CN113542241B - 一种基于CNN-BiGRU混合模型的入侵检测方法及装置 - Google Patents

一种基于CNN-BiGRU混合模型的入侵检测方法及装置 Download PDF

Info

Publication number
CN113542241B
CN113542241B CN202110736553.3A CN202110736553A CN113542241B CN 113542241 B CN113542241 B CN 113542241B CN 202110736553 A CN202110736553 A CN 202110736553A CN 113542241 B CN113542241 B CN 113542241B
Authority
CN
China
Prior art keywords
cluster
cnn
bigru
samples
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110736553.3A
Other languages
English (en)
Other versions
CN113542241A (zh
Inventor
章坚武
张煜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dianzi University
Original Assignee
Hangzhou Dianzi University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dianzi University filed Critical Hangzhou Dianzi University
Priority to CN202110736553.3A priority Critical patent/CN113542241B/zh
Publication of CN113542241A publication Critical patent/CN113542241A/zh
Application granted granted Critical
Publication of CN113542241B publication Critical patent/CN113542241B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Computational Linguistics (AREA)
  • Molecular Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Probability & Statistics with Applications (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于CNN‑BiGRU混合模型的网络入侵检测方法及装置,对网络流量样本数据进行预处理,所述预处理包括数字标准化处理、归一化处理、不平衡处理,构建CNN‑BiGRU混合模型,所述CNN‑BiGRU混合模型包括卷积层、池化层、BiGRU层、全连接层和分类层,采用预处理后的网络流量样本数据训练所述CNN‑BiGRU混合模型,然后将待检测网络流量数据输入到训练好的CNN‑BiGRU混合模型,检测得到检测结果。本发明的解决了数据样本不平衡的问题,提高了模型对少数样本的检测率,提高了对网络入侵的检测准确率。

Description

一种基于CNN-BiGRU混合模型的入侵检测方法及装置
技术领域
本申请属于入侵检测技术领域,具体涉及一种基于CNN-BiGRU混合模型的网络入侵检测方法及装置。
背景技术
入侵检测系统通常分成两类:基于异常的入侵检测系统、基于特征的入侵检测系统。基于异常的入侵检测系统根据正常的网络行为建立模型,并根据这些行为是否属于正常行为来进行入侵检测,该检测系统对于异常行为具有比较好的识别率,但总体检测率较低,虚警率较高。而基于特征的入侵检测系统通过构建异常行为特征库以及匹配网络数据来检测入侵,这种检测系统具有较高的检测率,但是难以识别网络中的新攻击。
为了提高入侵检测系统的性能指标,研究者将机器学习运用于入侵检测系统上,例如KNN(k-Nearest Neighbor),SVM(Support Vector Machine)等传统机器学习算法。然而这些传统的机器学习算法在输入少量低维数据时可以有效检测,但是它存在特征选择的依赖度高、检测未知攻击的能力差以及误警率高等缺陷,早已无法满足目前复杂的网络需求。
由于传统网络入侵方法的缺陷使得人们重新评估现有的网络安全框架及其技术,机器学习的分支--深度学习开始进入研究者的视线,并应用于入侵检测。
发明内容
本申请的目的是提供一种基于CNN-BiGRU混合模型的网络入侵检测方法及装置,有效提升了入侵检测系统的性能指标。
为了实现上述目的,本申请技术方案如下:
一种基于CNN-BiGRU混合模型的入侵检测方法,包括:
对网络流量样本数据进行预处理,所述预处理包括数字标准化处理、归一化处理、不平衡处理;
构建CNN-BiGRU混合模型,所述CNN-BiGRU混合模型包括卷积层、池化层、BiGRU层、全连接层和分类层,采用预处理后的网络流量样本数据训练所述CNN-BiGRU混合模型;
将待检测网络流量数据输入到训练好的CNN-BiGRU混合模型,检测得到检测结果。
进一步的,所述对网络流量数据进行不平衡处理,包括:
使用K-Means聚类将输入的所有网络流量数据聚类为k个聚类;
从k个聚类中筛选出所含样本为少数样本的第一聚类;
确定所述第一聚类所需要的样本数量;
根据所述第一聚类所需要的样本数量,使用SMOTE扩充所述第一聚类。
进一步的,所述确定所述第一聚类所需要的样本数量,包括:
对于第一聚类中的每个聚类,计算聚类中每个样本之间的欧式距离排列为欧式距离矩阵,将欧式距离矩阵中所有非零元素相加然后除以非零元素的数量得到平均距离,将聚类中的样本数量除以平均距离,得到密度度量,并以密度度量的倒数作为稀疏性度量;
将第一聚类中的每个聚类的稀疏性度量除以所有第一聚类的稀疏性度量之和,得到每个聚类的权重;
将所述每个聚类的权重乘以样本总数,得到第一聚类中每个聚类所需要的样本数量。
进一步的,所述卷积层后连接有激活函数。
进一步的,所述分类层为sigmoid分类。
本申请还提出了一种基于CNN-BiGRU混合模型的入侵检测装置,包括:
预处理模块,用于对网络流量样本数据进行预处理,所述预处理包括数字标准化处理、归一化处理、不平衡处理;
网络训练模块,用于构建CNN-BiGRU混合模型,所述CNN-BiGRU混合模型包括卷积层、池化层、BiGRU层、全连接层和分类层,采用预处理后的网络流量样本数据训练所述CNN-BiGRU混合模型;
检测模块,用于将待检测网络流量数据输入到训练好的CNN-BiGRU混合模型,检测得到检测结果。
进一步的,所述预处理模块对网络流量数据进行不平衡处理,执行如下操作:
使用K-Means聚类将输入的所有网络流量数据聚类为k个聚类;
从k个聚类中筛选出所含样本为少数样本的第一聚类;
确定所述第一聚类所需要的样本数量;
根据所述第一聚类所需要的样本数量,使用SMOTE扩充所述第一聚类。
进一步的,所述预处理模块确定所述第一聚类所需要的样本数量,执行如下操作:
对于第一聚类中的每个聚类,计算聚类中每个样本之间的欧式距离排列为欧式距离矩阵,将欧式距离矩阵中所有非零元素相加然后除以非零元素的数量得到平均距离,将聚类中的样本数量除以平均距离,得到密度度量,并以密度度量的倒数作为稀疏性度量;
将第一聚类中的每个聚类的稀疏性度量除以所有第一聚类的稀疏性度量之和,得到每个聚类的权重;
将所述每个聚类的权重乘以样本总数,得到第一聚类中每个聚类所需要的样本数量。
进一步的,所述卷积层后连接有激活函数。
进一步的,所述分类层为sigmoid分类。
本申请提出的一种基于CNN-BiGRU混合模型的网络入侵检测方法及装置,使用K-means SMOTE算法解决数据样本不平衡的问题,提高了模型对少数样本的检测率。该模型以UNSW-NB15数据集作为输入,首先使用K-means SMOTE算法、数字化、归一化等方法进行数据预处理,使用CNN-BiGRU混合模型对其进行检测。相比较之前的方法,该网络入侵模型在准确率、F1、精确率上均有所提升。
附图说明
图1为本申请基于CNN-BiGRU混合模型的网络入侵检测方法流程图;
图2为本申请CNN-BiGRU模型结构示意图;
图3为本申请的双向GRU网络结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅用以解释本申请,并不用于限定本申请。
本申请提供的一种基于CNN-BiGRU混合模型的网络入侵检测方法,如图1所示,包括:
步骤S1、对网络流量数据进行预处理,所述预处理包括数字标准化处理、归一化处理、不平衡处理。
具体的,数字标准化处理处理,在特征属性中,proto、state、service、attack_act的属性值为符号型,需要对其进行类型转换。例如在proto协议属性中,将网络流量中最主要的三种协议值tcp、udp、icmp映射成1、2、3,将剩下的协议值全部映射为4,这样符号值与相应数字建立联系,采用相同的处理方式依次对state、service特征进行转换。经过数字标准化之后,特征属性相对而言更易于处理。
归一化处理,在UNSW-NB15中,不同特征数据的取值范围有明显的差异。例如,sttl的值范围为[0,254],而spkts的范围为[1,10646],最大值的范围波动过大。为了便于计算处理,本申请采用归一化的处理方法,将每个特征的取值范围通过线性变换映射到[0,1]。
归一化计算公式如下:
Figure BDA0003141902460000041
其中,x为待处理数值,xmin为最小值,xmax为最大值。
不平衡处理,本申请所采用的K-Means SMOTE算法,包括:
使用K-Means聚类将输入的所有网络流量数据聚类为k个聚类;
从k个聚类中筛选出所含样本为少数样本的第一聚类;
确定所述第一聚类所需要的样本数量;
根据所述第一聚类所需要的样本数量,使用SMOTE扩充所述第一聚类。
首先使用K-Means聚类将输入的所有网络流量数据聚类为k个簇,然后从k个聚类中筛选出所含样本为少数样本的第一聚类。容易理解的是,有些聚类中所含的样本数量较多,有些聚类中所含的样本数量较少,可以将低于设定数量的聚类作为第一聚类。例如,所含样本少于20的作为第一聚类。最后,确定所述第一聚类所需要的样本数量,根据所述第一聚类所需要的样本数量,使用SMOTE扩充所述第一聚类。使得各个聚类中样本数量比较平衡。
相比于其他的SMOTE以及其改进算法而言,本申请K-Means SMOTE算法能够避免产生噪声,减轻了类内的不平衡。最后,通过使用SMOTE生成的是新样本数,而不是直接复制原有的样本数。K-Means聚类算法与SMOTE算法相结合,通过K-Means SMOTE在安全区域进行过采样来避免噪声的产生,聚类的使用使得所提出的过采样器能够识别和定位输入空间中人工数据生成最有效的区域。该方法旨在减轻类间不平衡和类内不平衡,同时避免噪声样本的产生。它的优点在于底层算法的广泛可用性以及方法本身的有效性。
在一个示例中,所述确定所述第一聚类所需要的样本数量,包括:
对于第一聚类中的每个聚类,计算聚类中每个样本之间的欧式距离排列为欧式距离矩阵,将欧式距离矩阵中所有非零元素相加然后除以非零元素的数量得到平均距离,将聚类中的样本数量除以平均距离,得到密度度量,并以密度度量的倒数作为稀疏性度量;
将第一聚类中的每个聚类的稀疏性度量除以所有第一聚类的稀疏性度量之和,得到每个聚类的权重;
将所述每个聚类的权重乘以样本总数,得到第一聚类中每个聚类所需要的样本数量。
例如,有两个第一聚类(即含有少数样本的聚类)c(含有3个样本),d(含有4个样本),以及一个含有多数样本的聚类a(含有93个样本)。
c聚类样本数为3,其欧式距离矩阵是3*3的矩阵,如表1所示,表1中的数据为了方便计算都用整数表示,其平均距离=(2+2+3+3+4+4)/6=3,密度度量=3/3=1,由此可得稀疏性度量=1/1=1;d聚类样本数为4,其欧式距离矩阵是3*3的矩阵,其平均距离=2*(4+2+3+5+3+1)/12=3,密度度量=4/3,由此可得稀疏性度量=1/(4/3)=3/4。
因此c的权重=1/(3/4+1)=4/7,c所需样本数量=4/7*100=57;同理d的权重=(3/4)/(3/4+1)=3/7,d所需样本数量=3/7*100=53。
欧式距离 P1 P2 P3
P1 0 2 3
P2 2 0 4
P3 3 4 0
表1
欧式距离 T1 T2 T3 T4
T1 0 4 3 5
T2 4 0 2 3
T3 3 2 0 1
T4 5 3 1 0
表2
需要说明的是,关于确定所述第一聚类所需要的样本数量,实际上是确定属于第一聚类的任何一个聚类所需要的样本数量,例如c、d为第一聚类(也就是所含样本为少数样本的聚类),则需要确定c聚类所需要的样本数量,及d聚类所需要的样本数量。此外,还可以计算所含样本为多数样本的聚类所含样本数量的平均值,作为所含样本为少数样本的聚类的所需样本数量。
关于K-Means聚类算法和SMOTE算法,是本领域比较成熟的技术,这里不再赘述。
步骤S2、构建CNN-BiGRU混合模型,所述CNN-BiGRU混合模型包括卷积层、池化层、BiGRU层、全连接层和分类层,采用预处理后的网络流量数据训练所述CNN-BiGRU混合模型。
本申请所构建的CNN-BiGRU混合模型,如图2所示,包括卷积层、池化层、BiGRU层、全连接层和分类层。其中分类层通常采用softmax和sigmoid两种,而softmax一般用于多分类,sigmoid用作二分类,由于本申请采用二分类方法,故使用sigmoid。
向输入层输入原始流量后,先进行预处理,然后卷积层中的神经元就会自动提取数据集流量的局部特征,每个神经元都与前一层的局部感受域相连,然后每层中不同神经元提取数据集流量的特征大部分不一致,这种局部加权和的结果被输入到卷积网络层之后的激活函数层,其中激活函数是一种非线性变换,主要作用是防止卷积神经网络学习不重要的特征,这样使得处理数据速度大大加快,激活函数是RELU。
在池化层之后连接BiGRU层,也即双向GRU神经网络(Bidrection gated recurentunit neural network,BiGRU)模型,如图3所示,BiGRU基于双向LSTM的优点做了进一步的改进,通俗来说就是用双向GRU的神经元替换双向LSTM模型中的神经元,它是两个方向相反的GRU单元模块连接而成,可以共享多个权值,双向扫描时提取时间域特征更加准确。与GRU相比,BiGRU能够兼顾前后信息对当前信息的影响,从而得到更加全面的特征信息。
在训练阶段,将预处理后的样本数据集输入到CNN-BiGRU模型中分别提取空间域和时间域的特征,以此训练出最优的模型。模型训练过程中在反馈阶段,通过模型训练以及反向微调来提高模型的性能。在CNN-BiGRU模型中,使用反向传播算法微调网络模型的参数,从而得到网络模型最佳的参数。
步骤S3、将待检测网络流量数据输入到训练好的CNN-BiGRU混合模型,检测得到检测结果。
在完成模型训练后,对于待检测的网络流量,将其标准化处理和归一化处理后,输入到训练好的CNN-BiGRU混合模型,从而得到分类结果,即识别出待检测网络流量属于什么类别的入侵手段。
本申请还给出了实验结果,通过测试数据集的分类结果来评估模型的性能。以准确率(Accuracy)、精确率(Precision)、F1-Measure作为评价模型性能的关键指标。这些指标基本上来源于混淆矩阵的四个基本属性:
真阳性(TP)-被正确归类为攻击的攻击数据。
误报性(FP)-被错误归类为攻击的正常数据。
真阴性(TN)-被正确归类为正常的正常数据。
假阴性(FN)-被错误归类为正常的攻击数据。
将使用以下指标来评估本申请技术方案的性能:
Figure BDA0003141902460000081
Figure BDA0003141902460000082
Figure BDA0003141902460000083
Figure BDA0003141902460000084
将本申请提出的K-Means SMOTE算法与CNN-BiGRU结合的模型与传统的深度学习模型进行比较,实验结果如表3所示:
Figure BDA0003141902460000085
表3
从表2可知,在传统深度学习算法中,CWGAN-CSSAE在准确率、精确率以及F1性能指标中均获得最高,而LeNet-5算法在三个性能指标均为最低,其他算法性能指标在两者之间;与以上方法相比,本申请提出的K-means-smote算法与CNN-BiGRU结合的模型在准确率上比CWGAN-CSSAE高2.6%,精确率上高0.7%,F1上高1.0%,因此,本申请提出的技术方案更加适合建立入侵检测系统。
在另一个实施例中,本申请还提供了一种基于CNN-BiGRU混合模型的入侵检测装置,包括:
预处理模块,用于对网络流量样本数据进行预处理,所述预处理包括数字标准化处理、归一化处理、不平衡处理;
网络训练模块,用于构建CNN-BiGRU混合模型,所述CNN-BiGRU混合模型包括卷积层、池化层、BiGRU层、全连接层和分类层,采用预处理后的网络流量样本数据训练所述CNN-BiGRU混合模型;
检测模块,用于将待检测网络流量数据输入到训练好的CNN-BiGRU混合模型,检测得到检测结果。
本实施例的一种具体实现方式,所述预处理模块对网络流量数据进行不平衡处理,执行如下操作:
使用K-Means聚类将输入的所有网络流量数据聚类为k个聚类;
从k个聚类中筛选出所含样本为少数样本的第一聚类;
确定所述第一聚类所需要的样本数量;
根据所述第一聚类所需要的样本数量,使用SMOTE扩充所述第一聚类。
本实施例的一种具体实现方式,所述预处理模块确定所述第一聚类所需要的样本数量,执行如下操作:
对于第一聚类中的每个聚类,计算聚类中每个样本之间的欧式距离排列为欧式距离矩阵,将欧式距离矩阵中所有非零元素相加然后除以非零元素的数量得到平均距离,将聚类中的样本数量除以平均距离,得到密度度量,并以密度度量的倒数作为稀疏性度量;
将第一聚类中的每个聚类的稀疏性度量除以所有第一聚类的稀疏性度量之和,得到每个聚类的权重;
将所述每个聚类的权重乘以样本总数,得到第一聚类中每个聚类所需要的样本数量。
本实施例的一种具体实现方式,所述卷积层后连接有激活函数。
本实施例的一种具体实现方式,所述分类层为sigmoid分类。
关于基于CNN-BiGRU混合模型的入侵检测装置的具体限定可以参见上文中对于基于CNN-BiGRU混合模型的入侵检测方法的限定,在此不再赘述。上述基于CNN-BiGRU混合模型的入侵检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
存储器和处理器之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件互相之间可以通过一条或多条通讯总线或信号线实现电性连接。存储器中存储有可在处理器上运行的计算机程序,所述处理器通过运行存储在存储器内的计算机程序,从而实现本发明实施例中的网络拓扑布局方法。
其中,所述存储器可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器用于存储程序,所述处理器在接收到执行指令后,执行所述程序。
所述处理器可能是一种集成电路芯片,具有数据的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等。可以实现或者执行本发明实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (8)

1.一种基于CNN-BiGRU混合模型的入侵检测方法,其特征在于,所述基于CNN-BiGRU混合模型的入侵检测方法,包括:
对网络流量样本数据进行预处理,所述预处理包括数字标准化处理、归一化处理、不平衡处理;
构建CNN-BiGRU混合模型,所述CNN-BiGRU混合模型包括卷积层、池化层、BiGRU层、全连接层和分类层,采用预处理后的网络流量样本数据训练所述CNN-BiGRU混合模型;
将待检测网络流量数据输入到训练好的CNN-BiGRU混合模型,检测得到检测结果;
其中,所述对网络流量数据进行不平衡处理,包括:
使用K-Means聚类将输入的所有网络流量数据聚类为k个聚类;
从k个聚类中筛选出所含样本为少数样本的第一聚类;
确定所述第一聚类所需要的样本数量;
根据所述第一聚类所需要的样本数量,使用SMOTE扩充所述第一聚类。
2.如权利要求1所述的基于CNN-BiGRU混合模型的入侵检测方法,其特征在于,所述确定所述第一聚类所需要的样本数量,包括:
对于第一聚类中的每个聚类,计算聚类中每个样本之间的欧式距离排列为欧式距离矩阵,将欧式距离矩阵中所有非零元素相加然后除以非零元素的数量得到平均距离,将聚类中的样本数量除以平均距离,得到密度度量,并以密度度量的倒数作为稀疏性度量;
将第一聚类中的每个聚类的稀疏性度量除以所有第一聚类的稀疏性度量之和,得到每个聚类的权重;
将所述每个聚类的权重乘以样本总数,得到第一聚类中每个聚类所需要的样本数量。
3.如权利要求1所述的基于CNN-BiGRU混合模型的入侵检测方法,其特征在于,所述卷积层后连接有激活函数。
4.如权利要求1所述的基于CNN-BiGRU混合模型的入侵检测方法,其特征在于,所述分类层为sigmoid分类。
5.一种基于CNN-BiGRU混合模型的入侵检测装置,其特征在于,所述基于CNN-BiGRU混合模型的入侵检测装置,包括:
预处理模块,用于对网络流量样本数据进行预处理,所述预处理包括数字标准化处理、归一化处理、不平衡处理;
网络训练模块,用于构建CNN-BiGRU混合模型,所述CNN-BiGRU混合模型包括卷积层、池化层、BiGRU层、全连接层和分类层,采用预处理后的网络流量样本数据训练所述CNN-BiGRU混合模型;
检测模块,用于将待检测网络流量数据输入到训练好的CNN-BiGRU混合模型,检测得到检测结果;
其中,所述预处理模块对网络流量数据进行不平衡处理,执行如下操作:
使用K-Means聚类将输入的所有网络流量数据聚类为k个聚类;
从k个聚类中筛选出所含样本为少数样本的第一聚类;
确定所述第一聚类所需要的样本数量;
根据所述第一聚类所需要的样本数量,使用SMOTE扩充所述第一聚类。
6.如权利要求5所述的基于CNN-BiGRU混合模型的入侵检测装置,其特征在于,所述预处理模块确定所述第一聚类所需要的样本数量,执行如下操作:
对于第一聚类中的每个聚类,计算聚类中每个样本之间的欧式距离排列为欧式距离矩阵,将欧式距离矩阵中所有非零元素相加然后除以非零元素的数量得到平均距离,将聚类中的样本数量除以平均距离,得到密度度量,并以密度度量的倒数作为稀疏性度量;
将第一聚类中的每个聚类的稀疏性度量除以所有第一聚类的稀疏性度量之和,得到每个聚类的权重;
将所述每个聚类的权重乘以样本总数,得到第一聚类中每个聚类所需要的样本数量。
7.如权利要求5所述的基于CNN-BiGRU混合模型的入侵检测装置,其特征在于,所述卷积层后连接有激活函数。
8.如权利要求5所述的基于CNN-BiGRU混合模型的入侵检测装置,其特征在于,所述分类层为sigmoid分类。
CN202110736553.3A 2021-06-30 2021-06-30 一种基于CNN-BiGRU混合模型的入侵检测方法及装置 Active CN113542241B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110736553.3A CN113542241B (zh) 2021-06-30 2021-06-30 一种基于CNN-BiGRU混合模型的入侵检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110736553.3A CN113542241B (zh) 2021-06-30 2021-06-30 一种基于CNN-BiGRU混合模型的入侵检测方法及装置

Publications (2)

Publication Number Publication Date
CN113542241A CN113542241A (zh) 2021-10-22
CN113542241B true CN113542241B (zh) 2023-05-09

Family

ID=78097356

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110736553.3A Active CN113542241B (zh) 2021-06-30 2021-06-30 一种基于CNN-BiGRU混合模型的入侵检测方法及装置

Country Status (1)

Country Link
CN (1) CN113542241B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115021987B (zh) * 2022-05-24 2024-04-05 桂林电子科技大学 一种基于arn的物联网入侵检测方法
CN115277154A (zh) * 2022-07-22 2022-11-01 辽宁工程技术大学 一种基于鲸鱼优化BiGRU网络入侵的检测方法
CN115396212A (zh) * 2022-08-26 2022-11-25 国科华盾(北京)科技有限公司 检测模型的训练方法、装置、计算机设备和存储介质
CN116112288B (zh) * 2023-04-07 2023-08-04 天翼云科技有限公司 网络入侵检测方法、装置、电子设备和可读存储介质
CN116340006B (zh) * 2023-05-26 2024-05-17 江苏网进科技股份有限公司 一种基于深度学习的算力资源空闲预测方法和存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102046789B1 (ko) * 2019-04-05 2019-11-20 호서대학교 산학협력단 웹 어플리케이션에 대한 딥러닝 기반의 침입탐지 방법, 시스템 및 컴퓨터 프로그램
CN111064721A (zh) * 2019-12-11 2020-04-24 中国科学院深圳先进技术研究院 网络流量异常检测模型的训练方法及检测方法
CN111314353B (zh) * 2020-02-19 2022-09-02 重庆邮电大学 一种基于混合采样的网络入侵检测方法及系统
CN111740971A (zh) * 2020-06-15 2020-10-02 郑州大学 基于类不平衡处理的网络入侵检测模型sgm-cnn
CN112883922B (zh) * 2021-03-23 2022-08-30 合肥工业大学 基于CNN-BiGRU神经网络融合的手语识别方法

Also Published As

Publication number Publication date
CN113542241A (zh) 2021-10-22

Similar Documents

Publication Publication Date Title
CN113542241B (zh) 一种基于CNN-BiGRU混合模型的入侵检测方法及装置
CN109639739B (zh) 一种基于自动编码器网络的异常流量检测方法
CN109299741B (zh) 一种基于多层检测的网络攻击类型识别方法
CN110533089B (zh) 基于随机森林的自适应非侵入式负荷识别方法
CN104601565B (zh) 一种智能优化规则的网络入侵检测分类方法
CN108333468B (zh) 一种有源配电网下不良数据的识别方法及装置
CN110826648A (zh) 一种利用时序聚类算法实现故障检测的方法
CN114492768B (zh) 一种基于小样本学习的孪生胶囊网络入侵检测方法
CN109886284B (zh) 基于层次化聚类的欺诈检测方法及系统
CN111507385B (zh) 一种可扩展的网络攻击行为分类方法
CN114298176A (zh) 一种欺诈用户检测方法、装置、介质及电子设备
CN111626360B (zh) 用于检测锅炉故障类型的方法、装置、设备和存储介质
CN110458240A (zh) 一种三相桥式整流器故障诊断方法、终端设备及存储介质
Yuan et al. Community detection with graph neural network using Markov stability
CN117170979B (zh) 一种大规模设备的能耗数据处理方法、系统、设备及介质
CN112422546A (zh) 一种基于变邻域算法和模糊聚类的网络异常检测方法
CN115130110B (zh) 基于并行集成学习的漏洞挖掘方法、装置、设备及介质
CN111008673A (zh) 配电网信息物理系统中恶性数据链采集提取方法
CN115375921A (zh) 两级非侵入式负荷识别方法及终端
YuanTong Research of intrusion detection method based on IL-FSVM
CN115842645A (zh) 基于umap-rf的网络攻击流量检测方法、装置及可读存储介质
CN110942089B (zh) 一种基于多级决策的击键识别方法
CN114124437A (zh) 基于原型卷积网络的加密流量识别方法
CN110348481A (zh) 一种基于近邻样本万有引力的网络入侵检测方法
Su et al. A network anomaly detection method based on genetic algorithm

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant