CN116232699A - 细粒度网络入侵检测模型的训练方法和网络入侵检测方法 - Google Patents

细粒度网络入侵检测模型的训练方法和网络入侵检测方法 Download PDF

Info

Publication number
CN116232699A
CN116232699A CN202310075526.5A CN202310075526A CN116232699A CN 116232699 A CN116232699 A CN 116232699A CN 202310075526 A CN202310075526 A CN 202310075526A CN 116232699 A CN116232699 A CN 116232699A
Authority
CN
China
Prior art keywords
intrusion detection
traffic
sample
detection model
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310075526.5A
Other languages
English (en)
Inventor
王兴军
郑昕然
杨朔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen International Graduate School of Tsinghua University
Original Assignee
Shenzhen International Graduate School of Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen International Graduate School of Tsinghua University filed Critical Shenzhen International Graduate School of Tsinghua University
Priority to CN202310075526.5A priority Critical patent/CN116232699A/zh
Publication of CN116232699A publication Critical patent/CN116232699A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种细粒度网络入侵检测模型的训练方法和网络入侵检测方法,该方法包括:获取网络流量样本;网络流量样本包括有标签流量样本和无标签流量样本;根据有标签流量样本和有标签流量样本对应的标签,对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型;将无标签流量样本输入第二初始细粒度网络入侵检测模型,得到无标签流量样本对应的伪标签;根据有标签流量样本、有标签流量样本对应的标签、无标签流量样本、无标签流量样本对应的伪标签,对第二初始细粒度网络入侵检测模型进行训练,得到训练后的细粒度网络入侵检测模型。本发明实施例的方法实现了对网络流量对应的攻击类型的准确检测和分类。

Description

细粒度网络入侵检测模型的训练方法和网络入侵检测方法
技术领域
本发明涉及网络安全检测技术领域,尤其涉及一种细粒度网络入侵检测模型的训练方法和网络入侵检测方法。
背景技术
互联网的发展伴随着网络流量规模的急剧增长,网络实体之间频繁地数据交换中可能隐藏着多样化的恶意流量威胁。尤其在智慧医疗、智慧城市、车联网等与人类生活息息相关的场景中,细粒度划分攻击类型并采取针对性的响应措施能够显著降低关键数据损失和设备瘫痪的风险,帮助专家采取有针对性的措施来应对网络攻击的影响。因此,如何构建和训练高性能的细粒度网络入侵检测模型实现细粒度攻击分类一直是网络安全领域备受关注的议题。
相关技术中,在进行高性能的细粒度网络入侵检测模型的训练过程中,为了得到准确的网络入侵分类结果,需要依赖于大规模的有标注样本对模型进行训练,但面对海量的流量数据,样本标注的成本是高昂的,从而导致细粒度网络入侵检测模型的训练效果较差。
发明内容
针对现有技术中的问题,本发明实施例提供一种细粒度网络入侵检测模型的训练方法和网络入侵检测方法。
具体地,本发明实施例提供了以下技术方案:
第一方面,本发明实施例提供了一种细粒度网络入侵检测模型的训练方法,包括:
获取网络流量样本;网络流量样本包括有标签流量样本和无标签流量样本;
根据有标签流量样本和有标签流量样本对应的标签,对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型;
将无标签流量样本输入第二初始细粒度网络入侵检测模型,得到无标签流量样本对应的伪标签;
根据有标签流量样本、有标签流量样本对应的标签、无标签流量样本、无标签流量样本对应的伪标签,对第二初始细粒度网络入侵检测模型进行训练,得到训练后的细粒度网络入侵检测模型。
进一步地,第一初始细粒度网络入侵检测模型包括:
全连接层;全连接层用于扩展网络流量样本的特征信息;
一维卷积神经网络模型;一维卷积神经网络模型用于提取扩展后的网络流量样本的特征信息。
进一步地,根据有标签流量样本和有标签流量样本对应的标签,对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型,包括:
将网络流量样本中的有标签流量样本输入第一初始细粒度网络入侵检测模型,得到有标签流量样本对应的细粒度入侵分类结果;
根据有标签流量样本对应的细粒度入侵分类结果、有标签流量样本对应的标签和目标损失函数对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型;目标损失函数包括监督对比损失的损失函数和多权重分类损失的损失函数;多权重分类损失的损失函数用于调节模型对于不同入侵类别及错误分类的关注程度。
进一步地,目标损失函数中的多权重分类损失的损失函数是基于如下公式确定的:
Figure BDA0004073606740000031
其中,M表示网络流量样本对应的入侵类别的数量;K表示各个入侵类别的网络流量样本的数量;gic={0,1}表示符号函数,当样本xi分类为正确的入侵类别c时,该函数取值为1;pic表示样本xi被预测为正确的入侵类别c的概率;wi表示类别不平衡权重,用于调节模型对于不同入侵类别的关注程度;wpi表示概率重置权重,用于调整模型对错误分类的关注程度。
进一步地,将无标签流量样本输入第二初始细粒度网络入侵检测模型,得到无标签流量样本对应的伪标签之后,还包括:
确定各个无标签流量样本对应的伪标签的预测概率和不确定度;
基于各个无标签流量样本对应的伪标签的预测概率和不确定度,确定各个无标签流量样本对应的伪标签的置信度。
进一步地,根据有标签流量样本、有标签流量样本对应的标签、无标签流量样本、无标签流量样本对应的伪标签,对第二初始细粒度网络入侵检测模型进行训练,得到训练后的细粒度网络入侵检测模型,包括:
根据有标签流量样本、有标签流量样本对应的标签、置信度大于阈值的伪标签、置信度大于阈值的伪标签对应的无标签流量样本和目标损失函数,对第二初始细粒度网络入侵检测模型进行训练,得到训练后的细粒度网络入侵检测模型。
第二方面,本发明实施例还提供了一种细粒度网络入侵检测方法,包括:
获取待分类的网络流量;
将待分类的网络流量输入训练后的细粒度网络入侵检测模型中,得到网络流量对应的细粒度入侵分类结果,细粒度网络入侵检测模型为基于如第一方面所述的方法训练得到的。
第三方面,本发明实施例还提供了一种细粒度网络入侵检测模型的训练装置,包括:
获取模块,用于获取网络流量样本;网络流量样本包括有标签流量样本和无标签流量样本;
第一训练模块,用于根据有标签流量样本和有标签流量样本对应的标签,对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型;
处理模块,用于将无标签流量样本输入第二初始细粒度网络入侵检测模型,得到无标签流量样本对应的伪标签;
第二训练模块,用于根据有标签流量样本、有标签流量样本对应的标签、无标签流量样本、无标签流量样本对应的伪标签,对第二初始细粒度网络入侵检测模型进行训练,得到训练后的细粒度网络入侵检测模型。
第四方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述细粒度网络入侵检测模型的训练方法或如第二方面所述细粒度网络入侵检测方法。
第五方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述细粒度网络入侵检测模型的训练方法或如第二方面所述细粒度网络入侵检测方法。
第六方面,本发明实施例还提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如第一方面所述细粒度网络入侵检测模型的训练方法或如第二方面所述细粒度网络入侵检测方法。
本发明实施例提供的细粒度网络入侵检测模型的训练方法和网络入侵检测方法,根据有标签流量样本和有标签流量样本对应的标签,对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型后,本发明实施例中将无标签流量样本输入第二初始细粒度网络入侵检测模型,就可以得到第二初始细粒度网络入侵检测模型输出的无标签流量样本对应的攻击类型的分类结果,进而也就可以将无标签流量样本对应的攻击类型的分类结果作为无标签流量样本对应的伪标签,从而也就实现了对无标签流量样本对应的攻击类型的标注,解决了海量流量数据进行标注的高昂的成本问题,从而也就提高了细粒度网络入侵检测模型的训练效率;进而基于大量标注的网络流量样本对第二初始细粒度网络入侵检测模型进行训练,使得训练后的细粒度网络入侵检测模型可以更加准确的进行网络流量对应的攻击类型的划分。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的细粒度网络入侵检测模型的训练方法的流程示意图;
图2是本发明实施例提供的粒度网络入侵检测方法的流程示意图;
图3是本发明实施例提供的细粒度网络入侵检测模型的训练装置的结构示意图;
图4是本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例的方法可以应用于网络安全检测场景中,实现了对网络流量对应的攻击类型的准确检测和分类。
相关技术中,在进行高性能的细粒度网络入侵检测模型的训练过程中,为了得到准确的网络入侵分类结果,需要依赖于大规模的有标注样本对模型进行训练,但面对海量的流量数据,样本标注的成本是高昂的,从而导致细粒度网络入侵检测模型的训练效果较差。
本发明实施例的细粒度网络入侵检测模型的训练方法和网络入侵检测方法,根据有标签流量样本和有标签流量样本对应的标签,对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型后,本发明实施例中将无标签流量样本输入第二初始细粒度网络入侵检测模型,就可以得到第二初始细粒度网络入侵检测模型输出的无标签流量样本对应的攻击类型的分类结果,进而也就可以将无标签流量样本对应的攻击类型的分类结果作为无标签流量样本对应的伪标签,从而也就实现了对无标签流量样本对应的攻击类型的标注,解决了海量流量数据进行标注的高昂的成本问题,从而也就提高了细粒度网络入侵检测模型的训练效率;进而基于大量标注的网络流量样本对第二初始细粒度网络入侵检测模型进行训练,使得训练后的细粒度网络入侵检测模型可以更加准确的进行网络流量对应的攻击类型的划分。
下面结合图1-图4以具体的实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图1是本发明实施例提供的细粒度网络入侵检测模型的训练方法一实施例的流程示意图。如图1所示,本实施例提供的方法,包括:
步骤101、获取网络流量样本;网络流量样本包括有标签流量样本和无标签流量样本。
具体地,在进行高性能的细粒度网络入侵检测模型的训练过程中,为了得到准确的网络入侵分类结果,需要依赖于大规模的有标注样本对模型进行训练,但面对海量的流量数据,样本标注的成本是高昂的,从而导致细粒度网络入侵检测模型的训练效果较差。
为了解决上述问题,本发明实施例中首先获取网络流量样本;其中,网络流量样本中包括有标签流量样本和无标签流量样本;也就是细粒度网络入侵检测模型对应的训练集包含一部分有标签流量样本和大量的无标签流量样本。本发明实施例中在进行细粒度网络入侵检测模型的训练过程中,只需对少量的网络流量样本进行标注即可;可选地,少量的有标签流量样本中对应了多个攻击类型的网络流量样本。
步骤102、根据有标签流量样本和有标签流量样本对应的标签,对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型。
具体地,在获取网络流量样本中的有标签流量样本和大量的无标签流量样本后,本发明实施例中根据有标签流量样本和有标签流量样本对应的标签,对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型;可选地,细粒度网络入侵模型用于对网络流量样本进行分类,划分各个网络流量样本对应的攻击类型;可选地,网络流量样本也可以是正常的网络流量,即不进行网络攻击的网络流量,其对应的标签为正常样本;可选地,卷积神经网络(Convolutional Neural Network,CNN)模型适用于提取特征关联以生成良好的表示,有助于更准确地聚合类内特征。因此,本发明实施例中的第一初始细粒度网络入侵检测模型可以基于图像重建的一维卷积神经网络模型进行构建。其中,第一初始细粒度网络入侵检测模型和第二初始细粒度网络入侵检测模型是相同的网络模型结构。
步骤103、将无标签流量样本输入第二初始细粒度网络入侵检测模型,得到无标签流量样本对应的伪标签。
具体地,根据有标签流量样本和有标签流量样本对应的标签,对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型后,本发明实施例中将无标签流量样本输入第二初始细粒度网络入侵检测模型,就可以得到第二初始细粒度网络入侵检测模型输出的无标签流量样本对应的攻击类型的分类结果,进而也就可以将无标签流量样本对应的攻击类型的分类结果作为无标签流量样本对应的伪标签,从而也就实现了对无标签流量样本对应的攻击类型的标注,解决了海量流量数据进行标注的高昂的成本问题,从而也就可以提高细粒度网络入侵检测模型的训练效率。
步骤104、根据有标签流量样本、有标签流量样本对应的标签、无标签流量样本、无标签流量样本对应的伪标签,对第二初始细粒度网络入侵检测模型进行训练,得到训练后的细粒度网络入侵检测模型;细粒度网络入侵检测模型用于进行网络流量对应的攻击类型的划分。
具体地,在将无标签流量样本输入第二初始细粒度网络入侵检测模型,得到无标签流量样本对应的伪标签,也就是实现了对无标签流量样本对应的攻击类型的标注后,就可以根据有标签流量样本、有标签流量样本对应的标签、无标签流量样本、无标签流量样本对应的伪标签,对第二初始细粒度网络入侵检测模型进行训练,实现细粒度网络入侵检测模型的有监督的训练。也就是使用已知的有限标注样本首先训练教师模型(第一初始细粒度网络入侵检测模型),之后该教师模型用于预测无标注样本的标签作为伪标签,从而基于已知的有限标注样本和预测的无标注样本的伪标签,就可以实现细粒度网络入侵检测模型的有监督的训练,解决了海量流量数据进行标注的高昂的成本问题,从而也就可以提高细粒度网络入侵检测模型的训练效率。
上述实施例的方法,根据有标签流量样本和有标签流量样本对应的标签,对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型后,本发明实施例中将无标签流量样本输入第二初始细粒度网络入侵检测模型,就可以得到第二初始细粒度网络入侵检测模型输出的无标签流量样本对应的攻击类型的分类结果,进而也就可以将无标签流量样本对应的攻击类型的分类结果作为无标签流量样本对应的伪标签,从而也就实现了对无标签流量样本对应的攻击类型的标注,解决了海量流量数据进行标注的高昂的成本问题,从而也就提高了细粒度网络入侵检测模型的训练效率;进而基于大量标注的网络流量样本对第二初始细粒度网络入侵检测模型进行训练,使得训练后的细粒度网络入侵检测模型可以更加准确的进行网络流量对应的攻击类型的划分。
在一实施例中,第一初始细粒度网络入侵检测模型包括:
全连接层;全连接层用于扩展网络流量样本的特征信息;
一维卷积神经网络模型;一维卷积神经网络模型用于提取扩展后的网络流量样本的特征信息。
具体地,卷积神经网络CNN模型适用于提取特征关联以生成良好的表示,有助于更准确地聚合类内特征。因此,本发明实施例基于一维卷积神经网络构建第一初始细粒度网络入侵检测模型。可选地,本发明实施例中的第一初始细粒度网络入侵检测模型在传统的基于图像重建的一维卷积神经网络(1DCNN)之前添加一个全连接(FC)层,其中,全连接层用于扩展网络流量样本的特征信息,达到扩展输入特性的目的,从而为后续操作提供足够的虚拟像素。可选地,模型训练时,反向传播过程会允许FC层学习正确的特征排序,从而给图像特定的含义。之后扩展的特征被重塑为多通道图像,并利用多个(如5个)堆叠的卷积层来提取精细的特征关联。也就是本发明实施例中通过在传统的基于图像重建的一维卷积神经网络(1DCNN)之前添加一个全连接的(FC)层,就可以把输入的网络流量样本进行神经元扩展和重组转换为多通道图像格式,从而充分发挥卷积网络的特征提取能力,也就可以更加准确的提取网络流量样本的特征信息,进而基于更加准确的网络流量样本的特征信息也就可以更加有效的训练细粒度网络入侵检测模型,也就可以基于更加准确的网络流量样本的特征信息进行攻击类型的检测和分类。
可选地,为了联合学习特征提取器和分类器,第一初始细粒度网络入侵检测模型有一个投影头Proj(·)和一个分类头Clf(·);其中,投影头是一个较窄的隐藏层,它将样本表示r映射到一个低维向量
Figure BDA0004073606740000101
Dp为特征嵌入的大小,之后l2范数被用于向量z,使得向量的内积可以表示样本之间的距离,分类头用于输出模型训练的梯度以评估多权重分类损失。
例如,本发明实施例中第一初始细粒度网络入侵检测模型在传统的基于图像重建的一维卷积神经网络(1DCNN)之前添加一个全连接的(FC)层,通过全连接层就可以扩展神经元,得到正确的特征排序,为后续操作提供足够的虚拟像素,并在扩展完成之后,重新组合成图像的形式。也就是一维卷积神经网络更适合图像的特征信息的提取,而在网络流量的特征信息提取的任务上效果不是很好,本发明实施例中通过在传统的基于图像重建的一维卷积神经网络(1DCNN)之前添加一个全连接的(FC)层的方式,把网络流量特征信息提取的任务转变为图像特征信息提取的任务,从而也就可以更加准确的进行网络流量特征信息的提取,使得提取出的网络流量对应的的特征信息更加的准确。例如,第一初始细粒度网络入侵检测模型中输入网络流量样本对应的一维矩阵(1*70维度)后,通过第一初始细粒度网络入侵检测模型中的全连接层进行扩展,扩展为1*4096,进而将其准换变成1*256*8维的立体的多层图像,更适合后面的一维卷积神经网络提取流量样本对应的特征信息。
上述实施例的方法,第一初始细粒度网络入侵检测模型在传统的基于图像重建的一维卷积神经网络(1DCNN)之前添加一个全连接的(FC)层,就可以把输入的网络流量样本进行神经元扩展和重组转换为多通道图像格式,实现了对网络流量样本的特征信息的扩展,达到了扩展输入特性的目的,从而也就把网络流量特征信息提取的任务转变为图像特征信息提取的任务,也就可以充分发挥一维卷积网络的特征提取能力,使得提取出的网络流量对应的的特征信息更加的准确,进而基于更加准确的网络流量样本的特征信息也就可以更加有效的训练细粒度网络入侵检测模型,并基于更加准确的网络流量样本的特征信息进行攻击类型的检测和分类。
在一实施例中,根据有标签流量样本和有标签流量样本对应的标签,对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型,包括:
将网络流量样本中的有标签流量样本输入第一初始细粒度网络入侵检测模型,得到有标签流量样本对应的细粒度入侵分类结果;
根据有标签流量样本对应的细粒度入侵分类结果、有标签流量样本对应的标签和目标损失函数对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型;目标损失函数包括监督对比损失的损失函数和多权重分类损失的损失函数;多权重分类损失的损失函数用于调节模型对于不同入侵类别及错误分类的关注程度。
具体地,在获取网络流量样本中的有标签流量样本和大量的无标签流量样本后,本发明实施例中将网络流量样本中的有标签流量样本输入第一初始细粒度网络入侵检测模型,得到有标签流量样本对应的细粒度入侵分类结果,进而根据有标签流量样本对应的细粒度入侵分类结果、有标签流量样本对应的标签和目标损失函数对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型;也就是本发明实施例中将目标损失函数作为模型的优化目标,该目标损失函数由有监督对比损失和多权重分类损失组合实现,以解决网络流量样本中类别分布不平衡带来的入侵检测性能受限问题。
可选地,对于样本xi,该样本的特征向量为zi,与样本xi具有相同标签的样本被视为正对,定义为
Figure BDA0004073606740000121
因此/>
Figure BDA0004073606740000122
表示正对的特征向量集合,有监督对比损失可以表示为:
Figure BDA0004073606740000123
Figure BDA0004073606740000124
其中,Nb表示模型训练时的batch大小。τ∈R+表示温度系数,用于调整模型对样本之间的距离的关注,有监督对比损失LSCl计算了xi与其所有正对之间的相似度的加权平均值,该损失函数的计算灵活地包含任意数量的正样本,并用于优化它们之间的一致性。可选地,有监督对比损失拉近同一类别样本之间的距离,损失越大,模型就会越关注它,也就是模型将拉近同一类别样本之间的距离作为模型关注的目标,从而通过通过有监督对比损失就可以将同类的样本拉近。
可选地,目标损失函数中的多权重分类损失的损失函数是基于如下公式确定的:
Figure BDA0004073606740000125
其中,M表示网络流量样本对应的入侵类别的数量;K表示各个入侵类别的网络流量样本的数量;gic={0,1}表示符号函数,当样本xi分类为正确的入侵类别c时,该函数取值为1;pic表示样本xi被预测为正确的入侵类别c的概率;wi表示类别不平衡权重,用于调节模型对于不同入侵类别的关注程度;wpi表示概率重置权重,用于调整模型对错误分类的关注程度。
具体地,细粒度流量的类不平衡导致输入模型的数据集存在样本量非常少的低频类,直接使用类的样本数比例作为分类损失的权值可能会导致过拟合并破坏了学习到的特征表示。因此本发明实施例中通过类别不平衡权重wi调节模型对于不同类别的关注程度。
Figure BDA0004073606740000131
其中,Nmin表示最小类别的样本数量,Ni表示各个类别i包含的样本数量。常数n用于防止对权重的过度矫正,对数计算为了平滑权重wi的分布。可选地,攻击类型对应的样本数量越少,则类别不平衡权重wi越大,模型对于该类别的预测结果关注程度越高。
另一个需要关注的问题是攻击样本和正常样本的错分。针对这一问题,本发明实施例中通过概率重置权重wp直接调节模型的预测概率,从而改变模型对于不同错分的关注度;可选地,所有的攻击类型被视为同一类,此时细粒度分类问题可以视为二分类问题。
Figure BDA0004073606740000132
其中,
Figure BDA0004073606740000133
表示预测的标签,yi为真实标签,当模型混淆了正常样本和异常样本时,就会激活参数α来调整模型对这种错误分类的关注度。N表示没有混淆正常样本,A表示混淆了正常样本和异常样本。可选地,如果模型分错了正常流量样本和异常流量样本,就会惩罚它,并将不同类别之间的距离拉开,从而使得模型就不会分错样本对应的攻击类型。
也就是类不平衡情况下的细粒度入侵检测方案的性能受到两个关键因素的影响:1)类不平衡问题导致从典型的交叉熵中学习到的特征分布可能是高度倾斜的;2)一些难以分类的攻击样本往往表现出与正常攻击样本相似的模式,这使得它们的特征分布非常接近,模型难以获得清晰的分类边界。本发明实施例中将目标损失函数作为模型的优化目标,通过目标损失函数中的监督对比损失的损失函数和多权重分类损失的损失函数,可以使得不平衡类别间的分类边界更加清晰而相同类的类内样本分布更加紧凑,从而也就使得基于目标损失函数训练出的细粒度网络入侵检测模型对于网络流量样本中较少数量样本对应的攻击类型也可以被准确的进行检测和分类,有效解决网络流量样本中类别分布不平衡带来的入侵检测性能受限问题。
可选地,目标损失函数LHY表示为有监督对比损失和多权重分类损失的线性组合:
Figure BDA0004073606740000141
为了使得细粒度网络入侵检测模型在训练早期获得良好的特征表示的基础上,并在训练后期提高分类性能,本发明实施例中使用随训练epoch增长呈反比变化的参数β来调整不同损失的权重,从而更好地进行特征学习,以帮助简化分类器的训练。
上述实施例的方法,为了解决网络流量样本对应的类不平衡问题,本发明实施例中的目标损失函数结合了有监督对比学习和多权重的分类交叉熵损失以保证良好的特征提取来指导无偏的分类器,使得不平衡类别间的分类边界更加清晰而相同类的类内样本分布更加紧凑,从而也就使得基于目标损失函数训练出的细粒度网络入侵检测模型对于网络流量样本中较少数量样本对应的攻击类型也可以被准确的进行检测和分类,有效解决网络流量样本中类别分布不平衡带来的入侵检测性能受限问题。
在一实施例中,将无标签流量样本输入第二初始细粒度网络入侵检测模型,得到无标签流量样本对应的伪标签之后,还包括:
确定各个无标签流量样本对应的伪标签的预测概率和不确定度;
基于各个无标签流量样本对应的伪标签的预测概率和不确定度,确定各个无标签流量样本对应的伪标签的置信度。
具体地,本发明实施例中将无标签流量样本输入第二初始细粒度网络入侵检测模型,就可以得到第二初始细粒度网络入侵检测模型输出的无标签流量样本对应的攻击类型的分类结果,进而也就可以将无标签流量样本对应的攻击类型的分类结果作为无标签流量样本对应的伪标签,从而也就实现了对无标签流量样本对应的攻击类型的标注,解决了海量流量数据进行标注的高昂的成本问题,从而也就可以提高细粒度网络入侵检测模型的训练效率。
可选地,伪标签噪声问题影响着自训练的性能,因此为了提升模型的训练效果需要确定各个无标签流量样本对应的伪标签的置信度,从而基于伪标签的置信度对伪标签进行筛选,进而利用筛选后的高置信度的伪标签所对应的网络流量样本进行模型的训练,就可以有效的降低伪标签噪声问题,提升模型的训练效果。
可选地,本发明实施例中基于不确定性的标签过滤方式降低伪标签噪声问题。具体的,本发明实施例在预测无标注样本的伪标签时通过打开模型Dropout层来评估预测标签的不确定度,并与预测概率共同作为伪标签置信度的参考;其中,每一个dropout层在评估时都以一定的概率关闭神经元,每个样本的伪标签都被预测T次,这符合伯努利分布。因此伪标签的预测概率表示为:
Figure BDA0004073606740000151
其中
Figure BDA0004073606740000152
表示每次评估时的模型参数,xi为输入样本,f(·)表示模型。可选地,标签不确定度可以表示为:
Figure BDA0004073606740000161
本发明实施例中,每个网络流量样本的伪标签都会被预测T次,标签不确定度表示T次里每次预测概率的方差;其中,每次预测的过程中,会将一维卷积神经网络模型中的神经元随机的进行关闭,因而每次预测的结果可能是不一样的。可选地,如果预测结果的确定度高,也就是预测结果具有较低的不确定度的情况下,即使每次预测的过程中随机关闭神经元,该网络流量样本T次预测过程中都会被划分为某一类的攻击类型;如果预测结果的确定度低,也就是预测结果具有较高的不确定度的情况下,则在每次预测过程中随机关闭神经元时,该网络流量样本T次预测结果会有很大的变化;也就是通过网络流量样本对应的伪标签的不确定度可以充分准确地反映模型对网络流量样本对应的攻击类型分类的可靠性。
可选地,可靠的高置信度的伪标签具有较高的预测概率和较低的不确定度。伪标签筛选准则表示为:
Figure BDA0004073606740000162
其中,
Figure BDA0004073606740000163
表示伪标签过滤器,kp和τp分别表示不确定度和预测概率的阈值。值得注意的是,并不是所有的伪标签都被放回了原始的训练集中,因为这可能会导致类的不平衡的增加并忽略了难以分类的样本。因而可以使用Borderline-SMOTE方法对预测的伪标签进行重采样,通过在分类边界附近生成一些样本来纠正伪标签不平衡问题。为了不破坏不平衡情况下学习到的特征表示,重采样依照接近标记样本的分布执行,从而将类别的不平衡度(样本中最多样本类与最少样本类的数量比)控制在一定的阈值内。
上述实施例的方法,通过样本的类别预测概率和不确定度这两个维度,实现了对各个无标签流量样本对应的伪标签的置信度的准确有效的评价,进而利用筛选后的置信度高于阈值的伪标签对应的网络流量样本进行模型的训练,就可以有效的降低伪标签噪声问题,提升模型的训练效果。
在一实施例中,根据有标签流量样本、有标签流量样本对应的标签、无标签流量样本、无标签流量样本对应的伪标签,对第二初始细粒度网络入侵检测模型进行训练,得到训练后的细粒度网络入侵检测模型,包括:
根据有标签流量样本、有标签流量样本对应的标签、置信度大于阈值的伪标签、置信度大于阈值的伪标签对应的无标签流量样本和目标损失函数,对第二初始细粒度网络入侵检测模型进行训练,得到训练后的细粒度网络入侵检测模型。
具体地,在将无标签流量样本输入第二初始细粒度网络入侵检测模型,得到无标签流量样本对应的伪标签,并基于各个无标签流量样本对应的伪标签的预测概率和不确定度两个维度,准确有效的筛选出置信度高于阈值的伪标签对应的网络流量样本后,就可以根据有标签流量样本、有标签流量样本对应的标签、置信度大于阈值的伪标签、置信度大于阈值的伪标签对应的无标签流量样本和目标损失函数,对第二初始细粒度网络入侵检测模型进行训练,得到训练后的细粒度网络入侵检测模型;也就是使用已知的有限标注样本首先训练教师模型(第一初始细粒度网络入侵检测模型),之后该教师模型用于预测无标注样本的标签作为伪标签,进而也就可以将高置信度的伪标签对应的无标注网络流量样本和原始的有标注网络流量样本合并用于训练学生模型(第二初始细粒度网络入侵检测模型)。本发明实施例中基于已知的有限标注样本和高置信度的伪标签对应的无标注样本,就可以实现细粒度网络入侵检测模型的有监督的训练,解决了海量流量数据进行标注的高昂的成本问题和伪标签噪声问题,从而也就可以提高细粒度网络入侵检测模型的训练效率和准确性。
上述实施例的方法,将高置信度的伪标签对应的无标注网络流量样本和原始的有标注网络流量样本合并用于训练第二初始细粒度网络入侵检测模型,就可以实现细粒度网络入侵检测模型的有监督的训练,解决了海量流量数据进行标注的高昂的成本问题和伪标签噪声问题,从而也就可以提高细粒度网络入侵检测模型的训练效率和准确性。
在一实施例中,一种细粒度网络入侵检测方法,包括:
获取待分类的网络流量;
将待分类的网络流量输入训练后的细粒度网络入侵检测模型中,得到网络流量对应的细粒度入侵分类结果,细粒度网络入侵检测模型为上述任一项的方法训练得到的。
具体的,在将高置信度的伪标签对应的无标注网络流量样本和原始的有标注网络流量样本合并训练第二初始细粒度网络入侵检测模型后,就可以利用训练后的细粒度网络入侵检测模型进行待分类的网络流量的检测和分类。可选地,首先获取待分类的网络流量,然后将待分类的网络流量输入训练后的细粒度网络入侵检测模型中,就可以得到网络流量对应的细粒度入侵分类结果,实现了对待分类的网络流量对应的攻击类型的准确分类。
示例性的,如图2所示的细粒度网络入侵检测方法的流程示意图,首先将有标签的网络流量样本DL输入第一初始细粒度网络入侵检测模型进行训练,其标签yl用于标注网络流量样本对应的攻击类型,圆形表示正常的网络流量样本,正方形表示第1攻击类型的网络流量样本,三角形表示第2攻击类型的网络流量样本;可选地,正常的网络流量样本数量大于第2攻击类型的网络流量样本的数量和第1攻击类型的网络流量样本的数量;通过网络流量样本和网络流量样本对应的标签,对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型;可选地,细粒度网络入侵检测模型包括全连接层和一维卷积神经网络模型,其中,全连接层用于扩展网络流量样本的特征信息,一维卷积神经网络模型用于提取扩展后的网络流量样本的特征信息,也就是通过全连接层将输入的网络流量样本扩展为1*2048,再将其转换为1*16*128,也就是将其转化为16个128维数据的迭代,重构了多通道图像,即把输入的网络流量样本的维度扩展之后将其变成16维的图像,从而也就把网络流量特征信息提取的任务转变为图像特征信息提取的任务,从而也就可以充分发挥一维卷积网络的特征提取能力,使得提取出的网络流量对应的的特征信息更加的准确。可选地,在得到第二初始细粒度网络入侵检测模型后,将无标签的网络流量样本DU输入第二初始细粒度网络入侵检测模型就可以得到无标签的网络流量样本DU所对应的伪标签,并基于各个无标签流量样本对应的伪标签的预测概率和不确定度,确定各个无标签流量样本对应的伪标签的置信度,筛选出高置信度的伪标签,进而利用筛选后置信度高于阈值的伪标签对应的网络流量样本进行模型的训练,就可以有效的降低伪标签噪声问题,提升模型的训练效果。可选地,在筛选出高置信度的伪标签后,就可以根据有标签流量样本、有标签流量样本对应的标签、置信度大于阈值的伪标签、置信度大于阈值的伪标签对应的无标签流量样本和目标损失函数,对第二初始细粒度网络入侵检测模型进行训练,得到训练后的细粒度网络入侵检测模型;其中,目标损失函数包括监督对比损失的损失函数和多权重分类损失的损失函数;多权重分类损失的损失函数用于调节模型对于不同入侵类别及错误分类的关注程度,从而使得不平衡类别间的分类边界更加清晰而相同类的类内样本分布更加紧凑,从而也就使得基于目标损失函数训练出的细粒度网络入侵检测模型对于网络流量样本中较少数量样本对应的攻击类型也可以被准确的进行检测和分类,有效解决网络流量样本中类别分布不平衡带来的入侵检测性能受限问题。
可选地,本发明实施例的细粒度网络入侵检测方法中的细粒度网络入侵检测模型可以基于如下步骤进行训练:
步骤一:使用提出的骨干模型对有限的训练集中的有标注样本进行有监督学习获得教师模型
步骤二:使用步骤一训练的骨干模型对训练集中的无标注样本进行评估,生成无标注样本的伪标签
步骤三:根据置信度对伪标签进行筛选得到具有伪标注的样本
步骤四:筛选后的样本与原始有标注样本合并用于重新训练骨干模型
步骤五:使用步骤四训练得到的模型对测试集进行评估
步骤六:重复步骤一到五,直至获得模型在测试集上的最优表现。
本发明实施例的细粒度网络入侵检测方法兼顾了标注样本不足和类别分布不平衡带来的入侵检测性能受限问题,实现了标记样本不足和类不平衡场景下的攻击分类,在标注样本不足和类别分布极不平衡情况下实现了高性能的细粒度攻击分类,解决了现有技术中的两个挑战问题,第一个挑战是缺少有标注的样本。面对海量的流量数据,样本标注的成本是高昂的,而且需要专业知识的辅助,这导致模型难以获得最优的分类效果。第二个挑战是真实的细粒度流量往往表现出具有严重类不平衡的长尾分布,这在训练过程中会导致“标签偏差”的产生,使决策边界由数量较多的头部类驱动。本发明实施例中通过将无标签流量样本对应的攻击类型的分类结果作为无标签流量样本对应的伪标签,从而也就实现了对无标签流量样本对应的攻击类型的标注,解决了海量流量数据进行标注的高昂的成本问题,从而也就提高了细粒度网络入侵检测模型的训练效率;通过模型对样本的类别预测概率和不确定度这两个维度,实现了对各个无标签流量样本对应的伪标签的置信度的准确有效的评价,进而利用筛选后置信度高于阈值的伪标签对应的网络流量样本进行模型的训练,就可以有效的降低伪标签噪声问题,提升模型的训练效果;目标损失函数结合了有监督对比学习和多权重的分类交叉熵损失以保证良好的特征提取来指导无偏的分类器,使得不平衡类别间的分类边界更加清晰而相同类的类内样本分布更加紧凑,从而也就使得基于目标损失函数训练出的细粒度网络入侵检测模型对于网络流量样本中较少数量样本对应的攻击类型也可以被准确的进行检测和分类,有效解决网络流量样本中类别分布不平衡带来的入侵检测性能受限问题。
示例性的,为了验证本发明中的提出的细粒度网络入侵检测模型的训练方法的效果,我们使用了两个经典的数据集NSL-KDD和CICIDS2017进行验证。
NSL-KDD数据集包含41个特征。其中,正常流量77,054条,异常交通71,463条。在方案的性能验证实验中,我们选择80%的数据集用于训练,剩下的20%作为测试集。1%的训练样本被标记。在数据集划分后,有些类别包含的标注样本量过少,因为我们将这些样本进行合并并用“ATTACK”作为统一的类别标记。
CICIDS2017数据集包含了2,830,743个流量样本,每个样本都有78个属性。同样的,80%的数据作为训练集,其中1%的样本被标记,我们将划分后标注样本过少的类别与其相似的攻击合并。最终上述两个数据集均有11个类别(10个攻击类别+1个正常类别)参与训练。表1表示了参与训练的样本量和类别名称。
表1数据集描述
Figure BDA0004073606740000211
其中“Train”表示训练集中被标记的样本数量。
方案的评价指标包括准确性accuracy、精度precision、查全率recall和f1分数F1-score。在不平衡分类任务中,精度precision和f1分数F1-score需要被更多的关注。我们使用Marco-F1代替默认的Micro-F1,因为这个指标能够平等地关注存在不平衡关系的每个类别,更客观地反映分类性能。
除了一些经典的监督模型外,我们还选择了性能良好的半监督模型FixMatch和最先进的半监督入侵检测模型Semi-WCT作为对比的基线模型。表2和表3分别展示了提出的模型SF-IDS的在NSL-KDD和CICIDS2017数据集中的细粒度入侵检测性能。
表2在1%标记的NSL-KDD数据集的比较实验结果
Figure BDA0004073606740000221
根据表2可以看书所提出的方案SF-IDS在只有1%标记的NSL-KDD数据集的四个性能评估指标上取得了最好的结果,并在11种细粒度攻击类别的7种中达到了最高的precision。与最优的对比模型相比,精度提高了2.84%,Marco-F1提高了3.00%。这是由于SF-IDS通过自训练的方式充分利用了未标记数据的价值,并结合了提出的混合损失函数,获得了更紧凑的类特征和更清晰的分类边界。相比之下,一些传统的机器学习和监督模型受到标记样本量的限制,使特征学习成为困难。FixMatch方法的优势依赖于数据增强,但这可能不适用于流量数据。Semi-WTC在训练前对数据进行了重采样,这使得该模型实际上难以适应极不平衡的类分布。
表3在1%标记的CICIDS2017数据集的比较实验结果
Figure BDA0004073606740000222
表3验证了提出的方案SF-IDS在CICIDS2017数据集上的细粒度分类性能。SF-IDS实现了最好的总体指标,精度提高了3.08%,MarcoF1提高了2.71%。它在细粒度分类中也有最多的SOTA结果。
下面对本发明提供的细粒度网络入侵检测模型的训练装置进行描述,下文描述的细粒度网络入侵检测模型的训练装置与上文描述的细粒度网络入侵检测模型的训练方法可相互对应参照。
图3是本发明提供的细粒度网络入侵检测模型的训练装置的结构示意图。本实施例提供的细粒度网络入侵检测模型的训练装置,包括:
获取模块710,用于获取网络流量样本;网络流量样本包括有标签流量样本和无标签流量样本;
第一训练模块720,用于根据有标签流量样本和有标签流量样本对应的标签,对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型;
处理模块730,用于将无标签流量样本输入第二初始细粒度网络入侵检测模型,得到无标签流量样本对应的伪标签;
第二训练模块740,用于根据有标签流量样本、有标签流量样本对应的标签、无标签流量样本、无标签流量样本对应的伪标签,对第二初始细粒度网络入侵检测模型进行训练,得到训练后的细粒度网络入侵检测模型。
可选地,第一初始细粒度网络入侵检测模型包括:
全连接层;全连接层用于扩展网络流量样本的特征信息;
一维卷积神经网络模型;一维卷积神经网络模型用于提取扩展后的网络流量样本的特征信息。
可选地,所述第一训练模块720,具体用于:将网络流量样本中的有标签流量样本输入第一初始细粒度网络入侵检测模型,得到有标签流量样本对应的细粒度入侵分类结果;
根据有标签流量样本对应的细粒度入侵分类结果、有标签流量样本对应的标签和目标损失函数对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型;目标损失函数包括监督对比损失的损失函数和多权重分类损失的损失函数;多权重分类损失的损失函数用于调节模型对于不同入侵类别及错误分类的关注程度。
可选地,目标损失函数中的多权重分类损失的损失函数是基于如下公式确定的:
Figure BDA0004073606740000241
其中,M表示网络流量样本对应的入侵类别的数量;K表示各个入侵类别的网络流量样本的数量;gic={0,1}表示符号函数,当样本xi分类为正确的入侵类别c时,该函数取值为1;pic表示样本xi被预测为正确的入侵类别c的概率;wi表示类别不平衡权重,用于调节模型对于不同入侵类别的关注程度;wpi表示概率重置权重,用于调整模型对错误分类的关注程度。
可选地,所述处理模块730,还用于:确定各个无标签流量样本对应的伪标签的预测概率和不确定度;
基于各个无标签流量样本对应的伪标签的预测概率和不确定度,确定各个无标签流量样本对应的伪标签的置信度。
可选地,所述第二训练模块740,具体用于:根据有标签流量样本、有标签流量样本对应的标签、置信度大于阈值的伪标签、置信度大于阈值的伪标签对应的无标签流量样本和目标损失函数,对第二初始细粒度网络入侵检测模型进行训练,得到训练后的细粒度网络入侵检测模型。
本发明实施例的装置,其用于执行前述任一方法实施例中的方法,其实现原理和技术效果类似,此次不再赘述。
图4示例了一种电子设备的实体结构示意图,该电子设备可以包括:处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行细粒度网络入侵检测模型的训练方法,该方法包括:获取网络流量样本;网络流量样本包括有标签流量样本和无标签流量样本;根据有标签流量样本和有标签流量样本对应的标签,对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型;将无标签流量样本输入第二初始细粒度网络入侵检测模型,得到无标签流量样本对应的伪标签;根据有标签流量样本、有标签流量样本对应的标签、无标签流量样本、无标签流量样本对应的伪标签,对第二初始细粒度网络入侵检测模型进行训练,得到训练后的细粒度网络入侵检测模型。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的细粒度网络入侵检测模型的训练方法,该方法包括:获取网络流量样本;网络流量样本包括有标签流量样本和无标签流量样本;根据有标签流量样本和有标签流量样本对应的标签,对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型;将无标签流量样本输入第二初始细粒度网络入侵检测模型,得到无标签流量样本对应的伪标签;根据有标签流量样本、有标签流量样本对应的标签、无标签流量样本、无标签流量样本对应的伪标签,对第二初始细粒度网络入侵检测模型进行训练,得到训练后的细粒度网络入侵检测模型。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的细粒度网络入侵检测模型的训练方法,该方法包括:获取网络流量样本;网络流量样本包括有标签流量样本和无标签流量样本;根据有标签流量样本和有标签流量样本对应的标签,对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型;将无标签流量样本输入第二初始细粒度网络入侵检测模型,得到无标签流量样本对应的伪标签;根据有标签流量样本、有标签流量样本对应的标签、无标签流量样本、无标签流量样本对应的伪标签,对第二初始细粒度网络入侵检测模型进行训练,得到训练后的细粒度网络入侵检测模型。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种细粒度网络入侵检测模型的训练方法,其特征在于,包括:
获取网络流量样本;所述网络流量样本包括有标签流量样本和无标签流量样本;
根据所述有标签流量样本和所述有标签流量样本对应的标签,对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型;
将所述无标签流量样本输入所述第二初始细粒度网络入侵检测模型,得到所述无标签流量样本对应的伪标签;
根据所述有标签流量样本、所述有标签流量样本对应的标签、所述无标签流量样本、所述无标签流量样本对应的伪标签,对所述第二初始细粒度网络入侵检测模型进行训练,得到训练后的细粒度网络入侵检测模型;所述细粒度网络入侵检测模型用于进行网络流量对应的攻击类型的划分。
2.根据权利要求1所述的细粒度网络入侵检测模型的训练方法,其特征在于,所述第一初始细粒度网络入侵检测模型包括:
全连接层;所述全连接层用于扩展所述网络流量样本的特征信息;
一维卷积神经网络模型;所述一维卷积神经网络模型用于提取扩展后的所述网络流量样本的特征信息。
3.根据权利要求1或2所述的细粒度网络入侵检测模型的训练方法,其特征在于,所述根据所述有标签流量样本和所述有标签流量样本对应的标签,对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型,包括:
将所述网络流量样本中的有标签流量样本输入第一初始细粒度网络入侵检测模型,得到所述有标签流量样本对应的细粒度入侵分类结果;
根据所述有标签流量样本对应的细粒度入侵分类结果、所述有标签流量样本对应的标签和目标损失函数对所述第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型;所述目标损失函数包括监督对比损失的损失函数和多权重分类损失的损失函数;所述多权重分类损失的损失函数用于调节模型对于不同入侵类别及错误分类的关注程度。
4.根据权利要求3所述的细粒度网络入侵检测模型的训练方法,其特征在于,所述目标损失函数中的多权重分类损失的损失函数是基于如下公式确定的:
Figure FDA0004073606710000021
其中,M表示网络流量样本对应的入侵类别的数量;K表示各个入侵类别的网络流量样本的数量;gic={0,1}表示符号函数,当样本xi分类为正确的入侵类别c时,该函数取值为1;pic表示样本xi被预测为正确的入侵类别c的概率;wi表示类别不平衡权重,用于调节模型对于不同入侵类别的关注程度;wpi表示概率重置权重,用于调整模型对错误分类的关注程度。
5.根据权利要求4所述的细粒度网络入侵检测模型的训练方法,其特征在于,所述类别不平衡权重wi是基于如下公式确定的:
Figure FDA0004073606710000022
其中,Nmin表示网络流量样本中最小类别的样本数量,Ni表示网络流量样本中各个攻击类别i所包含的样本数量,n表示预设的矫正参数;
所述概率重置权重wpi是基于如下公式确定的:
Figure FDA0004073606710000031
其中,
Figure FDA0004073606710000032
表示网络流量对应的预测标签;yi表示网络流量对应的真实标签;α表示预设的激活参数,用于调整模型对错误分类的关注程;N表示网络流量对应的预测标签与网络流量对应的真实标签一致;A表示网络流量对应的预测标签混淆了正常样本和异常样本。
6.根据权利要求5所述的细粒度网络入侵检测模型的训练方法,其特征在于,所述将所述无标签流量样本输入所述第二初始细粒度网络入侵检测模型,得到所述无标签流量样本对应的伪标签之后,还包括:
确定各个无标签流量样本对应的伪标签的预测概率和不确定度;
基于各个无标签流量样本对应的伪标签的预测概率和不确定度,确定各个无标签流量样本对应的伪标签的置信度。
7.根据权利要求6所述的细粒度网络入侵检测模型的训练方法,其特征在于,所述根据所述有标签流量样本、所述有标签流量样本对应的标签、所述无标签流量样本、所述无标签流量样本对应的伪标签,对所述第二初始细粒度网络入侵检测模型进行训练,得到训练后的细粒度网络入侵检测模型,包括:
根据所述有标签流量样本、所述有标签流量样本对应的标签、置信度大于阈值的伪标签、置信度大于阈值的伪标签对应的无标签流量样本和目标损失函数,对所述第二初始细粒度网络入侵检测模型进行训练,得到训练后的所述细粒度网络入侵检测模型。
8.一种网络入侵检测方法,其特征在于,包括:
获取待分类的网络流量;
将所述待分类的网络流量输入训练后的细粒度网络入侵检测模型中,得到所述网络流量对应的细粒度入侵分类结果,所述细粒度网络入侵检测模型为基于如权利要求1-7任一项所述的方法训练得到的。
9.一种细粒度网络入侵检测模型的训练装置,其特征在于,包括:
获取模块,用于获取网络流量样本;所述网络流量样本包括有标签流量样本和无标签流量样本;
第一训练模块,用于根据所述有标签流量样本和所述有标签流量样本对应的标签,对第一初始细粒度网络入侵检测模型进行训练,得到第二初始细粒度网络入侵检测模型;
处理模块,用于将所述无标签流量样本输入所述第二初始细粒度网络入侵检测模型,得到所述无标签流量样本对应的伪标签;
第二训练模块,用于根据所述有标签流量样本、所述有标签流量样本对应的标签、所述无标签流量样本、所述无标签流量样本对应的伪标签,对所述第二初始细粒度网络入侵检测模型进行训练,得到训练后的细粒度网络入侵检测模型;所述细粒度网络入侵检测模型用于进行网络流量对应的攻击类型的划分。
10.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述的细粒度网络入侵检测模型的训练方法或如权利要求8所述的网络入侵检测方法。
CN202310075526.5A 2023-01-12 2023-01-12 细粒度网络入侵检测模型的训练方法和网络入侵检测方法 Pending CN116232699A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310075526.5A CN116232699A (zh) 2023-01-12 2023-01-12 细粒度网络入侵检测模型的训练方法和网络入侵检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310075526.5A CN116232699A (zh) 2023-01-12 2023-01-12 细粒度网络入侵检测模型的训练方法和网络入侵检测方法

Publications (1)

Publication Number Publication Date
CN116232699A true CN116232699A (zh) 2023-06-06

Family

ID=86588476

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310075526.5A Pending CN116232699A (zh) 2023-01-12 2023-01-12 细粒度网络入侵检测模型的训练方法和网络入侵检测方法

Country Status (1)

Country Link
CN (1) CN116232699A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116527399A (zh) * 2023-06-25 2023-08-01 北京金睛云华科技有限公司 基于不可靠伪标签半监督学习的恶意流量分类方法和设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116527399A (zh) * 2023-06-25 2023-08-01 北京金睛云华科技有限公司 基于不可靠伪标签半监督学习的恶意流量分类方法和设备
CN116527399B (zh) * 2023-06-25 2023-09-26 北京金睛云华科技有限公司 基于不可靠伪标签半监督学习的恶意流量分类方法和设备

Similar Documents

Publication Publication Date Title
Akhtar et al. Defense against universal adversarial perturbations
CN112396129B (zh) 一种对抗样本检测方法及通用对抗攻击防御系统
CN110490239B (zh) 图像质控网络的训练方法、质量分类方法、装置及设备
Zhao et al. Unsupervised adversarial attacks on deep feature-based retrieval with GAN
Chen et al. Automated design of neural network architectures with reinforcement learning for detection of global manipulations
CN115690534A (zh) 一种基于迁移学习的图像分类模型的训练方法
CN114842343A (zh) 一种基于ViT的航空图像识别方法
CN114048729A (zh) 医学文献评价方法、电子设备、存储介质和程序产品
CN114722892A (zh) 基于机器学习的持续学习方法及装置
CN117155706A (zh) 网络异常行为检测方法及其系统
CN116977725A (zh) 一种基于改进卷积神经网络的异常行为识别方法及装置
CN116232699A (zh) 细粒度网络入侵检测模型的训练方法和网络入侵检测方法
CN113592008B (zh) 小样本图像分类的系统、方法、设备及存储介质
Bharath Kumar et al. Analysis of the impact of white box adversarial attacks in resnet while classifying retinal fundus images
CN113591892A (zh) 一种训练数据的处理方法及装置
CN114841887B (zh) 一种基于多层次差异学习的图像恢复质量评价方法
CN111797732B (zh) 一种对采样不敏感的视频动作识别对抗攻击方法
CN114842242A (zh) 一种基于生成模型的鲁棒对抗样本生成方法
CN114139655A (zh) 一种蒸馏式竞争学习的目标分类系统和方法
Nafti et al. Fast unsupervised residual attention gan for covid-19 detection
Zhou Martial Arts Moves Recognition Method Based on Visual Image.
CN111581640A (zh) 一种恶意软件检测方法、装置及设备、存储介质
CN113205082B (zh) 基于采集不确定性解耦的鲁棒虹膜识别方法
WO2023181319A1 (ja) 情報処理装置
CN118097520B (zh) 视觉识别模型测试时自适应方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination