CN115062300B - 一种基于多通道深度卷积的入侵检测方法和系统 - Google Patents

一种基于多通道深度卷积的入侵检测方法和系统 Download PDF

Info

Publication number
CN115062300B
CN115062300B CN202210990485.8A CN202210990485A CN115062300B CN 115062300 B CN115062300 B CN 115062300B CN 202210990485 A CN202210990485 A CN 202210990485A CN 115062300 B CN115062300 B CN 115062300B
Authority
CN
China
Prior art keywords
convolution
gradient
residual
feature
intrusion detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210990485.8A
Other languages
English (en)
Other versions
CN115062300A (zh
Inventor
汤斌
左严
贾俊铖
王正荣
杨萍萍
王祥伟
包寅杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu New Hope Technology Co ltd
Original Assignee
Jiangsu New Hope Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu New Hope Technology Co ltd filed Critical Jiangsu New Hope Technology Co ltd
Priority to CN202210990485.8A priority Critical patent/CN115062300B/zh
Publication of CN115062300A publication Critical patent/CN115062300A/zh
Application granted granted Critical
Publication of CN115062300B publication Critical patent/CN115062300B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Image Analysis (AREA)

Abstract

本发明涉及一种基于多通道深度卷积的入侵检测方法和系统,主要包括:使用LightGBM模型对数据进行特征选择,基于特征选择后的数据,通过多通道残差卷积神经网络模型进行入侵检测分类。本申请通过LightGBM对特征进行提取,保留最关键的特征信息,去掉无用信息,降低模型的计算成本,也有利于提高后续入侵检测分类的准确性,进一步的是,通过多通道残差卷积神经网络模型进行入侵检测分类,可显著提高检测的准确性。本申请的入侵检测方法耗时较短,且检测准确率较高。

