CN114462520A

CN114462520A - 一种基于流量分类的网络入侵检测方法

Info

Publication number: CN114462520A
Application number: CN202210089995.8A
Authority: CN
Inventors: 王冠; 张占威
Original assignee: Beijing University of Technology
Current assignee: Beijing University of Technology
Priority date: 2022-01-25
Filing date: 2022-01-25
Publication date: 2022-05-10

Abstract

本发明公开了一种基于流量分类的网络入侵检测方法，包括以下步骤：1.对网络流量数据进行数据处理，得到总体样本集；2.建立基于深度自注意力机制与密集Inception结构的网络入侵检测模型DCADenseIncept为网络流量数据提取初级特征，生成特征表示X_L；3.在DCADenseIncept之后附属基于卷积增强Transformer结构的网络入侵检测模型CeIT，结合卷积特征提取、空间局部增强及Transformer建立远程依赖的优势，为X_L提取高级特征，生成特征表示X_H；4.将特征表示X_H通过分类器进行分类检测并计算总体损失，利用Adam优化算法自动更新模型参数，得到最终的网络入侵检测模型。本发明中的模型能够加强特征的处理方式与利用效率，具备优异的表达能力与网络入侵检测效果，可以辅助系统对抗网络攻击。

Description

一种基于流量分类的网络入侵检测方法

技术领域

本发明涉及网络信息安全与深度学习领域，具体涉及一种基于 DCADenseIncept-CeIT的面向网络流量的入侵检测方法。

背景技术

网络入侵检测是对防火墙的合理补充，通过处理网络流量数据，检测网络中是否存在入侵行为，形成一种积极主动的网络安全防护技术，辅助系统对抗网络攻击，在系统受到危害之前对恶意网络行为进行响应，扩展了系统管理员的安全管理能力，提高了网络安全基础结构的完整性，随着人工智能、深度学习的发展，网络入侵检测有了更加有效的新途径，深度学习在分类任务上的出色表现为其应用于网络入侵检测奠定了基础且已经取得了优异的表现，将网络入侵活动表示成对应的模式，检测网络中的活动是否与这些模式相匹配，即对其进行特征检测，便可以将恶意网络流量检测出来并识别出其具体的攻击类别，网络流量数据特征较少，特征的处理方式、利用效率等对网络入侵检测都具有重要意义。

发明内容

为了对网络流量数据进行更加充分的处理并提高其特征的利用效率，增强网络入侵检测的效果与可泛化性并加快收敛速度，本发明提供一种基于 DCADenseIncept-CeIT的面向网络流量的入侵检测方法，本发明基于深度学习技术，可以检测网络中Dos/DDos、Probe、U2R、R2L、PortScan、Brute Force、 Web Attack、Botnet ARES、Infiltration等类型的恶意流量并识别出其具体攻击类别来辅助系统对抗网络攻击，扩展系统管理员的安全管理能力；

本发明采用的技术方案是：一种基于DCADenseIncept-CeIT的面向网络流量的入侵检测方法，该方法包括以下步骤：

步骤1：对网络流量数据进行数据处理，得到总体样本集；

步骤2：建立基于深度自注意力机制与密集Inception结构的网络入侵检测模型DCADenseIncept为网络流量数据提取初级特征，生成其特征表示X_L；

步骤3：在DCADenseIncept之后附属基于卷积增强Transformer结构的网络入侵检测模型CeIT，结合卷积在特征提取、空间局部增强以及Transformer在建立远程依赖上的优势，为X_L提取高级特征，生成最终特征表示 X_H；

步骤4：将网络流量数据最终特征表示X_H通过分类器进行分类检测，计算该任务的总体损失，利用Adam优化算法自动更新模型参数，得到最终的网络入侵检测模型；

步骤1所述的数据处理，包括以下子步骤：

步骤1.1：抹去网络流量数据中与网络入侵检测无关的以及取值都相同的低价值信息；

步骤1.2：确定输入模型提取特征的数据、类别标签以及模型输出，特征数据包括与网际协议地址、端口、协议、时间戳、包、流、头部、传输控制协议的标记等相关的内容，类别标签包括Normal、Dos/Ddos、Probe、U2R、R2L、 PortScan、Brute Force等；

步骤1.3：对于特征数据，非数值类型的使用独热编码映射成二进制向量，数值类型中离散/非离散的分别按下述方法进行标准化，x_norm为源数据x的标准化结果，x_max、x_min、μ与σ为x的最大值、最小值、均值与标准差，使用顺序编码将类别标签映射成连续的自然数；

离散：

非离散：

步骤1.4：将处理好的特征数据重塑成n×n矩阵的形式；

步骤1.5：使用双立方插值算法将上述矩阵精准放大为N×N；

步骤1.6：使用过采样与SMOTE算法对数据量少的类别进行补充，来平衡不同类别的网络流量数据；

步骤1.7：使用分层抽样将总体样本集按4:1的比例随机划分为训练集与测试集；

步骤2所述的建立基于深度自注意力机制与密集Inception结构的网络入侵检测模型DCADenseIncept为网络流量数据提取初级特征，生成其特征表示 X_L，包括以下子步骤：

步骤2.1：构建DenseIncept，DenseIncept的核心是密集连接的 Inception结构，通过Inception结构提取初级特征，在6个尺度上同时进行卷积特征提取，以处理不同尺度的更丰富的空间特征，还能够组合出更多非线性特征，以此来增加特征多样性，而且多个尺度上提取的特征不再服从均匀分布，相关特征聚集在了一起，不相关特征则被弱化，从而降低特征冗余，Inception结构可以有效地提高模型的表达能力并降低计算复杂度，密集连接机制使每层都用到了之前所有层生成的特征，实现了特征复用，进以提高特征的利用效率；

步骤2.2：一个Inception结构作为一层，并在之前添加批标准化BN 与线性整流函数ReLU，BN可以有效地利用ReLU进行非线性化过程从而进行更有效的信息传递，上一层输出的特征X_t-1经过BN与ReLU的处理后作为Inception 结构的输入X'并输出X_i，X_ij为Inception结构第j个尺度上的输出，Conv为卷积操作，SoftPool为软池化，通过自然底数e的指数权重w_i来减少以往池化方式的信息损失，

为感受域R的池化结果，a_i为R中的第i个元素，AFF为注意力特征融合，能够基于特征的注意力权重更好地融合特征，优于其它特征连接方式，公式如下：

X'＝ReLU(BN(X_t-1)) (3)

X_i1＝1×1Conv(X') (4)

X_i2＝1×1Conv(SoftPool(X')) (5)

X_i3＝1×3Conv(1×1Conv(X')) (6)

X_i4＝3×1Conv(1×1Conv(X')) (7)

X_i5＝1×3Conv(3×3Conv((1×1Conv(X')))) (8)

X_i6＝3×1Conv(3×3Conv((1×1Conv(X')))) (9)

X_i＝AFF(X_i1,X_i2,X_i3,X_i4,X_i5,X_i6) (10)

SoftPool：

步骤2.3：X_i与之前所有层生成的特征X₀、X₁、……、X_t-1通过注意力特征融合进行融合并将结果Z_t作为本层特征输出，X、Y为特征图，PointConv为逐点卷积，GlobalAvePool为全局平均池化，X_g、X_l为特征的全局、局部注意力结果，W₁、W₂为特征的注意力权重，σ为Sigmoid函数，Z为特征融合的结果，公式如下：

W₂＝1-W₁ (14)

步骤2.4：在DenseIncept基础上添加自注意力机制，自注意力机制除重点关注与任务相关的信息外，更擅长捕捉内部相关性，由此来减少外部信息依赖，它为每个DenseIncept层生成的特征Z_t分配权重，最后再综合注意力结果与Z_t作为该层的最终特征表示X_t，Z_t的矩阵I(非单位矩阵)与参数矩阵W^q、W^k、 W^v相乘得到矩阵Q、K、V，作为自注意力机制的query、key、value，用归一化指数函数SoftMax标准化K^TQ得到[0,1]上的代表关联程度的注意力得分，根据该权重对V进行加权求和得到和特征矩阵S，公式如下：

Q＝W^qI,K＝W^kI,V＝W^vI (16)

S＝VSoftMax(K^TQ) (17)

步骤2.5：深度连接自注意力机制，互相连接相邻的自注意力模块，确保其可以从主干网络的当前层和前一相邻的自注意力模块两个地方的产物中进行学习，来提高自注意力机制的学习能力，当前的注意力结果O与前一注意力模块的产物T按权重

β进行加权连接，

β的值满足

且和为1即可，最后再综合总注意力结果与Z_t作为该层的最终特征表示X_t；

步骤2.6：经过整个DCADenseIncept的处理，生成了网络流量数据的初级特征表示X_L；

步骤3所述的在DCADenseIncept之后附属基于卷积增强Transformer 结构的网络入侵检测模型CeIT，结合卷积在特征提取、空间局部增强以及 Transformer在建立远程依赖上的优势，为X_L提取高级特征，生成最终特征表示 X_H，包括以下子步骤：

步骤3.1：从X_L中提取子块patch，通过卷积与软池化将X_L压缩到S×S，再将其划分为若干个大小为s×s的子块，这样X_L就被提取到了空间维度上的一系列子块中；

步骤3.2：CeIT由若干个堆叠的编码器组成，编码器包括自注意力模块 Sa、局部增强的前馈网络LeFf与层归一化LN，x、y为编码器的输入输出，x'为中间结果，编码器的结构如下：

x'＝LN(x+Sa(x)),y＝LN(x'+LeFf(x')) (19)

步骤3.3：编码器的自注意力模块不变，保留其捕捉token标记之间全局相似性的能力，局部增强的前馈网络负责处理自注意力模块生成的块标记 patch token：首先，使用基于卷积的线性投影将块标记投影到更高的维度，对向量进行扩展，之后，基于在初始图像中的相对位置将块标记在空间维度上重新恢复为“图像”，然后，在恢复为“图像”的块标记上执行深度卷积，来加强与其它邻近标记的关联程度，最后，将块标记展平后生成的序列再次通过线性投影投影回初始维度，同时，在每个线性投影或深度卷积之后都添加一个BN-GeLU 结构，GeLU为高斯误差线性单元；

步骤3.4：CeIT生成了网络流量数据的高级特征表示X_H并将其作为最终特征表示；

步骤4所述的将网络流量数据最终特征表示X_H通过分类器进行分类检测，计算该任务的总体损失，利用Adam优化算法自动更新模型参数，得到最终的网络入侵检测模型，包括以下子步骤：

步骤4.1：网络流量数据经过数据处理后输入网络入侵检测模型进行训练，训练时采用针对不平衡图像分类任务的损失函数Recall loss计算相应的损失，以平衡结果的精确度和准确性，C为类别个数，c为某个类别，FN_c为类别c 中的假阴性样本数目，P^c为类别c的几何平均置信度，TP_c为类别c中的真阳性样本数目，N_c为类别c中的样本数目，log为对数函数，公式如下：

步骤4.2：利用Adam优化算法自动更新模型参数，经过反复迭代更新，损失值不断减小，直到降到目标精度后停止模型训练，得到最终的网络入侵检测模型，利用测试集验证网络入侵检测的效果；

本发明具有以下优点：

(1)本发明利用基于深度自注意力机制与密集Inception结构的网络入侵检测模型DCADenseIncept为网络流量数据提取初级特征，Inception结构在多个尺度上同时进行卷积特征提取，增加了特征多样性，同时聚集相关特征、弱化无关特征，降低了特征冗余，能够有效地提高模型的表达能力并降低计算复杂度，密集连接机制使每层都用到了之前所有层生成的特征，实现了特征复用，提高了特征的利用效率，自注意力机制除了为特征分配注意力权重从而重点关注任务相关的信息而忽略无关信息之外，还削弱了外部信息依赖，使模型更擅长于捕捉内部相关性，互相连接相邻的自注意力模块又进一步提高了自注意力机制的学习关注能力，使结果更加准确；

(2)本发明利用基于卷积增强Transformer结构的网络入侵检测模型 CeIT从初级特征中提取高级特征，结合了卷积神经网络在特征提取、空间局部增强以及Transformer在建立远程依赖等方面的优势并弥补了两者的不足，既拥有了更加强大的特征提取能力，同时又能够建立特征序列中非邻近元素之间的关联，兼顾了空间与序列，此外，CeIT还减少了模型的训练迭代次数，加快了模型的收敛速度；

(3)本发明利用注意力特征融合AFF来融合特征，使特征的融合与利用更加充分，利用基于自然底数的指数权重的软池化SoftPool进行池化降采样，减少了池化过程的信息损失，Recall Loss损失函数相对于其它损失函数来说在不平衡分类任务下具备更优的损失评估与模型评价能力；

附图说明

图1为本发明提供的一种基于DCADenseIncept-CeIT的网络入侵检测方法的流程示意图；

图2为本发明提供的一种基于DCADenseIncept-CeIT的网络入侵检测方法的Inception结构示意图；

图3为本发明提供的一种基于DCADenseIncept-CeIT的网络入侵检测方法的DCADenseIncept示意图；

图4为本发明提供的一种基于DCADenseIncept-CeIT的网络入侵检测方法的CeIT示意图；

具体实施方式

下面将结合图1-4对本发明进行详细说明，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所述实施例仅是本发明的部分实施例而非全部实施例，基于本发明的实施例，本领域的普通技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例，都属于本发明保护的范围；

参考图1，本发明在此提供了一种基于DCADenseIncept-CeIT的面向网络流量的入侵检测方法，该方法包括以下步骤：

步骤1：对网络流量数据进行数据处理，得到总体样本集；

步骤3：在DCADenseIncept之后附属基于卷积增强Transformer结构的网络入侵检测模型CeIT，结合卷积在特征提取、空间局部增强以及 Transformer在建立远程依赖上的优势，为X_L提取高级特征，生成最终特征表示 X_H；

步骤1所述的数据处理，包括以下子步骤：

离散：

非离散：

步骤1.4：将处理好的特征数据重塑成n×n矩阵的形式；

步骤1.5：使用双立方插值算法将上述矩阵精准放大为N×N；

参考图2、3，步骤2所述的建立基于深度自注意力机制与密集Inception 结构的网络入侵检测模型DCADenseIncept为网络流量数据提取初级特征，生成其特征表示X_L，包括以下子步骤：

X'＝ReLU(BN(X_t-1)) (3)

X_i1＝1×1Conv(X') (4)

X_i2＝1×1Conv(SoftPool(X')) (5)

X_i3＝1×3Conv(1×1Conv(X')) (6)

X_i4＝3×1Conv(1×1Conv(X')) (7)

X_i5＝1×3Conv(3×3Conv((1×1Conv(X')))) (8)

X_i6＝3×1Conv(3×3Conv((1×1Conv(X')))) (9)

X_i＝AFF(X_i1,X_i2,X_i3,X_i4,X_i5,X_i6) (10)

SoftPool：

W₂＝1-W₁ (14)

Q＝W^qI,K＝W^kI,V＝W^vI (16)

S＝VSoftMax(K^TQ) (17)

β进行加权连接，

β的值满足

参考图4，步骤3所述的在DCADenseIncept之后附属基于卷积增强 Transformer结构的网络入侵检测模型CeIT，结合卷积在特征提取、空间局部增强以及Transformer在建立远程依赖上的优势，为X_L提取高级特征，生成最终特征表示X_H，包括以下子步骤：

步骤3.1：从X_L中提取子块patch，通过卷积与软池化将X_L压缩到S×S，再将其划分为若干个大小为s×s的子快，这样X_L就被提取到了空间维度上的一系列子块中；

x'＝LN(x+Sa(x)),y＝LN(x'+LeFf(x')) (19)

步骤3.3：编码器的自注意力模块不变，保留其捕捉token标记之间全局相似性的能力，局部增强的前馈网络负责处理自注意力模块生成的块标记patch token：首先，使用基于卷积的线性投影将块标记投影到更高的维度，对向量进行扩展，之后，基于在初始图像中的相对位置将块标记在空间维度上重新恢复为“图像”，然后，在恢复为“图像”的块标记上执行深度卷积(图4中的黑色区域)，来加强与其它邻近标记的关联程度，最后，将块标记展平后生成的序列再次通过线性投影投影回初始维度，同时，在每个线性投影或深度卷积之后都添加一个BN-GeLU结构，GeLU为高斯误差线性单元；

以上所述细节只是本发明的实施例之一，并非以此来限制本发明的实施范围，因此，本领域的技术人员可以对本发明进行各种改动和变形而不脱离本发明的精神和范围，这些改动和变形也应视为本发明的保护范围，本发明的专利保护范围以权利要求书为准，凡是运用本发明的说明书及附图内容所做的等同结构变化，同理，均应包含在本发明的保护范围内。

Claims

1.一种基于流量分类的网络入侵检测方法，其特征在于，包括以下步骤：

步骤1：对网络流量数据进行数据处理，得到总体样本集；

步骤3：在DCADenseIncept之后附属基于卷积增强Transformer结构的网络入侵检测模型CeIT，结合卷积在特征提取、空间局部增强以及Transformer在建立远程依赖上的优势，为X_L提取高级特征，生成最终特征表示X_H；

步骤4：将网络流量数据最终特征表示X_H通过分类器进行分类检测，计算该任务的总体损失，利用Adam优化算法自动更新模型参数，得到最终的网络入侵检测模型。

2.根据权利要求1所述的一种基于流量分类的网络入侵检测方法，其特征在于，所述步骤1包括以下子步骤：

步骤1.2：确定输入模型提取特征的数据、类别标签以及模型输出，特征数据包括与网际协议地址、端口、协议、时间戳、包、流、头部、传输控制协议的标记相关的内容，类别标签包括Normal、Dos/Ddos、Probe、U2R、R2L、PortScan、Brute Force；

离散：

非离散：

步骤1.4：将处理好的特征数据重塑成n×n矩阵的形式；

步骤1.5：使用双立方插值算法将上述矩阵精准放大为N×N；

步骤1.6：使用过采样与SMOTE算法对数据量未过万的类别进行补充，来平衡不同类别的网络流量数据；

步骤1.7：使用分层抽样将总体样本集按4:1的比例随机划分为训练集与测试集。

3.根据权利要求1所述的一种基于流量分类的网络入侵检测方法，其特征在于，所述步骤2包括以下子步骤：

步骤2.1：构建DenseIncept，DenseIncept的核心是密集连接的Inception结构，通过Inception结构提取初级特征，在6个尺度上同时进行卷积特征提取，以处理不同尺度的更丰富的空间特征，还能够组合出更多非线性特征，以此来增加特征多样性；

步骤2.2：一个Inception结构作为一层，并在之前添加批标准化BN与线性整流函数ReLU，BN可以有效地利用ReLU进行非线性化过程从而进行更有效的信息传递，上一层输出的特征X_t-1经过BN与ReLU的处理后作为Inception结构的输入X'并输出X_i，X_ij为Inception结构第j个尺度上的输出，Conv为卷积操作，SoftPool为软池化，通过自然底数e的指数权重w_i来减少以往池化方式的信息损失，

X'＝ReLU(BN(X_t-1)) (3)

X_i1＝1×1Conv(X') (4)

X_i2＝1×1Conv(SoftPool(X')) (5)

X_i3＝1×3Conv(1×1Conv(X')) (6)

X_i4＝3×1Conv(1×1Conv(X')) (7)

X_i5＝1×3Conv(3×3Conv((1×1Conv(X')))) (8)

X_i6＝3×1Conv(3×3Conv((1×1Conv(X')))) (9)

X_i＝AFF(X_i1,X_i2,X_i3,X_i4,X_i5,X_i6) 0)

步骤2.4：在DenseIncept基础上添加自注意力机制，自注意力机制除重点关注与任务相关的信息外，更擅长捕捉内部相关性，由此来减少外部信息依赖，它为每个DenseIncept层生成的特征Z_t分配权重，最后再综合注意力结果与Z_t作为该层的最终特征表示X_t，Z_t的矩阵I(非单位矩阵)与参数矩阵W^q、W^k、W^v相乘得到矩阵Q、K、V，作为自注意力机制的query、key、value，用归一化指数函数SoftMax标准化K^TQ得到[0,1]上的代表关联程度的注意力得分，根据该权重对V进行加权求和得到和特征矩阵S，公式如下：

Q＝W^qI,K＝W^kI,V＝W^vI (16)

S＝VSoftMax(K^TQ) (17)

β进行加权连接，

β的值满足

步骤2.6：经过整个DCADenseIncept的处理，生成了网络流量数据的初级特征表示X_L。

4.根据权利要求1所述的一种基于流量分类的网络入侵检测方法，其特征在于，所述步骤3包括以下子步骤：

步骤3.2：CeIT由若干个堆叠的编码器组成，编码器包括自注意力模块Sa、局部增强的前馈网络LeFf与层归一化LN，x、y为编码器的输入输出，x'为中间结果，编码器的结构如下：

x'＝LN(x+Sa(x)),y＝LN(x'+LeFf(x')) (19)

步骤3.3：编码器的自注意力模块不变，保留其捕捉token标记之间全局相似性的能力，局部增强的前馈网络负责处理自注意力模块生成的块标记patch token：首先，使用基于卷积的线性投影将块标记投影到更高的维度，对向量进行扩展，之后，基于在初始图像中的相对位置将块标记在空间维度上重新恢复为“图像”，然后，在恢复为“图像”的块标记上执行深度卷积，来加强与其它邻近标记的关联程度，最后，将块标记展平后生成的序列再次通过线性投影投影回初始维度，同时，在每个线性投影或深度卷积之后都添加一个BN-GeLU结构，GeLU为高斯误差线性单元；

步骤3.4：CeIT生成了网络流量数据的高级特征表示X_H并将其作为最终特征表示。

5.根据权利要求1所述的一种基于流量分类的网络入侵检测方法，其特征在于，所述步骤4包括以下子步骤：

步骤4.1：网络流量数据经过数据处理后输入网络入侵检测模型进行训练，训练时采用针对不平衡图像分类任务的损失函数Recall loss计算相应的损失，以平衡结果的精确度和准确性，C为类别个数，c为某个类别，FN_c为类别c中的假阴性样本数目，P^c为类别c的几何平均置信度，TP_c为类别c中的真阳性样本数目，N_c为类别c中的样本数目，log为对数函数，公式如下：

步骤4.2：利用Adam优化算法自动更新模型参数，经过反复迭代更新，损失值不断减小，直到降到目标精度后停止模型训练，得到最终的网络入侵检测模型，利用测试集验证网络入侵检测的效果。