CN114462520A - 一种基于流量分类的网络入侵检测方法 - Google Patents
一种基于流量分类的网络入侵检测方法 Download PDFInfo
- Publication number
- CN114462520A CN114462520A CN202210089995.8A CN202210089995A CN114462520A CN 114462520 A CN114462520 A CN 114462520A CN 202210089995 A CN202210089995 A CN 202210089995A CN 114462520 A CN114462520 A CN 114462520A
- Authority
- CN
- China
- Prior art keywords
- feature
- attention
- network
- intrusion detection
- network intrusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 54
- 230000007246 mechanism Effects 0.000 claims abstract description 27
- 238000012545 processing Methods 0.000 claims abstract description 15
- 238000000605 extraction Methods 0.000 claims abstract description 11
- ORILYTVJVMAKLC-UHFFFAOYSA-N Adamantane Natural products C1C(C2)CC3CC1CC2C3 ORILYTVJVMAKLC-UHFFFAOYSA-N 0.000 claims abstract description 9
- 238000005457 optimization Methods 0.000 claims abstract description 9
- 230000000694 effects Effects 0.000 claims abstract description 7
- 238000000034 method Methods 0.000 claims description 27
- 239000011159 matrix material Substances 0.000 claims description 21
- 238000011176 pooling Methods 0.000 claims description 18
- 230000006870 function Effects 0.000 claims description 17
- 238000012549 training Methods 0.000 claims description 12
- 230000004927 fusion Effects 0.000 claims description 10
- 239000000523 sample Substances 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 8
- 238000010606 normalization Methods 0.000 claims description 7
- 238000012360 testing method Methods 0.000 claims description 7
- 239000013598 vector Substances 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000005070 sampling Methods 0.000 claims description 3
- 230000001502 supplementing effect Effects 0.000 claims description 3
- 238000012546 transfer Methods 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 2
- 238000013135 deep learning Methods 0.000 description 4
- 239000000047 product Substances 0.000 description 4
- 239000000284 extract Substances 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000009827 uniform distribution Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000013506 data mapping Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于流量分类的网络入侵检测方法,包括以下步骤:1.对网络流量数据进行数据处理,得到总体样本集;2.建立基于深度自注意力机制与密集Inception结构的网络入侵检测模型DCADenseIncept为网络流量数据提取初级特征,生成特征表示XL;3.在DCADenseIncept之后附属基于卷积增强Transformer结构的网络入侵检测模型CeIT,结合卷积特征提取、空间局部增强及Transformer建立远程依赖的优势,为XL提取高级特征,生成特征表示XH;4.将特征表示XH通过分类器进行分类检测并计算总体损失,利用Adam优化算法自动更新模型参数,得到最终的网络入侵检测模型。本发明中的模型能够加强特征的处理方式与利用效率,具备优异的表达能力与网络入侵检测效果,可以辅助系统对抗网络攻击。
Description
技术领域
本发明涉及网络信息安全与深度学习领域,具体涉及一种基于 DCADenseIncept-CeIT的面向网络流量的入侵检测方法。
背景技术
网络入侵检测是对防火墙的合理补充,通过处理网络流量数据,检测网络中是否存在入侵行为,形成一种积极主动的网络安全防护技术,辅助系统对抗网络攻击,在系统受到危害之前对恶意网络行为进行响应,扩展了系统管理员的安全管理能力,提高了网络安全基础结构的完整性,随着人工智能、深度学习的发展,网络入侵检测有了更加有效的新途径,深度学习在分类任务上的出色表现为其应用于网络入侵检测奠定了基础且已经取得了优异的表现,将网络入侵活动表示成对应的模式,检测网络中的活动是否与这些模式相匹配,即对其进行特征检测,便可以将恶意网络流量检测出来并识别出其具体的攻击类别,网络流量数据特征较少,特征的处理方式、利用效率等对网络入侵检测都具有重要意义。
发明内容
为了对网络流量数据进行更加充分的处理并提高其特征的利用效率,增强网络入侵检测的效果与可泛化性并加快收敛速度,本发明提供一种基于 DCADenseIncept-CeIT的面向网络流量的入侵检测方法,本发明基于深度学习技术,可以检测网络中Dos/DDos、Probe、U2R、R2L、PortScan、Brute Force、 Web Attack、Botnet ARES、Infiltration等类型的恶意流量并识别出其具体攻击类别来辅助系统对抗网络攻击,扩展系统管理员的安全管理能力;
本发明采用的技术方案是:一种基于DCADenseIncept-CeIT的面向网络流量的入侵检测方法,该方法包括以下步骤:
步骤1:对网络流量数据进行数据处理,得到总体样本集;
步骤2:建立基于深度自注意力机制与密集Inception结构的网络入侵检测模型DCADenseIncept为网络流量数据提取初级特征,生成其特征表示XL;
步骤3:在DCADenseIncept之后附属基于卷积增强Transformer结构的网络入侵检测模型CeIT,结合卷积在特征提取、空间局部增强以及Transformer在建立远程依赖上的优势,为XL提取高级特征,生成最终特征表示 XH;
步骤4:将网络流量数据最终特征表示XH通过分类器进行分类检测,计算该任务的总体损失,利用Adam优化算法自动更新模型参数,得到最终的网络入侵检测模型;
步骤1所述的数据处理,包括以下子步骤:
步骤1.1:抹去网络流量数据中与网络入侵检测无关的以及取值都相同的低价值信息;
步骤1.2:确定输入模型提取特征的数据、类别标签以及模型输出,特征数据包括与网际协议地址、端口、协议、时间戳、包、流、头部、传输控制协议的标记等相关的内容,类别标签包括Normal、Dos/Ddos、Probe、U2R、R2L、 PortScan、Brute Force等;
步骤1.3:对于特征数据,非数值类型的使用独热编码映射成二进制向量,数值类型中离散/非离散的分别按下述方法进行标准化,xnorm为源数据x的标准化结果,xmax、xmin、μ与σ为x的最大值、最小值、均值与标准差,使用顺序编码将类别标签映射成连续的自然数;
步骤1.4:将处理好的特征数据重塑成n×n矩阵的形式;
步骤1.5:使用双立方插值算法将上述矩阵精准放大为N×N;
步骤1.6:使用过采样与SMOTE算法对数据量少的类别进行补充,来平衡不同类别的网络流量数据;
步骤1.7:使用分层抽样将总体样本集按4:1的比例随机划分为训练集与测试集;
步骤2所述的建立基于深度自注意力机制与密集Inception结构的网络入侵检测模型DCADenseIncept为网络流量数据提取初级特征,生成其特征表示 XL,包括以下子步骤:
步骤2.1:构建DenseIncept,DenseIncept的核心是密集连接的 Inception结构,通过Inception结构提取初级特征,在6个尺度上同时进行卷积特征提取,以处理不同尺度的更丰富的空间特征,还能够组合出更多非线性特征,以此来增加特征多样性,而且多个尺度上提取的特征不再服从均匀分布,相关特征聚集在了一起,不相关特征则被弱化,从而降低特征冗余,Inception结构可以有效地提高模型的表达能力并降低计算复杂度,密集连接机制使每层都用到了之前所有层生成的特征,实现了特征复用,进以提高特征的利用效率;
步骤2.2:一个Inception结构作为一层,并在之前添加批标准化BN 与线性整流函数ReLU,BN可以有效地利用ReLU进行非线性化过程从而进行更有效的信息传递,上一层输出的特征Xt-1经过BN与ReLU的处理后作为Inception 结构的输入X'并输出Xi,Xij为Inception结构第j个尺度上的输出,Conv为卷积操作,SoftPool为软池化,通过自然底数e的指数权重wi来减少以往池化方式的信息损失,为感受域R的池化结果,ai为R中的第i个元素,AFF为注意力特征融合,能够基于特征的注意力权重更好地融合特征,优于其它特征连接方式,公式如下:
X'=ReLU(BN(Xt-1)) (3)
Xi1=1×1Conv(X') (4)
Xi2=1×1Conv(SoftPool(X')) (5)