Description

一种基于多通道深度卷积的入侵检测方法和系统
技术领域
本发明涉及入侵检测方法,特别是涉及基于多通道深度卷积的入侵检测方法和系统。
背景技术
随着互联网技术的飞速发展,网络攻击方式变得越来越复杂。网络攻击行为给人们的日常生活和经济活动带来了严重影响。
为了应对网络攻击行为,需要对网络入侵进行检测。网络入侵检测方法是通过收集分析网络中的相关数据,判断网络行为是正常的还是异常的。
传统的入侵检测方法使用的各种深度学习网络模型要么结构过于复杂,虽然性能较高,但耗时较长。要么过于简单,检测准确率较低。
发明内容
基于此,提供一种基于多通道深度卷积的入侵检测方法。该方法耗时较短,且准确率较高。
一种基于多通道深度卷积的入侵检测方法,包括:
使用LightGBM模型对数据进行特征选择,
基于特征选择后的数据,通过多通道残差卷积神经网络模型进行入侵检测分类。
本申请通过LightGBM 对特征进行提取,保留最关键的特征信息,去掉无用信息,降低模型的计算成本,也有利于提高后续入侵检测分类的准确性,进一步的是,通过多通道残差卷积神经网络模型进行入侵检测分类,可显著提高检测的准确性。本申请的入侵检测方法耗时较短,且检测准确率较高。
在其中一个实施例中,所述使用LightGBM模型对数据进行特征选择包括:使用LightGBM模型对特征按照重要性进行降序排列,选择前n个特征。
在其中一个实施例中,所述使用LightGBM模型对特征按照重要性进行降序排列,选择前n个特征具体包括:
基于以下步骤构建LightGBM模型中的树结构:
首先,将数据按照其梯度的绝对值降序排列,保留梯度较大的a%的数据,形成一个大梯度样本子集A;再从梯度较小的(1–a)%的数据Ac随机采样形成一个大小为b*(1–a)%的小梯度样本子集B,并为小梯度样本子集B添加一个权重系数
Figure 296866DEST_PATH_IMAGE001
,1>b>0,将小梯度样本子集B上的梯度和归一化为Ac的大小,最后,将大梯度样本子集A和小梯度样本子集B 进行结合,并根据子集
Figure 313363DEST_PATH_IMAGE002
上的估计方差增益
Figure 811341DEST_PATH_IMAGE003
对样本进行学习,特征j把 d 作为分裂节点的方差增益如下式所示:
Figure 504359DEST_PATH_IMAGE004
其中,
Figure 658260DEST_PATH_IMAGE005
为大梯度样本子集A分裂后的左分支样本集,
Figure 724786DEST_PATH_IMAGE006
Figure 77270DEST_PATH_IMAGE007
为大梯度样本子集A分裂后的右分支样本集,
Figure 957502DEST_PATH_IMAGE008
Figure 582387DEST_PATH_IMAGE009
为小梯度样本子集B分裂后的左分支样本集,
Figure 3004DEST_PATH_IMAGE010
Figure 413257DEST_PATH_IMAGE011
为小梯度样本子集B分裂后的右分支样本集,
Figure 448078DEST_PATH_IMAGE012
Figure 310991DEST_PATH_IMAGE013
为样本x i 在每次梯度提升的迭代中损失函数相对于模型输出的负梯度,
Figure 535299DEST_PATH_IMAGE014
为按特征j把d作为分裂节点的左分支的样本数,
Figure 49326DEST_PATH_IMAGE015
为按特征j把d作为分裂节点的右分支的样本数,
根据每个特征在所有树中作为划分属性的次数,计算特征重要度评分Score(i),以评估每个特征与类标签之间的相关性,Score(i)表示为:
Figure 271360DEST_PATH_IMAGE016
,其中,w i 表示每个特征的权重,x i 表示特征集,将特征按照特征重要度评分由高到低排序,选择前n个特征。
在其中一个实施例中,所述多通道残差卷积神经网络模型包括多通道残差卷积单元,所述多通道残差卷积单元包括分布在K个通道的相互并行的残差卷积块, 各个残差卷积块包含的残差卷积操作的数量互不相同,使用不同的转换函数F将输入X转换成第i个通道下的输出Yi,也就是:
Figure 683887DEST_PATH_IMAGE017
,Fi包含了i个串联的残差卷积操作
Figure 636187DEST_PATH_IMAGE018
以及激活函数操作,每个残差卷积操作的计算公式包括:Hi(X)=Ci(ω(Ci(X)),Ri(X)=X+Hi(X),其中,ω为LeakyReLU激活函数,Ci为卷积操作,
将i个残差卷积操作串联,以构成残差卷积块,也就是:
Figure 817769DEST_PATH_IMAGE019
将K个通道的残差卷积块进行连接,得到特征矩阵T,也就是:
Figure 210705DEST_PATH_IMAGE020
在其中一个实施例中,在所述多通道残差卷积神经网络模型中,在所述多通道残差卷积单元之后设置有门限卷积单元,将所述多通道残差卷积单元获得的特征矩阵 T输入门限卷积单元,所述门限卷积单元表示为:
Figure 297478DEST_PATH_IMAGE021
,其中,W 1W 2 表示两个卷积操作的权重,b 1b 2 分别表示偏置值,
Figure 863589DEST_PATH_IMAGE022
表示第一个卷积操作后进行的 Sigmoid 激活操作,且第二个卷积操作之后无需进行激活操作。
在其中一个实施例中,在所述门限卷积单元之后设置有全连接层。
在其中一个实施例中,用于训练多通道残差卷积神经网络模型的损失函数为:
Figure 837361DEST_PATH_IMAGE023
,其中,
Figure 650465DEST_PATH_IMAGE024
用于衡量实际值
Figure 37584DEST_PATH_IMAGE025
和预测值
Figure 79489DEST_PATH_IMAGE026
之间的差异,N 表示一个迭代中的样本数量,β = sqrt(n1/n2),其中,n1为正常样本的数量,n2为攻击样本的数量。
一种基于多通道深度卷积的入侵检测系统,包括数据获取单元和数据处理单元,所述数据获取单元用于获取数据,所述数据处理单元用于使用LightGBM模型对数据进行特征选择,并基于特征选择后的数据,通过多通道残差卷积神经网络模型进行入侵检测分类。
一种计算机存储介质,所述计算机存储介质中存储有至少一个可执行指令,所述可执行指令使处理器执行所述的基于多通道深度卷积的入侵检测方法对应的操作。
一种计算机装置,包括:处理器、存储器、通信接口和通信总线,所述处理器、存储器和通信接口通过所述通信总线完成相互间的通信,所述存储器用于存放至少一个可执行指令,所述可执行指令使所述处理器执行所述的基于多通道深度卷积的入侵检测方法对应的操作。
附图说明
图1为本申请的实施例的基于多通道深度卷积的入侵检测方法的流程图。
图2为本申请的实施例的LightGBM 模型识别出的前 20 个特征重要度评分较高的特征数据。
图3为本申请的实施例的多通道残差卷积神经网络模型的示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明的具体实施方式做详细的说明。在下面的描述中阐述了很多具体细节以便于充分理解本发明。但是本发明能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似改进,因此本发明不受下面公开的具体实施例的限制。
需要说明的是,当元件被称为“固定于”另一个元件,它可以直接在另一个元件上或者也可以存在居中的元件。当一个元件被认为是“连接”另一个元件,它可以是直接连接到另一个元件或者可能同时存在居中元件。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
如图1所示,本申请的实施例提供了一种基于多通道深度卷积的入侵检测方法,包括:使用LightGBM模型对数据进行特征选择,基于特征选择后的数据,通过多通道残差卷积神经网络模型进行入侵检测分类。
在其中一个实施例中,所述使用LightGBM模型对数据进行特征选择包括:使用LightGBM模型对特征按照重要性进行降序排列,选择前n个特征。
例如,可以选择前15或20个特征。具体数量可根据实际情况进行确定。
具体的,所述使用LightGBM模型对特征按照重要性进行降序排列,选择前n个特征具体通过以下步骤实现。
先基于以下步骤构建LightGBM模型中的树结构。
梯度大的样本点在计算信息增益时起着重要作用,这意味着梯度大的样本点会贡献更多的信息增益。因此,为了保持信息增益评估的准确性,对样本进行采样时需要保留这些梯度较大的样本点,而对于梯度小的样本点按比例进行随机采样。基于上述思路,本申请将数据按照其梯度的绝对值降序排列,保留梯度较大的a%的数据,形成一个大梯度样本子集A;再从梯度较小的(1–a)%的数据Ac随机采样形成一个大小为b*(1–a)%的小梯度样本子集B,并为小梯度样本子集B添加一个权重系数
Figure 235664DEST_PATH_IMAGE001
,1>b>0,将小梯度样本子集B上的梯度和归一化为Ac的大小,最后,将大梯度样本子集A和小梯度样本子集B 进行结合,并根据子集
Figure 219670DEST_PATH_IMAGE002
上的估计方差增益
Figure 766189DEST_PATH_IMAGE027
对样本进行学习,特征j把 d 作为分裂节点的方差增益如下式所示:
Figure 939681DEST_PATH_IMAGE028
其中,
Figure 134383DEST_PATH_IMAGE005
为大梯度样本子集A分裂后的左分支样本集,
Figure 40022DEST_PATH_IMAGE006
Figure 136154DEST_PATH_IMAGE007
为大梯度样本子集A分裂后的右分支样本集,
Figure 769130DEST_PATH_IMAGE008
Figure 837580DEST_PATH_IMAGE009
为小梯度样本子集B分裂后的左分支样本集,
Figure 976437DEST_PATH_IMAGE010
Figure 746816DEST_PATH_IMAGE011
为小梯度样本子集B分裂后的右分支样本集,
Figure 996532DEST_PATH_IMAGE012
Figure 919489DEST_PATH_IMAGE013
为样本x i 在每次梯度提升的迭代中损失函数相对于模型输出的负梯度,
Figure 416198DEST_PATH_IMAGE014
为按特征j把d作为分裂节点的左分支的样本数,
Figure 486922DEST_PATH_IMAGE015
为按特征j把d作为分裂节点的右分支的样本数。
为了获得检测模型中最相关的特征集,假设与类标签相关性较高的特征子集更适合预测类标签。因此,基于上述步骤构建的 LightGBM 模型中的树结构,根据每个特征在所有树中作为划分属性的次数,计算特征重要度评分Score(i),以评估每个特征与类标签之间的相关性。Score(i)表示为:
Figure 478012DEST_PATH_IMAGE016
其中,w i 表示每个特征的权重,x i 表示特征集,将特征按照特征重要度评分由高到低排序,选择前n个特征。
图2给出了一个具体的实施例,也就是使用本申请的上述LightGBM 模型识别出的前 20 个特征重要度评分较高的特征数据。其中,图2中,列代表评分,行代表具体的特征数据。
在其中一个实施例中,如图3所示,所述多通道残差卷积神经网络模型包括多通道残差卷积单元。所述多通道残差卷积单元包括分布在K个通道的相互并行的残差卷积块,每个通道进行不同类型的残差变换,各个残差卷积块包含的残差卷积操作的数量互不相同。使用不同的转换函数F将输入X转换成第i个通道下的输出Yi,也就是:
Figure 317792DEST_PATH_IMAGE017
,Fi包含了i个串联的残差卷积操作
Figure 988332DEST_PATH_IMAGE029
以及激活函数操作,每个残差卷积操作的计算公式包括:Hi(X)=Ci(ω(Ci(X)),Ri(X)=X+Hi(X),其中,ω为LeakyReLU激活函数,Ci为进行卷积核为
Figure 218456DEST_PATH_IMAGE030
的卷积操作。
将i个残差卷积操作串联,以构成残差卷积块,也就是:
Figure 75554DEST_PATH_IMAGE019
将K个通道的残差卷积块进行连接,得到特征矩阵T,也就是:
Figure 956791DEST_PATH_IMAGE020
例如,如图3所示,第1个通道内,包含2个卷积核大小为1×3的卷积层以及LeakyReLU激活函数,2个卷积层以及位于它们之间的LeakyReLU激活函数构成一个子块。第2个通道内包含2个串联的子块,每个字块包含2个卷积核大小为1
Figure 546035DEST_PATH_IMAGE031
4的卷积层以及LeakyReLU激活函数,以此类推,第K个通道内,包含K个串联的子块,每个子块包含2个卷积核大小为1×(K+2)的卷积层和LeakyReLU激活函数。图3所示的实施例的实现效果较好。
本申请的上述多通道残差卷积单元中,每个通道的残差卷积块包含的层数都不用,从而可以学习从简单到复杂的变换。且本申请将输入添加到若干个卷积层之后的输出中,这样可有效解决梯度爆炸的问题。
在其中一个实施例中,如图3所示,在所述多通道残差卷积神经网络模型中,在所述多通道残差卷积单元之后设置有门限卷积单元,将所述多通道残差卷积单元获得的特征矩阵 T输入门限卷积单元,所述门限卷积单元表示为:
Figure 591352DEST_PATH_IMAGE021
,其中,W 1W 2 表示两个卷积操作的权重,b 1b 2 分别表示偏置值,
Figure 173512DEST_PATH_IMAGE022
表示第一个卷积操作后进行的 Sigmoid 激活操作,且第二个卷积操作之后无需进行激活操作。采用上述方法目的是在卷积的激活值上添加一个门限开关来决定其有多大的概率传递到下一层。
在其中一个实施例中,在所述门限卷积单元之后设置有全连接层。全连接层之后为输出。
在其中一个实施例中,为了处理数据集中的不平衡样本,本申请为每个类设置不同的权重,即大类的权重设置较小,小类的权重设置较大。其中,大类样本数量多,小类样本数量少。若小类的样本分类错误,系统的损失值会迅速增加,使神经网络的更新参数更接近小类的方向。基于上述思路,本申请采用以下损失函数来训练模型:
Figure 722305DEST_PATH_IMAGE023
,其中,
Figure 748030DEST_PATH_IMAGE032
用于衡量实际值
Figure 202014DEST_PATH_IMAGE025
和预测值
Figure 135334DEST_PATH_IMAGE026
之间的差异,N 表示一个迭代中的样本数量,β = sqrt(n1/n2),其中,n1为正常样本的数量,n2为攻击样本的数量。
以下介绍一个较优实施例,并基于该实施例做了实验。
使用LightGBM模型对特征按照重要性进行降序排列,选择前n个特征。基于特征选择后的数据,通过多通道残差卷积神经网络模型进行入侵检测分类。具体包括以下内容。
基于以下步骤构建LightGBM模型中的树结构:
首先,将数据按照其梯度的绝对值降序排列,保留梯度较大的a%的数据,形成一个大梯度样本子集A;再从梯度较小的(1–a)%的数据Ac随机采样形成一个大小为b*(1–a)%的小梯度样本子集B,并为小梯度样本子集B添加一个权重系数
Figure 741896DEST_PATH_IMAGE001
,1>b>0,将小梯度样本子集B上的梯度和归一化为Ac的大小,最后,将大梯度样本子集A和小梯度样本子集B 进行结合,并根据子集
Figure 184860DEST_PATH_IMAGE002
上的估计方差增益
Figure 673611DEST_PATH_IMAGE033
对样本进行学习,特征j把 d 作为分裂节点的方差增益如下式所示:
Figure 613885DEST_PATH_IMAGE034
其中,
Figure 137270DEST_PATH_IMAGE005
为大梯度样本子集A分裂后的左分支样本集,
Figure 488486DEST_PATH_IMAGE006
Figure 667794DEST_PATH_IMAGE007
为大梯度样本子集A分裂后的右分支样本集,
Figure 208497DEST_PATH_IMAGE008
Figure 773339DEST_PATH_IMAGE009
为小梯度样本子集B分裂后的左分支样本集,
Figure 311768DEST_PATH_IMAGE010
Figure 775111DEST_PATH_IMAGE011
为小梯度样本子集B分裂后的右分支样本集,
Figure 306455DEST_PATH_IMAGE012
Figure 742115DEST_PATH_IMAGE013
为样本x i 在每次梯度提升的迭代中损失函数相对于模型输出的负梯度,
Figure 248183DEST_PATH_IMAGE014
为按特征j把d作为分裂节点的左分支的样本数,
Figure 654281DEST_PATH_IMAGE015
为按特征j把d作为分裂节点的右分支的样本数。根据每个特征在所有树中作为划分属性的次数,计算特征重要度评分Score(i),以评估每个特征与类标签之间的相关性,Score(i)表示为:
Figure 474470DEST_PATH_IMAGE016
,其中,w i 表示每个特征的权重,x i 表示特征集,将特征按照特征重要度评分由高到低排序,选择前n个特征。
所述多通道残差卷积神经网络模型包括多通道残差卷积单元,所述多通道残差卷积单元包括分布在K个通道的相互并行的残差卷积块, 各个残差卷积块包含的残差卷积操作的数量互不相同,使用不同的转换函数F将输入X转换成第i个通道下的输出Yi,也就是:
Figure 13904DEST_PATH_IMAGE017
,Fi包含了i个串联的残差卷积操作
Figure 690873DEST_PATH_IMAGE018
以及激活函数操作,每个残差卷积操作的计算公式包括:Hi(X)=Ci(ω(Ci(X)),Ri(X)=X+Hi(X),其中,ω为LeakyReLU激活函数,Ci为进行卷积核为
Figure 66491DEST_PATH_IMAGE030
的卷积操作,将i个残差卷积操作串联,以构成残差卷积块,也就是:
Figure 939638DEST_PATH_IMAGE019
,将K个通道的残差卷积块进行连接,得到特征矩阵T,也就是:
Figure 146628DEST_PATH_IMAGE020
在所述多通道残差卷积神经网络模型中,在所述多通道残差卷积单元之后设置有门限卷积单元,将所述多通道残差卷积单元获得的特征矩阵 T输入门限卷积单元,所述门限卷积单元表示为:
Figure 197761DEST_PATH_IMAGE021
,其中,W 1W 2 表示两个卷积操作的权重,b 1b 2 分别表示偏置值,
Figure 309942DEST_PATH_IMAGE022
表示第一个卷积操作后进行的 Sigmoid 激活操作,且第二个卷积操作之后无需进行激活操作。在所述门限卷积单元之后设置有全连接层。用于训练多通道残差卷积神经网络模型的损失函数为:
Figure 471933DEST_PATH_IMAGE023
,其中,
Figure 799010DEST_PATH_IMAGE035
用于衡量实际值
Figure 290819DEST_PATH_IMAGE025
和预测值
Figure 375449DEST_PATH_IMAGE026
之间的差异,N 表示一个迭代中的样本数量,β表示权重。
表1是使用CICIDS2017 数据集对上述较优实施例的入侵检测方法进行实验后获得的结果。从表1可以看出,本申请的入侵检测方法的通用性很强,对于多种攻击形式的检测的准确率都很高。例如,对于DDos类型的攻击,查准率(Pre)为99.84%,查全率(Rec)为99.85。对于Bot类型的攻击,查准率(Pre)为99.82%,查全率(Rec)为99.83。
表1
Figure 403448DEST_PATH_IMAGE036
本申请的实施例还提供了一种基于多通道深度卷积的入侵检测系统,包括数据获取单元和数据处理单元,所述数据获取单元用于获取数据,所述数据处理单元用于使用LightGBM模型对数据进行特征选择,并基于特征选择后的数据,通过多通道残差卷积神经网络模型进行入侵检测分类。
本申请的实施例还提供了一种计算机存储介质,所述计算机存储介质中存储有至少一个可执行指令,所述可执行指令使处理器执行所述的基于多通道深度卷积的入侵检测方法对应的操作。
本申请的实施例还提供了一种计算机装置,包括:处理器、存储器、通信接口和通信总线,所述处理器、存储器和通信接口通过所述通信总线完成相互间的通信,所述存储器用于存放至少一个可执行指令,所述可执行指令使所述处理器执行所述的基于多通道深度卷积的入侵检测方法对应的操作。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (3)

1.一种基于多通道深度卷积的入侵检测方法,其特征在于,包括:
使用LightGBM模型对数据进行特征选择,
基于特征选择后的数据,通过多通道残差卷积神经网络模型进行入侵检测分类,所述使用LightGBM模型对数据进行特征选择包括:使用LightGBM模型对特征按照重要性进行降序排列,选择前n个特征,所述使用LightGBM模型对特征按照重要性进行降序排列,选择前n个特征具体包括:
基于以下步骤构建LightGBM模型中的树结构:
首先,将数据按照其梯度的绝对值降序排列,保留梯度较大的a%的数据,形成一个大梯度样本子集A;再从梯度较小的(1–a)%的数据Ac随机采样形成一个大小为b*(1–a)%的小梯度样本子集B,并为小梯度样本子集B添加一个权重系数
Figure DEST_PATH_IMAGE001
,0<b<1,将小梯度样本子集B上的梯度和归一化为Ac的大小,最后,将大梯度样本子集A和小梯度样本子集B 进行结合,并根据子集
Figure 109840DEST_PATH_IMAGE002
上的估计方差增益
Figure DEST_PATH_IMAGE003
对样本进行学习,特征j把 d 作为分裂节点的方差增益如下式所示:
Figure 951894DEST_PATH_IMAGE004
其中,
Figure DEST_PATH_IMAGE005
为大梯度样本子集A分裂后的左分支样本集,
Figure 409420DEST_PATH_IMAGE006
Figure DEST_PATH_IMAGE007
为大梯度样本子集A分裂后的右分支样本集,
Figure 286109DEST_PATH_IMAGE008
Figure DEST_PATH_IMAGE009
为小梯度样本子集B分裂后的左分支样本集,
Figure 108572DEST_PATH_IMAGE010
Figure DEST_PATH_IMAGE011
为小梯度样本子集B分裂后的右分支样本集,
Figure 437922DEST_PATH_IMAGE012
Figure DEST_PATH_IMAGE013
为样本x i 在每次梯度提升的迭代中损失函数相对于模型输出的负梯度,
Figure 702069DEST_PATH_IMAGE014
为按特征j把d作为分裂节点的左分支的样本数,
Figure DEST_PATH_IMAGE015
为按特征j把d作为分裂节点的右分支的样本数,
根据每个特征在所有树中作为划分属性的次数,计算特征重要度评分Score(i),以评估每个特征与类标签之间的相关性,Score(i)表示为:
Figure 433264DEST_PATH_IMAGE016
,其中,w i 表示每个特征的权重,x i 表示特征集,将特征按照特征重要度评分由高到低排序,选择前n个特征,所述多通道残差卷积神经网络模型包括多通道残差卷积单元,所述多通道残差卷积单元包括分布在K个通道的相互并行的残差卷积块, 各个残差卷积块包含的残差卷积操作的数量互不相同,使用不同的转换函数F将输入X转换成第i个通道下的输出Yi,也就是:
Figure DEST_PATH_IMAGE017
,Fi包含了i个串联的残差卷积操作
Figure 488945DEST_PATH_IMAGE018
以及激活函数操作,每个残差卷积操作的计算公式包括:Hi(X)=Ci(ω(Ci(X))),Ri(X)=X+Hi(X),其中,ω为LeakyReLU激活函数,Ci为卷积操作,
将i个残差卷积操作串联,以构成残差卷积块,也就是:
Figure DEST_PATH_IMAGE019
将K个通道的残差卷积块进行连接,得到特征矩阵T,也就是:
Figure 305591DEST_PATH_IMAGE020
,在所述多通道残差卷积神经网络模型中,在所述多通道残差卷积单元之后设置有门限卷积单元,将所述多通道残差卷积单元获得的特征矩阵 T输入门限卷积单元,所述门限卷积单元表示为:
Figure DEST_PATH_IMAGE021
,其中,W 1W 2 表示两个卷积操作的权重,b 1b 2 分别表示偏置值,
Figure 104920DEST_PATH_IMAGE022
表示第一个卷积操作后进行的 Sigmoid 激活操作,且第二个卷积操作之后无需进行激活操作,在所述门限卷积单元之后设置有全连接层,用于训练多通道残差卷积神经网络模型的损失函数为:
Figure DEST_PATH_IMAGE023
,其中,
Figure 690622DEST_PATH_IMAGE024
用于衡量实际值
Figure DEST_PATH_IMAGE025
和预测值
Figure 182783DEST_PATH_IMAGE026
之间的差异,N 表示一个迭代中的样本数量,β = sqrt(n1/n2),其中,n1为正常样本的数量,n2为攻击样本的数量。
2.一种计算机存储介质,其特征在于,所述计算机存储介质中存储有至少一个可执行指令,所述可执行指令使处理器执行如权利要求1所述的基于多通道深度卷积的入侵检测方法对应的操作。
3.一种计算机装置,其特征在于,包括:处理器、存储器、通信接口和通信总线,所述处理器、存储器和通信接口通过所述通信总线完成相互间的通信,所述存储器用于存放至少一个可执行指令,所述可执行指令使所述处理器执行如权利要求1所述的基于多通道深度卷积的入侵检测方法对应的操作。
CN202210990485.8A 2022-08-18 2022-08-18 一种基于多通道深度卷积的入侵检测方法和系统 Active CN115062300B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210990485.8A CN115062300B (zh) 2022-08-18 2022-08-18 一种基于多通道深度卷积的入侵检测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210990485.8A CN115062300B (zh) 2022-08-18 2022-08-18 一种基于多通道深度卷积的入侵检测方法和系统

Publications (2)

Publication Number Publication Date
CN115062300A CN115062300A (zh) 2022-09-16
CN115062300B true CN115062300B (zh) 2022-11-15

Family

ID=83207563

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210990485.8A Active CN115062300B (zh) 2022-08-18 2022-08-18 一种基于多通道深度卷积的入侵检测方法和系统

Country Status (1)

Country Link
CN (1) CN115062300B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109949200A (zh) * 2019-03-11 2019-06-28 河南工业大学 基于滤波器子集选择和cnn的隐写分析框架构建方法
CN114005096A (zh) * 2021-11-09 2022-02-01 河北工业大学 基于特征增强的车辆重识别方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109949200A (zh) * 2019-03-11 2019-06-28 河南工业大学 基于滤波器子集选择和cnn的隐写分析框架构建方法
CN114005096A (zh) * 2021-11-09 2022-02-01 河北工业大学 基于特征增强的车辆重识别方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于时序分析的网络安全异常检测;南睿;《万方》;20220816;第1-84页 *

Also Published As

Publication number Publication date
CN115062300A (zh) 2022-09-16

Similar Documents

Publication Publication Date Title
CN109740657B (zh) 一种用于图像数据分类的神经网络模型的训练方法与设备
CN110516305B (zh) 基于注意机制元学习模型的小样本下故障智能诊断方法
CN112365171B (zh) 基于知识图谱的风险预测方法、装置、设备及存储介质
CN110147911B (zh) 一种基于内容感知的社交影响力预测模型及预测方法
CN112711953A (zh) 一种基于注意力机制和gcn的文本多标签分类方法和系统
CN109388743B (zh) 语言模型的确定方法和装置
CN110321437B (zh) 一种语料数据处理方法、装置、电子设备及介质
CN112541532A (zh) 基于密集连接结构的目标检测方法
CN108733644A (zh) 一种文本情感分析方法、计算机可读存储介质及终端设备
CN108879732A (zh) 电力系统暂态稳定评估方法及装置
CN112036476A (zh) 基于二分类业务的数据特征选择方法、装置及计算机设备
CN114638633A (zh) 异常流量检测的方法和装置、电子设备和存储介质
CN111881972B (zh) 一种黑产用户识别方法及装置、服务器、存储介质
CN111931809A (zh) 数据的处理方法、装置、存储介质及电子设备
CN113934851A (zh) 用于文本分类的数据增强方法、装置及电子设备
CN117034143A (zh) 一种基于机器学习的分布式系统故障诊断方法及装置
CN115170874A (zh) 一种基于解耦蒸馏损失的自蒸馏实现方法
CN110472659A (zh) 数据处理方法、装置、计算机可读存储介质和计算机设备
CN115062300B (zh) 一种基于多通道深度卷积的入侵检测方法和系统
CN112733724A (zh) 基于判别样本元挖掘器的亲属关系验证方法和装置
CN108830302B (zh) 一种图像分类方法、训练方法、分类预测方法及相关装置
CN113889274B (zh) 一种孤独症谱系障碍的风险预测模型构建方法及装置
CN115757900A (zh) 应用人工智能模型的用户需求分析方法及系统
CN115982634A (zh) 应用程序分类方法、装置、电子设备及计算机程序产品
CN117708821B (zh) 基于异构图嵌入的勒索软件检测方法、系统、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant