CN116015837A - 用于计算机网络信息安全的入侵检测方法及系统 - Google Patents
用于计算机网络信息安全的入侵检测方法及系统 Download PDFInfo
- Publication number
- CN116015837A CN116015837A CN202211653609.XA CN202211653609A CN116015837A CN 116015837 A CN116015837 A CN 116015837A CN 202211653609 A CN202211653609 A CN 202211653609A CN 116015837 A CN116015837 A CN 116015837A
- Authority
- CN
- China
- Prior art keywords
- feature
- scale
- classification
- time sequence
- vector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 92
- 238000012544 monitoring process Methods 0.000 claims abstract description 162
- 239000011159 matrix material Substances 0.000 claims abstract description 33
- 239000013598 vector Substances 0.000 claims description 229
- 238000000605 extraction Methods 0.000 claims description 59
- 238000010586 diagram Methods 0.000 claims description 32
- 238000009826 distribution Methods 0.000 claims description 32
- 238000013527 convolutional neural network Methods 0.000 claims description 31
- 230000002159 abnormal effect Effects 0.000 claims description 21
- 230000004927 fusion Effects 0.000 claims description 13
- 238000000034 method Methods 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 11
- 230000004931 aggregating effect Effects 0.000 claims description 9
- 230000004913 activation Effects 0.000 claims description 5
- 230000002776 aggregation Effects 0.000 claims description 5
- 238000004220 aggregation Methods 0.000 claims description 5
- 238000011176 pooling Methods 0.000 claims description 5
- 238000012546 transfer Methods 0.000 claims description 5
- 230000007480 spreading Effects 0.000 claims description 4
- 238000003892 spreading Methods 0.000 claims description 4
- 230000008859 change Effects 0.000 abstract description 35
- 230000005856 abnormality Effects 0.000 abstract description 19
- 238000013135 deep learning Methods 0.000 abstract description 12
- 238000005516 engineering process Methods 0.000 abstract description 6
- 230000006870 function Effects 0.000 description 16
- 238000003860 storage Methods 0.000 description 11
- 238000004590 computer program Methods 0.000 description 9
- 238000013528 artificial neural network Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 238000005065 mining Methods 0.000 description 4
- 238000012549 training Methods 0.000 description 4
- 230000010354 integration Effects 0.000 description 3
- 239000000463 material Substances 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000003058 natural language processing Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000011218 segmentation Effects 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 238000005215 recombination Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Alarm Systems (AREA)
Abstract
公开了一种用于计算机网络信息安全的入侵检测方法及系统,其采用基于深度学习的人工智能检测技术,以对于所述各个监测点的流量数据的多尺度动态变化特征进行提取,并利用待评估监测点的流量变化特征来与其他监测点的流量变化特征间的协方差矩阵来衡量所述待评估监测点与所述其他监测点的流量偏差变化趋势是否一致,以此绝对量信息来进行所述待评估监测点的流量异常检测。这样,能够准确地对于计算机网络中的各个监测点的流量异常进行检测,进而对于计算机网络是否被入侵进行精准地检测判断。
Description
技术领域
本申请涉及网络安全领域,且更为具体地,涉及一种用于计算机网络信息安全的入侵检测方法及系统。
背景技术
计算机网络安全问题,在今天已经成为网络世界里最为关注的问题之一。由于互联网具有大跨度、分布式、无边界的特征,网络破坏者可以轻而易举地进入各级网络,并将破坏行为迅速地在网络中传播。
传统上,网络安全防护系统在其考虑大型网络中的设备差异以及全局整合能力受到限制。传统的系统往往需要人为手动地去监测网络中出现地某一个具体问题,例如黑客入侵,不仅浪费人力物力,而且存在效率低下等现实问题。
因此,期待一种优化的用于计算机网络信息安全的入侵检测方案。
发明内容
为了解决上述技术问题,提出了本申请。本申请的实施例提供了一种用于计算机网络信息安全的入侵检测方法及系统,其采用基于深度学习的人工智能检测技术,以对于所述各个监测点的流量数据的多尺度动态变化特征进行提取,并利用待评估监测点的流量变化特征来与其他监测点的流量变化特征间的协方差矩阵来衡量所述待评估监测点与所述其他监测点的流量偏差变化趋势是否一致,以此绝对量信息来进行所述待评估监测点的流量异常检测。这样,能够准确地对于计算机网络中的各个监测点的流量异常进行检测,进而对于计算机网络是否被入侵进行精准地检测判断。
根据本申请的一个方面,提供了一种用于计算机网络信息安全的入侵检测方法,其包括:
获取待检测计算机网络中各个监测点在预定时间段内多个预定时间点的流量数据;
将所述各个监测点在预定时间段内多个预定时间点的流量数据按照时间维度排列为流量时序向量后通过多尺度邻域特征提取模块以得到多个多尺度流量时序关联特征向量;
从所述多个多尺度流量时序关联特征向量提取待评估监测点的多尺度流量时序关联特征向量;
计算所述待评估监测点的多尺度流量时序关联特征向量与其他所述多尺度流量时序关联特征向量之间的协方差矩阵以得到多个协方差矩阵;
将所述多个协方差矩阵沿着通道维度聚合为三维输入张量后通过作为特征提取器的卷积神经网络模型以得到分类特征图;
对所述分类特征图进行特征分布调制以得到调制后分类特征图;以及
将所述调制后分类特征图通过分类器以得到分类结果,所述分类结果用于表示待评估监测点的流量是否异常。
在上述用于计算机网络信息安全的入侵检测方法中,所述多尺度邻域特征提取模块,包括:相互并行的第一卷积层和第二卷积层,以及与所述第一卷积层和所述第二卷积层连接的多尺度融合层,其中,所述第一卷积层和所述第二卷积层分别使用具有不同尺度的一维卷积核。
在上述用于计算机网络信息安全的入侵检测方法中,所述将所述各个监测点在预定时间段内多个预定时间点的流量数据按照时间维度排列为流量时序向量后通过多尺度邻域特征提取模块以得到多个多尺度流量时序关联特征向量,包括:使用所述多尺度邻域特征提取模块的第一卷积层以具有第一尺度的一维卷积核对所述流量时序向量进行一维卷积编码以得到第一尺度流量时序关联特征向量;使用所述多尺度邻域特征提取模块的第二卷积层以具有第二尺度的一维卷积核对所述流量时序向量进行一维卷积编码以得到第二尺度流量时序关联特征向量;以及,使用所述多尺度邻域特征提取模块的多尺度融合层将所述第一尺度流量时序关联特征向量和所述第二尺度流量时序关联特征向量进行级联以得到所述多尺度流量时序关联特征向量。
在上述用于计算机网络信息安全的入侵检测方法中,所述使用所述多尺度邻域特征提取模块的第一卷积层以具有第一尺度的一维卷积核对所述流量时序向量进行一维卷积编码以得到第一尺度流量时序关联特征向量,包括:使用所述多尺度邻域特征提取模块的第一卷积层以如下公式对所述流量时序向量进行一维卷积编码以得到第一尺度流量时序关联特征向量;其中,所述公式为:
其中,
a为第一卷积核在
x方向上的宽度、为第一卷积核参数向量、为与卷积核函数运算的局部向量矩阵,
w为第一卷积核的尺寸,
X表示所述流量时序向量,表示所述第一尺度流量时序关联特征向量;所述使用所述多尺度邻域特征提取模块的第二卷积层以具有第二尺度的一维卷积核对所述流量时序向量进行一维卷积编码以得到第二尺度流量时序关联特征向量,包括:使用所述多尺度邻域特征提取模块的第二卷积层以如下公式对所述流量时序向量进行一维卷积编码以得到第二尺度流量时序关联特征向量;其中,所述公式为:
其中,
b为第二卷积核在
x方向上的宽度、为第二卷积核参数向量、为与卷积核函数运算的局部向量矩阵,
m为第二卷积核的尺寸,
X表示所述流量时序向量,表示所述第二尺度流量时序关联特征向量。
在上述用于计算机网络信息安全的入侵检测方法中,所述协方差矩阵中各个位置的值为所述待评估监测点的多尺度流量时序关联特征向量与另一所述多尺度流量时序关联特征向量中相应位置的特征值之间的方差。
在上述用于计算机网络信息安全的入侵检测方法中,所述将所述多个协方差矩阵沿着通道维度聚合为三维输入张量后通过作为特征提取器的卷积神经网络模型以得到分类特征图,包括:使用所述卷积神经网络模型的各层在层的正向传递中分别进行:对输入数据进行卷积处理以得到卷积特征图;对所述卷积特征图进行基于局部特征矩阵的均值池化以得到池化特征图;以及,对所述池化特征图进行非线性激活以得到激活特征图;其中,所述卷积神经网络模型的最后一层的输出为所述分类特征图,所述卷积神经网络模型的第一层的输入为所述三维输入张量。
在上述用于计算机网络信息安全的入侵检测方法中,所述对所述分类特征图进行特征分布调制以得到调制后分类特征图,包括:以如下公式对所述分类特征图进行特征分布调制以得到所述调制后分类特征图;其中,所述公式为:
其中是所述分类特征图的预定特征值,是所述分类特征图的所述预定特征值以外的其它特征值,是所述分类特征图的所有特征值的均值,且是所述分类特征图的尺度,表示数值的指数运算,所述数值的指数运算表示以所述数值为幂的自然指数函数值,是所述调制后分类特征图的预定特征值。
在上述用于计算机网络信息安全的入侵检测方法中,所述将所述调制后分类特征图通过分类器以得到分类结果,所述分类结果用于表示待评估监测点的流量是否异常,包括:将所述调制后分类特征图中各个调制后分类特征矩阵分别按照行向量或者列向量展开为一维特征向量后进行级联以得到分类特征向量;使用所述分类器的全连接层对所述分类特征向量进行全连接编码以得到编码分类特征向量;以及,将所述编码分类特征向量输入所述分类器的Softmax分类函数以得到所述分类结果。
根据本申请的另一方面,提供了一种用于计算机网络信息安全的入侵检测系统,包括:
流量监控模块,用于获取待检测计算机网络中各个监测点在预定时间段内多个预定时间点的流量数据;
多尺度邻域编码模块,用于将所述各个监测点在预定时间段内多个预定时间点的流量数据按照时间维度排列为流量时序向量后通过多尺度邻域特征提取模块以得到多个多尺度流量时序关联特征向量;
待评估监测点特征提取模块,用于从所述多个多尺度流量时序关联特征向量提取待评估监测点的多尺度流量时序关联特征向量;
协方差模块,用于计算所述待评估监测点的多尺度流量时序关联特征向量与其他所述多尺度流量时序关联特征向量之间的协方差矩阵以得到多个协方差矩阵;
聚合与特征提取模块,用于将所述多个协方差矩阵沿着通道维度聚合为三维输入张量后通过作为特征提取器的卷积神经网络模型以得到分类特征图;
特征分布调制模块,用于对所述分类特征图进行特征分布调制以得到调制后分类特征图;以及
检测结果生成模块,用于将所述调制后分类特征图通过分类器以得到分类结果,所述分类结果用于表示待评估监测点的流量是否异常。
在上述用于计算机网络信息安全的入侵检测系统中,所述多尺度邻域特征提取模块,包括:相互并行的第一卷积层和第二卷积层,以及与所述第一卷积层和所述第二卷积层连接的多尺度融合层,其中,所述第一卷积层和所述第二卷积层分别使用具有不同尺度的一维卷积核。
在上述用于计算机网络信息安全的入侵检测系统中,所述多尺度邻域编码模块,包括:第一尺度编码单元,用于使用所述多尺度邻域特征提取模块的第一卷积层以具有第一尺度的一维卷积核对所述流量时序向量进行一维卷积编码以得到第一尺度流量时序关联特征向量;第二尺度编码单元,用于使用所述多尺度邻域特征提取模块的第二卷积层以具有第二尺度的一维卷积核对所述流量时序向量进行一维卷积编码以得到第二尺度流量时序关联特征向量;以及,多尺度融合单元,用于使用所述多尺度邻域特征提取模块的多尺度融合层将所述第一尺度流量时序关联特征向量和所述第二尺度流量时序关联特征向量进行级联以得到所述多尺度流量时序关联特征向量。
在上述用于计算机网络信息安全的入侵检测系统中,所述第一尺度编码单元,进一步用于:使用所述多尺度邻域特征提取模块的第一卷积层以如下公式对所述流量时序向量进行一维卷积编码以得到第一尺度流量时序关联特征向量;其中,所述公式为:
其中,
a为第一卷积核在
x方向上的宽度、为第一卷积核参数向量、为与卷积核函数运算的局部向量矩阵,
w为第一卷积核的尺寸,
X表示所述流量时序向量,表示所述第一尺度流量时序关联特征向量;所述第二尺度编码单元,进一步用于:使用所述多尺度邻域特征提取模块的第二卷积层以如下公式对所述流量时序向量进行一维卷积编码以得到第二尺度流量时序关联特征向量;其中,所述公式为:
其中,
b为第二卷积核在
x方向上的宽度、为第二卷积核参数向量、为与卷积核函数运算的局部向量矩阵,
m为第二卷积核的尺寸,
X表示所述流量时序向量,表示所述第二尺度流量时序关联特征向量。
在上述用于计算机网络信息安全的入侵检测系统中,所述协方差矩阵中各个位置的值为所述待评估监测点的多尺度流量时序关联特征向量与另一所述多尺度流量时序关联特征向量中相应位置的特征值之间的方差。
在上述用于计算机网络信息安全的入侵检测系统中,所述聚合与特征提取模块,进一步用于:使用所述卷积神经网络模型的各层在层的正向传递中分别进行:对输入数据进行卷积处理以得到卷积特征图;对所述卷积特征图进行基于局部特征矩阵的均值池化以得到池化特征图;以及,对所述池化特征图进行非线性激活以得到激活特征图;其中,所述卷积神经网络模型的最后一层的输出为所述分类特征图,所述卷积神经网络模型的第一层的输入为所述三维输入张量。
在上述用于计算机网络信息安全的入侵检测系统中,所述特征分布调制模块,进一步用于:以如下公式对所述分类特征图进行特征分布调制以得到所述调制后分类特征图;其中,所述公式为:
其中是所述分类特征图的预定特征值,是所述分类特征图的所述预定特征值以外的其它特征值,是所述分类特征图的所有特征值的均值,且是所述分类特征图的尺度,表示数值的指数运算,所述数值的指数运算表示以所述数值为幂的自然指数函数值,是所述调制后分类特征图的预定特征值。
在上述用于计算机网络信息安全的入侵检测系统中,所述检测结果生成模块,进一步用于:将所述调制后分类特征图中各个调制后分类特征矩阵分别按照行向量或者列向量展开为一维特征向量后进行级联以得到分类特征向量;使用所述分类器的全连接层对所述分类特征向量进行全连接编码以得到编码分类特征向量;以及,将所述编码分类特征向量输入所述分类器的Softmax分类函数以得到所述分类结果。
根据本申请的再一方面,提供了一种电子设备,包括:处理器;以及,存储器,在所述存储器中存储有计算机程序指令,所述计算机程序指令在被所述处理器运行时使得所述处理器执行如上所述的用于计算机网络信息安全的入侵检测方法。
根据本申请的又一方面,提供了一种计算机可读介质,其上存储有计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行如上所述的用于计算机网络信息安全的入侵检测方法。
与现有技术相比,本申请提供的用于计算机网络信息安全的入侵检测方法及系统,其采用基于深度学习的人工智能检测技术,以对于所述各个监测点的流量数据的多尺度动态变化特征进行提取,并利用待评估监测点的流量变化特征来与其他监测点的流量变化特征间的协方差矩阵来衡量所述待评估监测点与所述其他监测点的流量偏差变化趋势是否一致,以此绝对量信息来进行所述待评估监测点的流量异常检测。这样,能够准确地对于计算机网络中的各个监测点的流量异常进行检测,进而对于计算机网络是否被入侵进行精准地检测判断。
附图说明
通过结合附图对本申请实施例进行更详细的描述,本申请的上述以及其他目的、特征和优势将变得更加明显。附图用来提供对本申请实施例的进一步理解,并且构成说明书的一部分,与本申请实施例一起用于解释本申请,并不构成对本申请的限制。在附图中,相同的参考标号通常代表相同部件或步骤。
图1为根据本申请实施例的用于计算机网络信息安全的入侵检测方法的流程图。
图2为根据本申请实施例的用于计算机网络信息安全的入侵检测方法的架构图。
图3为根据本申请实施例的用于计算机网络信息安全的入侵检测方法中得到多个多尺度流量时序关联特征向量的流程图。
图4为根据本申请实施例的用于计算机网络信息安全的入侵检测方法中将所述调制后分类特征图通过分类器以得到分类结果,所述分类结果用于表示待评估监测点的流量是否异常的流程图。
图5为根据本申请实施例的用于计算机网络信息安全的入侵检测系统的框图。
图6为根据本申请实施例的电子设备的框图。
具体实施方式
下面,将参考附图详细地描述根据本申请的示例实施例。显然,所描述的实施例仅仅是本申请的一部分实施例,而不是本申请的全部实施例,应理解,本申请不受这里描述的示例实施例的限制。
申请概述
如上所述,传统上,网络安全防护系统在其考虑大型网络中的设备差异以及全局整合能力受到限制。传统的系统往往需要人为手动地去监测网络中出现地某一个具体问题,例如黑客入侵,不仅浪费人力物力,而且存在效率低下等现实问题。因此,期待一种优化的用于计算机网络信息安全的入侵检测方案。
相应地,在本申请的技术方案中,考虑到在实际对于计算机网络信息安全进行检测时,可以在计算机网络中安插多个监测点,也就是说,对于计算机网络信息安全的检测变为判断计算机网络中的各个监测点的流量是否异常。但是,在实际进行检测判断的过程中,考虑到由于所述各个监测点的流量数据之间具有着关联性,若以所述各个监测点的流量绝对变化信息来衡量其是否发生了入侵会造成检测的精准度较低,难以对于计算机网络信息安全进行有效地检测。
近年来,深度学习以及神经网络已经广泛应用于计算机视觉、自然语言处理、文本信号处理等领域。此外,深度学习以及神经网络在图像分类、物体检测、语义分割、文本翻译等领域,也展现出了接近甚至超越人类的水平。
深度学习以及神经网络的发展为计算机网络信息安全的入侵检测提供了新的解决思路和方案。
具体地,在本申请的技术方案中,采用基于深度学习的人工智能检测技术,以对于所述各个监测点的流量数据的多尺度动态变化特征进行提取,并利用待评估监测点的流量变化特征来与其他监测点的流量变化特征间的协方差矩阵来衡量所述待评估监测点与所述其他监测点的流量偏差变化趋势是否一致,以此绝对量信息来进行所述待评估监测点的流量异常检测。这样,能够准确地对于计算机网络中的各个监测点的流量异常进行检测,进而对于计算机网络是否被入侵进行精准地检测判断,以此来保证计算机网络信息安全。
更具体地,在本申请的技术方案中,首先,获取待检测计算机网络中各个监测点在预定时间段内多个预定时间点的流量数据。接着,考虑到所述各个监测点的流量数据在时间维度上具有着波动性和不确定性,其在所述预定时间段内的不同时间周期跨度下的变化特征是不同的,因此,进一步将所述各个监测点在预定时间段内多个预定时间点的流量数据按照时间维度排列为流量时序向量后通过多尺度邻域特征提取模块中进行特征挖掘,以分别提取出所述各个监测点的流量数据在所述预定时间段内的不同时间跨度下的动态多尺度邻域时序关联特征,从而得到多个多尺度流量时序关联特征向量。
进一步地,为了以所述计算机网络中的各个监测点的流量绝对变化特征信息来进行异常检测时,需要从所述多个多尺度流量时序关联特征向量提取待评估监测点的多尺度流量时序关联特征向量,以此来确定所述待评估监测点的流量数据的绝对量时序动态变化特征。然后,计算所述待评估监测点的多尺度流量时序关联特征向量与其他所述多尺度流量时序关联特征向量之间的协方差矩阵来衡量所述待评估监测点的流量时序动态变化特征与其余各个监测点的流量时序变化特征的偏差变化趋势是否一致,从而得到得到多个协方差矩阵。特别地,在本申请的技术方案中,所述协方差矩阵中各个位置的值为所述待评估监测点的多尺度流量时序关联特征向量与另一所述多尺度流量时序关联特征向量中相应位置的特征值之间的方差。
接着,考虑到所述待评估监测点与所述其余各个监测点的流量时序偏差变化趋势特征分布信息之间具有着关联性,因此,为了能够充分且准确地提取出这种关联性的特征分布来进行所述待评估监测点的流量异常检测,在本申请的技术方案中,进一步将所述多个协方差矩阵沿着通道维度聚合为三维输入张量后通过作为特征提取器的卷积神经网络模型中进行特征挖掘,以提取出所述待评估监测点与所述其余各个监测点的流量时序偏差变化特征的相对关联性特征分布信息,从而得到分类特征图。
然后,将所述分类特征图通过分类器进行分类处理以得到用于表示待评估监测点的流量是否异常的分类结果。也就是,在本申请的技术方案中,所述分类器的标签包括所述待评估监测点的流量正常和异常,其中,所述分类器通过软最大值函数来确定所述分类特征图属于哪个分类标签,以此来进行所述待评估监测点的流量异常检测。这样,能够准确地对于计算机网络中的各个监测点的流量异常进行检测,进而对于计算机网络是否被入侵进行精准地检测判断。
特别地,在本申请的技术方案中,将所述多个协方差矩阵沿着通道维度聚合为三维输入张量后通过作为特征提取器的卷积神经网络模型得到所述分类特征图时,可以使得所述分类特征图表达待评估监测点的多尺度流量时序关联特征与其它监测点的多尺度流量时序关联特征的协方差特征的协方差关联值-通道交叉维度关联特征。
但是,由于所述分类特征图的特征分布需要包含表达协方差关联值-通道交叉维度关联特征的特征分布,使得所述分类特征图在分类器中展开为特征向量之后,与所述分类器的权重矩阵之间的拟合负担重,从而影响所述分类器的训练速度和分类结果的准确性。
因此,本申请的申请人对所述分类特征图进行表征平展化,具体表示为:
是所述分类特征图的预定特征值,是所述分类特征图的所述预定特征值以外的其它特征值,是所述分类特征图的所有特征值的均值,且是所述分类特征图的尺度,即宽度乘以高度乘以通道数。
这里,所述分类特征图的表征平展化将用于高维特征空间内的特征分布的表征的有限多面体流形进行平展,同时保持流形的各平面之间的固有距离,并基于空间直观地避免交叉,其实质上是将该有限多面体流形分解为基于直角面相交和同顶点相交的立方体晶格,从而获得平展的“切片”连续性,以增强所述分类特征图对于分类器的权重矩阵的拟合性能。这样,就提升了所述分类特征图通过分类器进行分类的训练速度和分类结果的准确性。这样,能够准确地对于计算机网络中的各个监测点的流量异常进行检测,进而对于计算机网络是否被入侵进行精准地检测判断,以此来保证计算机网络信息安全。
基于此,本申请提出了一种用于计算机网络信息安全的入侵检测方法,其包括:获取待检测计算机网络中各个监测点在预定时间段内多个预定时间点的流量数据;将所述各个监测点在预定时间段内多个预定时间点的流量数据按照时间维度排列为流量时序向量后通过多尺度邻域特征提取模块以得到多个多尺度流量时序关联特征向量;从所述多个多尺度流量时序关联特征向量提取待评估监测点的多尺度流量时序关联特征向量;计算所述待评估监测点的多尺度流量时序关联特征向量与其他所述多尺度流量时序关联特征向量之间的协方差矩阵以得到多个协方差矩阵;将所述多个协方差矩阵沿着通道维度聚合为三维输入张量后通过作为特征提取器的卷积神经网络模型以得到分类特征图;对所述分类特征图进行特征分布调制以得到调制后分类特征图;以及,将所述调制后分类特征图通过分类器以得到分类结果,所述分类结果用于表示待评估监测点的流量是否异常。
在介绍了本申请的基本原理之后,下面将参考附图来具体介绍本申请的各种非限制性实施例。
示例性方法
图1为根据本申请实施例的用于计算机网络信息安全的入侵检测方法的流程图。如图1所示,根据本申请实施例的用于计算机网络信息安全的入侵检测方法,包括:S110,获取待检测计算机网络中各个监测点在预定时间段内多个预定时间点的流量数据;S120,将所述各个监测点在预定时间段内多个预定时间点的流量数据按照时间维度排列为流量时序向量后通过多尺度邻域特征提取模块以得到多个多尺度流量时序关联特征向量;S130,从所述多个多尺度流量时序关联特征向量提取待评估监测点的多尺度流量时序关联特征向量;S140,计算所述待评估监测点的多尺度流量时序关联特征向量与其他所述多尺度流量时序关联特征向量之间的协方差矩阵以得到多个协方差矩阵;S150,将所述多个协方差矩阵沿着通道维度聚合为三维输入张量后通过作为特征提取器的卷积神经网络模型以得到分类特征图;S160,对所述分类特征图进行特征分布调制以得到调制后分类特征图;以及,S170,将所述调制后分类特征图通过分类器以得到分类结果,所述分类结果用于表示待评估监测点的流量是否异常。
图2为根据本申请实施例的用于计算机网络信息安全的入侵检测方法的架构图。如图2所示,在该架构图中,首先,获取待检测计算机网络中各个监测点在预定时间段内多个预定时间点的流量数据;接着,将所述各个监测点在预定时间段内多个预定时间点的流量数据按照时间维度排列为流量时序向量后通过多尺度邻域特征提取模块以得到多个多尺度流量时序关联特征向量;然后,从所述多个多尺度流量时序关联特征向量提取待评估监测点的多尺度流量时序关联特征向量;继而,计算所述待评估监测点的多尺度流量时序关联特征向量与其他所述多尺度流量时序关联特征向量之间的协方差矩阵以得到多个协方差矩阵;接着,将所述多个协方差矩阵沿着通道维度聚合为三维输入张量后通过作为特征提取器的卷积神经网络模型以得到分类特征图;再对所述分类特征图进行特征分布调制以得到调制后分类特征图;最后,将所述调制后分类特征图通过分类器以得到分类结果,所述分类结果用于表示待评估监测点的流量是否异常。
在步骤S110中,获取待检测计算机网络中各个监测点在预定时间段内多个预定时间点的流量数据。如上所述,传统上,网络安全防护系统在其考虑大型网络中的设备差异以及全局整合能力受到限制。传统的系统往往需要人为手动地去监测网络中出现地某一个具体问题,例如黑客入侵,不仅浪费人力物力,而且存在效率低下等现实问题。因此,期待一种优化的用于计算机网络信息安全的入侵检测方案。
相应地,在本申请的技术方案中,考虑到在实际对于计算机网络信息安全进行检测时,可以在计算机网络中安插多个监测点,也就是说,对于计算机网络信息安全的检测变为判断计算机网络中的各个监测点的流量是否异常。但是,在实际进行检测判断的过程中,考虑到由于所述各个监测点的流量数据之间具有着关联性,若以所述各个监测点的流量绝对变化信息来衡量其是否发生了入侵会造成检测的精准度较低,难以对于计算机网络信息安全进行有效地检测。
近年来,深度学习以及神经网络已经广泛应用于计算机视觉、自然语言处理、文本信号处理等领域。此外,深度学习以及神经网络在图像分类、物体检测、语义分割、文本翻译等领域,也展现出了接近甚至超越人类的水平。
深度学习以及神经网络的发展为计算机网络信息安全的入侵检测提供了新的解决思路和方案。
具体地,在本申请的技术方案中,采用基于深度学习的人工智能检测技术,以对于所述各个监测点的流量数据的多尺度动态变化特征进行提取,并利用待评估监测点的流量变化特征来与其他监测点的流量变化特征间的协方差矩阵来衡量所述待评估监测点与所述其他监测点的流量偏差变化趋势是否一致,以此绝对量信息来进行所述待评估监测点的流量异常检测。这样,能够准确地对于计算机网络中的各个监测点的流量异常进行检测,进而对于计算机网络是否被入侵进行精准地检测判断,以此来保证计算机网络信息安全。更具体地,在本申请的技术方案中,首先,获取待检测计算机网络中各个监测点在预定时间段内多个预定时间点的流量数据。
在步骤S120中,将所述各个监测点在预定时间段内多个预定时间点的流量数据按照时间维度排列为流量时序向量后通过多尺度邻域特征提取模块以得到多个多尺度流量时序关联特征向量。考虑到所述各个监测点的流量数据在时间维度上具有着波动性和不确定性,其在所述预定时间段内的不同时间周期跨度下的变化特征是不同的,因此,进一步将所述各个监测点在预定时间段内多个预定时间点的流量数据按照时间维度排列为流量时序向量后通过多尺度邻域特征提取模块中进行特征挖掘,以分别提取出所述各个监测点的流量数据在所述预定时间段内的不同时间跨度下的动态多尺度邻域时序关联特征,从而得到多个多尺度流量时序关联特征向量。
在本申请实施例中,所述多尺度邻域特征提取模块包括相互并行的第一卷积层和第二卷积层,以及与所述第一卷积层和所述第二卷积层连接的多尺度融合层,其中,所述第一卷积层和所述第二卷积层分别使用具有不同尺度的一维卷积核。
图3为根据本申请实施例的用于计算机网络信息安全的入侵检测方法中得到多个多尺度流量时序关联特征向量的流程图。如图3所示,所述将所述各个监测点在预定时间段内多个预定时间点的流量数据按照时间维度排列为流量时序向量后通过多尺度邻域特征提取模块以得到多个多尺度流量时序关联特征向量,包括:S210,使用所述多尺度邻域特征提取模块的第一卷积层以具有第一尺度的一维卷积核对所述流量时序向量进行一维卷积编码以得到第一尺度流量时序关联特征向量;S220,使用所述多尺度邻域特征提取模块的第二卷积层以具有第二尺度的一维卷积核对所述流量时序向量进行一维卷积编码以得到第二尺度流量时序关联特征向量;以及,S230,使用所述多尺度邻域特征提取模块的多尺度融合层将所述第一尺度流量时序关联特征向量和所述第二尺度流量时序关联特征向量进行级联以得到所述多尺度流量时序关联特征向量。
更具体地,在本申请实施例中,所述使用所述多尺度邻域特征提取模块的第一卷积层以具有第一尺度的一维卷积核对所述流量时序向量进行一维卷积编码以得到第一尺度流量时序关联特征向量,包括:使用所述多尺度邻域特征提取模块的第一卷积层以如下公式对所述流量时序向量进行一维卷积编码以得到第一尺度流量时序关联特征向量;其中,所述公式为:
其中,
a为第一卷积核在
x方向上的宽度、为第一卷积核参数向量、为与卷积核函数运算的局部向量矩阵,
w为第一卷积核的尺寸,
X表示所述流量时序向量,表示所述第一尺度流量时序关联特征向量;所述使用所述多尺度邻域特征提取模块的第二卷积层以具有第二尺度的一维卷积核对所述流量时序向量进行一维卷积编码以得到第二尺度流量时序关联特征向量,包括:使用所述多尺度邻域特征提取模块的第二卷积层以如下公式对所述流量时序向量进行一维卷积编码以得到第二尺度流量时序关联特征向量;其中,所述公式为:
其中,
b为第二卷积核在
x方向上的宽度、为第二卷积核参数向量、为与卷积核函数运算的局部向量矩阵,
m为第二卷积核的尺寸,
X表示所述流量时序向量,表示所述第二尺度流量时序关联特征向量。
在步骤S130中,从所述多个多尺度流量时序关联特征向量提取待评估监测点的多尺度流量时序关联特征向量。为了以所述计算机网络中的各个监测点的流量绝对变化特征信息来进行异常检测时,需要从所述多个多尺度流量时序关联特征向量提取待评估监测点的多尺度流量时序关联特征向量,以此来确定所述待评估监测点的流量数据的绝对量时序动态变化特征。
在步骤S140中,计算所述待评估监测点的多尺度流量时序关联特征向量与其他所述多尺度流量时序关联特征向量之间的协方差矩阵以得到多个协方差矩阵。也就是,计算所述待评估监测点的多尺度流量时序关联特征向量与其他所述多尺度流量时序关联特征向量之间的协方差矩阵来衡量所述待评估监测点的流量时序动态变化特征与其余各个监测点的流量时序变化特征的偏差变化趋势是否一致,从而得到得到多个协方差矩阵。特别地,在本申请的技术方案中,所述协方差矩阵中各个位置的值为所述待评估监测点的多尺度流量时序关联特征向量与另一所述多尺度流量时序关联特征向量中相应位置的特征值之间的方差。
在步骤S150中,将所述多个协方差矩阵沿着通道维度聚合为三维输入张量后通过作为特征提取器的卷积神经网络模型以得到分类特征图。考虑到所述待评估监测点与所述其余各个监测点的流量时序偏差变化趋势特征分布信息之间具有着关联性,因此,为了能够充分且准确地提取出这种关联性的特征分布来进行所述待评估监测点的流量异常检测,在本申请的技术方案中,进一步将所述多个协方差矩阵沿着通道维度聚合为三维输入张量后通过作为特征提取器的卷积神经网络模型中进行特征挖掘,以提取出所述待评估监测点与所述其余各个监测点的流量时序偏差变化特征的相对关联性特征分布信息,从而得到分类特征图。
具体地,在本申请实施例中,所述将所述多个协方差矩阵沿着通道维度聚合为三维输入张量后通过作为特征提取器的卷积神经网络模型以得到分类特征图的步骤,包括:使用所述卷积神经网络模型的各层在层的正向传递中分别进行:对输入数据进行卷积处理以得到卷积特征图;对所述卷积特征图进行基于局部特征矩阵的均值池化以得到池化特征图;以及,对所述池化特征图进行非线性激活以得到激活特征图;其中,所述卷积神经网络模型的最后一层的输出为所述分类特征图,所述卷积神经网络模型的第一层的输入为所述三维输入张量。
在步骤S160中,对所述分类特征图进行特征分布调制以得到调制后分类特征图。特别地,在本申请的技术方案中,将所述多个协方差矩阵沿着通道维度聚合为三维输入张量后通过作为特征提取器的卷积神经网络模型得到所述分类特征图时,可以使得所述分类特征图表达待评估监测点的多尺度流量时序关联特征与其它监测点的多尺度流量时序关联特征的协方差特征的协方差关联值-通道交叉维度关联特征。
但是,由于所述分类特征图的特征分布需要包含表达协方差关联值-通道交叉维度关联特征的特征分布,使得所述分类特征图在分类器中展开为特征向量之后,与所述分类器的权重矩阵之间的拟合负担重,从而影响所述分类器的训练速度和分类结果的准确性。
因此,本申请的申请人对所述分类特征图进行表征平展化,具体表示为:
其中是所述分类特征图的预定特征值,是所述分类特征图的所述预定特征值以外的其它特征值,是所述分类特征图的所有特征值的均值,且是所述分类特征图的尺度,即宽度乘以高度乘以通道数,表示数值的指数运算,所述数值的指数运算表示以所述数值为幂的自然指数函数值,是所述调制后分类特征图的预定特征值。
这里,所述分类特征图的表征平展化将用于高维特征空间内的特征分布的表征的有限多面体流形进行平展,同时保持流形的各平面之间的固有距离,并基于空间直观地避免交叉,其实质上是将该有限多面体流形分解为基于直角面相交和同顶点相交的立方体晶格,从而获得平展的“切片”连续性,以增强所述分类特征图对于分类器的权重矩阵的拟合性能。这样,就提升了所述分类特征图通过分类器进行分类的训练速度和分类结果的准确性。这样,能够准确地对于计算机网络中的各个监测点的流量异常进行检测,进而对于计算机网络是否被入侵进行精准地检测判断。
在步骤S170中,将所述调制后分类特征图通过分类器以得到分类结果,所述分类结果用于表示待评估监测点的流量是否异常。也就是,在本申请的技术方案中,所述分类器的标签包括所述待评估监测点的流量正常和异常,其中,所述分类器通过软最大值函数来确定所述分类特征图属于哪个分类标签,以此来进行所述待评估监测点的流量异常检测。这样,能够准确地对于计算机网络中的各个监测点的流量异常进行检测,进而对于计算机网络是否被入侵进行精准地检测判断。
图4为根据本申请实施例的用于计算机网络信息安全的入侵检测方法中将所述调制后分类特征图通过分类器以得到分类结果,所述分类结果用于表示待评估监测点的流量是否异常的流程图。如图4所示,所述将所述调制后分类特征图通过分类器以得到分类结果,所述分类结果用于表示待评估监测点的流量是否异常,包括:S310,将所述调制后分类特征图中各个调制后分类特征矩阵分别按照行向量或者列向量展开为一维特征向量后进行级联以得到分类特征向量;S320,使用所述分类器的全连接层对所述分类特征向量进行全连接编码以得到编码分类特征向量;以及,S330,将所述编码分类特征向量输入所述分类器的Softmax分类函数以得到所述分类结果。
综上,基于本申请实施例的用于计算机网络信息安全的入侵检测方法被阐明,其采用基于深度学习的人工智能检测技术,以对于所述各个监测点的流量数据的多尺度动态变化特征进行提取,并利用待评估监测点的流量变化特征来与其他监测点的流量变化特征间的协方差矩阵来衡量所述待评估监测点与所述其他监测点的流量偏差变化趋势是否一致,以此绝对量信息来进行所述待评估监测点的流量异常检测。这样,能够准确地对于计算机网络中的各个监测点的流量异常进行检测,进而对于计算机网络是否被入侵进行精准地检测判断。
示例性系统
图5为根据本申请实施例的用于计算机网络信息安全的入侵检测系统的框图。如图5所示,根据本申请实施例的用于计算机网络信息安全的入侵检测系统100,包括:流量监控模块110,用于获取待检测计算机网络中各个监测点在预定时间段内多个预定时间点的流量数据;多尺度邻域编码模块120,用于将所述各个监测点在预定时间段内多个预定时间点的流量数据按照时间维度排列为流量时序向量后通过多尺度邻域特征提取模块以得到多个多尺度流量时序关联特征向量;待评估监测点特征提取模块130,用于从所述多个多尺度流量时序关联特征向量提取待评估监测点的多尺度流量时序关联特征向量;协方差模块140,用于计算所述待评估监测点的多尺度流量时序关联特征向量与其他所述多尺度流量时序关联特征向量之间的协方差矩阵以得到多个协方差矩阵;聚合与特征提取模块150,用于将所述多个协方差矩阵沿着通道维度聚合为三维输入张量后通过作为特征提取器的卷积神经网络模型以得到分类特征图;特征分布调制模块160,用于对所述分类特征图进行特征分布调制以得到调制后分类特征图;以及,检测结果生成模块170,用于将所述调制后分类特征图通过分类器以得到分类结果,所述分类结果用于表示待评估监测点的流量是否异常。
在一个示例中,在上述用于计算机网络信息安全的入侵检测系统100中,所述多尺度邻域特征提取模块,包括:相互并行的第一卷积层和第二卷积层,以及与所述第一卷积层和所述第二卷积层连接的多尺度融合层,其中,所述第一卷积层和所述第二卷积层分别使用具有不同尺度的一维卷积核。
在一个示例中,在上述用于计算机网络信息安全的入侵检测系统100中,所述多尺度邻域编码模块,包括:第一尺度编码单元,用于使用所述多尺度邻域特征提取模块的第一卷积层以具有第一尺度的一维卷积核对所述流量时序向量进行一维卷积编码以得到第一尺度流量时序关联特征向量;第二尺度编码单元,用于使用所述多尺度邻域特征提取模块的第二卷积层以具有第二尺度的一维卷积核对所述流量时序向量进行一维卷积编码以得到第二尺度流量时序关联特征向量;以及,多尺度融合单元,用于使用所述多尺度邻域特征提取模块的多尺度融合层将所述第一尺度流量时序关联特征向量和所述第二尺度流量时序关联特征向量进行级联以得到所述多尺度流量时序关联特征向量。
在一个示例中,在上述用于计算机网络信息安全的入侵检测系统100中,所述第一尺度编码单元,进一步用于:使用所述多尺度邻域特征提取模块的第一卷积层以如下公式对所述流量时序向量进行一维卷积编码以得到第一尺度流量时序关联特征向量;其中,所述公式为:
其中,
a为第一卷积核在
x方向上的宽度、为第一卷积核参数向量、为与卷积核函数运算的局部向量矩阵,
w为第一卷积核的尺寸,
X表示所述流量时序向量,表示所述第一尺度流量时序关联特征向量;所述第二尺度编码单元,进一步用于:使用所述多尺度邻域特征提取模块的第二卷积层以如下公式对所述流量时序向量进行一维卷积编码以得到第二尺度流量时序关联特征向量;其中,所述公式为:
其中,
b为第二卷积核在
x方向上的宽度、为第二卷积核参数向量、为与卷积核函数运算的局部向量矩阵,
m为第二卷积核的尺寸,
X表示所述流量时序向量,表示所述第二尺度流量时序关联特征向量。
在一个示例中,在上述用于计算机网络信息安全的入侵检测系统100中,所述协方差矩阵中各个位置的值为所述待评估监测点的多尺度流量时序关联特征向量与另一所述多尺度流量时序关联特征向量中相应位置的特征值之间的方差。
在一个示例中,在上述用于计算机网络信息安全的入侵检测系统100中,所述聚合与特征提取模块,进一步用于:使用所述卷积神经网络模型的各层在层的正向传递中分别进行:对输入数据进行卷积处理以得到卷积特征图;对所述卷积特征图进行基于局部特征矩阵的均值池化以得到池化特征图;以及,对所述池化特征图进行非线性激活以得到激活特征图;其中,所述卷积神经网络模型的最后一层的输出为所述分类特征图,所述卷积神经网络模型的第一层的输入为所述三维输入张量。
在一个示例中,在上述用于计算机网络信息安全的入侵检测系统100中,所述特征分布调制模块,进一步用于:以如下公式对所述分类特征图进行特征分布调制以得到所述调制后分类特征图;其中,所述公式为:
其中是所述分类特征图的预定特征值,是所述分类特征图的所述预定特征值以外的其它特征值,是所述分类特征图的所有特征值的均值,且是所述分类特征图的尺度,表示数值的指数运算,所述数值的指数运算表示以所述数值为幂的自然指数函数值,是所述调制后分类特征图的预定特征值。
在一个示例中,在上述用于计算机网络信息安全的入侵检测系统100中,所述检测结果生成模块,进一步用于:将所述调制后分类特征图中各个调制后分类特征矩阵分别按照行向量或者列向量展开为一维特征向量后进行级联以得到分类特征向量;使用所述分类器的全连接层对所述分类特征向量进行全连接编码以得到编码分类特征向量;以及,将所述编码分类特征向量输入所述分类器的Softmax分类函数以得到所述分类结果。
这里,本领域技术人员可以理解,上述用于计算机网络信息安全的入侵检测系统100中的各个单元和模块的具体功能和操作已经在上面参考图1到图4的用于计算机网络信息安全的入侵检测方法的描述中得到了详细介绍,并因此,将省略其重复描述。
如上所述,根据本申请实施例的用于计算机网络信息安全的入侵检测系统 100可以实现在各种终端设备中,例如用于计算机网络信息安全的入侵检测的服务器等。在一个示例中,根据本申请实施例的用于计算机网络信息安全的入侵检测系统 100可以作为一个软件模块和/或硬件模块而集成到终端设备中。例如,该用于计算机网络信息安全的入侵检测系统100可以是该终端设备的操作系统中的一个软件模块,或者可以是针对于该终端设备所开发的一个应用程序;当然,该用于计算机网络信息安全的入侵检测系统 100同样可以是该终端设备的众多硬件模块之一。
替换地,在另一示例中,该用于计算机网络信息安全的入侵检测系统 100与该终端设备也可以是分立的设备,并且该用于计算机网络信息安全的入侵检测系统 100可以通过有线和/或无线网络连接到该终端设备,并且按照约定的数据格式来传输交互信息。
示例性电子设备
下面,参考图6来描述根据本申请实施例的电子设备。图6图示了根据本申请实施例的电子设备的框图。如图6所示,电子设备10包括一个或多个处理器11和存储器12。
处理器11可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备10中的其他组件以执行期望的功能。
存储器12可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器11可以运行所述程序指令,以实现上文所述的本申请的各个实施例的用于计算机网络信息安全的入侵检测方法中的功能以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如待检测计算机网络中各个监测点在预定时间段内多个预定时间点的流量数据等各种内容。
在一个示例中,电子设备10还可以包括:输入装置13和输出装置14,这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。
该输入装置13可以包括例如键盘、鼠标等等。
该输出装置14可以向外部输出各种信息,包括分类结果等。该输出装置14可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
当然,为了简化,图6中仅示出了该电子设备10中与本申请有关的组件中的一些,省略了诸如总线、输入/输出接口等等的组件。除此之外,根据具体应用情况,电子设备10还可以包括任何其他适当的组件。
示例性计算机程序产品和计算机可读存储介质
除了上述方法和设备以外,本申请的实施例还可以是计算机程序产品,其包括计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种实施例的用于计算机网络信息安全的入侵检测方法中的功能中的步骤。
所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本申请实施例操作的程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本申请的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种实施例的用于计算机网络信息安全的入侵检测方法中的功能中的步骤。
所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
以上结合具体实施例描述了本申请的基本原理,但是,需要指出的是,在本申请中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本申请的各个实施例必须具备的。另外,上述公开的具体细节仅是为了示例的作用和便于理解的作用,而非限制,上述细节并不限制本申请为必须采用上述具体的细节来实现。
本申请中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的,可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇,指“包括但不限于”,且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”,且可与其互换使用,除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”,且可与其互换使用。
还需要指出的是,在本申请的装置、设备和方法中,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本申请的等效方案。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本申请。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本申请的范围。因此,本申请不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
为了例示和描述的目的已经给出了以上描述。此外,此描述不意图将本申请的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例,但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。
Claims (10)
1.一种用于计算机网络信息安全的入侵检测方法,其特征在于,包括:
获取待检测计算机网络中各个监测点在预定时间段内多个预定时间点的流量数据;
将所述各个监测点在预定时间段内多个预定时间点的流量数据按照时间维度排列为流量时序向量后通过多尺度邻域特征提取模块以得到多个多尺度流量时序关联特征向量;
从所述多个多尺度流量时序关联特征向量提取待评估监测点的多尺度流量时序关联特征向量;
计算所述待评估监测点的多尺度流量时序关联特征向量与其他所述多尺度流量时序关联特征向量之间的协方差矩阵以得到多个协方差矩阵;
将所述多个协方差矩阵沿着通道维度聚合为三维输入张量后通过作为特征提取器的卷积神经网络模型以得到分类特征图;
对所述分类特征图进行特征分布调制以得到调制后分类特征图;以及
将所述调制后分类特征图通过分类器以得到分类结果,所述分类结果用于表示待评估监测点的流量是否异常。
2.根据权利要求1所述的用于计算机网络信息安全的入侵检测方法,其特征在于,所述多尺度邻域特征提取模块,包括:相互并行的第一卷积层和第二卷积层,以及与所述第一卷积层和所述第二卷积层连接的多尺度融合层,其中,所述第一卷积层和所述第二卷积层分别使用具有不同尺度的一维卷积核。
3.根据权利要求2所述的用于计算机网络信息安全的入侵检测方法,其特征在于,所述将所述各个监测点在预定时间段内多个预定时间点的流量数据按照时间维度排列为流量时序向量后通过多尺度邻域特征提取模块以得到多个多尺度流量时序关联特征向量,包括:
使用所述多尺度邻域特征提取模块的第一卷积层以具有第一尺度的一维卷积核对所述流量时序向量进行一维卷积编码以得到第一尺度流量时序关联特征向量;
使用所述多尺度邻域特征提取模块的第二卷积层以具有第二尺度的一维卷积核对所述流量时序向量进行一维卷积编码以得到第二尺度流量时序关联特征向量;以及
使用所述多尺度邻域特征提取模块的多尺度融合层将所述第一尺度流量时序关联特征向量和所述第二尺度流量时序关联特征向量进行级联以得到所述多尺度流量时序关联特征向量。
4.根据权利要求3所述的用于计算机网络信息安全的入侵检测方法,其特征在于,
所述使用所述多尺度邻域特征提取模块的第一卷积层以具有第一尺度的一维卷积核对所述流量时序向量进行一维卷积编码以得到第一尺度流量时序关联特征向量,包括:使用所述多尺度邻域特征提取模块的第一卷积层以如下公式对所述流量时序向量进行一维卷积编码以得到第一尺度流量时序关联特征向量;
其中,所述公式为:
其中,a为第一卷积核在x方向上的宽度、为第一卷积核参数向量、为与卷积核函数运算的局部向量矩阵,w为第一卷积核的尺寸,X表示所述流量时序向量,表示所述第一尺度流量时序关联特征向量;
所述使用所述多尺度邻域特征提取模块的第二卷积层以具有第二尺度的一维卷积核对所述流量时序向量进行一维卷积编码以得到第二尺度流量时序关联特征向量,包括:使用所述多尺度邻域特征提取模块的第二卷积层以如下公式对所述流量时序向量进行一维卷积编码以得到第二尺度流量时序关联特征向量;
其中,所述公式为:
其中,b为第二卷积核在x方向上的宽度、为第二卷积核参数向量、为与卷积核函数运算的局部向量矩阵,m为第二卷积核的尺寸,X表示所述流量时序向量,表示所述第二尺度流量时序关联特征向量。
5.根据权利要求4所述的用于计算机网络信息安全的入侵检测方法,其特征在于,所述协方差矩阵中各个位置的值为所述待评估监测点的多尺度流量时序关联特征向量与另一所述多尺度流量时序关联特征向量中相应位置的特征值之间的方差。
6.根据权利要求5所述的用于计算机网络信息安全的入侵检测方法,其特征在于,所述将所述多个协方差矩阵沿着通道维度聚合为三维输入张量后通过作为特征提取器的卷积神经网络模型以得到分类特征图,包括:
使用所述卷积神经网络模型的各层在层的正向传递中分别进行:
对输入数据进行卷积处理以得到卷积特征图;
对所述卷积特征图进行基于局部特征矩阵的均值池化以得到池化特征图;以及
对所述池化特征图进行非线性激活以得到激活特征图;
其中,所述卷积神经网络模型的最后一层的输出为所述分类特征图,所述卷积神经网络模型的第一层的输入为所述三维输入张量。
7.根据权利要求6所述的用于计算机网络信息安全的入侵检测方法,其特征在于,所述对所述分类特征图进行特征分布调制以得到调制后分类特征图,包括:
以如下公式对所述分类特征图进行特征分布调制以得到所述调制后分类特征图;
其中,所述公式为:
其中是所述分类特征图的预定特征值,是所述分类特征图的所述预定特征值以外的其它特征值,是所述分类特征图的所有特征值的均值,且是所述分类特征图的尺度,表示数值的指数运算,所述数值的指数运算表示以所述数值为幂的自然指数函数值,是所述调制后分类特征图的预定特征值。
8.根据权利要求7所述的用于计算机网络信息安全的入侵检测方法,其特征在于,所述将所述调制后分类特征图通过分类器以得到分类结果,所述分类结果用于表示待评估监测点的流量是否异常,包括:
将所述调制后分类特征图中各个调制后分类特征矩阵分别按照行向量或者列向量展开为一维特征向量后进行级联以得到分类特征向量;
使用所述分类器的全连接层对所述分类特征向量进行全连接编码以得到编码分类特征向量;以及
将所述编码分类特征向量输入所述分类器的Softmax分类函数以得到所述分类结果。
9.一种用于计算机网络信息安全的入侵检测系统,其特征在于,包括:
流量监控模块,用于获取待检测计算机网络中各个监测点在预定时间段内多个预定时间点的流量数据;
多尺度邻域编码模块,用于将所述各个监测点在预定时间段内多个预定时间点的流量数据按照时间维度排列为流量时序向量后通过多尺度邻域特征提取模块以得到多个多尺度流量时序关联特征向量;
待评估监测点特征提取模块,用于从所述多个多尺度流量时序关联特征向量提取待评估监测点的多尺度流量时序关联特征向量;
协方差模块,用于计算所述待评估监测点的多尺度流量时序关联特征向量与其他所述多尺度流量时序关联特征向量之间的协方差矩阵以得到多个协方差矩阵;
聚合与特征提取模块,用于将所述多个协方差矩阵沿着通道维度聚合为三维输入张量后通过作为特征提取器的卷积神经网络模型以得到分类特征图;
特征分布调制模块,用于对所述分类特征图进行特征分布调制以得到调制后分类特征图;以及
检测结果生成模块,用于将所述调制后分类特征图通过分类器以得到分类结果,所述分类结果用于表示待评估监测点的流量是否异常。
10.根据权利要求9所述的用于计算机网络信息安全的入侵检测系统,其特征在于,所述多尺度邻域特征提取模块,包括:相互并行的第一卷积层和第二卷积层,以及与所述第一卷积层和所述第二卷积层连接的多尺度融合层,其中,所述第一卷积层和所述第二卷积层分别使用具有不同尺度的一维卷积核。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211653609.XA CN116015837A (zh) | 2022-12-22 | 2022-12-22 | 用于计算机网络信息安全的入侵检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211653609.XA CN116015837A (zh) | 2022-12-22 | 2022-12-22 | 用于计算机网络信息安全的入侵检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116015837A true CN116015837A (zh) | 2023-04-25 |
Family
ID=86026066
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211653609.XA Withdrawn CN116015837A (zh) | 2022-12-22 | 2022-12-22 | 用于计算机网络信息安全的入侵检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116015837A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116562760A (zh) * | 2023-05-09 | 2023-08-08 | 杭州君方科技有限公司 | 纺织化纤供应链监管方法及其系统 |
| CN116684878A (zh) * | 2023-07-10 | 2023-09-01 | 北京中科网芯科技有限公司 | 一种5g信息传输数据安全监测系统 |
| CN116781430A (zh) * | 2023-08-24 | 2023-09-19 | 克拉玛依市燃气有限责任公司 | 用于燃气管网的网络信息安全系统及其方法 |
| CN117041017A (zh) * | 2023-10-08 | 2023-11-10 | 北京金信润天信息技术股份有限公司 | 数据中心的智能运维管理方法及系统 |
| CN117134958A (zh) * | 2023-08-23 | 2023-11-28 | 台州市云谷信息技术有限公司 | 用于网络技术服务的信息处理方法及系统 |
| CN117155706A (zh) * | 2023-10-30 | 2023-12-01 | 北京中科网芯科技有限公司 | 网络异常行为检测方法及其系统 |
-
2022
- 2022-12-22 CN CN202211653609.XA patent/CN116015837A/zh not_active Withdrawn
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116562760A (zh) * | 2023-05-09 | 2023-08-08 | 杭州君方科技有限公司 | 纺织化纤供应链监管方法及其系统 |
| CN116562760B (zh) * | 2023-05-09 | 2024-04-26 | 杭州君方科技有限公司 | 纺织化纤供应链监管方法及其系统 |
| CN116684878A (zh) * | 2023-07-10 | 2023-09-01 | 北京中科网芯科技有限公司 | 一种5g信息传输数据安全监测系统 |
| CN116684878B (zh) * | 2023-07-10 | 2024-01-30 | 北京中科网芯科技有限公司 | 一种5g信息传输数据安全监测系统 |
| CN117134958A (zh) * | 2023-08-23 | 2023-11-28 | 台州市云谷信息技术有限公司 | 用于网络技术服务的信息处理方法及系统 |
| CN116781430A (zh) * | 2023-08-24 | 2023-09-19 | 克拉玛依市燃气有限责任公司 | 用于燃气管网的网络信息安全系统及其方法 |
| CN116781430B (zh) * | 2023-08-24 | 2023-12-01 | 克拉玛依市燃气有限责任公司 | 用于燃气管网的网络信息安全系统及其方法 |
| CN117041017A (zh) * | 2023-10-08 | 2023-11-10 | 北京金信润天信息技术股份有限公司 | 数据中心的智能运维管理方法及系统 |
| CN117041017B (zh) * | 2023-10-08 | 2024-01-05 | 北京金信润天信息技术股份有限公司 | 数据中心的智能运维管理方法及系统 |
| CN117155706A (zh) * | 2023-10-30 | 2023-12-01 | 北京中科网芯科技有限公司 | 网络异常行为检测方法及其系统 |
| CN117155706B (zh) * | 2023-10-30 | 2024-02-13 | 北京中科网芯科技有限公司 | 网络异常行为检测方法及其系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN116015837A (zh) | 用于计算机网络信息安全的入侵检测方法及系统 | |
| CN115203380B (zh) | 基于多模态数据融合的文本处理系统及其方法 | |
| CN115796173B (zh) | 针对监管报送需求的数据处理方法和系统 | |
| CN110929622A (zh) | 视频分类方法、模型训练方法、装置、设备及存储介质 | |
| CN115783923B (zh) | 基于大数据的电梯故障模式识别系统 | |
| CN116247824B (zh) | 电力设备的控制方法及其系统 | |
| CN115759658B (zh) | 适用于智慧城市的企业能耗数据管理系统 | |
| CN116257406A (zh) | 用于智慧城市的网关数据管理方法及其系统 | |
| CN115834433B (zh) | 基于物联网技术的数据处理方法及系统 | |
| CN115827257B (zh) | 用于处理器体系的cpu容量预测方法及其系统 | |
| CN116759053A (zh) | 基于物联网系统的医疗体系防控方法及系统 | |
| CN117077075A (zh) | 用于环境保护的水质监测系统及其方法 | |
| CN115471216B (zh) | 智慧实验室管理平台的数据管理方法 | |
| CN116579618B (zh) | 基于风险管理的数据处理方法、装置、设备及存储介质 | |
| CN115731513B (zh) | 基于数字孪生的智慧园区管理系统 | |
| CN116151845A (zh) | 基于工业物联网技术的产品全生命周期管理系统及其方法 | |
| CN116797533B (zh) | 电源适配器的外观缺陷检测方法及其系统 | |
| CN116285481A (zh) | 涂料的生产加工方法及其系统 | |
| CN116311005A (zh) | 一种用于运动图像处理装置、方法及存储介质 | |
| CN115511890A (zh) | 异型网络接口大流量数据的分析系统 | |
| CN116844088A (zh) | 在线除尘器控制系统及其方法 | |
| CN116624977B (zh) | 一种基于人工智能的楼宇自控系统及其方法 | |
| CN117421655A (zh) | 工业互联网数据流异常检测方法及系统 | |
| CN116467485B (zh) | 一种视频图像检索构建系统及其方法 | |
| CN117274926A (zh) | 交通信号设备的控制方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20230425 |