CN115664814A

CN115664814A - 网络入侵检测方法、装置、电子设备及存储介质

Info

Publication number: CN115664814A
Application number: CN202211316463.XA
Authority: CN
Inventors: 徐逸峰
Original assignee: Agricultural Bank of China
Current assignee: Agricultural Bank of China
Priority date: 2022-10-26
Filing date: 2022-10-26
Publication date: 2023-01-31

Abstract

本发明公开了一种网络入侵检测方法、装置、电子设备及存储介质。获取待检测的目标网络数据，确定与所述目标网络数据对应的初始数据特征；基于主成分分析算法对所述初始数据特征进行降维，得到目标数据特征；将所述目标数据特征输入至预先训练完成的入侵检测模型中，得到与所述目标网络数据对应的入侵检测结果；其中，所述入侵检测模型基于样本网络数据以及与所述样本网络数据对应的期望检测结果对随机森林模型训练得到，所述期望检测结果用于指示所述样本网络数据是否为网络入侵数据。提高了网络入侵检测的精准性。

Description

网络入侵检测方法、装置、电子设备及存储介质

技术领域

本发明涉及数据检测技术领域，尤其涉及一种网络入侵检测方法、装置、电子设备及存储介质。

背景技术

随着网络化和数字化的不断发展，网络空间发挥着无可替代的作用，但与此同时，网络空间中的网络入侵事件出现的频率和规模也呈现出逐渐增加的态势。因此，对海量的网络数据进行有效地网络入侵检测是一项重要的技术挑战。

目前，基于机器学习的网络入侵检测方法是网络入侵检测应用中较为流行的技术方案。但网络数据存在数据失衡以及多变量等特点，当前的网络入侵检测方法存在误报率高和特征提取率低等问题，因此，网络入侵检测的精准性较低。

发明内容

本发明提供了一种网络入侵检测方法、装置、电子设备及存储介质，以解决网络入侵检测的精准性较低的技术问题。

根据本发明的一方面，提供了一种网络入侵检测方法，其中，该方法包括：

获取待检测的目标网络数据，确定与所述目标网络数据对应的初始数据特征；

基于主成分分析算法对所述初始数据特征进行降维，得到目标数据特征；

将所述目标数据特征输入至预先训练完成的入侵检测模型中，得到与所述目标网络数据对应的入侵检测结果；

其中，所述入侵检测模型基于样本网络数据以及与所述样本网络数据对应的期望检测结果对随机森林模型训练得到，所述期望检测结果用于指示所述样本网络数据是否为网络入侵数据。

根据本发明的另一方面，提供了一种网络入侵检测装置，其中，该装置包括：

数据特征获取模块，用于获取待检测的目标网络数据，确定与所述目标网络数据对应的初始数据特征；

数据特征降维模块，用于基于主成分分析算法对所述初始数据特征进行降维，得到目标数据特征；

检测结果获取模块，用于将所述目标数据特征输入至预先训练完成的入侵检测模型中，得到与所述目标网络数据对应的入侵检测结果；

根据本发明的另一方面，提供了一种电子设备，所述电子设备包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明任一实施例所述的网络入侵检测方法。

根据本发明的另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现本发明任一实施例所述的网络入侵检测方法。

本发明实施例的技术方案，通过获取待检测的目标网络数据，确定与所述目标网络数据对应的初始数据特征，将网络数据转化为便于计算的数据特征；基于主成分分析算法对所述初始数据特征进行降维，得到目标数据特征；得到低纬度且特征信息较完整的目标数据特征；将所述目标数据特征输入至预先训练完成的入侵检测模型中，得到与所述目标网络数据对应的入侵检测结果；其中，所述入侵检测模型基于样本网络数据以及与所述样本网络数据对应的期望检测结果对随机森林模型训练得到，所述期望检测结果用于指示所述样本网络数据是否为网络入侵数据，得到了确定入侵检测结果精准的入侵检测模型。提高了网络入侵检测结果的精准性。

应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例一提供的一种网络入侵检测方法的流程图；

图2是根据本发明实施例二提供的一种网络入侵检测方法的流程图；

图3是根据本发明实施例三提供的一种网络入侵检测方法的流程图；

图4是根据本发明实施例四提供的一种网络入侵检测装置的结构示意图；

图5是实现本发明实施例的网络入侵检测方法的电子设备的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例一

图1为本发明实施例一提供了一种网络入侵检测方法的流程图，本实施例可适用于检测网络请求数据的情况，该方法可以由网络入侵检测装置来执行，该网络入侵检测装置可以采用硬件和/或软件的形式实现，该网络入侵检测装置可配置于计算机中。如图1所示，该方法包括：

S110、获取待检测的目标网络数据，确定与所述目标网络数据对应的初始数据特征。

其中，所述目标网络数据可以理解为待检测的网络数据。可选的，所述目标网络数据可以是可能存在入侵风险的网络数据。所述初始数据特征可以理解为对所述目标网络数据进行特征提取，所得到的数据特征。在本发明实施例中，初始数据特征可以理解为用于判断目标网络数据是否存在入侵风险的数据特征。

具体的，可以基于预先设定的特征提取算法或特征提取模型对获取的待检测的目标网络数据进行特征提取，得到与所述目标网络数据对应的初始数据特征。

S120、基于主成分分析算法对所述初始数据特征进行降维，得到目标数据特征。

其中，所述主成分分析算法(principle component analysis，PCA)可以理解为对所述初始数据特征进行降维的算法。

需要理解的是，针对所述目标网络数据，各个特征之间可能存在相关关系，在本发明实施例中，基于主成分分析算法对所述初始数据特征进行降维，可以保留所述初始数据特征的信息，同时解决各个特征之间相互性的问题，根据所述初始数据特征确定了一组各个特征互不相关的目标数据特征。

具体的，PCA算法可以利用数据方差表示数据信息量的分布，将目标数据特征进行重要性排序，在保证初始数据特征尽可能少丢失的情况下，用较少的前k个特征来表示初始数据特征，得到目标数据特征，从而达到对所述初始数据特征降维的效果。

所述目标数据特征可以理解为对所述初始数据特征进行降维，所得到的数据特征。

在本发明实施例中，基于主成分分析算法对所述初始数据特征进行降维，可以节省时间成本和计算成本。

S130、将所述目标数据特征输入至预先训练完成的入侵检测模型中，得到与所述目标网络数据对应的入侵检测结果。

其中，所述入侵检测模型可以理解为用于检测输入的所述目标数据特征是否为网络入侵数据的模型。

所述入侵检测结果可以理解为通过所述入侵检测模型确定的所述目标数据特征的检测结果。在本发明实施例中，所述入侵检测结果的输出形式可以根据场景需求预设，在此不做具体限定。可选的，所述入侵检测结果可以是0或1。进一步的，所述入侵检测结果为0，可以表征输入的所述目标数据特征是网络入侵数据；所述入侵检测结果为1，可以表征输入的所述目标数据特征是非网络入侵数据。

所述网络入侵数据可以理解为对网络进行攻击，影响相关系统的网络安全的网络数据。

所述样本网络数据可以理解为用于训练所述随机森林模型的网络数据。

所述期望检测结果可以理解为针对所述样本网络数据，期望所述随机森林模型输出的检测结果。

所述随机森林模型可以理解为可以基于所述目标网络数据对应的初始数据特征，对所述目标网络数据进行分类的模型。

可选的，所述随机森林模型包括多个分类回归树，所述分类回归树采用基尼系数来选择特征。

具体的，分类回归树(classification and regression tree，CART)采用基尼系数来选择特征。示例性的，样本网络数据存在k个类别，第k个类别的概率为(p_k)，则该概率分布的基尼系数表示为：

其中，Gini(p)表示概率分布的基尼系数，(p_k)表示第k个类别的概率，k表示样本网络数据存在的类别数量。

进一步的，对于个数为|D|的样本网络数据D，根据某个数据特征A的某个值a，把D分成|D₁|和|D₂|，则在数据特征A的条件下，样本网络数据的基尼系数为：

其中，Gini(D,A)表示样本网络数据的基尼系数，|D₁|表示左节点的样本网络数据，|D|表示样本网络数据的数据集，|D₂|表示右节点的样本网络数据，A表示某个数据特征。

综上所述，具体的，CART决策树算法的流程可以是：

1.对于当前节点的样本网络数据的数据集D，如果样本网络数据个数小于阈值或没有特征，则返回决策子树，当前节点停止递归；

2.计算样本网络数据的数据集D的基尼系数，如果基尼系数小于阈值，则返回决策树子树，当前节点停止递归；

3.计算当前节点现有的各个特征的各个特征值对样本网络数据的数据集D的基尼系数；

4.在计算出来的各个特征的各个特征值对数据集D的基尼系数中，选择基尼系数最小的特征A和对应的特征值a。根据最优特征和最优特征值，把数据集划分成两部分D₁和D₂，同时建立当前节点的左右节点，左节点的数据集D为D₁，右节点的数据集D为D₂；

5.对左右的子节点递归调用1至4步，生成决策树。

实施例二

图2为本发明实施例二提供的一种网络入侵检测方法的流程图，本实施例是针对上述实施例中所述基于主成分分析算法对所述初始数据特征进行降维，得到目标数据特征进行细化。如图2所示，该方法包括：

S210、获取待检测的目标网络数据，确定与所述目标网络数据对应的初始数据特征。

S220、基于主成分分析算法的目标函数对所述初始数据特征进行降维，得到目标数据特征，其中，所述目标函数基于总体样本方差和类内方差惩罚项构建，所述类内方差惩罚项基于预设的惩罚因子以及同一类别的样本网络数据的类内距离构成的矩阵确定。

需要理解的是，传统的PCA算法以总体样本方差为目标函数，以保证所述初始数据特征尽可能少的丢失，但不适用于分类处理。基于本发明是对待检测的目标网络数据进行分类。因此，在本发明实施例中，基于总体样本方差和类内方差惩罚项构建所述目标函数。以使同类的初始数据特征之间具有较好的聚合度，异类的初始数据特征之间具有较好的区分度。可以使主成分分析算法更加适用于对待检测的目标网络数据的分类处理。

其中，所述目标函数对所述初始数据特征进行降维的函数。可选的，所述目标函数为：

其中，X为样本网络数据的初始数据特征，X_mean为样本网络数据对应的样本均值，X_b为同一类别的样本网络数据的类内距离构成的矩阵，c为惩罚因子，c∈(0,1]，ω为使f(X)取得最大值的方向向量。

具体的，在本发明实施例中，基于主成分分析算法的目标函数对所述初始数据特征进行降维的流程可以是：

1.计算所述目标网络数据对应的初始数据特征的均值，计算公式可以是：

其中，

表示目标网络数据对应的初始数据特征的均值，X表示样本网络数据的初始数据特征，X_mean表示样本网络数据对应的样本均值，cX_b表示同一类别的样本网络数据的类内距离构成的矩阵，c表示惩罚因子。

可选的，在本发明实施例中，c可以取c＝0.2。

2.计算协方差矩阵，计算公式可以是：

其中，

表示目标网络数据对应的初始数据特征的均值，C表示协方差矩阵。

3.求解协方差矩阵的特征值和特征向量。具体的，可以对特征值从大到小排序。可选的，所述特征值可以是λ₁,λ₂...λ_n；

4.选取能够满足初始数据特征98％方差的最小整数k，然后将其对应的k个特征向量分别作为行向量组成特征向量矩阵。可选的，所述特征向量矩阵可以是P＝{p₁,p₂...p_k}；

5.将数据转换到个特征向量构建的新空间中，转换的计算公式可以是：

X′＝PX

其中，X′表示目标数据特征，PX表示特征向量矩阵，PX表示样本网络数据的初始数据特征。

需要理解的是，针对目标网络数据，初始数据特征包括时间、空间以及频域等多个方面，具有多变量的特点，本发明使用EPCA方法对初始数据特征进行降维，并改进了主成分分析算法的目标函数，使所获取的目标数据特征更适用于网络入侵检测，能够有效地降低了模型的计算成本。

S230、将所述目标数据特征输入至预先训练完成的入侵检测模型中，得到与所述目标网络数据对应的入侵检测结果。

本发明实施例的技术方案，通过基于主成分分析算法的目标函数对所述初始数据特征进行降维，得到目标数据特征，其中，所述目标函数基于总体样本方差和类内方差惩罚项构建，所述类内方差惩罚项基于预设的惩罚因子以及同一类别的样本网络数据的类内距离构成的矩阵确定。基于高维度的初始数据特征进行降维处理，去除噪声和不重要的数据特征，得到低纬度的目标数据特征，以节省时间成本和计算成本。

实施例三

图3为本发明实施例三提供的一种网络入侵检测方法的流程图，本实施例是针对上述实施例中所述将所述目标特征数据输入至预先训练完成的入侵检测模型中进行追加。如图3所示，该方法包括：

S310、获取待检测的目标网络数据，确定与所述目标网络数据对应的初始数据特征。

S320、基于主成分分析算法对所述初始数据特征进行降维，得到目标数据特征。

S330、获取原始网络数据，基于所述原始网络数据确定样本网络数据，并确定与所述样本网络数据对应的期望检测结果。

其中，所述原始网络数据可以理解为已确定网络数据类型的历史网络数据。可选的，所述原始网络数据可以是网络入侵数据或者非网络入侵数据。

可选的，所述基于所述原始网络数据确定样本网络数据，包括：

对所述原始网络数据中的网络入侵数据进行样本扩充，得到扩充样本数据；

将所述原始网络数据以及扩充样本数据作为样本网络数据。

需要理解的是，在实际的网络系统中，网络数据的数据特征较多，同时网络入侵数据的数量较少。因此，样本网络数据具有数据失衡以及多数据特征的特点，其中，数据失衡可以理解为正常网络数据和入侵网络数据占比差距较大的情况，在本发明实施例中，可以对所述原始网络数据进行预处理，以获取适用于训练模型的样本网络数据。

具体的，可以基于合成少数类过采样(Synthetic Minority OversamplingTechnique，SMOTE)算法对所述原始网络数据中的网络入侵数据进行样本扩充，得到扩充样本数据，将所述原始网络数据以及扩充样本数据作为样本网络数据。

可选的，所述对所述原始网络数据中的网络入侵数据进行样本扩充，得到扩充样本数据，包括：

基于合成少数类过采样算法对所述原始网络数据中的网络入侵数据进行样本扩充，得到扩充样本数据。

需要理解的是，网络入侵数据的数量远小于正常的网络数据，网络入侵数据存在样本稀缺以及分布严重失衡等特点，因此，需要对所述原始网络数据中的网络入侵数据进行样本扩充。

其中，所述合成少数类过采样算法可以理解为可以对网络入侵数据进行分析并根据网络入侵数据合成新的网络入侵数据的算法。

具体的，基于合成少数类过采样算法对所述原始网络数据中的网络入侵数据进行样本扩充，得到扩充样本数据的流程可以是：

1.对每一个原始网络数据中的网络入侵数据，以欧氏距离为标准计算到原始网络数据中所有网络入侵数据的距离，得到k近邻；

2.根据原始网络数据中的网络入侵数据不平衡比例设置采样比例，以确定采样倍率N，对于每一个网络入侵数据x，从其k近邻中随机选择若干个网络入侵数据，示例性的，近邻可以为o；

3.对于每一个随机选出的近邻o，分别与原网络入侵数据构建新的网络入侵数据，构建方式可以是：

o(new)＝o+rand(0,1)*(x-o)

其中，o(new)表示新的网络入侵数据，o表示近邻，rand(0,1)表示采样比例，x表示原网络入侵数据。

在本发明实施例中，针对现实网络环境中，网络入侵数据与正常网络数据的样本网络数据的数量相差较大的问题，采用了SMOTE算法对失衡数据进行过采样，实现了扩大网络入侵数据的样本网络数据的数量，提升了模型的学习效果。

S340、基于样本网络数据以及与所述样本网络数据对应的期望检测结果对随机森林模型训练，得到所述入侵检测模型。

其中，所述随机森林模型可以理解为通过所述分类回归树对所述样本网络数据进行训练并预测的一种分类模型。在本发明实施例中，可以对所述随机森林模型进行训练，得到所述入侵检测模型。

需要理解的是，所述随机森林模型可以包括随机采样和完全分裂。

其中，所述随机采样可以包括特征采样和样本采样。特征采样可以是采用从全部特征中随机采样部分的原则；样本采样可以是采用有放回，即每次随机选择一个样本，然后返回继续选择的方式，进行随机采样。可以理解的是，随机采样能够保证每一棵分类回归树在进行训练的时候，样本网络数据不是全部的样本网络数据，并且每颗分类回归树之间样本网络数据都各不相同，能够有效地避免过拟合。完全分裂可以使每一棵分类回归树法人每个叶子节点是无法继续分裂的，或者所有样本网络数据均从属与同一个分类。

具体的，在本发明实施例中，随机森林算法的流程可以是：

1.假设存在N个样本网络数据，则有放回的随机选择N个样本网络数据，此部分样本网络数据用于训练一个决策树，作为决策树根节点处的样本网络数据；

2.当每个样本网络数据有M个属性时，在决策树中的节点需要分裂时，随机从这有M个属性中选取出有m个属性。然后从这个属性中采用前文所述的CART策略来选择1个属性作为该节点的分裂属性；

3.决策树中的节点均按照步骤2进行分裂，直到满足完全分裂条件；

4.根据步骤1至步骤3建立一定数量的决策树，构成随机森林；

5.进行入侵检测时，每颗决策树对网络请求数据进行检测，通过投票的机制构成整个随机森林模型的最终识别结果。

在本发明实施例中，基于随机森林模型与样本网络数据获取入侵检测模型，需要理解的是，随机森林模型是一种集成学习算法，随机森林模型中各个弱学习器，即CART决策树的输入数据无时序依赖性，因此，可以通过并行计算有效地提升随机森林模型的学习效率，提高整个检测方法的实时性。除此之外，随机森林模型中各弱学习器之间的输入数据经过随机采样处理，具备较高的独立性，可以使随机森林模型具备较强的泛化能力，可以对目标网络数据有效的进行检测。

S350、将所述目标数据特征输入至预先训练完成的入侵检测模型中，得到与所述目标网络数据对应的入侵检测结果。

本发明实施例的技术方案，通过获取原始网络数据，基于所述原始网络数据确定样本网络数据，并确定与所述样本网络数据对应的期望检测结果，其中，所述期望检测结果用于指示所述样本网络数据是否为网络入侵数据；基于样本网络数据以及与所述样本网络数据对应的期望检测结果对随机森林模型训练，得到所述入侵检测模型。获取了更加适用于训练随机森林模型的样本网络数据，提高了得到的入侵检测模型的精准性。

在本发明实施例中，在网络入侵检测过程中，针对样本网络数据存在数据失衡的特点，采用了SMOTE过采样对原始网络数据进行处理，获取了适用于训练随机森林模型的样本网络数据；改进了传统PCA算法的目标函数，使得到的主成分分析算法更适用于网络入侵检测过程中数据特征的提取和降维；本发明提供了一种基于SMOTE过采样、主成分分析算法降维以及随机森林模型分类的网络入侵检测方法，提高了网络入侵检测结果的精准性。

实施例四

图4为本发明实施例四提供的一种网络入侵检测装置的结构示意图。如图4所示，该装置包括：数据特征获取模块410、数据特征降维模块420以及检测结果获取模块430。

其中，数据特征获取模块410，用于获取待检测的目标网络数据，确定与所述目标网络数据对应的初始数据特征；数据特征降维模块420，用于基于主成分分析算法对所述初始数据特征进行降维，得到目标数据特征；检测结果获取模块430，用于将所述目标数据特征输入至预先训练完成的入侵检测模型中，得到与所述目标网络数据对应的入侵检测结果；其中，所述入侵检测模型基于样本网络数据以及与所述样本网络数据对应的期望检测结果对随机森林模型训练得到，所述期望检测结果用于指示所述样本网络数据是否为网络入侵数据。

可选的，数据特征降维模块420，用于：

基于主成分分析算法的目标函数对所述初始数据特征进行降维，得到目标数据特征，其中，所述目标函数基于总体样本方差和类内方差惩罚项构建，所述类内方差惩罚项基于预设的惩罚因子以及同一类别的样本网络数据的类内距离构成的矩阵确定。

可选的，所述目标函数为：

可选的，所述网络入侵检测方法，还包括：样本网络数据确定模块和入侵检测模型获取模块。

其中，在所述将所述目标特征数据输入至预先训练完成的入侵检测模型中之前，所述样本网络数据确定模块，用于获取原始网络数据，基于所述原始网络数据确定样本网络数据，并确定与所述样本网络数据对应的期望检测结果，其中，所述期望检测结果用于指示所述样本网络数据是否为网络入侵数据；

所述入侵检测模型获取模块，用于基于样本网络数据以及与所述样本网络数据对应的期望检测结果对随机森林模型训练，得到所述入侵检测模型。

可选的，所述样本网络数据确定模块，包括：扩充样本数据获取子模块和样本网络数据确定子模块。

其中，所述扩充样本数据获取子模块，用于对所述原始网络数据中的网络入侵数据进行样本扩充，得到扩充样本数据；

所述样本网络数据确定子模块，用于将所述原始网络数据以及扩充样本数据作为样本网络数据，

可选的，所述扩充样本数据获取子模块，用于：

本发明实施例所提供的网络入侵检测装置可执行本发明任意实施例所提供的网络入侵检测方法，具备执行方法相应的功能模块和有益效果。

实施例五

图5示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本发明的实现。

如图5所示，电子设备10包括至少一个处理器11，以及与至少一个处理器11通信连接的存储器，如只读存储器(ROM)12、随机访问存储器(RAM)13等，其中，存储器存储有可被至少一个处理器执行的计算机程序，处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序，来执行各种适当的动作和处理。在RAM 13中，还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。

电子设备10中的多个部件连接至I/O接口15，包括：输入单元16，例如键盘、鼠标等；输出单元17，例如各种类型的显示器、扬声器等；存储单元18，例如磁盘、光盘等；以及通信单元19，例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理，例如网络入侵检测方法。

在一些实施例中，网络入侵检测方法可被实现为计算机程序，其被有形地包含于计算机可读存储介质，例如存储单元18。在一些实施例中，计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时，可以执行上文描述的网络入侵检测方法的一个或多个步骤。备选地，在其他实施例中，处理器11可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行网络入侵检测方法。

本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。

用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本发明的上下文中，计算机可读存储介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。备选地，计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

为了提供与用户的交互，可以在电子设备上实施此处描述的系统和技术，该电子设备具有：用于向用户显示信息的显示装置(例如，CRT(阴极射线管)或者LCD(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。

可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)、区块链网络和互联网。

计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，又称为云计算服务器或云主机，是云计算服务体系中的一项主机产品，以解决了传统物理主机与VPS服务中，存在的管理难度大，业务扩展性弱的缺陷。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本发明的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。

Claims

1.一种网络入侵检测方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述基于主成分分析算法对所述初始数据特征进行降维，得到目标数据特征，包括：

3.根据权利要求2所述的方法，其特征在于，所述目标函数为：

其中，X为样本网络数据的初始数据特征，X_mean为样本网络数据对应的样本均值，X_b为同一类别的样本网络数据的类内距离构成的矩阵，_c为惩罚因子，c∈(0,1]，ω为使f(X)取得最大值的方向向量。

4.根据权利要求1所述的方法，其特征在于，在所述将所述目标特征数据输入至预先训练完成的入侵检测模型中之前，还包括：

获取原始网络数据，基于所述原始网络数据确定样本网络数据，并确定与所述样本网络数据对应的期望检测结果，其中，所述期望检测结果用于指示所述样本网络数据是否为网络入侵数据；

基于样本网络数据以及与所述样本网络数据对应的期望检测结果对随机森林模型训练，得到所述入侵检测模型。

5.根据权利要求4所述的方法，其特征在于，所述基于所述原始网络数据确定样本网络数据，包括：

将所述原始网络数据以及扩充样本数据作为样本网络数据。

6.根据权利要求4所述的方法，其特征在于，所述对所述原始网络数据中的网络入侵数据进行样本扩充，得到扩充样本数据，包括：

7.根据权利要求1所述的方法，其特征在于，所述随机森林模型包括多个分类回归树，所述分类回归树采用基尼系数来选择特征。

8.一种网络入侵检测装置，其特征在于，包括：

9.一种电子设备，其特征在于，所述电子设备包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-7中任一项所述的网络入侵检测方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的网络入侵检测方法。