Xi3=1×3Conv(1×1Conv(X')) (6)
Xi4=3×1Conv(1×1Conv(X')) (7)
Xi5=1×3Conv(3×3Conv((1×1Conv(X')))) (8)
Xi6=3×1Conv(3×3Conv((1×1Conv(X')))) (9)
Xi=AFF(Xi1,Xi2,Xi3,Xi4,Xi5,Xi6) (10)
步骤2.3:Xi与之前所有层生成的特征X0、X1、……、Xt-1通过注意力特征融合进行融合并将结果Zt作为本层特征输出,X、Y为特征图,PointConv为逐点卷积,GlobalAvePool为全局平均池化,Xg、Xl为特征的全局、局部注意力结果,W1、W2为特征的注意力权重,σ为Sigmoid函数,Z为特征融合的结果,公式如下:
步骤2.4:在DenseIncept基础上添加自注意力机制,自注意力机制除重点关注与任务相关的信息外,更擅长捕捉内部相关性,由此来减少外部信息依赖,它为每个DenseIncept层生成的特征Zt分配权重,最后再综合注意力结果与Zt作为该层的最终特征表示Xt,Zt的矩阵I(非单位矩阵)与参数矩阵Wq、Wk、 Wv相乘得到矩阵Q、K、V,作为自注意力机制的query、key、value,用归一化指数函数SoftMax标准化KTQ得到[0,1]上的代表关联程度的注意力得分,根据该权重对V进行加权求和得到和特征矩阵S,公式如下:
Q=WqI,K=WkI,V=WvI (16)
S=VSoftMax(KTQ) (17)
步骤2.5:深度连接自注意力机制,互相连接相邻的自注意力模块,确保其可以从主干网络的当前层和前一相邻的自注意力模块两个地方的产物中进行学习,来提高自注意力机制的学习能力,当前的注意力结果O与前一注意力模块的产物T按权重β进行加权连接,β的值满足且和为1即可,最后再综合总注意力结果与Zt作为该层的最终特征表示Xt;
步骤2.6:经过整个DCADenseIncept的处理,生成了网络流量数据的初级特征表示XL;
步骤3所述的在DCADenseIncept之后附属基于卷积增强Transformer 结构的网络入侵检测模型CeIT,结合卷积在特征提取、空间局部增强以及 Transformer在建立远程依赖上的优势,为XL提取高级特征,生成最终特征表示 XH,包括以下子步骤:
步骤3.1:从XL中提取子块patch,通过卷积与软池化将XL压缩到S×S,再将其划分为若干个大小为s×s的子块,这样XL就被提取到了空间维度上的一系列子块中;
步骤3.2:CeIT由若干个堆叠的编码器组成,编码器包括自注意力模块 Sa、局部增强的前馈网络LeFf与层归一化LN,x、y为编码器的输入输出,x'为中间结果,编码器的结构如下:
x'=LN(x+Sa(x)),y=LN(x'+LeFf(x')) (19)
步骤3.3:编码器的自注意力模块不变,保留其捕捉token标记之间全局相似性的能力,局部增强的前馈网络负责处理自注意力模块生成的块标记 patch token:首先,使用基于卷积的线性投影将块标记投影到更高的维度,对向量进行扩展,之后,基于在初始图像中的相对位置将块标记在空间维度上重新恢复为“图像”,然后,在恢复为“图像”的块标记上执行深度卷积,来加强与其它邻近标记的关联程度,最后,将块标记展平后生成的序列再次通过线性投影投影回初始维度,同时,在每个线性投影或深度卷积之后都添加一个BN-GeLU 结构,GeLU为高斯误差线性单元;
步骤3.4:CeIT生成了网络流量数据的高级特征表示XH并将其作为最终特征表示;
步骤4所述的将网络流量数据最终特征表示XH通过分类器进行分类检测,计算该任务的总体损失,利用Adam优化算法自动更新模型参数,得到最终的网络入侵检测模型,包括以下子步骤:
步骤4.1:网络流量数据经过数据处理后输入网络入侵检测模型进行训练,训练时采用针对不平衡图像分类任务的损失函数Recall loss计算相应的损失,以平衡结果的精确度和准确性,C为类别个数,c为某个类别,FNc为类别c 中的假阴性样本数目,Pc为类别c的几何平均置信度,TPc为类别c中的真阳性样本数目,Nc为类别c中的样本数目,log为对数函数,公式如下:
步骤4.2:利用Adam优化算法自动更新模型参数,经过反复迭代更新,损失值不断减小,直到降到目标精度后停止模型训练,得到最终的网络入侵检测模型,利用测试集验证网络入侵检测的效果;
本发明具有以下优点:
(1)本发明利用基于深度自注意力机制与密集Inception结构的网络入侵检测模型DCADenseIncept为网络流量数据提取初级特征,Inception结构在多个尺度上同时进行卷积特征提取,增加了特征多样性,同时聚集相关特征、弱化无关特征,降低了特征冗余,能够有效地提高模型的表达能力并降低计算复杂度,密集连接机制使每层都用到了之前所有层生成的特征,实现了特征复用,提高了特征的利用效率,自注意力机制除了为特征分配注意力权重从而重点关注任务相关的信息而忽略无关信息之外,还削弱了外部信息依赖,使模型更擅长于捕捉内部相关性,互相连接相邻的自注意力模块又进一步提高了自注意力机制的学习关注能力,使结果更加准确;
(2)本发明利用基于卷积增强Transformer结构的网络入侵检测模型 CeIT从初级特征中提取高级特征,结合了卷积神经网络在特征提取、空间局部增强以及Transformer在建立远程依赖等方面的优势并弥补了两者的不足,既拥有了更加强大的特征提取能力,同时又能够建立特征序列中非邻近元素之间的关联,兼顾了空间与序列,此外,CeIT还减少了模型的训练迭代次数,加快了模型的收敛速度;
(3)本发明利用注意力特征融合AFF来融合特征,使特征的融合与利用更加充分,利用基于自然底数的指数权重的软池化SoftPool进行池化降采样,减少了池化过程的信息损失,Recall Loss损失函数相对于其它损失函数来说在不平衡分类任务下具备更优的损失评估与模型评价能力;
附图说明
图1为本发明提供的一种基于DCADenseIncept-CeIT的网络入侵检测方法的流程示意图;
图2为本发明提供的一种基于DCADenseIncept-CeIT的网络入侵检测方法的Inception结构示意图;
图3为本发明提供的一种基于DCADenseIncept-CeIT的网络入侵检测方法的DCADenseIncept示意图;
图4为本发明提供的一种基于DCADenseIncept-CeIT的网络入侵检测方法的CeIT示意图;
具体实施方式
下面将结合图1-4对本发明进行详细说明,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所述实施例仅是本发明的部分实施例而非全部实施例,基于本发明的实施例,本领域的普通技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例,都属于本发明保护的范围;
参考图1,本发明在此提供了一种基于DCADenseIncept-CeIT的面向网络流量的入侵检测方法,该方法包括以下步骤:
步骤1:对网络流量数据进行数据处理,得到总体样本集;
步骤2:建立基于深度自注意力机制与密集Inception结构的网络入侵检测模型DCADenseIncept为网络流量数据提取初级特征,生成其特征表示XL;
步骤3:在DCADenseIncept之后附属基于卷积增强Transformer结构的网络入侵检测模型CeIT,结合卷积在特征提取、空间局部增强以及 Transformer在建立远程依赖上的优势,为XL提取高级特征,生成最终特征表示 XH;
步骤4:将网络流量数据最终特征表示XH通过分类器进行分类检测,计算该任务的总体损失,利用Adam优化算法自动更新模型参数,得到最终的网络入侵检测模型;
步骤1所述的数据处理,包括以下子步骤:
步骤1.1:抹去网络流量数据中与网络入侵检测无关的以及取值都相同的低价值信息;
步骤1.2:确定输入模型提取特征的数据、类别标签以及模型输出,特征数据包括与网际协议地址、端口、协议、时间戳、包、流、头部、传输控制协议的标记等相关的内容,类别标签包括Normal、Dos/Ddos、Probe、U2R、R2L、 PortScan、Brute Force等;
步骤1.3:对于特征数据,非数值类型的使用独热编码映射成二进制向量,数值类型中离散/非离散的分别按下述方法进行标准化,xnorm为源数据x的标准化结果,xmax、xmin、μ与σ为x的最大值、最小值、均值与标准差,使用顺序编码将类别标签映射成连续的自然数;
步骤1.4:将处理好的特征数据重塑成n×n矩阵的形式;
步骤1.5:使用双立方插值算法将上述矩阵精准放大为N×N;
步骤1.6:使用过采样与SMOTE算法对数据量少的类别进行补充,来平衡不同类别的网络流量数据;
步骤1.7:使用分层抽样将总体样本集按4:1的比例随机划分为训练集与测试集;
参考图2、3,步骤2所述的建立基于深度自注意力机制与密集Inception 结构的网络入侵检测模型DCADenseIncept为网络流量数据提取初级特征,生成其特征表示XL,包括以下子步骤:
步骤2.1:构建DenseIncept,DenseIncept的核心是密集连接的 Inception结构,通过Inception结构提取初级特征,在6个尺度上同时进行卷积特征提取,以处理不同尺度的更丰富的空间特征,还能够组合出更多非线性特征,以此来增加特征多样性,而且多个尺度上提取的特征不再服从均匀分布,相关特征聚集在了一起,不相关特征则被弱化,从而降低特征冗余,Inception结构可以有效地提高模型的表达能力并降低计算复杂度,密集连接机制使每层都用到了之前所有层生成的特征,实现了特征复用,进以提高特征的利用效率;
步骤2.2:一个Inception结构作为一层,并在之前添加批标准化BN 与线性整流函数ReLU,BN可以有效地利用ReLU进行非线性化过程从而进行更有效的信息传递,上一层输出的特征Xt-1经过BN与ReLU的处理后作为Inception 结构的输入X'并输出Xi,Xij为Inception结构第j个尺度上的输出,Conv为卷积操作,SoftPool为软池化,通过自然底数e的指数权重wi来减少以往池化方式的信息损失,为感受域R的池化结果,ai为R中的第i个元素,AFF为注意力特征融合,能够基于特征的注意力权重更好地融合特征,优于其它特征连接方式,公式如下:
X'=ReLU(BN(Xt-1)) (3)
Xi1=1×1Conv(X') (4)
Xi2=1×1Conv(SoftPool(X')) (5)
Xi3=1×3Conv(1×1Conv(X')) (6)
Xi4=3×1Conv(1×1Conv(X')) (7)
Xi5=1×3Conv(3×3Conv((1×1Conv(X')))) (8)
Xi6=3×1Conv(3×3Conv((1×1Conv(X')))) (9)
Xi=AFF(Xi1,Xi2,Xi3,Xi4,Xi5,Xi6) (10)
步骤2.3:Xi与之前所有层生成的特征X0、X1、……、Xt-1通过注意力特征融合进行融合并将结果Zt作为本层特征输出,X、Y为特征图,PointConv为逐点卷积,GlobalAvePool为全局平均池化,Xg、Xl为特征的全局、局部注意力结果,W1、W2为特征的注意力权重,σ为Sigmoid函数,Z为特征融合的结果,公式如下:
步骤2.4:在DenseIncept基础上添加自注意力机制,自注意力机制除重点关注与任务相关的信息外,更擅长捕捉内部相关性,由此来减少外部信息依赖,它为每个DenseIncept层生成的特征Zt分配权重,最后再综合注意力结果与Zt作为该层的最终特征表示Xt,Zt的矩阵I(非单位矩阵)与参数矩阵Wq、Wk、 Wv相乘得到矩阵Q、K、V,作为自注意力机制的query、key、value,用归一化指数函数SoftMax标准化KTQ得到[0,1]上的代表关联程度的注意力得分,根据该权重对V进行加权求和得到和特征矩阵S,公式如下:
Q=WqI,K=WkI,V=WvI (16)
S=VSoftMax(KTQ) (17)
步骤2.5:深度连接自注意力机制,互相连接相邻的自注意力模块,确保其可以从主干网络的当前层和前一相邻的自注意力模块两个地方的产物中进行学习,来提高自注意力机制的学习能力,当前的注意力结果O与前一注意力模块的产物T按权重β进行加权连接,β的值满足且和为1即可,最后再综合总注意力结果与Zt作为该层的最终特征表示Xt;
步骤2.6:经过整个DCADenseIncept的处理,生成了网络流量数据的初级特征表示XL;
参考图4,步骤3所述的在DCADenseIncept之后附属基于卷积增强 Transformer结构的网络入侵检测模型CeIT,结合卷积在特征提取、空间局部增强以及Transformer在建立远程依赖上的优势,为XL提取高级特征,生成最终特征表示XH,包括以下子步骤:
步骤3.1:从XL中提取子块patch,通过卷积与软池化将XL压缩到S×S,再将其划分为若干个大小为s×s的子快,这样XL就被提取到了空间维度上的一系列子块中;
步骤3.2:CeIT由若干个堆叠的编码器组成,编码器包括自注意力模块 Sa、局部增强的前馈网络LeFf与层归一化LN,x、y为编码器的输入输出,x'为中间结果,编码器的结构如下:
x'=LN(x+Sa(x)),y=LN(x'+LeFf(x')) (19)
步骤3.3:编码器的自注意力模块不变,保留其捕捉token标记之间全局相似性的能力,局部增强的前馈网络负责处理自注意力模块生成的块标记patch token:首先,使用基于卷积的线性投影将块标记投影到更高的维度,对向量进行扩展,之后,基于在初始图像中的相对位置将块标记在空间维度上重新恢复为“图像”,然后,在恢复为“图像”的块标记上执行深度卷积(图4中的黑色区域),来加强与其它邻近标记的关联程度,最后,将块标记展平后生成的序列再次通过线性投影投影回初始维度,同时,在每个线性投影或深度卷积之后都添加一个BN-GeLU结构,GeLU为高斯误差线性单元;
步骤3.4:CeIT生成了网络流量数据的高级特征表示XH并将其作为最终特征表示;
步骤4所述的将网络流量数据最终特征表示XH通过分类器进行分类检测,计算该任务的总体损失,利用Adam优化算法自动更新模型参数,得到最终的网络入侵检测模型,包括以下子步骤:
步骤4.1:网络流量数据经过数据处理后输入网络入侵检测模型进行训练,训练时采用针对不平衡图像分类任务的损失函数Recall loss计算相应的损失,以平衡结果的精确度和准确性,C为类别个数,c为某个类别,FNc为类别c 中的假阴性样本数目,Pc为类别c的几何平均置信度,TPc为类别c中的真阳性样本数目,Nc为类别c中的样本数目,log为对数函数,公式如下:
步骤4.2:利用Adam优化算法自动更新模型参数,经过反复迭代更新,损失值不断减小,直到降到目标精度后停止模型训练,得到最终的网络入侵检测模型,利用测试集验证网络入侵检测的效果;
以上所述细节只是本发明的实施例之一,并非以此来限制本发明的实施范围,因此,本领域的技术人员可以对本发明进行各种改动和变形而不脱离本发明的精神和范围,这些改动和变形也应视为本发明的保护范围,本发明的专利保护范围以权利要求书为准,凡是运用本发明的说明书及附图内容所做的等同结构变化,同理,均应包含在本发明的保护范围内。
Claims (5)
1.一种基于流量分类的网络入侵检测方法,其特征在于,包括以下步骤:
步骤1:对网络流量数据进行数据处理,得到总体样本集;
步骤2:建立基于深度自注意力机制与密集Inception结构的网络入侵检测模型DCADenseIncept为网络流量数据提取初级特征,生成其特征表示XL;
步骤3:在DCADenseIncept之后附属基于卷积增强Transformer结构的网络入侵检测模型CeIT,结合卷积在特征提取、空间局部增强以及Transformer在建立远程依赖上的优势,为XL提取高级特征,生成最终特征表示XH;
步骤4:将网络流量数据最终特征表示XH通过分类器进行分类检测,计算该任务的总体损失,利用Adam优化算法自动更新模型参数,得到最终的网络入侵检测模型。
2.根据权利要求1所述的一种基于流量分类的网络入侵检测方法,其特征在于,所述步骤1包括以下子步骤:
步骤1.1:抹去网络流量数据中与网络入侵检测无关的以及取值都相同的低价值信息;
步骤1.2:确定输入模型提取特征的数据、类别标签以及模型输出,特征数据包括与网际协议地址、端口、协议、时间戳、包、流、头部、传输控制协议的标记相关的内容,类别标签包括Normal、Dos/Ddos、Probe、U2R、R2L、PortScan、Brute Force;
步骤1.3:对于特征数据,非数值类型的使用独热编码映射成二进制向量,数值类型中离散/非离散的分别按下述方法进行标准化,xnorm为源数据x的标准化结果,xmax、xmin、μ与σ为x的最大值、最小值、均值与标准差,使用顺序编码将类别标签映射成连续的自然数;
步骤1.4:将处理好的特征数据重塑成n×n矩阵的形式;
步骤1.5:使用双立方插值算法将上述矩阵精准放大为N×N;
步骤1.6:使用过采样与SMOTE算法对数据量未过万的类别进行补充,来平衡不同类别的网络流量数据;
步骤1.7:使用分层抽样将总体样本集按4:1的比例随机划分为训练集与测试集。
3.根据权利要求1所述的一种基于流量分类的网络入侵检测方法,其特征在于,所述步骤2包括以下子步骤:
步骤2.1:构建DenseIncept,DenseIncept的核心是密集连接的Inception结构,通过Inception结构提取初级特征,在6个尺度上同时进行卷积特征提取,以处理不同尺度的更丰富的空间特征,还能够组合出更多非线性特征,以此来增加特征多样性;
步骤2.2:一个Inception结构作为一层,并在之前添加批标准化BN与线性整流函数ReLU,BN可以有效地利用ReLU进行非线性化过程从而进行更有效的信息传递,上一层输出的特征Xt-1经过BN与ReLU的处理后作为Inception结构的输入X'并输出Xi,Xij为Inception结构第j个尺度上的输出,Conv为卷积操作,SoftPool为软池化,通过自然底数e的指数权重wi来减少以往池化方式的信息损失,为感受域R的池化结果,ai为R中的第i个元素,AFF为注意力特征融合,能够基于特征的注意力权重更好地融合特征,优于其它特征连接方式,公式如下:
X'=ReLU(BN(Xt-1)) (3)
Xi1=1×1Conv(X') (4)
Xi2=1×1Conv(SoftPool(X')) (5)
Xi3=1×3Conv(1×1Conv(X')) (6)
Xi4=3×1Conv(1×1Conv(X')) (7)
Xi5=1×3Conv(3×3Conv((1×1Conv(X')))) (8)
Xi6=3×1Conv(3×3Conv((1×1Conv(X')))) (9)
Xi=AFF(Xi1,Xi2,Xi3,Xi4,Xi5,Xi6) 0)
步骤2.3:Xi与之前所有层生成的特征X0、X1、……、Xt-1通过注意力特征融合进行融合并将结果Zt作为本层特征输出,X、Y为特征图,PointConv为逐点卷积,GlobalAvePool为全局平均池化,Xg、Xl为特征的全局、局部注意力结果,W1、W2为特征的注意力权重,σ为Sigmoid函数,Z为特征融合的结果,公式如下:
步骤2.4:在DenseIncept基础上添加自注意力机制,自注意力机制除重点关注与任务相关的信息外,更擅长捕捉内部相关性,由此来减少外部信息依赖,它为每个DenseIncept层生成的特征Zt分配权重,最后再综合注意力结果与Zt作为该层的最终特征表示Xt,Zt的矩阵I(非单位矩阵)与参数矩阵Wq、Wk、Wv相乘得到矩阵Q、K、V,作为自注意力机制的query、key、value,用归一化指数函数SoftMax标准化KTQ得到[0,1]上的代表关联程度的注意力得分,根据该权重对V进行加权求和得到和特征矩阵S,公式如下:
Q=WqI,K=WkI,V=WvI (16)
S=VSoftMax(KTQ) (17)
步骤2.5:深度连接自注意力机制,互相连接相邻的自注意力模块,确保其可以从主干网络的当前层和前一相邻的自注意力模块两个地方的产物中进行学习,来提高自注意力机制的学习能力,当前的注意力结果O与前一注意力模块的产物T按权重β进行加权连接,β的值满足且和为1即可,最后再综合总注意力结果与Zt作为该层的最终特征表示Xt;
步骤2.6:经过整个DCADenseIncept的处理,生成了网络流量数据的初级特征表示XL。
4.根据权利要求1所述的一种基于流量分类的网络入侵检测方法,其特征在于,所述步骤3包括以下子步骤:
步骤3.1:从XL中提取子块patch,通过卷积与软池化将XL压缩到S×S,再将其划分为若干个大小为s×s的子块,这样XL就被提取到了空间维度上的一系列子块中;
步骤3.2:CeIT由若干个堆叠的编码器组成,编码器包括自注意力模块Sa、局部增强的前馈网络LeFf与层归一化LN,x、y为编码器的输入输出,x'为中间结果,编码器的结构如下:
x'=LN(x+Sa(x)),y=LN(x'+LeFf(x')) (19)
步骤3.3:编码器的自注意力模块不变,保留其捕捉token标记之间全局相似性的能力,局部增强的前馈网络负责处理自注意力模块生成的块标记patch token:首先,使用基于卷积的线性投影将块标记投影到更高的维度,对向量进行扩展,之后,基于在初始图像中的相对位置将块标记在空间维度上重新恢复为“图像”,然后,在恢复为“图像”的块标记上执行深度卷积,来加强与其它邻近标记的关联程度,最后,将块标记展平后生成的序列再次通过线性投影投影回初始维度,同时,在每个线性投影或深度卷积之后都添加一个BN-GeLU结构,GeLU为高斯误差线性单元;
步骤3.4:CeIT生成了网络流量数据的高级特征表示XH并将其作为最终特征表示。
5.根据权利要求1所述的一种基于流量分类的网络入侵检测方法,其特征在于,所述步骤4包括以下子步骤:
步骤4.1:网络流量数据经过数据处理后输入网络入侵检测模型进行训练,训练时采用针对不平衡图像分类任务的损失函数Recall loss计算相应的损失,以平衡结果的精确度和准确性,C为类别个数,c为某个类别,FNc为类别c中的假阴性样本数目,Pc为类别c的几何平均置信度,TPc为类别c中的真阳性样本数目,Nc为类别c中的样本数目,log为对数函数,公式如下:
步骤4.2:利用Adam优化算法自动更新模型参数,经过反复迭代更新,损失值不断减小,直到降到目标精度后停止模型训练,得到最终的网络入侵检测模型,利用测试集验证网络入侵检测的效果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210089995.8A CN114462520A (zh) | 2022-01-25 | 2022-01-25 | 一种基于流量分类的网络入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210089995.8A CN114462520A (zh) | 2022-01-25 | 2022-01-25 | 一种基于流量分类的网络入侵检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114462520A true CN114462520A (zh) | 2022-05-10 |
Family
ID=81411849
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210089995.8A Pending CN114462520A (zh) | 2022-01-25 | 2022-01-25 | 一种基于流量分类的网络入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114462520A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115086029A (zh) * | 2022-06-15 | 2022-09-20 | 河海大学 | 一种基于双通道时空特征融合的网络入侵检测方法 |
CN115082743A (zh) * | 2022-08-16 | 2022-09-20 | 之江实验室 | 考虑肿瘤微环境的全视野数字病理图像分类系统及构建方法 |
CN115208613A (zh) * | 2022-05-13 | 2022-10-18 | 河北师范大学 | 一种基于小样本学习的三元cct网络的入侵检测方法 |
CN116112288A (zh) * | 2023-04-07 | 2023-05-12 | 天翼云科技有限公司 | 网络入侵检测方法、装置、电子设备和可读存储介质 |
CN116402237A (zh) * | 2023-06-07 | 2023-07-07 | 交控科技股份有限公司 | 客流预测方法、装置、电子设备及介质 |
CN117811850A (zh) * | 2024-03-01 | 2024-04-02 | 南京信息工程大学 | 一种基于STBformer模型的网络入侵检测方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110881037A (zh) * | 2019-11-19 | 2020-03-13 | 北京工业大学 | 网络入侵检测方法及其模型的训练方法、装置和服务器 |
CN112087442A (zh) * | 2020-09-03 | 2020-12-15 | 北京交通大学 | 基于注意力机制的时序相关网络入侵检测方法 |
CN113392932A (zh) * | 2021-07-06 | 2021-09-14 | 中国兵器工业信息中心 | 一种深度入侵检测的对抗攻击系统 |
CN113518063A (zh) * | 2021-03-01 | 2021-10-19 | 广东工业大学 | 基于数据增强和BiLSTM的网络入侵检测方法及系统 |
-
2022
- 2022-01-25 CN CN202210089995.8A patent/CN114462520A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110881037A (zh) * | 2019-11-19 | 2020-03-13 | 北京工业大学 | 网络入侵检测方法及其模型的训练方法、装置和服务器 |
CN112087442A (zh) * | 2020-09-03 | 2020-12-15 | 北京交通大学 | 基于注意力机制的时序相关网络入侵检测方法 |
CN113518063A (zh) * | 2021-03-01 | 2021-10-19 | 广东工业大学 | 基于数据增强和BiLSTM的网络入侵检测方法及系统 |
CN113392932A (zh) * | 2021-07-06 | 2021-09-14 | 中国兵器工业信息中心 | 一种深度入侵检测的对抗攻击系统 |
Non-Patent Citations (1)
Title |
---|
赵欣;: "卷积神经网络在入侵检测方面的应用", 信息与电脑(理论版), no. 07, 10 April 2020 (2020-04-10), pages 27 - 29 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115208613A (zh) * | 2022-05-13 | 2022-10-18 | 河北师范大学 | 一种基于小样本学习的三元cct网络的入侵检测方法 |
CN115208613B (zh) * | 2022-05-13 | 2023-09-19 | 河北师范大学 | 一种基于小样本学习的三元cct网络的入侵检测方法 |
CN115086029A (zh) * | 2022-06-15 | 2022-09-20 | 河海大学 | 一种基于双通道时空特征融合的网络入侵检测方法 |
CN115082743A (zh) * | 2022-08-16 | 2022-09-20 | 之江实验室 | 考虑肿瘤微环境的全视野数字病理图像分类系统及构建方法 |
CN115082743B (zh) * | 2022-08-16 | 2022-12-06 | 之江实验室 | 考虑肿瘤微环境的全视野数字病理图像分类系统及构建方法 |
CN116112288A (zh) * | 2023-04-07 | 2023-05-12 | 天翼云科技有限公司 | 网络入侵检测方法、装置、电子设备和可读存储介质 |
CN116112288B (zh) * | 2023-04-07 | 2023-08-04 | 天翼云科技有限公司 | 网络入侵检测方法、装置、电子设备和可读存储介质 |
CN116402237A (zh) * | 2023-06-07 | 2023-07-07 | 交控科技股份有限公司 | 客流预测方法、装置、电子设备及介质 |
CN116402237B (zh) * | 2023-06-07 | 2023-09-01 | 交控科技股份有限公司 | 客流预测方法、装置、电子设备及介质 |
CN117811850A (zh) * | 2024-03-01 | 2024-04-02 | 南京信息工程大学 | 一种基于STBformer模型的网络入侵检测方法及系统 |
CN117811850B (zh) * | 2024-03-01 | 2024-05-28 | 南京信息工程大学 | 一种基于STBformer模型的网络入侵检测方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114462520A (zh) | 一种基于流量分类的网络入侵检测方法 | |
Zhang et al. | A multiple-layer representation learning model for network-based attack detection | |
CN110213244A (zh) | 一种基于时空特征融合的网络入侵检测方法 | |
CN112165485A (zh) | 一种大规模网络安全态势智能预测方法 | |
CN113806746B (zh) | 基于改进cnn网络的恶意代码检测方法 | |
CN112087442B (zh) | 基于注意力机制的时序相关网络入侵检测方法 | |
CN110263538A (zh) | 一种基于系统行为序列的恶意代码检测方法 | |
CN111626116A (zh) | 基于融合多注意力机制和Graph的视频语义分析方法 | |
Idrissi et al. | An unsupervised generative adversarial network based-host intrusion detection system for internet of things devices | |
Singh et al. | Steganalysis of digital images using deep fractal network | |
CN112395466A (zh) | 一种基于图嵌入表示和循环神经网络的欺诈节点识别方法 | |
CN115618296A (zh) | 一种基于图注意力网络的大坝监测时序数据异常检测方法 | |
CN115951883B (zh) | 分布式微服务架构的服务组件管理系统及其方法 | |
Wang et al. | Res-TranBiLSTM: An intelligent approach for intrusion detection in the Internet of Things | |
CN114697096A (zh) | 基于空时特征和注意力机制的入侵检测方法 | |
CN115659966A (zh) | 基于动态异构图和多级注意力的谣言检测方法及系统 | |
CN114611617A (zh) | 基于原型网络的深度领域自适应图像分类方法 | |
Wang et al. | Data Hiding in Neural Networks for Multiple Receivers [Research Frontier] | |
CN113904844B (zh) | 基于跨模态教师-学生网络的智能合约漏洞检测方法 | |
Potluri et al. | Deep learning based efficient anomaly detection for securing process control systems against injection attacks | |
CN114826681A (zh) | 一种dga域名检测方法、系统、介质、设备及终端 | |
CN111767720B (zh) | 一种标题生成方法、计算机及可读存储介质 | |
CN112487406A (zh) | 一种基于机器学习的网络行为分析方法 | |
CN116684138A (zh) | 基于注意力机制的drsn和lstm的网络入侵检测方法 | |
CN116827656A (zh) | 网络信息安全防护系统及其方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |