CN114389843A

CN114389843A - 一种基于变分自编码器的网络异常入侵检测系统和方法

Info

Publication number: CN114389843A
Application number: CN202111512011.4A
Authority: CN
Inventors: 杭菲璐; 郭威; 陈何雄; 毛正雄; 何映军; 谢林江; 张振红; 罗震宇; 张军; 李良
Original assignee: Information Center of Yunnan Power Grid Co Ltd
Current assignee: Information Center of Yunnan Power Grid Co Ltd
Priority date: 2021-12-06
Filing date: 2021-12-06
Publication date: 2022-04-22

Abstract

本发明涉及一种基于变分自编码器的网络异常入侵检测系统和方法，该系统包括采集器和处理器，采集器采集数据，处理器包括数据预处理模块、模型构建模块和模型训练模块；数据预处理将文本进行编码，输入最长文本串的填充，同时将数据集切分为训练集和测试集；模型构建模块构建变分自编码器；模型训练模块对模型进行优化训练。本发明是一种无监督的学习方法，可以利用深度网络的强大拟合能力的同时，无需大量的标注样本对。

Description

一种基于变分自编码器的网络异常入侵检测系统和方法

技术领域

本发明属于网络监测领域，具体涉及一种基于变分自编码器的网络异常入侵检测系统和方法。

背景技术

网络异常入侵检测是将网络流量数据、相关日志数据、应用访问数据等进行相应的解析，监测用户异常行为，提高网络安全防范。分析数据量较大，通常采用机器学习的方法来进行辅助检测。

常用的机器学习方法在检测过程中，常分为无监督学习和有监督学习两类方法。由于有监督的学习方法，需要对样本进行标注，网络流量数据等数据量巨大，数据质量层次不齐，如何采用无监督的学习方法进行网络异常入侵检测是值得研究的。

发明内容

为了解决上述问题，本发明提出一种基于变分自编码器的网络异常入侵检测系统和方法，是一种无监督的学习方法。变分自编码器是一类生成模型，可以利用深度网络的强大拟合能力的同时，无需大量的标注样本对。

本发明的技术方案具体如下：

一种基于变分自编码器的网络异常入侵检测系统，包括采集器和处理器，采集器采集数据，处理器包括数据预处理模块、模型构建模块和模型训练模块；

数据预处理将文本进行编码，输入最长文本串的填充，同时将数据集切分为训练集和测试集；

模型构建模块构建变分自编码器，变分自编码器同时引入隐层变量z，将确定性的自编码器改造为概率图模型，其中，隐层变量z满足条件分布：

其中f_d表示解码器；采用高斯分布来逼近真实后验分布，变分分布为：

其中f_e表示编码器，u代表均值，σ代表方差,z代表隐层变量，q(z|x,φ)代表变分分布；

根据变分自编码器的概率图模型，得到目标损失函数：

其中，q_w代表变分近似分布，∈代表着隐层引入的高斯分布，第一项代表条件分布p_θ(x|z)的期望，第二项代表变分分布q_w与隐变量z的分布p(z)之间的差异；

模型训练模块对模型进行优化训练。

进一步地，模型训练具体是针对损失函数进行优化，使用梯度下降算法求解目标损失函数的最优值。

进一步地，使用梯度下降算法求解目标损失函数的最优值的过程如下：

在假定p_θ(x|z)为高斯分布的情况下，条件期望就化为二次函数：

f_e表示编码器，θ为参数；

在假定p(z)为高斯分布的情况下，

散度有解析式如下：

σ为方差，u为均值；得到：

本发明还涉及的一种基于变分自编码器的网络异常入侵检测方法，包括如下内容：

将文本进行编码，输入最长文本串的填充，将数据集切分为训练集和测试集；

构建变分自编码器，变分自编码器同时引入隐层变量z，将确定性的自编码器改造为概率图模型，其中，隐层变量z满足条件分布：

其中f_e表示编码器，u代表均值，σ代表方差，φ代表变分分布的参数；

根据变分自编码器的概率图模型，得到目标损失函数：

其中q_w代表变分近似分布，∈代表着隐层引入的高斯分布，第一项代表条件分布p_θ(x|z)的期望，第二项代表变分分布q_w与隐变量z的分布p(z)之间的差异；

对模型进行优化训练。

进一步地，模型训练具体是针对损失函数进行优化，具体过程如下：

在假定p_θ(x|z)为高斯分布的情况下，条件期望就化为二次函数

f_e表示编码器，θ为参数；

在假定p(z)为高斯分布的情况下，

散度有解析式如下：

σ为方差，u为均值；得到：

本发明还涉及的一种电子设备，包括存储器、处理器以及在存储器上，并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述方法的步骤。

本发明还涉及的一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时，实现如上述方法的步骤。

与现有技术相比，本发明的有益效果如下：

1.本发明提出一种基于变分自编码器的网络异常入侵检测系统和方法，是一种无监督的学习方法。无需大量的标注样本对。

2.变分自编码器是一种生成模型，相较于自编码器等判别式方法，具有更好的泛化性和稳定性。

附图说明

图1为本发明的系统框图；

图2为基于变分自编码器的网络异常入侵检测方法流程图；

图3为变分自编码器的概率图模型。

具体实施方式

下面将结合本申请实施例中的附图，对实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

除非另外定义，本申请实施例中使用的技术术语或者科学术语应当为所属领域内具有一般技能的人士所理解的通常意义。本实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。“上”、“下”、“左”、“右”、“横”以及“竖”等仅用于相对于附图中的部件的方位而言的，这些方向性术语是相对的概念，它们用于相对于的描述和澄清，其可以根据附图中的部件所放置的方位的变化而相应地发生变化。

如图1所示，本实施例的基于变分自编码器的网络异常入侵检测系统，包括采集器和处理器，采集器采集数据，处理器包括数据预处理模块、模型构建模块和模型训练模块；

数据预处理将文本进行编码，输入最长文本串的填充，同时将数据集切分为训练集和测试集；模型训练模块对模型进行优化训练。

基于变分自编码器的网络异常入侵检测的流程如图2所示。

首先是基于神经网络，构建编码器与解码器。利用最小重建误差原理，搭建自编码器结构，变分自编码器是自编码器的概率版本，期概率图版本如图3。

本实施例利用变分自编码器，给出一个较为稳定的预测分类算法。

本实施例的基于变分自编码器的网络异常入侵检测方法的详细步骤如下：

S1:网络访问数据预处理。网络访问数据是文本串，在入侵检测流程中，需要将文本进行编码，以及输入最长文本串的填充。同时将数据集切分为训练集和测试集；

S2：模型构建，建立基于变分自编码器的网络异常入侵检测模型；

S21：构建变分自编码器

变分自编码器由编码器和解码器构成，编码器和解码器都是由多层神经网络构成，结构镜像对称。用f_e表示编码器，f_d表示解码器。

变分自编码器同时引入隐层变量z，将确定性的自编码器改造为概率图模型。其中隐层变量z满足条件分布：

其中f_d表示解码器，θ是解码器的参数，z代表隐层变量，σ是方差，I是单位矩阵。由于神经网络的非线性性，求解后验分布不容易，所以我们采用较为便于求解的高斯分布来逼近真实后验分布，变分分布为:

其中f_e表示编码器，u代表均值，σ代表方差,z代表隐层变量，q(z|x,φ)代表变分分布。

S22:根据变分自编码器的概率图模型，得到目标损失函数

编码器f_e，解码器f_d具有非常复杂的非线性表示，所以直接求解边缘似然函数p(x|θ)是不可行的。我们利用近似后验分布q(z|x)来逼近真实分布。我们利用最大化变分下界来求解近似解。现有目标函数优化如下：

代表数据集，

为变分下界，θ,w为变分下界的参数，对于数据集中的一例训练集，变分下界可以写为：

变分下界来求解近似解。现有目标函数优化如下：

q_w为变分分布，z为隐层变量。

利用Jensen不等式，可以得到如下结果：

为方便计算，可以假定变分分布q_w(z|x)为高斯分布，

z＝f_e,u(x；φ)+f_e,σ(x；φ)×∈

其中

f_e,u是关于均值部分的编码器，f_e,σ(x；φ)是关于方差部分的编码器，φ是变分分布参数

最后得到损失函数如下：

其中q_w代表变分近似分布，∈代表着隐层引入的高斯分布，第一项代表条件分布p_θ(x|z)的期望，第二项代表着变分分布q_w与隐变量z的分布p(z)之间的差异。

S3:模型训练，对模型进行优化训练；

S31:针对损失函数进行优化

使用梯度下降算法求解：

的最优值，具体求解过程如下：

f_e表示编码器，θ为参数。

在假定p(z)为高斯分布的情况下，

散度有解析式如下：

σ为方差，u为均值。

需要说明的是，应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分，实际实现时可以全部或部分集成到一个物理实体上，也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现；也可以全部以硬件的形式实现；还可以部分模块通过处理元件调用软件的形式实现，部分模块通过硬件的形式实现。

这里所述的处理元件可以是一种集成电路，具有信号的处理能力。在实现过程中，上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。

例如，以上这些模块可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(application specific integrated circuit，ASIC)，或，一个或多个微处理器(digital signal processor，DSP)，或，一个或者多个现场可编程门阵列(field programmable gate array，FPGA)等。再如，当以上某个模块通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(centralprocessing unit，CPU)或其它可以调用程序代码的处理器。再如，这些模块可以集成在一起，以片上系统(system-on-a-chip，SOC)的形式实现。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在可读存储介质中，或者从一个可读存储介质向另一个可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘solid state disk(SSD))等。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(DigitalSignalProcessing，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

可选的，本申请实施例还提供一种存储介质，所述存储介质中存储有指令，当其在计算机上运行时，使得计算机执行如上述所示实施例的方法。

可选的，本申请实施例还提供一种运行指令的芯片，所述芯片用于执行上述所示实施例的方法。

本申请实施例还提供一种程序产品，所述程序产品包括计算机程序，所述计算机程序存储在存储介质中，至少一个处理器可以从所述存储介质读取所述计算机程序，所述至少一个处理器执行所述计算机程序时可实现上述实施例的方法。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系；在公式中，字符“/”，表示前后关联对象是一种“相除”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b，或c中的至少一项(个)，可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中，a，b，c可以是单个，也可以是多个。

可以理解的是，在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分，并不用来限制本申请的实施例的范围。

可以理解的是，在本申请的实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请的实施例的实施过程构成任何限定。