效果也是本发明的独特之处。

步骤S1：选择训练数据集；

步骤S2：构建基于对数双曲余弦损失的条件变分自编码器模型，对训练数据集进行扩充，得到扩充后的训练数据集；

步骤S3：构建基于卷积神经网络的分类器模型；

在本发明的实施例中，一种利用条件变分自编码器进行数据扩充的物联网网络空间入侵检测方法，先构建条件变分编码器模型，再用训练数据集对该模型进行训练，然后在利用该模型通过生成数据的方式对数据集进行扩充，最后使用扩充后的数据集训练一个卷积神经网络分类器进行网络空间入侵检测，主要包括以下步骤S1-步骤S6。

步骤S1：选择训练数据集。

本实施例选取NSL-KDD数据集进行实验。NSL-KDD数据集从KDDCUP99数据集中分离出来的一个子数据集，该数据集删除了KDDCUP99数据集中重复和冗余的数据，因此更适合于模型网络入侵性能评估。NSL-KDD数据集总共包含5大类，1个正常类(正常)和4个异常类(端口攻击、拒绝服务攻击、远程用户攻击、提权攻击)。

NSL-KDD数据集是不均衡的，远程用户攻击和提权攻击两类具有较少的数据量，因此该数据集存在样本不均衡问题。这与网络设备在实际生活中一致，正常数据总是大量存在，而异常数据是少量的。使用该数据集中文件名为：KDDTrain+_20Percent.txt的文件作为训练数据集。文件名为：KDDTest+.txt中的数据作为测试数据集来评估模型性能。

步骤S2：构建基于对数双曲余弦损失的条件变分自编码器模型，对训练数据集进行扩充。

本实施例中，使用一个以对数双曲余弦函数为损失函数的条件变分自编码器来解决训练数据集中的样本不均衡问题。对数双曲余弦损失函数的条件变分编码器相较于传统条件变分编码器而言，经过训练后可以生成具有较小重建误差的数据。经过训练后的生成器用于生成各类数据，将数据集中的每一类数据扩充成同一数量级。

具体内容如下：

步骤S22：对训练数据集进行独热编码和归一化处理；

所述步骤S2中的基于对数双曲余弦损失的条件变分自编码器模型的结构具体为：每一个条件变分自编码器包含两部分：编码器和解码器。

编码器是一个神经网络，将提取的数据特征映射成低维的潜在变量。

解码器也是一个神经网络，将低维的潜在变量解码重构回与原始数据特征尽可能接近的表示。

为了找到潜在变量的正确分布，在条件变分自动编码器中引入了变分推理方法。由于这个分布比较棘手，所以用最接近它的后验代理来逼近，使用变分下界来最小化其距离。所以，使用输入数据的边际似然估计下界作为目标损失函数。

一般条件变分自编码器的目标损失函数为：

其中，

为重构损失；

D_KL(q(z|x,y)||p(z|y))，

为KL散度，用来计算编码器生成的潜在变量的分布和多元高斯模型的先验分布之间的差异。

KL散度又称为相对熵，信息散度，信息增益。KL散度是是两个概率分布q和p差别的非对称性的度量。KL散度是用来度量使用基于q的编码来编码来自p的样本平均所需的额外的位元数。典型情况下，p表示数据的真实分布，q表示数据的理论分布，模型分布，或p的近似分布。KL散度是信息理论一个常见计算量，并不是本发明的改进点，故不再赘述。

本实施例中，为了解决传统条件变分自编码器损失函数中重构损失函数引起的重建效果差的缺陷。本发明使用对数双曲余弦损失函数替换重构损失函数。对数双曲余弦损失函数如下：

其中，x_i，

分别表示条件变分自编码器的输入和输出，下标i表示数据的维度编号，a是超参数，一般设定为10。

于是基于对数双曲余弦损失的条件变分编码器的总损失函数为：

其中，μ，σ分别表示变分自编码器输出的均值和方差，下标j表示潜在特征向量的维度；

条件变分自编码器的网络结构如图2所示，编码器使用四层全连接网络，输入维度为118，输出维度为1024，中间两层隐含层维度分别为256和512。解码器的维度与编码器的维度相反，输入输出维度分别为1024和118，中间隐含层的维度为512和256。这样的设置适合维度较小的训练数据。

步骤S22中的对训练数据集进行独热编码和归一化处理包括：首先需要将数据中的缺失值以数值0为填充值进行补全操作，然后将数据中的离散值进行独热编码操作，最后将数据中的连续值进行归一化操作。这是因为网络空间入侵数据集中数据存在某维度元素缺失的问题，所以需要一定的数据预处理操作。使用独热编码将离散特征的取值扩展到欧式空间，让特征之间的距离计算更加合理。而归一化操作可以消除奇异样本的影响，加速深度学习网络的训练，使其更加容易收敛。

步骤S23训练条件变分自编码器模型具体包括：在训练条件变分编码器时，以公式(3)所述的损失函数为模型损失函数，同时使用Adam优化算法，以0.00001的初始学习率开始训练。

训练数据使用经步骤S22进行独热编码和归一化处理后的数据。

步骤S24使用经过训练条件变分自编码器生成数据，对训练数据集进行扩充具体包括：经过训练的条件变分编码器可以用于数据生成。从正态分布中随机采样一个数据Z，将Z与生成数据的种类信息C连接得到(Z,C)，然后再将(Z,C)作为解码器的输入得到输出向量，最后将输出向量从独热编码转换为离散形式，再进行反归一化处理，即可得到一个生成数据。通过指定生成某类数据的方法，可以对数据集中数量较少的部分类数据进行扩充。扩充后的数据集各类数据量均衡，可以解决数据不均衡问题。

步骤S3：构建基于卷积神经网络的分类器模型。所述分类器的结构由两层卷积神经网络和三层稠密连接网络组成，卷积神经网络用于提取数据的特征，再使用稠密连接网络预测数据的类别信息。具体地，使用RELU函数作为卷积层的激活函数，并且为了加速模型收敛，在卷积层之后添加归一化层，最后，在最后一层卷积层之后加上池化层。三层稠密连接网络连接在池化层之后。第一层卷积层的输入维度数为1维，输出维度为5维，卷积核大小为3，填充和步数都设置为1，第二层卷积层的输入和输出维度分别为6和16维，卷积核大小、填充和步数与第一层卷积层相同。三层稠密连接网络输出维度分别为512、256和数据集中数据的类别数目。

步骤S4中数据预处理操作，对扩充后的数据集进行一定的预处理操作，包括以下步骤；

步骤S41：检索数据每个维度信息；

步骤S41：将缺失值用数值0补全；

步骤S43：将离散型特征转换为标签编码；

步骤S44：将数据从向量形式改变形状为矩阵(方阵)形式，缺失值以数值0填充。

操作流程图如图4所示。经过预处理操作后，分类器训练数据集中的数据都被转换为矩阵形式，这样卷积神经网络即可以对数据中的特征进行精确地提取。

步骤S5：训练分类器模型。

定义整个分类器网络的损失函数为交叉损失熵，采用随机梯度下降算法对模型里的卷积神经网络、稠密连接网络的参数进行训练，整个模型的损失函数其数学表示如下：

其中N为输出向量的维度，y⁽ⁱ⁾，

为目标值和预测值，上标i表示输出向量的维度为i。

步骤S6：使用分类器对网络中的攻击或者入侵行为进行检测。

步骤S61：获取网络设备某次连接的连接信息；

步骤S63：将步骤S62中矩阵形式的连接信息输入分类器，并由输出向量计算该次连接所属种类，若为异常类，则判断该次连接行为为入侵行为。

本实施例进一步优化，采用精确度(Accuracy)、召回率(Recall)、精度(Precision)和F1-score指标来评估整个基于条件变分自编码器的网络入侵检测模型的性能。通常这个四个指标由分类问题的混淆矩阵中的真阳性(True Positive，TP)、假阳性(False Positive，FP)、假阴性(Fals Negative，FN)和真阴性(True Negative，TN)四个元素计算而来，混淆矩阵如下表1所示：

表格1混淆矩阵

	预测攻击	预测正常
			实际攻击	真阳性(TP)	假阴性(FN)
实际正常	假阳性(FP)	真阴性(TN)

各项指标的计算公式如下：

我们在NSL-KDD网络空间入侵数据集上测试了本发明的性能。NSL-KDD数据集从KDDCUP99数据集中手工分离出来的一个子数据集，该数据集删除了KDDCUP99数据集中重复和冗余的数据，因此更适合于模型网络入侵性能评估。NSL-KDD数据集总共包含5大类，1个正常类(正常)和4个异常类(端口攻击、拒绝服务攻击、远程用户攻击、提权攻击)。NSK-KDD数据集是不均衡的，其中正常类、端口攻击类和拒绝服务类占数据集的比重约为90％，其余类只占10％。为解决NSL-KDD数据集中的样本不均衡问题(远程用户攻击、提权攻击类数据较少)，本发明生成了11160个端口攻击类数据，4215个拒绝服务攻击类数据，13438个远程用户攻击类数据，13240个提权攻击类数据，使数据集中各种类的数据保持在同一数量级。测试比较结果如下表2所示：

表格2在NSL-KDD数据集上模型性能对比图(％)

模型	精确度	召回率	精度	F1-score
					KNN	76.51	64.19	92.16	75.68
MultinomialNB	78.73	65.64	95.62	77.85
					RF	76.49	60.69	96.84	74.62
SVM	72.28	56.73	91.26	69.97
					DNN	80.22	68.21	95.85	79.70
DBN	80.82	68.53	96.84	80.26
					ROS-DNN	78.26	67.41	92.34	77.93
SMOTE-DNN	81.16	69.48	96.42	80.76
					ADASYN-DNN	80.10	67.74	96.16	79.49
ours	83.53	68.90	97.61	80.78

从表2可以看出，本发明在NSL-KDD的测试集上均优于现有的方法。

我们的发明在NSL-KDD网络空间入侵数据集中获得了83.53％的最高准确率，同时在其他指标上也优于其他方法。这证明了本发明提出的模型通过数据生成扩充数据集的方法配合本发明提出的卷积神经网络分类器提升了网络空间入侵检测分类的准率性。

尽管上面对本发明说明性的具体实施方式进行了描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

Claims

1.一种基于条件变分自编码器的网络入侵检测方法，该方法由基于条件变分自编码器的网络入侵检测模型实现，其特征在于，该方法包括以下步骤：

步骤S1：选择训练数据集；

步骤S3：构建基于卷积神经网络的分类器模型；

步骤S5：采用步骤S4中预处理操作后的训练数据集训练分类器模型，得到训练好的分类器模型；

步骤S6：使用训练好的分类器模型对网络中的攻击或者入侵行为进行检测；

其中，所述基于对数双曲余弦损失的条件变分自编码器模型为了解决训练数据集中的样本不均衡问题，使用条件变分自编码器来生成某种特定类别的数据，以此对训练数据集进行扩充，所述基于对数双曲余弦损失的条件变分自编码器模型的结构具体为：每一个条件变分自编码器包含两部分：编码器和解码器；编码器是一个神经网络，将提取的数据特征映射成低维的潜在变量，编码器使用四层全连接网络，输入维度为118，输出维度为1024，中间两层隐含层维度分别为256和512；解码器也是一个神经网络，将低维的潜在变量解码重构回与原始数据特征尽可能接近的表示，解码器的维度与编码器的维度相反，输入输出维度分别为1024和118，中间隐含层的维度为512和256；基于对数双曲余弦损失的条件变分编码器的总损失函数为：

其中，x_i，

分别表示条件变分自编码器的输入和输出，下标i表示数据的维度编号，a是超参数，预先设定为10，μ，σ分别表示变分自编码器输出的均值和方差，下标j表示潜在特征向量的维度；

所述基于卷积神经网络的分类器模型结构由两层卷积神经网络层和三层稠密连接网络层组成，卷积神经网络层用于提取数据的特征，再使用稠密连接网络层预测数据的类别信息，具体地，使用RELU函数作为卷积神经网络层的激活函数，并且为了加速模型收敛，在每层卷积神经网络层之后添加归一化层，最后，在最后一层卷积神经网络层之后加上池化层，三层稠密连接网络层连接在池化层之后；第一层卷积神经网络层的输入维度数为1维，输出维度为5维，卷积核大小为3，填充和步数都设置为1，第二层卷积神经网络层的输入和输出维度分别为6和16维，卷积核大小、填充和步数与第一层卷积神经网络层相同，三层稠密连接网络层输出维度分别为512、256和数据集中数据的类别数目；

所述步骤S1中选取NSL-KDD数据集进行实验，NSL-KDD数据集是从KDDCUP99数据集中分离出来的一个子数据集，该数据集删除了KDDCUP99数据集中重复和冗余的数据，因此更适合于模型网络入侵性能评估，NSL-KDD数据集总共包含5大类，1个正常类和4个异常类，包括端口攻击、拒绝服务攻击、远程用户攻击、提权攻击，NSL-KDD数据集是不均衡的，远程用户攻击和提权攻击两类具有较少的数据量，因此该数据集存在样本不均衡问题，这与网络设备在实际生活中一致，正常数据总是大量存在，而异常数据是少量的，使用该数据集中文件名为：KDDTrain+_20Percent.txt的文件作为训练数据集，文件名为：KDDTest+.txt中的数据作为测试数据集来评估基于条件变分自编码器的网络入侵检测模型的性能。

2.根据权利要求1所述的基于条件变分自编码器的网络入侵检测方法，其特征在于，所述步骤S2具体包括：

步骤S21：构建所述的基于对数双曲余弦损失的条件变分自编码器模型；

步骤S22：对训练数据集进行独热编码和归一化处理；

步骤S23：采用进行了独热编码和归一化处理后的训练数据集训练条件变分自编码器模型；

步骤S24：使用经过训练后的条件变分自编码器模型生成数据，对训练数据集进行扩充，得到扩充后的训练数据集；

其中，步骤S22中的对训练数据集进行独热编码和归一化处理包括：首先需要将训练数据集中数据的缺失值以数值0为填充值进行补全操作，然后将数据中的离散值进行独热编码操作，最后将数据中的连续值进行归一化操作；

步骤S23训练条件变分自编码器模型具体包括：在训练条件变分编码器时，以公式

所述的损失函数为所述条件变分自编码器模型损失函数，同时使用Adam优化算法，以0.00001的初始学习率开始训练；

步骤S24使用经过训练后的条件变分自编码器模型生成数据，对训练数据集进行扩充具体包括：经过训练后的条件变分自编码器模型可以用于数据生成，从正态分布中随机采样一个数据Z，将Z与生成数据的种类信息C连接得到(Z,C)，然后再将(Z,C)作为解码器的输入得到输出向量，最后将输出向量从独热编码转换为离散形式，再进行反归一化处理，即可得到一个生成数据，通过指定生成某类数据的方法，可以对训练数据集中数量较少的部分类数据进行扩充，扩充后的训练数据集各类数据量均衡，解决数据不均衡问题。

3.根据权利要求2所述的基于条件变分自编码器的网络入侵检测方法，其特征在于，所述步骤S4中对扩充后的训练数据集进行预处理操作具体包括：

步骤S41：检索扩充后的训练数据集中的数据每个维度信息；

步骤S42：将步骤S41中的数据的缺失值用数值0补全；

步骤S43：将步骤S42中的数据由离散型特征转换为标签编码；

步骤S44：将步骤S43中的数据从向量形式转换为矩阵形式，并且缺失值以数值0填充。

4.根据权利要求3所述的基于条件变分自编码器的网络入侵检测方法，其特征在于，所述步骤S5训练分类器模型具体包括：

定义分类器模型的损失函数为交叉损失熵，采用随机梯度下降算法对分类器模型里的卷积神经网络、稠密连接网络的参数进行训练，整个分类器模型的损失函数的数学表示如下：

其中N为输出向量的维度，y⁽ⁱ⁾，

分别表示目标值和预测值，上标i表示输出向量的维度为i。

5.根据权利要求4所述的基于条件变分自编码器的网络入侵检测方法，其特征在于，所述步骤S6使用训练好的分类器模型对网络中的攻击或者入侵行为进行检测具体包括：

步骤S61：获取网络设备某次连接的连接信息；

步骤S63：将步骤S62中矩阵形式的连接信息输入训练好的分类器模型，并由输出向量计算该次连接所属种类，若为异常类，则判断该次连接行为为入侵行为。