CN113518063A - 基于数据增强和BiLSTM的网络入侵检测方法及系统 - Google Patents

基于数据增强和BiLSTM的网络入侵检测方法及系统 Download PDF

Info

Publication number
CN113518063A
CN113518063A CN202110224609.7A CN202110224609A CN113518063A CN 113518063 A CN113518063 A CN 113518063A CN 202110224609 A CN202110224609 A CN 202110224609A CN 113518063 A CN113518063 A CN 113518063A
Authority
CN
China
Prior art keywords
data
intrusion detection
bilstm
network intrusion
data set
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110224609.7A
Other languages
English (en)
Other versions
CN113518063B (zh
Inventor
柳毅
郭三田
李斯
罗玉
孙宇平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong University of Technology
Original Assignee
Guangdong University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong University of Technology filed Critical Guangdong University of Technology
Priority to CN202110224609.7A priority Critical patent/CN113518063B/zh
Publication of CN113518063A publication Critical patent/CN113518063A/zh
Application granted granted Critical
Publication of CN113518063B publication Critical patent/CN113518063B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Molecular Biology (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Software Systems (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出一种基于数据增强和BiLSTM的网络入侵检测方法及系统,解决了现有网络入侵检测方法存在对少数类攻击样本入侵检测识别准确率低的问题,首先采集网络入侵检测流量数据,然后进行初步的特征提取,组成训练数据集,确认数据量少的攻击类型数据样本后进行数据增强,然后构建BiLSTM神经网络模型并进行迭代学习训练,模型自动提取更高层次的特征信息,能更好的处理高维非线性网络流量特征,克服传统浅层机器学习依赖手动提取特征所带来的人为上的局限性,而且数据增强操作可解决训练数据集中类分布不均衡的难题,使模型在保持较高的整体检测率和较低的误报率的前提下,提高了少数类攻击样本的识别准确率。

Description

基于数据增强和BiLSTM的网络入侵检测方法及系统
技术领域
本发明涉及网络安全的技术领域,更具体地,涉及一种基于数据增强和BiLSTM的网络入侵检测方法及系统。
背景技术
随着网络技术的不断发展,互联网给我们的生活带来极大帮助的同时,针对计算机网络攻击的数量也在急剧增加,网络入侵是利用目标系统的漏洞,通过网络通信协议在受攻击的计算机上实现非授权访问的行为,网络入侵检测技术对于保障人们的生活和维护网络空间安全具有重大的意义,但如何在海量的非平衡数据环境下取得较好的网络入侵检测效果是目前亟需解决的技术问题。
当前将机器学习应用于网络入侵检测中的做法,弥补了传统的入侵检测器自适应差、误报率和虚警率高的问题,然而,随着数据容量和数据维度的增加,传统的机器学习方法比如支持向量机、决策树算法、贝叶斯网络算法、k-近邻算法等容易出现“维度爆炸”的问题,不适用于处理高维非线性的网络流量特征,基于此,目前很多学者也将神经网络模型运用于入侵检测中,如2017年10月10日,中国发明专利(CN107241358A)中公开了一种基于深度学习的智能家居入侵检测方法,该方法可以自动学习特征之间的内部属性关系,无需手动进行特征选择,避免人为主观上的局限性,进一步降低了入侵检测的误报率和漏报率,且提高了检测率,但采用深度学习的方法对于只有少量攻击样本的网络流量数据的学习效果并不好,存在识别检测率低的问题。
发明内容
为解决现有网络入侵检测方法存在对少数类攻击样本入侵检测识别准确率低的问题,本发明提出一种基于数据增强和BiLSTM的网络入侵检测方法及系统,在保持较高的整体检测率和较低的误报率的前提下,提升对少数类别攻击样本的识别准确率。
为了达到上述技术效果,本发明的技术方案如下:
一种基于数据增强和BiLSTM的网络入侵检测方法,至少包括:
S1.采集网络入侵检测流量数据,对网络入侵检测流量数据的特征进行提取;
S2.利用提取后的特征构建训练数据集,并对训练数据集进行预处理;
S3.根据训练数据集中每一个数据类型的数据量,确定数据量少于a的攻击类型数据样本,并增加数据量少于a的攻击类型数据样本的数量;
S4.构建BiLSTM神经网络模型,经步骤S2及步骤S3处理之后的训练数据集输入至BiLSTM神经网络模型后,进行迭代训练,BiLSTM神经网络模型提取网络入侵检测流量数据的高维特征;
S5.利用softmax逻辑回归函数对网络入侵检测流量数据的高维特征进行识别分类,得到网络入侵检测结果。
在本技术方案中,首先采集网络入侵检测流量数据,然后进行初步的特征提取,组成训练数据集,确认少数类攻击类别样本后进行数据增强(增加数据量少于a的攻击类型数据样本的数量),解决训练数据集中类分布不均衡的难题,使网络流量样本达到较为平衡的状态,然后构建BiLSTM神经网络模型,可自动的提取更高层次的特征信息,能更好的处理高维非线性网络流量特征,克服传统浅层机器学习依赖手动提取特征所带来的人为上的局限性,使模型识别的准确率更高。
优选地,步骤S1所述对网络入侵检测流量数据的特征进行提取的方法包括:过滤式方法、包裹式方法及嵌入式方法,提取到的网络入侵检测流量数据的特征的类标签为字符型特征。
优选地,步骤S2所述的预处理包括:
通过独热编码技术将训练数据集中类标签的字符型特征映射为数值型特征;
将训练数据集中的流字节特征和流数据包特征中的无穷大值进行处理;
删除训练数据集中冗余特征,对训练数据集中的数据进行标准归一化操作。
在此,由于训练数据集中原始数据为采集到的网络流量特征的类标签为字符型特征,为了方便后续的识别分类,须转换为数值型特征,此外,需要对原始数据集中冗余且无意义的特征进行缩减,降低数据的维度,以减少后续模型训练时的运行开销,归一化操作可以使其符合均值为0、方差为1的高斯正态分布。
优选地,处理无穷大值的具体操作为:无穷大值通过无穷大值列的最大值加1进行替换,缺失值用零填充。
在此,为了避免后续的模型迭代训练时出现错误,将训练数据集中的无穷大值替换。
优选地,通过Smote过采样技术或ROS随机过采样技术增加步骤S3中所述数据量少于a的攻击类型数据样本的数量。
在此,由于原始采集的网络入侵检测流量数据中正常和异常流量样本的比例通常是不平衡的,为了有效的提高少数类别攻击样本的识别准确率,通过Smote过采样技术进行数据增强,从而使网络流量样本达到较为平衡的状态,提高模型后续的检测率。
优选地,步骤S4中构建的BiLSTM神经网络模型包括:输入层、前向LSTM层、后向LSTM层及输出层,其中,前向LSTM层或后向LSTM层中均包括若干个LSTM单元,每一个LSTM单元均包括:遗忘门、输入门及输出门,所述遗忘门控制训练数据集中冗余特征的删除,输入门控制输入训练数据集的保留,所述输出门接受遗忘门和输出门的信息,经过筛选后传递给若干个LSTM单元中的一个LSTM单元。
在此,BiLSTM神经网络模型主要是对经过步骤S2及步骤S3处理之后的训练数据集进行网络权重学习,挖掘出相关性最大的异常流量高维特征属性。
优选地,经步骤S2及步骤S3处理之后的训练数据集输入至BiLSTM神经网络模型后进行迭代训练前,利用reshape函数转化为三维向量。
优选地,所述BiLSTM神经网络模型进行迭代训练时的损失函数采取对数损失函数,优化器采用自适应矩估计Adam,BiLSTM神经网络模型计算的过程为:
Figure BDA0002956645640000031
Figure BDA0002956645640000032
其中,
Figure BDA0002956645640000033
表示后向LSTM层的网络隐藏层参数;
Figure BDA0002956645640000034
表示前向LSTM层的网络隐藏层参数;xt表示经步骤S2及步骤S3处理之后的训练数据集;
Figure BDA0002956645640000035
表示后向LSTM层在t时刻的输出结果;
Figure BDA0002956645640000036
表示前向LSTM层在t时刻的输出结果;
Figure BDA0002956645640000037
表示后向LSTM层的偏置值;
Figure BDA0002956645640000038
表示前向LSTM层的偏置值。
优选地,步骤S5所述利用softmax逻辑回归函数对网络入侵检测流量数据的高维特征进行识别分类的过程满足:
Figure BDA0002956645640000041
其中,g表示softmax逻辑回归函数,U表示输出的权重矩阵,c表示输出的偏置,yt表示网络入侵检测结果。
本发明还提出一种基于数据增强和BiLSTM的网络入侵检测系统,所述系统用于实现所述的基于数据增强和BiLSTM的网络入侵检测方法,包括:
数据采集与特征提取处理模块,用于采集网络入侵检测流量数据,对网络入侵检测流量数据的特征进行提取,提取后的特征构建为训练数据集;
预处理模块,对训练数据集进行预处理;
数据增强处理模块,根据训练数据集中每一个数据类型的数据量,确定数据量少于a的攻击类型数据样本,增加数据量少于a的攻击类型数据样本的数量;
BiLSTM神经网络模块,用于承载BiLSTM神经网络模型,对输入至BiLSTM神经网络模型后的训练数据集进行迭代训练,提取网络入侵检测流量数据的高维特征;
Softmax分类模块,用于承载softmax逻辑回归函数,对网络入侵检测流量数据的高维特征进行识别分类,得到网络入侵检测结果。
与现有技术相比,本发明技术方案的有益效果是:
本发明提出一种基于数据增强和BiLSTM的网络入侵检测方法及系统,首先采集网络入侵检测流量数据,然后进行初步的特征提取,组成训练数据集,确认数据量少的攻击类型数据样本后进行数据增强,然后构建BiLSTM神经网络模型并进行迭代学习训练,模型自动提取更高层次的特征信息,能更好的处理高维非线性网络流量特征,克服传统浅层机器学习依赖手动提取特征所带来的人为上的局限性,而且数据增强操作可解决训练数据集中类分布不均衡的难题,使模型在保持较高的整体检测率和较低的误报率的前提下,提高了少数类攻击样本的识别准确率。
附图说明
图1表示本发明实施例中提出的基于数据增强和BiLSTM的网络入侵检测方法的流程示意图;
图2表示本发明实施例中提出的BiLSTM神经网络模型的结构框图;
图3表示本发明实施例中提出的基于数据增强和BiLSTM的网络入侵检测系统结构图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
为了更好地说明本实施例,附图某些部位会有省略、放大或缩小,并不代表实际尺寸;
对于本领域技术人员来说,附图中某些公知内容说明可能省略是可以理解的。
下面结合附图和实施例对本发明的技术方案做进一步的说明。
实施例1
附图中描述位置关系的用于仅用于示例性说明,不能理解为对本专利的限制;
如图1所示的基于数据增强和BiLSTM的网络入侵检测方法的流程示意图,参见图1,包括:
S1.采集网络入侵检测流量数据,对网络入侵检测流量数据的特征进行提取;在本实施例中,对网络入侵检测流量数据的特征进行提取的方法包括:过滤式方法、包裹式方法及嵌入式方法,提取到的网络入侵检测流量数据的特征的类标签为字符型特征。
S2.利用提取后的特征构建训练数据集,并对训练数据集进行预处理;
由于训练数据集中原始数据为采集到的网络流量特征的类标签为字符型特征,为了方便后续的识别分类,须转换为数值型特征,此外,需要对原始数据集中冗余且无意义的特征进行缩减,降低数据的维度,以减少后续模型训练时的运行开销,为了避免后续的模型迭代训练时出现错误,将训练数据集中的无穷大值替换,而归一化操作可以使其符合均值为0、方差为1的高斯正态分布,基于此,具体预处理包括:
通过独热编码技术将训练数据集中类标签的字符型特征映射为数值型特征;
将训练数据集中的流字节特征和流数据包特征中的无穷大值进行处理;具体为:处理无穷大值的具体操作为:无穷大值通过无穷大值列的最大值加1进行替换,缺失值用零填充;
删除训练数据集中冗余特征,对训练数据集中的数据进行标准归一化操作。
S3.根据训练数据集中每一个数据类型的数据量,确定数据量少于a的攻击类型数据样本,并增加数据量少于a的攻击类型数据样本的数量;
由于原始采集的网络入侵检测流量数据中正常和异常流量样本的比例通常是不平衡的,为了有效的提高少数类别攻击样本的识别准确率,在本实施例中,通过Smote过采样技术进行数据增强,也可以采用ROS随机过采样技术,使网络流量样本达到较为平衡的状态,提高模型后续的检测率,另外,在本实施例中,a仅代表一个比较小的数,表征某一数据类型的数据量较少。
S4.构建BiLSTM神经网络模型,经步骤S2及步骤S3处理之后的训练数据集输入至BiLSTM神经网络模型后,进行迭代训练,BiLSTM神经网络模型提取网络入侵检测流量数据的高维特征;经步骤S2及步骤S3处理之后的训练数据集输入至BiLSTM神经网络模型后进行迭代训练前,利用reshape函数转化为三维向量。
在本实施例中,如图2所示,构建的BiLSTM神经网络模型包括:输入层、前向LSTM层、后向LSTM层及输出层,其中,前向LSTM层或后向LSTM层中均包括若干个LSTM单元,实际上,每一个LSTM单元均包括:遗忘门、输入门及输出门,遗忘门控制训练数据集中冗余特征的删除,输入门控制输入训练数据集的保留,所述输出门接受遗忘门和输出门的信息,经过筛选后传递给若干个LSTM单元中的一个LSTM单元。
在本实施例中,所述BiLSTM神经网络模型进行迭代训练时的损失函数采取对数损失函数,优化器采用自适应矩估计Adam,结合图2,BiLSTM神经网络模型计算的过程为:
Figure BDA0002956645640000061
Figure BDA0002956645640000062
即后向LSTM层是从左向右的处理序列,前向LSTM层是从右向左的处理序列,其中,
Figure BDA0002956645640000063
表示后向LSTM层的网络隐藏层参数;
Figure BDA0002956645640000064
表示前向LSTM层的网络隐藏层参数;xt表示经步骤S2及步骤S3处理之后的训练数据集;
Figure BDA0002956645640000065
表示后向LSTM层在t时刻的输出结果;
Figure BDA0002956645640000066
表示前向LSTM层在t时刻的输出结果;
Figure BDA0002956645640000067
表示后向LSTM层的偏置值;
Figure BDA0002956645640000068
表示前向LSTM层的偏置值。
BiLSTM神经网络模型主要是对经过步骤S2及步骤S3处理之后的训练数据集进行网络权重学习,挖掘出相关性最大的异常流量高维特征属性,可以自动的提取更高层次的特征信息,能更好的处理高维非线性网络流量特征,克服传统浅层机器学习依赖手动提取特征所带来的人为上的局限性,使模型识别的准确率更好。
S5.利用softmax逻辑回归函数对网络入侵检测流量数据的高维特征进行识别分类,得到网络入侵检测结果。
在本实施例中,利用softmax逻辑回归函数对网络入侵检测流量数据的高维特征进行识别分类的过程满足:
Figure BDA0002956645640000071
其中,g表示softmax逻辑回归函数,U表示输出的权重矩阵,c表示输出的偏置,yt表示网络入侵检测结果。
如图3所示,本发明还提出一种基于数据增强和BiLSTM的网络入侵检测系统,所述系统用于实现所述的基于数据增强和BiLSTM的网络入侵检测方法,包括:
数据采集与特征提取处理模块,用于采集网络入侵检测流量数据,对网络入侵检测流量数据的特征进行提取,提取后的特征构建为训练数据集;
预处理模块,对训练数据集进行预处理;
数据增强处理模块,根据训练数据集中每一个数据类型的数据量,确定数据量少于a的攻击类型数据样本,增加数据量少于a的攻击类型数据样本的数量;
BiLSTM神经网络模块,用于承载BiLSTM神经网络模型,对输入至BiLSTM神经网络模型后的训练数据集进行迭代训练,提取网络入侵检测流量数据的高维特征;
Softmax分类模块,用于承载softmax逻辑回归函数,对网络入侵检测流量数据的高维特征进行识别分类,得到网络入侵检测结果。
附图中描述位置关系的用于仅用于示例性说明,不能理解为对本专利的限制;
显然,本发明的上述实施例仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。

Claims (10)

1.一种基于数据增强和BiLSTM的网络入侵检测方法,其特征在于,至少包括:
S1.采集网络入侵检测流量数据,对网络入侵检测流量数据的特征进行提取;
S2.利用提取后的特征构建训练数据集,并对训练数据集进行预处理;
S3.根据训练数据集中每一个数据类型的数据量,确定数据量少于a的攻击类型数据样本,并增加数据量少于a的攻击类型数据样本的数量;
S4.构建BiLSTM神经网络模型,经步骤S2及步骤S3处理之后的训练数据集输入至BiLSTM神经网络模型后,进行迭代训练,BiLSTM神经网络模型提取网络入侵检测流量数据的高维特征;
S5.利用softmax逻辑回归函数对网络入侵检测流量数据的高维特征进行识别分类,得到网络入侵检测结果。
2.根据权利要求1所述的基于数据增强和BiLSTM的网络入侵检测方法,其特征在于,步骤S1所述对网络入侵检测流量数据的特征进行提取的方法包括:过滤式方法、包裹式方法及嵌入式方法,提取到的网络入侵检测流量数据的特征的类标签为字符型特征。
3.根据权利要求1所述的基于数据增强和BiLSTM的网络入侵检测方法,其特征在于,步骤S2所述的预处理包括:
通过独热编码技术将训练数据集中类标签的字符型特征映射为数值型特征;
将训练数据集中的流字节特征和流数据包特征中的无穷大值进行处理;
删除训练数据集中冗余特征,对训练数据集中的数据进行标准归一化操作。
4.根据权利要求3所述的基于数据增强和BiLSTM的网络入侵检测方法,其特征在于,对无穷大值进行处理的具体操作为:无穷大值通过无穷大值列的最大值加1进行替换,缺失值用零填充。
5.根据权利要求1所述的基于数据增强和BiLSTM的网络入侵检测方法,其特征在于,通过Smote过采样技术或ROS随机过采样技术增加步骤S3中所述数据量少于a的攻击类型数据样本的数量。
6.根据权利要求4所述的基于数据增强和BiLSTM的网络入侵检测方法,其特征在于,步骤S4中构建的BiLSTM神经网络模型包括:输入层、前向LSTM层、后向LSTM层及输出层,其中,前向LSTM层或后向LSTM层中均包括若干个LSTM单元,每一个LSTM单元均包括:遗忘门、输入门及输出门,所述遗忘门控制训练数据集中冗余特征的删除,输入门控制输入训练数据集的保留,所述输出门接受遗忘门和输出门的信息,经过筛选后传递给若干个LSTM单元中的一个LSTM单元。
7.根据权利要求6所述的基于数据增强和BiLSTM的网络入侵检测方法,其特征在于,经步骤S2及步骤S3处理之后的训练数据集输入至BiLSTM神经网络模型后进行迭代训练前,利用reshape函数转化为三维向量。
8.根据权利要求7所述的基于数据增强和BiLSTM的网络入侵检测方法,其特征在于,所述BiLSTM神经网络模型进行迭代训练时的损失函数采取对数损失函数,优化器采用自适应矩估计Adam,BiLSTM神经网络模型计算的过程为:
Figure FDA0002956645630000021
Figure FDA0002956645630000022
其中,
Figure FDA0002956645630000023
表示后向LSTM层的网络隐藏层参数;
Figure FDA0002956645630000024
表示前向LSTM层的网络隐藏层参数;xt表示经步骤S2及步骤S3处理之后的训练数据集;
Figure FDA0002956645630000025
表示后向LSTM层在t时刻的输出结果;
Figure FDA0002956645630000026
表示前向LSTM层在t时刻的输出结果;
Figure FDA0002956645630000027
表示后向LSTM层的偏置值;
Figure FDA0002956645630000028
表示前向LSTM层的偏置值。
9.根据权利要求8所述的基于数据增强和BiLSTM的网络入侵检测方法,其特征在于,步骤S5所述利用softmax逻辑回归函数对网络入侵检测流量数据的高维特征进行识别分类的过程满足:
Figure FDA0002956645630000029
其中,g表示softmax逻辑回归函数,U表示输出的权重矩阵,c表示输出的偏置,yt表示网络入侵检测结果。
10.一种基于数据增强和BiLSTM的网络入侵检测系统,所述系统用于实现权利要求1~9任意一项所述的基于数据增强和BiLSTM的网络入侵检测方法,其特征在于,包括:
数据采集与特征提取处理模块,用于采集网络入侵检测流量数据,对网络入侵检测流量数据的特征进行提取,提取后的特征构建为训练数据集;
预处理模块,对训练数据集进行预处理;
数据增强处理模块,根据训练数据集中每一个数据类型的数据量,确定数据量少于a的攻击类型数据样本,增加数据量少于a的攻击类型数据样本的数量;
BiLSTM神经网络模块,用于承载BiLSTM神经网络模型,对输入至BiLSTM神经网络模型后的训练数据集进行迭代训练,提取网络入侵检测流量数据的高维特征;
Softmax分类模块,用于承载softmax逻辑回归函数,对网络入侵检测流量数据的高维特征进行识别分类,得到网络入侵检测结果。
CN202110224609.7A 2021-03-01 2021-03-01 基于数据增强和BiLSTM的网络入侵检测方法及系统 Active CN113518063B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110224609.7A CN113518063B (zh) 2021-03-01 2021-03-01 基于数据增强和BiLSTM的网络入侵检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110224609.7A CN113518063B (zh) 2021-03-01 2021-03-01 基于数据增强和BiLSTM的网络入侵检测方法及系统

Publications (2)

Publication Number Publication Date
CN113518063A true CN113518063A (zh) 2021-10-19
CN113518063B CN113518063B (zh) 2022-11-22

Family

ID=78061015

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110224609.7A Active CN113518063B (zh) 2021-03-01 2021-03-01 基于数据增强和BiLSTM的网络入侵检测方法及系统

Country Status (1)

Country Link
CN (1) CN113518063B (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113836527A (zh) * 2021-11-23 2021-12-24 北京微步在线科技有限公司 入侵事件检测模型构建方法、装置及入侵事件检测方法
CN114462520A (zh) * 2022-01-25 2022-05-10 北京工业大学 一种基于流量分类的网络入侵检测方法
CN114978613A (zh) * 2022-04-29 2022-08-30 南京信息工程大学 基于数据增强和自监督特征增强的网络入侵检测方法
CN115021973A (zh) * 2022-05-11 2022-09-06 桂林电子科技大学 一种基于sgru的新型入侵检测方法
CN115118451A (zh) * 2022-05-17 2022-09-27 北京理工大学 结合图嵌入知识建模的网络入侵检测方法
CN115208613A (zh) * 2022-05-13 2022-10-18 河北师范大学 一种基于小样本学习的三元cct网络的入侵检测方法
CN115277258A (zh) * 2022-09-27 2022-11-01 广东财经大学 一种基于时空特征融合的网络攻击检测方法和系统
CN115396143A (zh) * 2022-07-21 2022-11-25 沈阳化工大学 一种基于bilstm-crf工业入侵检测方法
CN116647374A (zh) * 2023-05-23 2023-08-25 重庆邮电大学 一种基于大数据的网络流量入侵检测方法
CN117792794A (zh) * 2024-02-23 2024-03-29 贵州华谊联盛科技有限公司 一种网络威胁情报分析方法、设备及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106991447A (zh) * 2017-04-06 2017-07-28 哈尔滨理工大学 一种嵌入式多类别属性标签动态特征选择算法
US20190043379A1 (en) * 2017-08-03 2019-02-07 Microsoft Technology Licensing, Llc Neural models for key phrase detection and question generation
CN109981691A (zh) * 2019-04-30 2019-07-05 山东工商学院 一种面向SDN控制器的实时DDoS攻击检测系统与方法
CN110881037A (zh) * 2019-11-19 2020-03-13 北京工业大学 网络入侵检测方法及其模型的训练方法、装置和服务器
CN111181939A (zh) * 2019-12-20 2020-05-19 广东工业大学 一种基于集成学习的网络入侵检测方法及装置
CN111314353A (zh) * 2020-02-19 2020-06-19 重庆邮电大学 一种基于混合采样的网络入侵检测方法及系统
CN112087447A (zh) * 2020-09-07 2020-12-15 广西师范大学 面向稀有攻击的网络入侵检测方法
CN112100614A (zh) * 2020-09-11 2020-12-18 南京邮电大学 一种基于cnn_lstm的网络流量异常检测方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106991447A (zh) * 2017-04-06 2017-07-28 哈尔滨理工大学 一种嵌入式多类别属性标签动态特征选择算法
US20190043379A1 (en) * 2017-08-03 2019-02-07 Microsoft Technology Licensing, Llc Neural models for key phrase detection and question generation
CN109981691A (zh) * 2019-04-30 2019-07-05 山东工商学院 一种面向SDN控制器的实时DDoS攻击检测系统与方法
CN110881037A (zh) * 2019-11-19 2020-03-13 北京工业大学 网络入侵检测方法及其模型的训练方法、装置和服务器
CN111181939A (zh) * 2019-12-20 2020-05-19 广东工业大学 一种基于集成学习的网络入侵检测方法及装置
CN111314353A (zh) * 2020-02-19 2020-06-19 重庆邮电大学 一种基于混合采样的网络入侵检测方法及系统
CN112087447A (zh) * 2020-09-07 2020-12-15 广西师范大学 面向稀有攻击的网络入侵检测方法
CN112100614A (zh) * 2020-09-11 2020-12-18 南京邮电大学 一种基于cnn_lstm的网络流量异常检测方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
MINDI LAN 等: "A Novel Industrial Intrusion Detection Method based on Threshold-optimized CNN-BiLSTM-Attention using ROC Curve", 《2020 39TH CHINESE CONTROL CONFERENCE (CCC)》, 9 September 2020 (2020-09-09) *
胡向东等: "基于深度学习的工业物联网智能入侵检测", 《计算机系统应用》, no. 09, 15 September 2020 (2020-09-15) *
连鸿飞等: "一种数据增强与混合神经网络的异常流量检测", 《小型微型计算机系统》, no. 04, 9 April 2020 (2020-04-09), pages 786 - 793 *

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113836527A (zh) * 2021-11-23 2021-12-24 北京微步在线科技有限公司 入侵事件检测模型构建方法、装置及入侵事件检测方法
CN114462520A (zh) * 2022-01-25 2022-05-10 北京工业大学 一种基于流量分类的网络入侵检测方法
CN114978613B (zh) * 2022-04-29 2023-06-02 南京信息工程大学 基于数据增强和自监督特征增强的网络入侵检测方法
CN114978613A (zh) * 2022-04-29 2022-08-30 南京信息工程大学 基于数据增强和自监督特征增强的网络入侵检测方法
CN115021973A (zh) * 2022-05-11 2022-09-06 桂林电子科技大学 一种基于sgru的新型入侵检测方法
CN115021973B (zh) * 2022-05-11 2024-04-05 桂林电子科技大学 一种基于sgru的新型入侵检测方法
CN115208613A (zh) * 2022-05-13 2022-10-18 河北师范大学 一种基于小样本学习的三元cct网络的入侵检测方法
CN115208613B (zh) * 2022-05-13 2023-09-19 河北师范大学 一种基于小样本学习的三元cct网络的入侵检测方法
CN115118451A (zh) * 2022-05-17 2022-09-27 北京理工大学 结合图嵌入知识建模的网络入侵检测方法
CN115118451B (zh) * 2022-05-17 2023-09-08 北京理工大学 结合图嵌入知识建模的网络入侵检测方法
CN115396143A (zh) * 2022-07-21 2022-11-25 沈阳化工大学 一种基于bilstm-crf工业入侵检测方法
CN115277258A (zh) * 2022-09-27 2022-11-01 广东财经大学 一种基于时空特征融合的网络攻击检测方法和系统
CN116647374A (zh) * 2023-05-23 2023-08-25 重庆邮电大学 一种基于大数据的网络流量入侵检测方法
CN116647374B (zh) * 2023-05-23 2024-05-07 广州市景心科技股份有限公司 一种基于大数据的网络流量入侵检测方法
CN117792794A (zh) * 2024-02-23 2024-03-29 贵州华谊联盛科技有限公司 一种网络威胁情报分析方法、设备及系统
CN117792794B (zh) * 2024-02-23 2024-04-26 贵州华谊联盛科技有限公司 一种网络威胁情报分析方法、设备及系统

Also Published As

Publication number Publication date
CN113518063B (zh) 2022-11-22

Similar Documents

Publication Publication Date Title
CN113518063B (zh) 基于数据增强和BiLSTM的网络入侵检测方法及系统
CN108737406B (zh) 一种异常流量数据的检测方法及系统
CN109768985B (zh) 一种基于流量可视化与机器学习算法的入侵检测方法
CN109714322B (zh) 一种检测网络异常流量的方法及其系统
US20200106788A1 (en) Method for detecting malicious attacks based on deep learning in traffic cyber physical system
CN112905421B (zh) 基于注意力机制的lstm网络的容器异常行为检测方法
CN109005145B (zh) 一种基于自动特征抽取的恶意url检测系统及其方法
CN109218223B (zh) 一种基于主动学习的鲁棒性网络流量分类方法及系统
CN109450845B (zh) 一种基于深度神经网络的算法生成恶意域名检测方法
CN110929848B (zh) 基于多挑战感知学习模型的训练、跟踪方法
CN109308494A (zh) Lstm循环神经网络模型及基于该模型的网络攻击识别方法
CN111798312A (zh) 一种基于孤立森林算法的金融交易系统异常识别方法
CN110807098A (zh) 基于BiRNN深度学习的DGA域名检测方法
CN114816909A (zh) 一种基于机器学习的实时日志检测预警方法及系统
CN112887325B (zh) 一种基于网络流量的电信网络诈骗犯罪欺诈识别方法
CN110768946A (zh) 一种基于布隆过滤器的工控网络入侵检测系统及方法
CN112738014A (zh) 一种基于卷积时序网络的工控流量异常检测方法及系统
CN115913691A (zh) 一种网络流量异常检测方法及系统
CN111737688B (zh) 基于用户画像的攻击防御系统
CN111970305B (zh) 基于半监督降维和Tri-LightGBM的异常流量检测方法
CN110414229B (zh) 操作命令检测方法、装置、计算机设备及存储介质
CN115242458B (zh) 一种基于shap的1d-cnn网络流量分类模型的可解释方法
CN115766176A (zh) 网络流量处理方法、装置、设备及存储介质
CN115879030A (zh) 一种针对配电网的网络攻击分类方法和系统
CN114021637A (zh) 一种基于度量空间下去中心化应用加密流量分类方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant