CN116488874A - 基于自监督掩码上下文重构的网络入侵检测方法和系统 - Google Patents
基于自监督掩码上下文重构的网络入侵检测方法和系统 Download PDFInfo
- Publication number
- CN116488874A CN116488874A CN202310368872.2A CN202310368872A CN116488874A CN 116488874 A CN116488874 A CN 116488874A CN 202310368872 A CN202310368872 A CN 202310368872A CN 116488874 A CN116488874 A CN 116488874A
- Authority
- CN
- China
- Prior art keywords
- data
- sample
- context
- context data
- data block
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 52
- 238000006243 chemical reaction Methods 0.000 claims abstract description 52
- 238000000034 method Methods 0.000 claims abstract description 48
- 238000013528 artificial neural network Methods 0.000 claims abstract description 33
- 230000007246 mechanism Effects 0.000 claims abstract description 21
- 238000012549 training Methods 0.000 claims abstract description 15
- 239000013598 vector Substances 0.000 claims description 55
- 230000006870 function Effects 0.000 claims description 48
- 230000000873 masking effect Effects 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 12
- 238000004364 calculation method Methods 0.000 claims description 6
- 238000003860 storage Methods 0.000 claims description 6
- 230000000717 retained effect Effects 0.000 claims description 5
- 230000002547 anomalous effect Effects 0.000 claims description 4
- 238000010606 normalization Methods 0.000 claims description 3
- 238000013501 data transformation Methods 0.000 claims 1
- 230000002159 abnormal effect Effects 0.000 abstract description 10
- 230000000694 effects Effects 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 238000013135 deep learning Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000012512 characterization method Methods 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000011109 contamination Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
- G06N3/0455—Auto-encoder networks; Encoder-decoder networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/0895—Weakly supervised learning, e.g. semi-supervised or self-supervised learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Complex Calculations (AREA)
Abstract
本发明公开了一种基于自监督掩码上下文重构的网络入侵检测方法和系统,本发明包括将入侵数据集划分上下文数据块,对其中数据样本进行多种数据转换得到多个转换后的上下文数据块;对每一个上下文数据块及其转换后的上下文数据块采用掩码机制生成掩码样本集和保留样本集;采用上下文数据块及其转换后的上下文数据块的掩码样本集、保留样本集训练神经网络;将待检测数据划分上下文数据块并转换得到多个转换后的上下文数据块,输入神经网络的编码器并计算数据样本的异常分数,若异常分数超过阈值则判定异常。本发明旨在解决现有无监督入侵检测方法中忽略了入侵数据特有的上下文时序特性和异常污染问题,能够提升网络入侵检测效果。
Description
技术领域
本发明涉及计算机网络安全领域,具体涉及一种基于自监督掩码上下文重构的网络入侵检测方法和系统。
背景技术
随着互联网的广泛使用,网络安全的重要性与日俱增。网络入侵检测系统是检测恶意网络活动、增强网络安全的有效技术。由于深度学习的强大表征能力,有监督的网络入侵检测已经取得了很大的进展。然而,基于深度学习的有监督入侵检测方法需要大量的标记数据进行训练,而人工标记数据的代价和难度都很大,特别是针对零日攻击的标记。针对这个问题,学界和工业界提出了针对网络入侵检测的无监督方法。
基于深度学习的无监督方法因其能够检测新型攻击且检测效果较好而成为无监督检测方法中的主流。根据检测的方法的不同,无监督入侵检测方法分为基于重构的方法、基于聚类的方法和一分类方法。基于重构的方法假设异常值不能被有效地压缩或从低维映射空间重构,即与正常数据相比,异常值的重建成本较高。基于重构的方法通常通过自动编码器的输出和输入的差值判定异常的程度,但压缩数据会造成数据有效信息的损失。深度聚类的方法通过深度神经网络提取特征,并对特征进行聚类获得检测结果。基于一分类方法假设训练集中都是正常数据,学习正常数据的一个全包围边界,从而检测新数据是否异常,但一分类方法忽略了数据中异常污染的存在,会降低检测效果。
目前常用的基于深度学习的无监督入侵检测方法无法捕捉到入侵数据的特有特征,即上下文时序特征和异常污染。上下文时序特性区别于通常的时序特性,它强调上下文中的依赖关系。以DOS(分布式拒绝服务)攻击为例,通过持续地向目标主机发送大量数据包,延迟目标主机的处理速度,并阻止正常任务的处理。这种攻击行为的时间上下文特性从攻击开始才存在,而非存在于整个时间序列中,不同攻击之间不存在这种上下文关系。入侵数据的另一个重要特征是异常污染,入侵检测系统可以使用常见的无监督异常检测方法进行检测,这些方法假设所有未标记的数据都是正常数据。然而,实际的入侵情况通常会受到未知异常数据的污染,会导致入侵检测系统得到的决策边界存在偏差。
发明内容
本发明要解决的技术问题:针对现有技术的上述问题,提供一种基于自监督掩码上下文重构的网络入侵检测方法和系统,本发明旨在解决现有无监督入侵检测方法中忽略了入侵数据特有的上下文时序特性和异常污染问题,能够提升网络入侵检测效果。
为了解决上述技术问题,本发明采用的技术方案为:
一种基于自监督掩码上下文重构的网络入侵检测方法,包括:
S101,将入侵数据集划分为固定大小的上下文数据块;
S102,将每一个上下文数据块中的数据样本进行多种不同的数据转换,从而将每一个上下文数据块转换得到多个转换后的上下文数据块;
S103,对每一个原始的上下文数据块及其转换后的上下文数据块,采用掩码机制遮蔽相同的部分数据样本,将遮蔽的数据样本作为掩码样本集、剩余的数据样本作为保留样本集;
S104,采用每一个原始的上下文数据块及其转换后的上下文数据块的掩码样本集、保留样本集训练神经网络,所述神经网络包括编码器和解码器,且训练神经网络时包括利用编码器将每一个原始的上下文数据块及其转换后的上下文数据块的保留样本集编码为语义空间向量,并利用解码器对语义空间向量结合位置编码进行解码得到重构数据样本,并基于保留样本的确定对比损失函数与掩码样本的重构损失函数之和构成总损失函数来优化神经网络的网络参数直至完成对神经网络的训练;
S105,将待检测数据划分为固定大小的上下文数据块,将每一个上下文数据块中的数据样本进行多种不同的数据转换,从而将每一个上下文数据块转换得到多个转换后的上下文数据块;将原始的上下文数据块及其转换后的上下文数据块输入神经网络的编码器以计算语义空间向量,并计算各个数据样本的异常分数,若异常分数超过阈值则判定该数据样本异常。
可选地,步骤S101包括:对入侵数据集χ={x1,x2,…xn}中的样本,按照时间顺序划分包含C个数据样本的上下文数据块,若最后一个上下文数据块不足C个数据样本则将该上下文数据块丢弃以使得每一个上下文数据块均包含C个数据样本,最终得到个上下文数据块,其中/>为对n/C进行下取整,n为入侵数据集χ的数据样本总数量。
可选地,步骤S102中进行多种不同的数据转换是指采用K个可学习的转换器T1~TK进行不同的数据转换,且数据转换前后的数据样本的空间维度相同。
可选地,步骤S104中总损失函数的计算函数表达式为:
L=Lcon+αLrec,
上式中,L为总损失函数,Lcon表示保留样本的确定对比损失函数,α为权重,Lrec为掩码样本的重构损失,且有:
上式中,s(xk,x)为样本x与其转换样本xk的相似度,s(xk,xl)为样本x的转换样本xk与转换样本xl的相似度,且相似度的计算函数表达式为:
s(xn,xm)=exp(sim(fφ(Tn(x)),fφ(Tm(x)))/τ),
上式中,s(xn,xm)表示任意样本xn和xm之间的相似度,Tn(x)为样本xn的转换样本,Tm(x)为样本xm的转换样本,fφ表示transformer编码器,sim为计算两个数据的余弦相似度,τ为温度超参数;
上式中,为重构数据样本,/>为重构数据样本对应的掩码样本。
可选地,步骤S105中对语义空间向量计算异常分数的函数表达式为:
S(x)=Lcon(x),
上式中,S(x)为数据样本x的异常分数,Lcon(x)表示数据样本x对应的保留样本的确定对比损失函数Lcon。
可选地,步骤S104中利用编码器将每一个原始的上下文数据块及其转换后的上下文数据块的保留样本集编码为语义空间向量时,编码器的输入向量的函数表达式为:
z0=xE+Epos,
上式中,z0为编码器的输入向量,xE对输入的数据样本x进行线性变换,Epos为保留样本集的位置编码,位置编码包含数据样本x在原始的上下文数据块中位置信息,位置编码的维度为d,保留样本集中任意第t个样本的位置编码pt的第i维度数据的计算函数表达式为:
上式中,为位置编码pt的第i维度数据,wk为频率,且有wk=1/100002k/d,i为维度,k为非负整数,t为时间,保留样本集中所有位置编码pt构成了保留样本集的位置编码Epos。
可选地,步骤S104中利用解码器对语义空间向量结合位置编码进行解码得到重构数据样本时,解码器的输入向量的函数表达式为:
上式中,z1为解码器的输入向量,为语义空间向量,Etoken为填充在掩码样本位置的全零向量,Epos为保留样本集的位置编码。
可选地,所述编码器为transformer编码器,包含一层自注意力机制层SAencoder和一层多层感知机MLPencoder,所述利用编码器将每一个原始的上下文数据块及其转换后的上下文数据块的保留样本集编码为语义空间向量的函数表达式为:
上式中,为自注意力机制层SAencoder的输出,z0为编码器的输入向量,LN为层归一化,/>为多层感知机MLPencoder输出的语义空间向量;所述解码器为transformer解码器,包含一层自注意力机制层SAdecoder和一层多层感知机MLPdecoder,所述利用解码器对语义空间向量结合位置编码进行解码得到重构数据样本的函数表达式为:
(zde)′=Adecoder(LN(z1))+1,
zde=LPdecoder(LN((zde)′))+(zde)′,
y=LN(zde),
上式中,(zde)′为自注意力机制层SAdecoder的输出,z1为解码器的输入向量,LN为层归一化,zde为多层感知机MLPdecoder的输出,y为重构数据样本。
此外,本发明还提供一种基于自监督掩码上下文重构的网络入侵检测系统,包括相互连接的微处理器和存储器,所述微处理器被编程或配置以执行所述基于自监督掩码上下文重构的网络入侵检测方法。
此外,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序用于被微处理器编程或配置以执行所述基于自监督掩码上下文重构的网络入侵检测方法。
和现有技术相比,本发明主要具有下述优点:本发明包括将入侵数据集划分上下文数据块,对其中数据样本进行多种数据转换得到多个转换后的上下文数据块;对每一个上下文数据块及其转换后的上下文数据块采用掩码机制生成掩码样本集和保留样本集;采用上下文数据块及其转换后的上下文数据块的掩码样本集、保留样本集训练神经网络;将待检测数据划分上下文数据块并转换得到多个转换后的上下文数据块,输入神经网络的编码器并计算数据样本的异常分数,若异常分数超过阈值则判定异常。本发明能够更深入地学习入侵数据之间的上下文时序关系,提高了利用上下文时序特性进行检测的准确度,降低了训练数据中异常污染对检测结果的影响,能够解决现有无监督入侵检测方法中忽略了入侵数据特有的上下文时序特性和异常污染问题,能够提升网络入侵检测效果,具有鲁棒性好的优点。
附图说明
图1为本发明实施例方法的基本流程示意图。
图2为本发明实施例中划分上下文数据块的原理示意图。
图3为本发明实施例中数据转换的原理示意图。
图4为本发明实施例中数据块划分掩码样本和保留样本的原理示意图。
图5为本发明实施例中保留样本的表征学习过程图。
图6为本发明实施例中掩码样本的重构过程图。
具体实施方式
为了使本申请中的技术方案被更好地理解,下面将结合本申请实施例中的附图和具体实施方式,对本申请进行清楚、详细的描述。
如图1所示,本实施例基于自监督掩码上下文重构的网络入侵检测方法包括:
S101,将入侵数据集划分为固定大小的上下文数据块;
S102,将每一个上下文数据块中的数据样本进行多种不同的数据转换,从而将每一个上下文数据块转换得到多个转换后的上下文数据块;
S103,对每一个原始的上下文数据块及其转换后的上下文数据块,采用掩码机制遮蔽相同的部分数据样本,将遮蔽的数据样本作为掩码样本集、剩余的数据样本作为保留样本集;
S104,采用每一个原始的上下文数据块及其转换后的上下文数据块的掩码样本集、保留样本集训练神经网络,所述神经网络包括编码器和解码器,且训练神经网络时包括利用编码器将每一个原始的上下文数据块及其转换后的上下文数据块的保留样本集编码为语义空间向量,并利用解码器对语义空间向量结合位置编码进行解码得到重构数据样本,并基于保留样本的确定对比损失函数与掩码样本的重构损失函数之和构成总损失函数来优化神经网络的网络参数直至完成对神经网络的训练;
S105,将待检测数据划分为固定大小的上下文数据块,将每一个上下文数据块中的数据样本进行多种不同的数据转换,从而将每一个上下文数据块转换得到多个转换后的上下文数据块;将原始的上下文数据块及其转换后的上下文数据块输入神经网络的编码器以计算语义空间向量,并计算各个数据样本的异常分数,若异常分数超过阈值则判定该数据样本异常。
本实施例步骤S101将入侵数据集划分为固定大小的上下文数据块(context数据块),将上下文数据块作为操作的单元,学习上下文数据块内部样本之间的上下文时序关系。本实施例步骤S101包括:对入侵数据集中的样本,按照时间顺序划分包含C个数据样本的上下文数据块,若最后一个上下文数据块不足C个数据样本则将该上下文数据块丢弃以使得每一个上下文数据块均包含C个数据样本,最终得到/>个上下文数据块/>如图2所示,其中/>为对n/C进行下取整,n为入侵数据集x的数据样本总数量。对于任意第h个上下文数据块/>其包含的样本集可表示为:
上式中,xC(h-1)+1~xC*h分别表示上下文数据块中的C个数据样本。
本实施例步骤S102中进行多种不同的数据转换是指采用K个可学习的转换器T1~TK进行不同的数据转换,且数据转换前后的数据样本的空间维度相同。可学习的转换器是指神经网络,利用神经网络的参数可学习的特点,来实现K个转换器T1~TK以进行不同的数据转换,本实施例中构造可学习的K个转换器T,T={T1,T2,…,TK},对上下文数据块内的样本进行K种不同的数据转换得到原样本xi的K个转换数据样本转换过程如图3所示。对于数据样本x而言,其第m个转换数据样本xm可表示为xm=Tm(x),其中Tm(x)为第m个转换器对数据样本x进行数据转换的操作。
为了学习样本间的上下文时序关系,本实施例步骤S103中对每一个原始的上下文数据块及其转换后的上下文数据块,采用掩码机制遮蔽相同的部分数据样本,将遮蔽的数据样本作为掩码样本集、剩余的数据样本作为保留样本集。采用掩码机制遮蔽相同的部分数据样本时,采用随机原则随机对上下文数据块中的样本进行指定比例的遮蔽,该指定比例可以根据需要进行设置,例如本实施例中取值为75%。例如针对原始的上下文数据块通过随机对原始的上下文数据块/>中的样本进行75%的遮蔽,将遮蔽的数据样本作为掩码样本集/>剩余的数据样本作为保留样本集/>即可得到掩码样本集/>和保留样本集原始的上下文数据块/>的所有转换后的上下文数据块也在相同的位置进行遮蔽,生成对应的掩码样本集和保留样本集,处理过程如图4所示。
本实施例中,步骤S104中总损失函数的计算函数表达式为:
L=Lcon+αLrec,
上式中,L为总损失函数,Lcon表示保留样本的确定对比损失函数,α为权重,Lrec为掩码样本的重构损失,为了计算保留样本的转换样本与原样本间的对比损失函数,本实施例中定义了一种新的损失函数——确定对比损失函数。该损失函数要求转换后的样本表征与原始样本表征相似,且同样本不同转换器得到的转换样本表征间不相似。将掩码样本的重构损失函数和保留样本的确定对比损失函数之和作为总损失函数训练神经网络,提高了神经网络学习效果,检测准确率更高。且有:
上式中,s(xk,x)为样本x与其转换样本xk的相似度,s(xk,xl)为样本x的转换样本xk与转换样本xl的相似度,且相似度的计算函数表达式为:
s(xn,xm)=exp(sim(fφ(Tn(x)),fφ(Tm(x)))/τ),
上式中,s(xn,xm)表示任意样本xn和xm之间的相似度,Tn(x)为样本xn的转换样本,Tm(x)为样本xm的转换样本,fφ表示transformer编码器,fφ(Tn(x))和fφ(Tm(x))即为transformer编码器得到的语义空间向量,sim为计算两个数据的余弦相似度,τ为温度超参数;
上式中,为重构数据样本,/>为重构数据样本对应的掩码样本。
本实施例中,步骤S105中对语义空间向量计算异常分数的函数表达式为:
S(x)=Lcon(x),
上式中,S(x)为数据样本x的异常分数,Lcon(x)表示数据样本x对应的保留样本的确定对比损失函数Lcon。
本发明通过编码器将保留样本(包括原上下文数据块保留样本和转换数据块的保留样本)映射到一个语义空间,在该空间中转换后的数据表征与原始数据表征相似,并且不同的转换间容易区分。计算编码器的输入时,将保留样本按照顺序排序,叠加自身位置向量送入编码器,作为编码器的输入向量z0。具体地,本实施例步骤S104中利用编码器将每一个原始的上下文数据块及其转换后的上下文数据块的保留样本集编码为语义空间向量时,编码器的输入向量的函数表达式为:
z0=xE+Epos,
上式中,z0为编码器的输入向量,xE对输入的数据样本x进行线性变换,Epos为保留样本集的位置编码,位置编码包含数据样本x在原始的上下文数据块中位置信息,位置编码的维度为d,保留样本集中任意第t个样本的位置编码pt的第i维度数据的计算函数表达式为:
上式中,为位置编码pt的第i维度数据,wk为频率,且有wk=1/100002k/d,i为维度,k为非负整数,t为时间,保留样本集中所有位置编码pt构成了保留样本集的位置编码Epos。可见,保留样本集中所有位置编码pt是一个包含每个频率wk的正弦和余弦对。
本实施例中,步骤S104中利用解码器对语义空间向量结合位置编码进行解码得到重构数据样本时,解码器的输入向量的函数表达式为:
上式中,z1为解码器的输入向量,为语义空间向量,Etoken为填充在掩码样本位置的全零向量,Epos为保留样本集的位置编码。
如图5所示,本实施例中的编码器为transformer编码器,包含一层自注意力机制层SAencoder和一层多层感知机MLPencoder,所述利用编码器将每一个原始的上下文数据块及其转换后的上下文数据块的保留样本集编码为语义空间向量的函数表达式为:
上式中,为自注意力机制层Saencoder的输出,z0为编码器的输入向量,LN为层归一化,/>为多层感知机MLPencoder输出的语义空间向量;
如图6所示,本实施例中的解码器为transformer解码器,包含一层自注意力机制层SAdecoder和一层多层感知机MLPdecoder,所述利用解码器对语义空间向量结合位置编码进行解码得到重构数据样本的函数表达式为:
(zde)′=Adecoder(LN(z1))+1,
zde=LPdecoder(LN((zde)′))+(zde)′,
y=Ln(zde),
上式中,(zde)′为自注意力机制层SAdecoder的输出,z1为解码器的输入向量,LN为层归一化,zde为多层感知机MLPdecoder的输出,y为重构数据样本。
由此可见,本实施例中采用了K个可学习的转换器T1~TK、transformer编码器以及transformer解码器三者构成的基于transformer的自监督学习框架,学习保留样本与其转换样本的表征,计算transformer编码器的输入,将上下文数据块内保留样本叠加自身位置向量作为transformer编码器的输入z0;基于transformer编码器学习保留样本及其转换样本在新的语义空间中的表征(简称语义空间表征)。通过采用transformer解码器重构掩码样本,将掩码样本(只包含位置信息)按原来的位置插入保留样本的嵌入表征中,拼合后的向量作为transformer解码器的输入z1;基于transformer解码器重构掩码样本y。通过上述方式来学习上下文数据块转换、学习保留样本的表征和重构掩码样本,基于transformer的自监督学习框架的三个模块都通过神经网络训练优化参数。针对神经网络的优化,实质是梯度下降。在本实施例方法中采用小批量的梯度下降,克服了批梯度下降和随机梯度下降的缺点。具体操作中,将上下文数据块作为最小操作单元,按批来更新神经网络参数,一个批中的数据共同决定了本次梯度的方向,下降起来就不容易跑偏,减少了随机性。
在异常检测过程中,首先将待检测数据集划分成上下文数据块,由于需要对每个样本都进行检测做出判定,对待检测数据不进行掩码操作,上下文数据块内所有样本作为保留样本进行数据转换操作,将原上下文数据块和转换后数据块输入编码器计算异常分数,根据异常分数判定是否为异常。
为了对本实施例基于自监督掩码上下文重构的网络入侵检测方法进行验证,将本实施例方法在4个真实的入侵数据集上进行了测试,验证了本实施例方法的有效性。而且,测试发现,与其他无监督入侵检测方法相比,本实施例方法在其中两个数据集上的AUC值比之前最好的方法分别提升了9.04%和9.58%,在不同的异常污染情况下,本实施例方法的性能几乎没有下降,验证了本实施例方法的鲁棒性。
综上所述,本实施例方法包括将入侵数据集划分上下文数据块,对其中数据样本进行多种数据转换得到多个转换后的上下文数据块;对每一个上下文数据块及其转换后的上下文数据块采用掩码机制生成掩码样本集和保留样本集;采用上下文数据块及其转换后的上下文数据块的掩码样本集、保留样本集训练神经网络;将待检测数据划分上下文数据块并转换得到多个转换后的上下文数据块,输入神经网络的编码器并计算数据样本的异常分数,若异常分数超过阈值则判定异常。本实施例方法能够深入学习入侵数据内的上下文时序特征,掩码机制提升了系统的鲁棒性,同时应用新的损失函数提高了神经网络的检测率,使得本发明能够解决现有无监督入侵检测方法中忽略了入侵数据特有的上下文时序特性和异常污染问题,能够提升网络入侵检测效果,具有鲁棒性好的优点。
此外,本实施例还提供一种基于自监督掩码上下文重构的网络入侵检测系统,包括相互连接的微处理器和存储器,所述微处理器被编程或配置以执行所述基于自监督掩码上下文重构的网络入侵检测方法。此外,本实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序用于被微处理器编程或配置以执行所述基于自监督掩码上下文重构的网络入侵检测方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可读存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种基于自监督掩码上下文重构的网络入侵检测方法,其特征在于,包括:
S101,将入侵数据集划分为固定大小的上下文数据块;
S102,将每一个上下文数据块中的数据样本进行多种不同的数据转换,从而将每一个上下文数据块转换得到多个转换后的上下文数据块;
S103,对每一个原始的上下文数据块及其转换后的上下文数据块,采用掩码机制遮蔽相同的部分数据样本,将遮蔽的数据样本作为掩码样本集、剩余的数据样本作为保留样本集;
S104,采用每一个原始的上下文数据块及其转换后的上下文数据块的掩码样本集、保留样本集训练神经网络,所述神经网络包括编码器和解码器,且训练神经网络时包括利用编码器将每一个原始的上下文数据块及其转换后的上下文数据块的保留样本集编码为语义空间向量,并利用解码器对语义空间向量结合位置编码进行解码得到重构数据样本,并基于保留样本的确定对比损失函数与掩码样本的重构损失函数之和构成总损失函数来优化神经网络的网络参数直至完成对神经网络的训练;
S105,将待检测数据划分为固定大小的上下文数据块,将每一个上下文数据块中的数据样本进行多种不同的数据转换,从而将每一个上下文数据块转换得到多个转换后的上下文数据块;将原始的上下文数据块及其转换后的上下文数据块输入神经网络的编码器以计算语义空间向量,并计算各个数据样本的异常分数,若异常分数超过阈值则判定该数据样本异常。
2.根据权利要求1所述的基于自监督掩码上下文重构的网络入侵检测方法,其特征在于,步骤S101包括:对入侵数据集中的样本,按照时间顺序划分包含C个数据样本的上下文数据块,若最后一个上下文数据块不足C个数据样本则将该上下文数据块丢弃以使得每一个上下文数据块均包含C个数据样本,最终得到/>个上下文数据块,其中/>为对n/C进行下取整,n为入侵数据集/>的数据样本总数量。
3.根据权利要求1所述的基于自监督掩码上下文重构的网络入侵检测方法,其特征在于,步骤S102中进行多种不同的数据转换是指采用K个可学习的转换器T1~TK进行不同的数据转换,且数据转换前后的数据样本的空间维度相同。
4.根据权利要求3所述的基于自监督掩码上下文重构的网络入侵检测方法,其特征在于,步骤S104中总损失函数的计算函数表达式为:
L=Lcon+αLrec,
上式中,L为总损失函数,Lcon表示保留样本的确定对比损失函数,α为权重,Lrec为掩码样本的重构损失,且有:
上式中,s(xk,x)为样本x与其转换样本xk的相似度,s(xk,xl)为样本x的转换样本xk与转换样本xl的相似度,且相似度的计算函数表达式为:
s(xn,xm)=exp(sim(fφ(Tn(x)),fφ(Tm(x)))/τ),
上式中,s(xn,xm)表示任意样本xn和xm之间的相似度,Tn(x)为样本xn的转换样本,Tm(x)为样本xm的转换样本,fφ表示transformer编码器,sim为计算两个数据的余弦相似度,τ为温度超参数;
上式中,为重构数据样本,/>为重构数据样本对应的掩码样本。
5.根据权利要求4所述的基于自监督掩码上下文重构的网络入侵检测方法,其特征在于,步骤S105中对语义空间向量计算异常分数的函数表达式为:
S(x)=Lcon(x),
上式中,S(x)为数据样本x的异常分数,Lcon(x)表示数据样本x对应的保留样本的确定对比损失函数Lcon。
6.根据权利要求1所述的基于自监督掩码上下文重构的网络入侵检测方法,其特征在于,步骤S104中利用编码器将每一个原始的上下文数据块及其转换后的上下文数据块的保留样本集编码为语义空间向量时,编码器的输入向量的函数表达式为:
z0=xE+Epos,
上式中,z0为编码器的输入向量,xE对输入的数据样本x进行线性变换,Epos为保留样本集的位置编码,位置编码包含数据样本x在原始的上下文数据块中位置信息,位置编码的维度为d,保留样本集中任意第t个样本的位置编码pt的第i维度数据的计算函数表达式为:
上式中,为位置编码pt的第i维度数据,wk为频率,且有wk=1/100002k/d,i为维度,k为非负整数,t为时间,保留样本集中所有位置编码pt构成了保留样本集的位置编码Epos。
7.根据权利要求6所述的基于自监督掩码上下文重构的网络入侵检测方法,其特征在于,步骤S104中利用解码器对语义空间向量结合位置编码进行解码得到重构数据样本时,解码器的输入向量的函数表达式为:
上式中,z1为解码器的输入向量,为语义空间向量,Etoken为填充在掩码样本位置的全零向量,Epos为保留样本集的位置编码。
8.根据权利要求7所述的基于自监督掩码上下文重构的网络入侵检测方法,其特征在于,所述编码器为transformer编码器,包含一层自注意力机制层SAencoder和一层多层感知机MLPencoder,所述利用编码器将每一个原始的上下文数据块及其转换后的上下文数据块的保留样本集编码为语义空间向量的函数表达式为:
上式中,为自注意力机制层SAencoder的输出,z0为编码器的输入向量,LN为层归一化,/>为多层感知机MLPencoder输出的语义空间向量;所述解码器为transformer解码器,包含一层自注意力机制层SAdecoder和一层多层感知机MLPdecoder,所述利用解码器对语义空间向量结合位置编码进行解码得到重构数据样本的函数表达式为:
(zde)′=SAdecoder(LN(z1))+z1,
zde=MLPdecoder(LN((zde)′))+(zde)′,
y=LN(zde),
上式中,(zde)′为自注意力机制层SAdecoder的输出,z1为解码器的输入向量,LN为层归一化,zde为多层感知机MLPdecoder的输出,y为重构数据样本。
9.一种基于自监督掩码上下文重构的网络入侵检测系统,包括相互连接的微处理器和存储器,其特征在于,所述微处理器被编程或配置以执行权利要求1~8中任意一项所述基于自监督掩码上下文重构的网络入侵检测方法。
10.一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,其特征在于,所述计算机程序用于被微处理器编程或配置以执行权利要求1~8中任意一项所述基于自监督掩码上下文重构的网络入侵检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310368872.2A CN116488874A (zh) | 2023-04-07 | 2023-04-07 | 基于自监督掩码上下文重构的网络入侵检测方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310368872.2A CN116488874A (zh) | 2023-04-07 | 2023-04-07 | 基于自监督掩码上下文重构的网络入侵检测方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116488874A true CN116488874A (zh) | 2023-07-25 |
Family
ID=87226136
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310368872.2A Pending CN116488874A (zh) | 2023-04-07 | 2023-04-07 | 基于自监督掩码上下文重构的网络入侵检测方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116488874A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116776228A (zh) * | 2023-08-17 | 2023-09-19 | 合肥工业大学 | 一种电网时序数据解耦自监督预训练方法与系统 |
-
2023
- 2023-04-07 CN CN202310368872.2A patent/CN116488874A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116776228A (zh) * | 2023-08-17 | 2023-09-19 | 合肥工业大学 | 一种电网时序数据解耦自监督预训练方法与系统 |
CN116776228B (zh) * | 2023-08-17 | 2023-10-20 | 合肥工业大学 | 一种电网时序数据解耦自监督预训练方法与系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113554089B (zh) | 一种图像分类对抗样本防御方法、系统及数据处理终端 | |
CN111967571B (zh) | 一种基于mhma的异常检测方法和设备 | |
CN111586071B (zh) | 一种基于循环神经网络模型的加密攻击检测方法及装置 | |
CN111753290B (zh) | 软件类型的检测方法及相关设备 | |
CN112668013B (zh) | 一种面向Java源码的语句级模式探索的漏洞检测方法 | |
CN110618854B (zh) | 基于深度学习与内存镜像分析的虚机行为分析系统 | |
CN113360912A (zh) | 恶意软件检测方法、装置、设备及存储介质 | |
CN114692156B (zh) | 内存片段恶意代码入侵检测方法、系统、存储介质及设备 | |
CN116488874A (zh) | 基于自监督掩码上下文重构的网络入侵检测方法和系统 | |
CN113963213A (zh) | 针对深度神经网络对抗样本的对抗噪声去除方法及系统 | |
CN115913643A (zh) | 一种基于对抗自编码器的网络入侵检测方法、系统及介质 | |
CN116192477A (zh) | 一种基于掩码图自编码器的apt攻击检测方法及装置 | |
CN116962047A (zh) | 一种可解释的威胁情报生成方法、系统及装置 | |
CN115529475B (zh) | 视频流量内容检测与风控的方法和系统 | |
CN115314239A (zh) | 基于多模型融合的隐匿恶意行为的分析方法和相关设备 | |
CN112929341A (zh) | 一种dga域名的检测方法、系统及装置 | |
CN112749687A (zh) | 一种图片质量和静默活体检测多任务训练方法和设备 | |
KR102491451B1 (ko) | 심층 신경망 기반의 악성코드 탐지 분류체계의 유사도를 반영하는 시그니처 생성 장치, 이를 위한 방법 및 이 방법을 수행하기 위한 프로그램이 기록된 컴퓨터 판독 가능한 기록매체 | |
CN114155461B (zh) | 微小视频内容过滤与净化的方法和系统 | |
CN117152564B (zh) | 目标检测方法、装置、电子设备及存储介质 | |
CN118097154B (zh) | 轻量化裂缝分割方法、装置、终端设备及存储介质 | |
CN113139187B (zh) | 一种预训练语言模型的生成、检测方法及装置 | |
CN117292331B (zh) | 基于深度学习的复杂异物检测系统及方法 | |
CN117692210A (zh) | 基于图像增强的网络流量入侵检测方法和系统 | |
CN118070279A (zh) | 基于api序列内在特征的恶意软件检测方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |