CN116112288B - 网络入侵检测方法、装置、电子设备和可读存储介质 - Google Patents
网络入侵检测方法、装置、电子设备和可读存储介质 Download PDFInfo
- Publication number
- CN116112288B CN116112288B CN202310365470.7A CN202310365470A CN116112288B CN 116112288 B CN116112288 B CN 116112288B CN 202310365470 A CN202310365470 A CN 202310365470A CN 116112288 B CN116112288 B CN 116112288B
- Authority
- CN
- China
- Prior art keywords
- sample
- samples
- sample set
- feature
- characteristic information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 49
- 238000000605 extraction Methods 0.000 claims abstract description 109
- 238000000034 method Methods 0.000 claims abstract description 43
- 238000012545 processing Methods 0.000 claims abstract description 41
- 125000004122 cyclic group Chemical group 0.000 claims abstract description 23
- 239000011159 matrix material Substances 0.000 claims description 39
- 238000012549 training Methods 0.000 claims description 19
- 238000012216 screening Methods 0.000 claims description 12
- 230000006870 function Effects 0.000 claims description 10
- 238000011176 pooling Methods 0.000 claims description 7
- 230000004913 activation Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 2
- 239000000523 sample Substances 0.000 description 238
- 238000013527 convolutional neural network Methods 0.000 description 12
- 230000002159 abnormal effect Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 6
- 238000003672 processing method Methods 0.000 description 6
- 230000003993 interaction Effects 0.000 description 5
- 239000004973 liquid crystal related substance Substances 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- NAWXUBYGYWOOIX-SFHVURJKSA-N (2s)-2-[[4-[2-(2,4-diaminoquinazolin-6-yl)ethyl]benzoyl]amino]-4-methylidenepentanedioic acid Chemical compound C1=CC2=NC(N)=NC(N)=C2C=C1CCC1=CC=C(C(=O)N[C@@H](CC(=C)C(O)=O)C(O)=O)C=C1 NAWXUBYGYWOOIX-SFHVURJKSA-N 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000004821 distillation Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Biophysics (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Image Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种网络入侵检测方法、装置、电子设备和可读存储介质,涉及系统安全领域,所述方法包括:获取待检测流量数据;提取所述待检测流量数据的第一特征信息;利用预先训练的特征提取模型提取所述第一特征信息中的第二特征信息,所述特征提取模型为多头自注意力网络模型;利用所述特征提取模型对所述第二特征信息进行循环处理,直至满足循环退出条件时得到第三特征信息;在每一轮循环中,所述特征提取模型的输入数据为上一轮的输出数据;对所述第三特征信息进行分类检测,得到所述待检测流量数据的检测结果。通过上述方法,可以有效提高流量数据分类的准确性,降低网络入侵带来的风险。
Description
技术领域
本申请涉及系统安全领域,尤其涉及一种网络入侵检测方法、装置、电子设备和可读存储介质。
背景技术
随着信息化、数字化的迅猛发展,以云计算为代表的新兴技术产业正备受关注,尽管云计算有着诸多优势,但其一直面临着网络安全问题带来的重大挑战,尤其是异常的流量数据更会导致网络入侵的风险大大提高。
在相关技术中,通常利用卷积神经网络(Convolutional Neural Network,CNN)对网络上的流量数据进行特征提取,进而通过分类识别流量数据是否存在异常。
但是,与其他数据如图像、语音数据不同,由于流量数据的特征比较稀疏,在流量数据序列较长的情况下,基于CNN的流量数据特征在学习流量序列间的依赖关系方面有所欠缺,因此基于CNN的网络检测方法在对检测网络中的流量数据进行分类检测时准确率较低,导致异常流量数据所带来的网络入侵风险较高。
发明内容
本申请实施例提供一种网络入侵检测方法、装置、电子设备和可读存储介质,可以提高对异常流量数据分类的准确性,降低网络入侵带来的风险。
第一方面,本申请实施例提供了一种网络入侵检测方法,所述方法包括:
获取待检测流量数据;
提取所述待检测流量数据的第一特征信息;
利用预先训练的特征提取模型提取所述第一特征信息中的第二特征信息,所述特征提取模型为多头自注意力网络模型;
利用所述特征提取模型对所述第二特征信息进行循环处理,直至满足循环退出条件时得到第三特征信息;在每一轮循环中,所述特征提取模型的输入数据为上一轮的输出数据;
对所述第三特征信息进行分类检测,得到所述待检测流量数据的检测结果。
可选地,所述第一特征信息中包括至少一个第一特征矩阵;
所述利用预先训练的特征提取模型提取所述第一特征信息中的第二特征信息,包括:
计算所述第一特征矩阵的稀疏度;
基于所述第一特征矩阵的稀疏度,按照预设的稀疏度阈值从所述至少一个第一特征矩阵中筛选出N个连续的第一特征矩阵;
利用预先训练的特征提取模型提取所述N个连续的第一特征矩阵中的第二特征信息;
其中,所述稀疏度表示为:
,
其中,M表示所述第一特征信息中第i个第一特征矩阵qi的稀疏度,LK表示所述第一特征信息中第一特征矩阵的个数,kj表示所述第一特征信息中第j个第一特征矩阵,表示比例因子系数,T表示矩阵转置。
可选地,所述利用所述特征提取模型对所述第二特征信息进行循环处理,直至满足循环退出条件时得到第三特征信息,包括:
对所述第二特征信息进行特征提取,得到所述待检测流量数据的第四特征信息;
利用所述特征提取模型对所述第四特征信息进行循环处理,直至满足循环退出条件时得到第三特征信息;
其中,所述第四特征信息表示为:
,
F表示所述第四特征信息,S表示所述第二特征信息;Convld表示一维卷积处理,ELU表示激活函数,MaxPool表示最大池化处理。
可选地,所述利用预先训练的特征提取模型提取所述第一特征信息中的第二特征信息之前,所述方法还包括:
获取初始样本集,所述初始样本集包括多数类样本和少数类样本,所述少数类样本构成平衡样本集;
从所述少数类样本中抽取一个第一样本;
从所述少数类样本中确定与所述第一样本的欧氏距离最近的第二样本;
根据所述第一样本和所述第二样本构成的超球面中包含的多数类样本的样本数量调整所述平衡样本集;
若所述平衡样本集中的样本数与所述多数类样本的样本数满足预设比例,则基于所述平衡样本集和所述多数类样本生成最终样本集;
基于所述最终样本集对多头自注意力网络模型进行迭代训练,得到待检测数据的特征提取模型。
可选地,所述方法还包括:
若所述平衡样本集中的样本数与所述多数类样本的样本数不满足所述预设比例,则从所述少数类样本中重新抽取第一样本,并基于重新抽取的第一样本重新调整所述平衡样本集,其中,每个少数类样本只能被抽取一次。
可选地,所述根据所述第一样本和所述第二样本构成的超球面中包含的多数类样本的样本数量调整所述平衡样本集,包括:
基于所述第一样本和所述第二样本构建第一超球面;
将位于所述第一超球面所构成的空间中的多数类样本添加到第一样本集中;
若所述第一样本集为空集,则在所述第一超球面所构成的空间中生成一个第三样本,并将所述第三样本添加到所述平衡样本集中。
可选地,所述方法还包括:
若所述第一样本集不为空集,则从所述第一样本集中确定与所述第一样本的欧氏距离最近的第四样本;
基于所述第一样本和所述第四样本构建第二超球面;
根据位于所述第二超球面所构成的空间中的多数类样本重新确定第一样本集中。
可选地,所述第三样本满足以下条件:
,
其中,xsyn表示第三样本在欧式空间中的坐标,xi表示第一样本在欧式空间中的坐标,xk表示第二样本在欧式空间中的坐标;r表示所述第一超球面的半径;,/>。
可选地,所述若所述平衡样本集中的样本数与所述多数类样本的样本数满足预设比例,则基于所述平衡样本集和所述多数类样本生成最终样本集,包括:
若所述平衡样本集中的样本数与所述多数类样本的样本数满足预设比例,确定每个多数类样本所分别对应的第二样本集,所述第二样本集中包括在所述初始样本集中距离单个多数类样本最近的B个样本,其中,B为预设的整数;
根据所述第二样本集,从所述多数类样本中筛选安全样本,其中,所述安全样本所对应的B个样本中没有少数类样本;
基于所述安全样本和所述平衡样本集生成最终样本集。
第二方面,本申请实施例提供了一种网络入侵检测装置,所述装置包括:
流量数据获取模块,用于获取待检测流量数据;
第一特征信息提取模块,用于提取所述待检测流量数据的第一特征信息;
第二特征信息提取模块,用于利用预先训练的特征提取模型提取所述第一特征信息中的第二特征信息,所述特征提取模型为多头自注意力网络模型;
第三特征信息提取模块,用于利用所述特征提取模型对所述第二特征信息进行循环处理,直至满足循环退出条件时得到第三特征信息;在每一轮循环中,所述特征提取模型的输入数据为上一轮的输出数据;
分类模块,用于对所述第三特征信息进行分类检测,得到所述待检测流量数据的检测结果。
第三方面,本申请实施例提供一种电子设备,包括:处理器和存储器,所述处理器执行存储在所述存储器中的计算机程序,实现如第一方面所述的网络入侵检测方法。
第四方面,本申请实施例提供一种可读存储介质,所述可读存储介质中存储有计算机指令,所述计算机指令被处理器执行时实现如第一方面所述的网络入侵检测方法。
本申请实施例包括以下优点:
综上所述,本申请实施例提供了一种网络入侵检测方法。在获取待检测流量数据之后,提取所述待检测流量数据的第一特征信息,利用预先训练的基于多头自注意力网络的特征提取模型提取所述第一特征信息中的第二特征信息,利用所述特征提取模型对所述第二特征信息进行循环处理,直至满足循环退出条件时得到第三特征信息;在每一轮循环中,所述特征提取模型的输入数据为上一轮的输出数据;对所述第三特征信息进行分类检测,得到所述待检测流量数据的检测结果。在利用卷积神经网络提取流量数据局部特征的基础上,利用基于多头自注意力网络的特征提取模型可以有效学习到流量数据的依赖关系特征,而进一步基于该特征提取模型对第二特征信息的循环处理更可以提高依赖关系特征提取的准确性,从而可以有效提高流量数据分类检测的准确性,进而精确识别出网络流量数据中的异常流量,降低网络入侵带来的风险。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出了本申请实施例提供的一种网络入侵检测方法的流程图;
图2示出了本申请实施例提供的一种局部特征提取模型的架构图;
图3示出了本申请实施例提供的一种特征提取模型的架构图;
图4示出了本申请实施例提供的一种循环处理架构图;
图5示出了本申请实施例提供的一种样本处理方法的流程图;
图6示出了本申请实施例提供的一种特征提取模型的训练流程图;
图7示出了本申请实施例提供的另一种数据处理方法的流程图
图8示出了本申请实施例提供的一种网络入侵检测装置的结构框图;
图9示出了本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。并且,需要说明的是,本申请实施例中获取各种数据相关过程,都是在遵照所在地国家相应的数据保护法规政策的前提下,并获得由相应装置所有者给予授权的情况下进行的。
参照图1所示的本申请实施例提供的一种网络入侵检测方法的流程图,具体可以包括如下步骤:
步骤101、获取待检测流量数据。
流量数据是指网络中用于交互的传输数据。数据在交互过程中,异常的数据往往会导致网络入侵的风险大大提高,因此在进行数据交互过程中,首先需要对传输的数据进行检测,防止获取到异常的数据对本地网络的造成损害,对于获取流量数据的具体方式本申请不作限定。
步骤102、提取所述待检测流量数据的第一特征信息。
其中,第一特征信息是指待检测流量数据的局部特征信息。卷积神经网络、先检测后描述(detect-then-describe)等方法均可以用于提取局部特征,本申请对此不做限定。在本申请实施例中,利用基于卷积神经网络的局部特征提取模型提取第一特征信息。
考虑到流量数据的特征比较稀疏,为了便于后续模型的检测,可以对其进行编码。在本申请实施例中使用嵌入(embedding)技术来对流量数据进行编码,可以对流量数据进行向量化表示。通过嵌入,待检测流量数据可以被表示为:
,(1)
其中,i表示待检测流量数据所包含的字节数,n表示嵌入向量的维度,ei表示第i个字节数据被编码后形成的向量。
参照图2所示的本申请实施例提供的一种局部特征提取模型的架构图,在本申请实施例中,局部特征提取模型包含两个卷积层和两个池化层,以及一个全连接层。卷积层的输入是待检测流量数据编码后的矩阵,其经过卷积层处理后可以得到以下结果:
,(2)
其中,hj是第j层的特征图,j=1,2,3…n。bj是第j层的偏置系数,是卷积运算操作,f(x)是激活函数,本模型采用线性整流单元(ReLU)。为了缩小特征图的大小以及避免过拟合问题,因此在卷积层输出后,紧接着将其输入到池化层,表示为:
,(3)
基于CNN的局部特征提取模型可以准确地提取待检测流量数据的局部特征,可以为后续学习流量序列的依赖关系提供良好的数据基础。
步骤103、利用预先训练的特征提取模型提取所述第一特征信息中的第二特征信息,所述特征提取模型为多头自注意力网络模型。
参照图3所示的本申请实施例提供的一种特征提取模型的架构图,在本申请实施例中,采用基于多头自注意力机制的特征提取模型学习待检测流量数据的依赖关系特征即第二特征信息,具体可以通过点积注意力机制计算注意力,其中,多头即heads用于表示自注意力计算的多个注意力头,Q(Query),K(Key),V(Value)分别代表查询,键,值,归一化指数函数是指softmax函数。在本申请实施例中,特征提取模型的输入Q、K、V可以均为步骤102得到的待检测数据的第一特征信息,也可以对第一特征信息进行特征增强、卷积等处理后再分别作为Q、K、V,本申请对此不作限定。
在将第一特征信息输入多头自注意力网络后,可以按照如下公式计算多头自注意力网络的Multi-head Attention :
,(4)
,(5)
,(6)
其中,表示通过点积自注意力(Scaled Dot-Product Attention)方式计算注意力分数时的比例因子系数;Hi代表多头注意力中第i个头的注意力计算结果,则分别为对应于Q、K、V的转换矩阵,可以进行预先设置或通过预先训练得到;Concat()表示多个注意力头之间的连接函数,/>表示计算Multihead(Q,K,V)的参数矩阵;Multihead(Q,K,V)表示多头自注意力网络的注意力计算结果,即第二特征信息。
利用在自注意力网络基础上利用多头自注意力网络构建特征提取模型,不仅可以充分学习流量序列的依赖关系特征,还可以改善常规的单头注意力单一计算的局限性,多头注意力的计算结果相互佐证,可以有效提高提取流量数据序列的依赖关系特征的准确率,从而提高对于异常流量数据识别的准确性,增强网络安全。
步骤104、利用所述特征提取模型对所述第二特征信息进行循环处理,直至满足循环退出条件时得到第三特征信息;在每一轮循环中,所述特征提取模型的输入数据为上一轮的输出数据。
考虑到流量数据间的复杂关系以及流量数据特征的稀疏性,为了提取流量数据更深层的序列特征,在本申请实施例中,通过堆叠自注意力块(self-attention blocks)基于第二特征信息进行进一步提取待检测流浪数据的第三特征信息。
参照图4所示的本申请实施例提供的一种循环处理架构图,其中,自注意力模型用于表示步骤103所述基于多头自注意力的特征提取模型,残差相加归一化表示add&norm的处理过程,用于防止由于深度所导致的模型退化问题,保证循环处理的效率不受影响。
在本申请实施例中,利用步骤103所述的特征提取模型对第二特征信息进行循环处理,即将第二特征信息继续输入特征提取模型进行循环处理,在每一轮循环中,特征提取模型的输入数据为上一轮的输出数据,直到满足循环退出条件时停止输入特征提取模型,最后将Z个自注意力块输出的特征信息经过前馈神经网络处理后,输出第三特征信息。
其中,Z为整数;循环退出条件可以为预先设定的Z次特征提取模型循环,即Z个自注意力块,也可以指第三特征信息达到了某种条件,本申请对此不作限定。
步骤105、对所述第三特征信息进行分类检测,得到所述待检测流量数据的检测结果。
在本申请中,可以利用softmax函数来输出流量类别的概率:
,(7)
其中,F表示第三特征信息,σ为softmax函数,它可以将前面第三特征信息转换为0-1之间的概率值;P是输出的概率矩阵,用于表示待检测流量数据被识别为对应类型流量的概率,例如当P=[0.6,0.2,0.1,0.05,0.05],对应的流量类型列表为[Nromal,Dos,R2L,Probe,U2R]时,则表示输入的流量被识别为Normal的概率为0.6,Dos的概率为0.2,R2L的概率为0.1,Probe的概率为0.05,U2R的概率为0.05。当P中元素数据越大时,被识别为该类型流量的可能性就越大,例如上述P中最大的是0.6,对应的流量类型是Normal,那么可以认为待检测流量数据是正常的流量;若Dos的概率为0.7,则说明待检测流量数据为拒绝服务攻击流量数据,为异常流量数据。
通过上述方法,在利用卷积神经网络提取流量数据局部特征的基础上,利用基于多头自注意力网络的特征提取模型可以有效学习到流量数据的依赖关系特征,而基于该特征提取模型对第二特征信息的循环处理更可以提高依赖关系特征提取的准确性,从而可以有效提高流量数据分类的准确性,进而精确识别出网络流量数据中的异常流量,降低网络入侵带来的风险。
可选地,所述第一特征信息中包括至少一个第一特征矩阵;
步骤103所述利用预先训练的特征提取模型提取所述第一特征信息中的第二特征信息,包括:
步骤S11、计算所述第一特征矩阵的稀疏度;
步骤S12、基于所述第一特征矩阵的稀疏度,按照预设的稀疏度阈值从所述至少一个第一特征矩阵中筛选出N个连续的第一特征矩阵;
步骤S13、利用预先训练的特征提取模型提取所述N个连续的第一特征矩阵中的第二特征信息;
其中,所述稀疏度表示为:
,(8)
其中,M表示所述第一特征信息中第i个第一特征矩阵qi的稀疏度,LK表示所述第一特征信息中第一特征矩阵的个数,kj表示所述第一特征信息中第j个第一特征矩阵,表示比例因子系数,T表示矩阵转置。
考虑到Self-attention的概率分布具有潜在的稀疏性,可以基于KL散度度量第一特征信息中特征矩阵的稀疏性,再基于预设的稀疏度阈值筛选N个连续的第一特征矩阵作为步骤103的输入,即改进后的Self-attention的计算公式可以为:
,(9)
其中,为经过评估函数/>计算出来的N个连续的第一特征矩阵。
在保证了能够充分学习到待检测流量数据的依赖关系特征的基础上,改进后的Self-attention机制降低了时间复杂度和内存开销,提高了特征提取效率。
可选地,步骤104所述利用所述特征提取模型对所述第二特征信息进行循环处理,直至满足循环退出条件时得到第三特征信息,包括:
步骤S21、对所述第二特征信息进行特征提取,得到所述待检测流量数据的第四特征信息;
步骤S22、利用所述特征提取模型对所述第四特征信息进行循环处理,直至满足循环退出条件时得到第三特征信息;
其中,所述第四特征信息表示为:
,(10)
F表示所述第四特征信息,S表示所述第二特征信息;Convld表示一维卷积处理,ELU表示激活函数,MaxPool表示最大池化处理。
在本申请实施例中,将第二特征信息进行了“蒸馏”操作,即对第二特征信息一维卷积、激活处理和最大池化操作,有助于提取流量数据更深层的序列特征,并减少内存的使用。
可选地,步骤103所述利用预先训练的特征提取模型提取所述第一特征信息中的第二特征信息之前,所述方法还包括:
步骤S31、获取初始样本集,所述初始样本集包括多数类样本和少数类样本,所述少数类样本构成平衡样本集;
步骤S32、从所述少数类样本中抽取一个第一样本;
步骤S33、从所述少数类样本中确定与所述第一样本的欧氏距离最近的第二样本;
步骤S34、根据所述第一样本和所述第二样本构成的超球面中包含的多数类样本的样本数量调整所述平衡样本集;
步骤S35、若所述平衡样本集中的样本数与所述多数类样本的样本数满足预设比例,则基于所述平衡样本集和所述多数类样本生成最终样本集;
步骤S36、基于所述最终样本集对多头自注意力网络模型进行迭代训练,得到待检测数据的特征提取模型。
网络流量数据通常是由多数的正常流量和少数的异常流量组成,因此在通过标签过的流量数据训练特征提取模型时,多数类流量数据的预测精度可以得到提高,但少数类的预测精度会很低。
其中,多数类是指样本量大于其他类别的类别,少数类是相较于多数类样本数较少的类别,多数类样本和少数类样本用于描述不同类别之间样本量不平衡的问题。
参照如图5所示的本申请实施例提供的一种样本处理方法的流程图,为了平衡多数类和少数类流量数据通过插值生成新的样本,首先将初始样本集中的样本映射到欧氏空间中,并从少数类样本抽取第一样本,考虑到噪声样本的影响,在本申请实施例中,从少数类样本中确定与第一样本的欧氏距离最近的第二样本,然后以第一样本和第二样本构建第一超球面,具体地,可以以第一样本与第二样本之间的欧氏距离为直径,以第一样本和第二样本连线的中心为圆心构建第一超球面。再在第一超球面构成的空间内进行插值,从而生成新的属于少数类的样本即第三样本。
本申请通过将第三样本添加到包括初始的少数类样本的平衡样本集中,在平衡样本集中的样本数与多数类样本的样本数满足预设比例的情况下,基于所述平衡样本集和所述多数类样本生成最终样本集,最后基于最终样本集对多头自注意力网络模型进行迭代训练,得到待检测数据的特征提取模型。其中,所述预设比例可以根据实际情况确定,本申请不作限定。
参照如图6所示的本申请实施例提供的一种特征提取模型的训练流程图,在对初始样本集进行如图5所示的样本平衡处理后,将最终样本集进行编码、归一化进而得到矩阵形式的最终样本集,可以按照一定比例将样本集划分为训练集和测试集,考虑到在步骤102中,可以利用基于卷积神经网络的局部特征提取模型提取第一特征信息,因此可以利用训练集中的训练样本对步骤102所述的局部特征提取模型和步骤103所述基于自注意力网络的特征提取模型进行统一训练,然后利用测试集中的测试样本对训练好的模型进行测试。
可选地,所述方法还包括:
步骤S37、若所述平衡样本集中的样本数与所述多数类样本的样本数不满足所述预设比例,则从所述少数类样本中重新抽取第一样本,并基于重新抽取的第一样本重新调整所述平衡样本集,其中,每个少数类样本只能被抽取一次。
为了保证新生成的样本分布均匀,在一个超球面内不适合生成过多的新样本即第三样本,因此在本申请实施例中,通过从少数类样本中反复抽取不同的第一样本来构建不同的第一超球面,并在不同的第一超球面内插值生成第三样本,直到平衡样本集中的样本数与多数类样本的样本数满足所述预设比例。
可选地,步骤S34所述根据所述第一样本和所述第二样本构成的超球面中包含的多数类样本的样本数量调整所述平衡样本集,包括:
步骤S41、基于所述第一样本和所述第二样本构建第一超球面;
步骤S42、将位于所述第一超球面所构成的空间中的多数类样本添加到第一样本集中;
步骤S43、若所述第一样本集为空集,则在所述第一超球面所构成的空间中生成一个第三样本,并将所述第三样本添加到所述平衡样本集中。
参照如图7所示的本申请实施例提供的另一种数据处理方法的流程图,其中,D表示初始样本集,D—表示少数类样本,D+表示多数类样本,xi表示第一样本,xk表示第二样本,CS表示第一样本集,C表示第一超球面。
为了保证训练样本的平衡性,确保新生成的第三样本的类别为少数类,那么第一超球面构成的空间中不能落入多数类样本,因此只有在第一超球面所构成的空间中无多数类样本即第一样本集为空集的情况下,可以第一超球面所构成的空间中生成一个第三样本,并将所述第三样本添加到所述平衡样本集中。
可选地,所述方法还包括:
步骤S51、若所述第一样本集不为空集,则从所述第一样本集中确定与所述第一样本的欧氏距离最近的第四样本;
步骤S52、基于所述第一样本和所述第四样本构建第二超球面;
步骤S53、根据位于所述第二超球面所构成的空间中的多数类样本重新确定第一样本集中。
参照如图7所示的本申请实施例提供的另一种数据处理方法的流程图,其中,yp表示第四样本,Cn表示第n个第二超球面,n为整数。
若是第一超球面所构成的空间中存在多数类样本,即第一样本集不为空集,则需要从第一样本集中确定与第一样本的欧氏距离最近的多数类样本即第四样本,再根据第一样本和第四样本构建第二超球面,然后根据第二超球面所构成的空间中的多数类样本重新确定第一样本集,若第一样本集仍然不为空集则继续执行步骤S51-S53,直到第一样本集为空集,从而确保多数类样本不会对新生成的第三样本产生干扰。
可选地,所述第三样本满足以下条件:
,(11)
其中,xsyn表示第三样本在欧式空间中的坐标,xi表示第一样本在欧式空间中的坐标,xk表示第二样本在欧式空间中的坐标;r表示所述第一超球面的半径;,/>。
当然,在如步骤S51-S53所示的情况下,公式(10)中的xk可以替换为内部空间中无多数类样本的第二超球面所对应的第四样本点yp。
为了新生成的第三样本的随机性,在确定了超球面后,可以在超球面内的任意位置生成第三样本,因此,v1,vi,vd均可以为-1到1之间的随机数。
可选地,所述若所述平衡样本集中的样本数与所述多数类样本的样本数满足预设比例,则基于所述平衡样本集和所述多数类样本生成最终样本集,包括:
步骤S61、若所述平衡样本集中的样本数与所述多数类样本的样本数满足预设比例,确定每个多数类样本所分别对应的第二样本集,所述第二样本集中包括在所述初始样本集中距离单个多数类样本最近的B个样本,其中,B为预设的整数;
步骤S62、根据所述第二样本集,从所述多数类样本中筛选安全样本,其中,所述安全样本所对应的B个样本中没有少数类样本;
步骤S63、基于所述安全样本和所述平衡样本集生成最终样本集。
参照如图7所示的本申请实施例提供的另一种数据处理方法的流程图,考虑到多数类样本可能存在噪声样本会对模型训练产生影响,因此,可以利用聚类计算每个多数类样本与初始样本集中其他样本的欧氏距离,并从中确定每个多数类样本所对应的第二样本集,即单个多数类样本所对应的欧氏距离最近的B个样本。
可以根据B个样本的类别构成确定B个样本所对应的多数类样本的属性。具体地,以多数类样本A为例,若A对应的B个样本均属于多数类,则可以确定A为安全样本,可以用于模型训练;若A对应的B个样本均属于少数类,则可以确定A为噪声样本;若A对应的B个样本中既有多数类样本也有少数类样本,那么可以确定A为边界样本。
考虑到边界样本和噪声样本均可能对模型训练造成干扰,所以仅保留安全样本与平衡样本集构成最终样本集,以保证训练样本的可靠性。在本实施例中,平衡样本集的生成方法不限于如图7所示的方法。
综上所述,本申请实施例提供了一种网络入侵检测方法。在获取待检测流量数据之后,提取所述待检测流量数据的第一特征信息,利用预先训练的基于多头自注意力网络的特征提取模型提取所述第一特征信息中的第二特征信息,利用所述特征提取模型对所述第二特征信息进行循环处理,直至满足循环退出条件时得到第三特征信息;在每一轮循环中,所述特征提取模型的输入数据为上一轮的输出数据;对所述第三特征信息进行分类检测,得到所述待检测流量数据的检测结果。在利用卷积神经网络提取流量数据局部特征的基础上,利用基于多头自注意力网络的特征提取模型可以有效学习到流量数据的依赖关系特征,而进一步基于该特征提取模型对第二特征信息的循环处理更可以提高依赖关系特征提取的准确性,从而可以有效提高流量数据分类的准确性,进而精确识别出网络流量数据中的异常流量,降低网络入侵带来的风险。
参照图8,所示的本申请实施例提供的一种网络入侵检测装置的结构框图,所述装置200可以包括:
流量数据获取模块201,用于获取待检测流量数据;
第一特征信息提取模块202,用于提取所述待检测流量数据的第一特征信息;
第二特征信息提取模块203,用于利用预先训练的特征提取模型提取所述第一特征信息中的第二特征信息,所述特征提取模型为多头自注意力网络模型;
第三特征信息提取模块204,用于利用所述特征提取模型对所述第二特征信息进行循环处理,直至满足循环退出条件时得到第三特征信息;在每一轮循环中,所述特征提取模型的输入数据为上一轮的输出数据;
分类模块205,用于对所述第三特征信息进行分类检测,得到所述待检测流量数据的检测结果。
可选地,所述第一特征信息中包括至少一个第一特征矩阵;
所述第二特征信息提取模块包括:
稀疏度计算子模块,用于计算所述第一特征矩阵的稀疏度;
筛选子模块,用于基于所述第一特征矩阵的稀疏度,按照预设的稀疏度阈值从所述至少一个第一特征矩阵中筛选出N个连续的第一特征矩阵;
第二特征信息提取子模块,用于利用预先训练的特征提取模型提取所述N个连续的第一特征矩阵中的第二特征信息;
其中,所述稀疏度表示为:
,
其中,M表示所述第一特征信息中第i个第一特征矩阵qi的稀疏度,LK表示所述第一特征信息中第一特征矩阵的个数,kj表示所述第一特征信息中第j个第一特征矩阵,表示比例因子系数,T表示矩阵转置。
可选地,所述第三特征信息提取模块,包括:
第四特征信息提取子模块,用于对所述第二特征信息进行特征提取,得到所述待检测流量数据的第四特征信息;
第三特征信息提取子模块,用于利用所述特征提取模型对所述第四特征信息进行循环处理,直至满足循环退出条件时得到第三特征信息;
其中,所述第四特征信息表示为:
,
F表示所述第四特征信息,S表示所述第二特征信息;Convld表示一维卷积处理,ELU表示激活函数,MaxPool表示最大池化处理。
可选地,所述装置还可以包括:
初始样本集获取模块,用于在利用预先训练的特征提取模型提取所述第一特征信息中的第二特征信息之前,获取初始样本集,所述初始样本集包括多数类样本和少数类样本,所述少数类样本构成平衡样本集;
样本抽取模块,用于从所述少数类样本中抽取一个第一样本;
第二样本确定模块,用于从所述少数类样本中确定与所述第一样本的欧氏距离最近的第二样本;
平衡样本集调整模块,用于根据所述第一样本和所述第二样本构成的超球面中包含的多数类样本的样本数量调整所述平衡样本集;
最终样本集生成模块,用于若所述平衡样本集中的样本数与所述多数类样本的样本数满足预设比例,则基于所述平衡样本集和所述多数类样本生成最终样本集;
训练模块,用于基于所述最终样本集对多头自注意力网络模型进行迭代训练,得到待检测数据的特征提取模型。
可选地,所述装置还可以包括:
第一循环模块,用于若所述平衡样本集中的样本数与所述多数类样本的样本数不满足所述预设比例,则从所述少数类样本中重新抽取第一样本,并基于重新抽取的第一样本重新调整所述平衡样本集,其中,每个少数类样本只能被抽取一次。
可选地,所述平衡样本集调整模块,可以包括:
第一超球面构建子模块,用于基于所述第一样本和所述第二样本构建第一超球面;
第一样本集更新子模块,用于将位于所述第一超球面所构成的空间中的多数类样本添加到第一样本集中;
第三样本生成子模块,用于若所述第一样本集为空集,则在所述第一超球面所构成的空间中生成一个第三样本,并将所述第三样本添加到所述平衡样本集中。
可选地,所述平衡样本集调整模块,还可以包括
第四样本确定子模块,用于若所述第一样本集不为空集,则从所述第一样本集中确定与所述第一样本的欧氏距离最近的第四样本;
第二超球面构建子模块,用于基于所述第一样本和所述第四样本构建第二超球面;
第二循环子模块,用于根据位于所述第二超球面所构成的空间中的多数类样本重新确定第一样本集中。
可选地,所述第三样本满足以下条件:
,
其中,xsyn表示第三样本在欧式空间中的坐标,xi表示第一样本在欧式空间中的坐标,xk表示第二样本在欧式空间中的坐标;r表示所述第一超球面的半径;,/>。
可选地,所述最终样本集生成模块,可以包括:
第二样本集确定子模块,用于若所述平衡样本集中的样本数与所述多数类样本的样本数满足预设比例,确定每个多数类样本所分别对应的第二样本集,所述第二样本集中包括在所述初始样本集中距离单个多数类样本最近的B个样本,其中,B为预设的整数;
安全样本筛选子模块,用于根据所述第二样本集,从所述多数类样本中筛选安全样本,其中,所述安全样本所对应的B个样本中没有少数类样本;
最终样本集生成子模块,用于基于所述安全样本和所述平衡样本集生成最终样本集。
参照图9,电子设备700可以包括以下一个或多个组件:处理组件702,存储器704,电源组件706,多媒体组件708,音频组件710,输入/输出(I/ O)的接口712,传感器组件714,以及通信组件716。
处理组件702通常控制电子设备700的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理元件702可以包括一个或多个处理器720来执行指令,以完成上述的网络入侵检测方法的全部或部分步骤。此外,处理组件702可以包括一个或多个模块,便于处理组件702和其他组件之间的交互。例如,处理组件702可以包括多媒体模块,以方便多媒体组件708和处理组件702之间的交互。
存储器704被配置为存储各种类型的数据以支持在电子设备700的操作。这些数据的示例包括用于在电子设备700上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器704可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件706为电子设备700的各种组件提供电力。电源组件706可以包括电源管理系统,一个或多个电源,及其他与为电子设备700生成、管理和分配电力相关联的组件。
多媒体组件708包括在所述电子设备700和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件708包括一个前置摄像头和/或后置摄像头。当电子设备700处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件710被配置为输出和/或输入音频信号。例如,音频组件710包括一个麦克风(MIC),当电子设备700处于操作模式,如呼叫模式、记录模式和语音信息处理模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器704或经由通信组件716发送。在一些实施例中,音频组件710还包括一个扬声器,用于输出音频信号。
I/ O接口712为处理组件702和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件714包括一个或多个传感器,用于为电子设备700提供各个方面的状态评估。例如,传感器组件714可以检测到电子设备700的打开/关闭状态,组件的相对定位,例如所述组件为装置700的显示器和小键盘,传感器组件714还可以检测电子设备700或电子设备700一个组件的位置改变,用户与电子设备700接触的存在或不存在,电子设备700方位或加速/减速和电子设备700的温度变化。传感器组件714可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件714还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件714还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件716被配置为便于电子设备700和其他设备之间有线或无线方式的通信。电子设备700可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件716经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件716还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频信息处理(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,电子设备700可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述网络入侵检测方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器704,上述指令可由电子设备700的处理器720执行以完成上述网络入侵检测方法。例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
一种非临时性计算机可读存储介质,当所述存储介质中的指令由电子设备(服务器或者终端)的处理器执行时,使得处理器能够执行前文所述的网络入侵检测方法。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性地包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的一种网络入侵检测方法、装置、电子设备和可读存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (13)
1.一种网络入侵检测方法,其特征在于,所述方法包括:
获取初始样本集,所述初始样本集包括多数类样本和少数类样本,所述少数类样本构成平衡样本集;
从所述少数类样本中抽取一个第一样本;
从所述少数类样本中确定与所述第一样本的欧氏距离最近的第二样本;
根据所述第一样本和所述第二样本构成的超球面中包含的多数类样本的样本数量调整所述平衡样本集;
若所述平衡样本集中的样本数与所述多数类样本的样本数满足预设比例,则基于所述平衡样本集和所述多数类样本生成最终样本集;
基于所述最终样本集对多头自注意力网络模型进行迭代训练,得到待检测数据的特征提取模型;
获取待检测流量数据;
提取所述待检测流量数据的第一特征信息;
利用所述特征提取模型提取所述第一特征信息中的第二特征信息,所述特征提取模型为多头自注意力网络模型;
利用所述特征提取模型对所述第二特征信息进行循环处理,直至满足循环退出条件时得到第三特征信息;在每一轮循环中,所述特征提取模型的输入数据为上一轮的输出数据;
对所述第三特征信息进行分类检测,得到所述待检测流量数据的检测结果。
2.根据权利要求1所述的方法,其特征在于,所述第一特征信息中包括至少一个第一特征矩阵;
所述利用预先训练的特征提取模型提取所述第一特征信息中的第二特征信息,包括:
计算所述第一特征矩阵的稀疏度;
基于所述第一特征矩阵的稀疏度,按照预设的稀疏度阈值从所述至少一个第一特征矩阵中筛选出N个连续的第一特征矩阵;
利用预先训练的特征提取模型提取所述N个连续的第一特征矩阵中的第二特征信息;
其中,所述稀疏度表示为:
,
其中,K表示所述第一特征信息,M表示所述第一特征信息中第i个第一特征矩阵qi的稀疏度,LK表示所述第一特征信息中第一特征矩阵的个数,kj表示所述第一特征信息中第j个第一特征矩阵,表示比例因子系数,T表示矩阵转置。
3.根据权利要求1所述的方法,其特征在于,所述利用所述特征提取模型对所述第二特征信息进行循环处理,直至满足循环退出条件时得到第三特征信息,包括:
对所述第二特征信息进行特征提取,得到所述待检测流量数据的第四特征信息;
利用所述特征提取模型对所述第四特征信息进行循环处理,直至满足循环退出条件时得到第三特征信息;
其中,所述第四特征信息表示为:
,
F表示所述第四特征信息,S表示所述第二特征信息;Convld表示一维卷积处理,ELU表示激活函数,MaxPool表示最大池化处理。
4.根据权利要求1所述方法,其特征在于,所述方法还包括:
若所述平衡样本集中的样本数与所述多数类样本的样本数不满足所述预设比例,则从所述少数类样本中重新抽取第一样本,并基于重新抽取的第一样本重新调整所述平衡样本集,其中,每个少数类样本只能被抽取一次。
5.根据权利要求1所述的方法,其特征在于,所述根据所述第一样本和所述第二样本构成的超球面中包含的多数类样本的样本数量调整所述平衡样本集,包括:
基于所述第一样本和所述第二样本构建第一超球面;
将位于所述第一超球面所构成的空间中的多数类样本添加到第一样本集中;
若所述第一样本集为空集,则在所述第一超球面所构成的空间中生成一个第三样本,并将所述第三样本添加到所述平衡样本集中。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
若所述第一样本集不为空集,则从所述第一样本集中确定与所述第一样本的欧氏距离最近的第四样本;
基于所述第一样本和所述第四样本构建第二超球面;
根据位于所述第二超球面所构成的空间中的多数类样本重新确定第一样本集。
7.根据权利要求5所述的方法,其特征在于,所述第三样本满足以下条件:
,
其中,xsyn表示第三样本在欧式空间中的坐标,xi表示第一样本在欧式空间中的坐标,xk表示第二样本在欧式空间中的坐标;r表示所述第一超球面的半径;,/>。
8.根据权利要求1所述的方法,其特征在于,所述若所述平衡样本集中的样本数与所述多数类样本的样本数满足预设比例,则基于所述平衡样本集和所述多数类样本生成最终样本集,包括:
若所述平衡样本集中的样本数与所述多数类样本的样本数满足预设比例,确定每个多数类样本所分别对应的第二样本集,所述第二样本集中包括在所述初始样本集中距离单个多数类样本最近的B个样本,其中,B为预设的整数;
根据所述第二样本集,从所述多数类样本中筛选安全样本,其中,所述安全样本所对应的B个样本中没有少数类样本;
基于所述安全样本和所述平衡样本集生成最终样本集。
9.一种网络入侵检测装置,其特征在于,所述装置包括:
初始样本集获取模块,用于获取初始样本集,所述初始样本集包括多数类样本和少数类样本,所述少数类样本构成平衡样本集;
样本抽取模块,用于从所述少数类样本中抽取一个第一样本;
第二样本确定模块,用于从所述少数类样本中确定与所述第一样本的欧氏距离最近的第二样本;
平衡样本集调整模块,用于根据所述第一样本和所述第二样本构成的超球面中包含的多数类样本的样本数量调整所述平衡样本集;
最终样本集生成模块,用于若所述平衡样本集中的样本数与所述多数类样本的样本数满足预设比例,则基于所述平衡样本集和所述多数类样本生成最终样本集;
训练模块,用于基于所述最终样本集对多头自注意力网络模型进行迭代训练,得到待检测数据的特征提取模型;
流量数据获取模块,用于获取待检测流量数据;
第一特征信息提取模块,用于提取所述待检测流量数据的第一特征信息;
第二特征信息提取模块,用于利用所述特征提取模型提取所述第一特征信息中的第二特征信息,所述特征提取模型为多头自注意力网络模型;
第三特征信息提取模块,用于利用所述特征提取模型对所述第二特征信息进行循环处理,直至满足循环退出条件时得到第三特征信息;在每一轮循环中,所述特征提取模型的输入数据为上一轮的输出数据;
分类模块,用于对所述第三特征信息进行分类检测,得到所述待检测流量数据的检测结果。
10.根据权利要求9所述的装置,其特征在于,所述第一特征信息中包括至少一个第一特征矩阵;
所述第二特征信息提取模块包括:
稀疏度计算子模块,用于计算所述第一特征矩阵的稀疏度;
筛选子模块,用于基于所述第一特征矩阵的稀疏度,按照预设的稀疏度阈值从所述至少一个第一特征矩阵中筛选出N个连续的第一特征矩阵;
第二特征信息提取子模块,用于利用预先训练的特征提取模型提取所述N个连续的第一特征矩阵中的第二特征信息;
其中,所述稀疏度表示为:
,
其中,K表示所述第一特征信息,M表示所述第一特征信息中第i个第一特征矩阵qi的稀疏度,LK表示所述第一特征信息中第一特征矩阵的个数,kj表示所述第一特征信息中第j个第一特征矩阵,表示比例因子系数,T表示矩阵转置。
11.根据权利要求9所述的装置,其特征在于,所述最终样本集生成模块,包括:
第二样本集确定子模块,用于若所述平衡样本集中的样本数与所述多数类样本的样本数满足预设比例,确定每个多数类样本所分别对应的第二样本集,所述第二样本集中包括在所述初始样本集中距离单个多数类样本最近的B个样本,其中,B为预设的整数;
安全样本筛选子模块,用于根据所述第二样本集,从所述多数类样本中筛选安全样本,其中,所述安全样本所对应的B个样本中没有少数类样本;
最终样本集生成子模块,用于基于所述安全样本和所述平衡样本集生成最终样本集。
12.一种电子设备,其特征在于,包括:处理器和存储器,所述处理器执行存储在所述存储器中的计算机程序,实现权利要求1至8中任一项所述的网络入侵检测方法。
13.一种可读存储介质,其特征在于,当所述存储介质中的指令由装置的处理器执行时,使得装置能够执行如方法权利要求1至8中任一所述的网络入侵检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310365470.7A CN116112288B (zh) | 2023-04-07 | 2023-04-07 | 网络入侵检测方法、装置、电子设备和可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310365470.7A CN116112288B (zh) | 2023-04-07 | 2023-04-07 | 网络入侵检测方法、装置、电子设备和可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116112288A CN116112288A (zh) | 2023-05-12 |
CN116112288B true CN116112288B (zh) | 2023-08-04 |
Family
ID=86261851
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310365470.7A Active CN116112288B (zh) | 2023-04-07 | 2023-04-07 | 网络入侵检测方法、装置、电子设备和可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116112288B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109871901A (zh) * | 2019-03-07 | 2019-06-11 | 中南大学 | 一种基于混合采样和机器学习的不平衡数据分类方法 |
CN110875912A (zh) * | 2018-09-03 | 2020-03-10 | 中移(杭州)信息技术有限公司 | 一种基于深度学习的网络入侵检测方法、装置和存储介质 |
CN111160343A (zh) * | 2019-12-31 | 2020-05-15 | 华南理工大学 | 一种基于Self-Attention的离线数学公式符号识别方法 |
CN111651558A (zh) * | 2020-05-09 | 2020-09-11 | 清华大学深圳国际研究生院 | 基于预训练语义模型的超球面协同度量推荐装置和方法 |
CN113542241A (zh) * | 2021-06-30 | 2021-10-22 | 杭州电子科技大学 | 一种基于CNN-BiGRU混合模型的入侵检测方法及装置 |
CN113723440A (zh) * | 2021-06-17 | 2021-11-30 | 北京工业大学 | 一种云平台上加密tls应用流量分类方法及系统 |
CN114048468A (zh) * | 2021-11-19 | 2022-02-15 | 北京天融信网络安全技术有限公司 | 入侵检测的方法、入侵检测模型训练的方法、装置及介质 |
CN114462520A (zh) * | 2022-01-25 | 2022-05-10 | 北京工业大学 | 一种基于流量分类的网络入侵检测方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102046789B1 (ko) * | 2019-04-05 | 2019-11-20 | 호서대학교 산학협력단 | 웹 어플리케이션에 대한 딥러닝 기반의 침입탐지 방법, 시스템 및 컴퓨터 프로그램 |
-
2023
- 2023-04-07 CN CN202310365470.7A patent/CN116112288B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110875912A (zh) * | 2018-09-03 | 2020-03-10 | 中移(杭州)信息技术有限公司 | 一种基于深度学习的网络入侵检测方法、装置和存储介质 |
CN109871901A (zh) * | 2019-03-07 | 2019-06-11 | 中南大学 | 一种基于混合采样和机器学习的不平衡数据分类方法 |
CN111160343A (zh) * | 2019-12-31 | 2020-05-15 | 华南理工大学 | 一种基于Self-Attention的离线数学公式符号识别方法 |
CN111651558A (zh) * | 2020-05-09 | 2020-09-11 | 清华大学深圳国际研究生院 | 基于预训练语义模型的超球面协同度量推荐装置和方法 |
CN113723440A (zh) * | 2021-06-17 | 2021-11-30 | 北京工业大学 | 一种云平台上加密tls应用流量分类方法及系统 |
CN113542241A (zh) * | 2021-06-30 | 2021-10-22 | 杭州电子科技大学 | 一种基于CNN-BiGRU混合模型的入侵检测方法及装置 |
CN114048468A (zh) * | 2021-11-19 | 2022-02-15 | 北京天融信网络安全技术有限公司 | 入侵检测的方法、入侵检测模型训练的方法、装置及介质 |
CN114462520A (zh) * | 2022-01-25 | 2022-05-10 | 北京工业大学 | 一种基于流量分类的网络入侵检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN116112288A (zh) | 2023-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI759722B (zh) | 神經網路訓練方法及裝置、圖像處理方法及裝置、電子設備和計算機可讀存儲介質 | |
CN111612070B (zh) | 基于场景图的图像描述生成方法及装置 | |
CN111583907B (zh) | 信息处理方法、装置及存储介质 | |
CN103038765A (zh) | 用于适配情境模型的方法和装置 | |
CN111259967B (zh) | 图像分类及神经网络训练方法、装置、设备及存储介质 | |
CN112150457A (zh) | 视频检测方法、装置及计算机可读存储介质 | |
CN111583919A (zh) | 信息处理方法、装置及存储介质 | |
CN111814538B (zh) | 目标对象的类别识别方法、装置、电子设备及存储介质 | |
CN111753917A (zh) | 数据处理方法、装置及存储介质 | |
CN111209429B (zh) | 用于度量语音数据库覆盖性的无监督模型训练方法及装置 | |
US11869228B2 (en) | System and a method for generating an image recognition model and classifying an input image | |
CN116112288B (zh) | 网络入侵检测方法、装置、电子设备和可读存储介质 | |
WO2022147692A1 (zh) | 一种语音指令识别方法、电子设备以及非瞬态计算机可读存储介质 | |
CN111538998B (zh) | 文本定密方法和装置、电子设备及计算机可读存储介质 | |
CN111274389B (zh) | 一种信息处理方法、装置、计算机设备及存储介质 | |
CN112328809A (zh) | 实体分类方法、装置及计算机可读存储介质 | |
CN116310633A (zh) | 一种关键点检测模型训练方法及关键点检测方法 | |
CN112884040B (zh) | 训练样本数据的优化方法、系统、存储介质及电子设备 | |
CN115146633A (zh) | 一种关键词识别方法、装置、电子设备及存储介质 | |
CN114338587B (zh) | 一种多媒体数据处理方法、装置、电子设备及存储介质 | |
CN116318908A (zh) | 邮件检测方法、装置、设备、存储介质及产品 | |
CN112036507A (zh) | 图像识别模型的训练方法、装置、存储介质和电子设备 | |
CN116743510A (zh) | 一种检测方法、装置、电子设备、芯片及介质 | |
CN117667969A (zh) | 数据库导出数据行为识别方法、装置、系统、设备及介质 | |
CN117012184A (zh) | 一种语音识别方法和相关装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder |
Address after: 100007 room 205-32, floor 2, building 2, No. 1 and No. 3, qinglonghutong a, Dongcheng District, Beijing Patentee after: Tianyiyun Technology Co.,Ltd. Address before: 100093 Floor 4, Block E, Xishan Yingfu Business Center, Haidian District, Beijing Patentee before: Tianyiyun Technology Co.,Ltd. |
|
CP02 | Change in the address of a patent holder |