CN116743493A

CN116743493A - 网络入侵检测模型构建方法及网络入侵检测方法

Info

Publication number: CN116743493A
Application number: CN202310932545.5A
Authority: CN
Inventors: 丁攀; 徐雷; 郭新海; 刘安
Original assignee: China United Network Communications Group Co Ltd
Current assignee: China United Network Communications Group Co Ltd
Priority date: 2023-07-26
Filing date: 2023-07-26
Publication date: 2023-09-12

Abstract

本申请提供网络入侵检测模型构建方法和网络入侵检测方法，通过获取历史网络入侵检测数据，利用主成分分析法对所述历史网络入侵检测数据进行一次特征提取，构建一次特征数据集，能有效地去除数据冗余，并达到降维目的；获取初代网络入侵检测模型，所述初代网络入侵检测模型包括二次特征提取器和递归预测分类器，初代网络入侵检测模型中的二次特征提取器采用无监督学习进行训练，提高了对无标签样本数据的适应性，降低了对训练数据的要求，能够进一步提取深层特征，提高了预测准确率；基于所述一次特征数据集，采用改进灰狼算法对所述初代网络入侵检测模型进行优化训练，避免了多种寻优算法结合导致计算量和复杂度增加，降低了硬件成本投入和要求。

Description

网络入侵检测模型构建方法及网络入侵检测方法

技术领域

本申请涉及网络入侵检测领域，尤其涉及一种网络入侵检测模型构建方法及网络入侵检测方法。

背景技术

随着大数据和人工智能技术的飞速发展，网络用户规模不断扩大，引入了更多的网络流量和网络安全问题。入侵检测技术是网络技术不断发展的结果，通过对计算机网络的信息和行为进行监测和分析，判断异常信息的存在，可以有效地检测网络攻击。

现有的网络入侵检测技术主要包括利用支持向量机(Support Vector Machine，SVM)模型来实现，通过提取数据特征，从而进行二分类预测，但这种手段对数据的学习能力和特征提取能力差，只能提取待检测网络数据的表层特征，无法获取待检测网络数据特征与入侵攻击之间的深层关联，模型稳定性差。

现有的基于机器学习的入侵检测模型，能够在一定程度上解决上述问题，但收敛性差，容易陷入局部最优值无法跳出，提高了优化算法的结合计算量和复杂度，提高了硬件投入成本和要求，并且，网络入侵检测作为一种正常高速发展的技术，其标签样本数据的数量并不多，而现有技术中建立的基于机器学习的入侵检测模型往往需要大量的标签样本数据，提高了模型建立的数据要求，降低了现有模型的实用性。

发明内容

本申请提供一种网络入侵检测模型构建方法及网络入侵检测方法，用以解决现有技术的收敛性差，优化算法的结合计算量大、复杂度高，对标签样本数据的数量的要求高的问题。

第一方面，本申请提供一种网络入侵检测模型构建方法，包括：

获取历史网络入侵检测数据，所述历史网络入侵检测数据包括无标签样本数据、标签样本数据和所述标签样本数据对应的标签；

利用主成分分析法对所述历史网络入侵检测数据进行一次特征提取，构建一次特征数据集，所述一次特征数据集包括与无标签样本数据对应的无标签特征数据、与标签样本数据对应的第一特征数据，以及所述第一特征数据对应的标签；

获取初代网络入侵检测模型，所述初代网络入侵检测模型包括二次特征提取器和递归预测分类器，所述二次特征提取器为预先采用无监督学习算法基于所述无标签特征数据训练得到的特征提取器，所述二次特征提取器用于提取所述一次特征数据集中所述第一特征数据与所述标签的对应关系，构建二次特征数据集，所述二次特征数据集用于训练所述递归预测分类器；

基于所述一次特征数据集，采用改进灰狼算法对所述初代网络入侵检测模型进行优化训练，获得目标网络入侵检测模型。

可选地，如上所述的方法，所述对所述历史网络入侵检测数据进行一次数据特征提取，生成一次特征数据集，包括：

采用主成分分析法对所述历史网络入侵检测数据进行一次特征提取，获得各历史网络入侵检测数据的原始特征，生成原始特征集；

根据预设的抽取贡献率阈值，确定主成分向量；

将无标签样本数据在主成分向量上的投影作为无标签特征数据；

将标签样本数据在主成分向量上的投影作为第一特征数据，并基于每个标签样本数据与标签的对应关系，获取所述第一特征数据对应的标签。

可选地，如上所述的方法，所述二次特征提取器为深度信念网络，所述深度信念网络依次包括输入层、若干个隐含层以及输出层，所述的输出层将Elman神经网络作为分类器。

可选地，如上所述的方法，所述基于所述一次特征数据集，采用改进灰狼算法对所述初代网络入侵检测模型进行优化训练，获得目标网络入侵检测模型，包括：

将一次特征数据集按预设比例划分为训练样本集和测试样本集；

将所述初代网络入侵检测模型中每个隐含层的神经元个数、深度信念网络的初始连接权值和偏置值、Elman神经网络的初始连接权值和偏置值作为寻优目标，将预测输出值与真实输出值的均方误差作为改进灰狼算法的适应度；

基于所述适应度和所述寻优目标使用改进灰狼算法进行寻优，若适应度满足要求或寻优迭代次数达到阈值，获得寻优目标的参数值；

将所述训练样本集输入至添加寻优目标的参数值的所述初代网络入侵检测模型中进行优化训练，直到训练迭代次数到达阈值，获得第一网络入侵检测模型；

将所述测试样本集输入第一网络入侵检测模型，检测所述第一网络入侵检测模型的准确率是否达到阈值；

若是，则输出第一网络入侵检测模型作为目标网络入侵检测模型；

若否，重复寻优直至寻优目标的参数值使得第一网络入侵检测模型的准确率达到阈值。

可选地，如上所述的方法，在获取历史网络入侵检测数据之前，还包括：

获取原始的历史网络入侵检测数据；

对所述原始的历史网络入侵检测数据进行离散字符型数据处理，获得数值型数据；

对所述数值型数据进行归一化处理，获得归一化数据；

对所述归一化数据进行数据格式转换处理，获得预处理后的网络数据。

第二方面，本申请提供一种网络入侵检测方法，包括：

获取实时网络数据，对所述实时网络数据进行预处理，获得预处理后的实时数据；

对所述预处理后的实时数据进行一次特征数据提取，获得第一实时特征数据集；

采用预设的目标网络入侵检测模型对所述第一实时特征数据集进行入侵检测，获得入侵检测结果，其中，所述目标网络入侵检测模型采用如权利要求1-5任意一项所述方法构建。

第三方面，本申请提供一种网络入侵检测模型构建装置，包括：

样本数据获取模块，用于获取历史网络入侵检测数据，所述历史网络入侵检测数据包括无标签样本数据、标签样本数据和所述标签样本数据对应的标签；

一次特征提取模块，用于利用主成分分析法对所述历史网络入侵检测数据进行一次特征提取，构建一次特征数据集，所述一次特征数据集包括与无标签样本数据对应的无标签特征数据、与标签样本数据对应的第一特征数据，以及所述第一特征数据对应的标签；

初代模型获取模块，用于获取初代网络入侵检测模型，所述初代网络入侵检测模型包括二次特征提取器和递归预测分类器，所述二次特征提取器为预先采用无监督学习算法基于所述无标签特征数据训练得到的特征提取器，所述二次特征提取器用于提取所述一次特征数据集中所述第一特征数据与所述标签的对应关系，构建二次特征数据集，所述二次特征数据集用于训练所述递归预测分类器；

模型训练模块，用于基于所述一次特征数据集，采用改进灰狼算法对所述初代网络入侵检测模型进行优化训练，获得目标网络入侵检测模型。

第四方面，本申请提供一种网络入侵检测装置，包括：

数据处理模块，用于获取实时网络数据，对所述实时网络数据进行预处理，获得预处理后的实时数据；

特征提取模块，用于对所述预处理后的实时数据进行一次特征数据提取，获得第一实时特征数据集；

入侵检测模块，用于采用预设的目标网络入侵检测模型对所述第一实时特征数据集进行入侵检测，获得入侵检测结果，其中，所述目标网络入侵检测模型采用如第一方面中任一项所述的方法构建。

第五方面，本申请提供了一种电子设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机执行指令，所述处理器执行所述计算机执行指令时实现上述第一方面中任一项所述的方法。

第六方面，本申请提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面中任一项所述的方法。

本申请提供的网络入侵检测模型构建方法和网络入侵检测方法，通过获取历史网络入侵检测数据，所述历史网络入侵检测数据包括无标签样本数据、标签样本数据和所述标签样本数据对应的标签，利用主成分分析法对所述历史网络入侵检测数据进行一次特征提取，构建一次特征数据集，所述一次特征数据集包括与无标签样本数据对应的无标签特征数据、与标签样本数据对应的第一特征数据，以及所述第一特征数据对应的标签，通过对网络数据进行一次特征提取，能有效地去除数据冗余，并达到降维目的；获取初代网络入侵检测模型，所述初代网络入侵检测模型包括二次特征提取器和递归预测分类器，所述二次特征提取器为预先采用无监督学习算法基于所述无标签特征数据训练得到的特征提取器，所述二次特征提取器用于提取所述一次特征数据集中所述第一特征数据与所述标签的对应关系，构建二次特征数据集，所述二次特征数据集用于训练所述递归预测分类器，初代网络入侵检测模型中的二次特征提取器采用无监督学习进行训练，提高了对无标签样本数据的适应性，降低了对训练数据的要求，能够进一步提取深层特征，提高了预测准确率；基于所述一次特征数据集，采用改进灰狼算法对所述初代网络入侵检测模型进行优化训练，获得目标网络入侵检测模型，通过采用构建的目标网络入侵检测模型实现网络入侵检测，采用灰狼寻优算法，避免了多种寻优算法结合导致计算量和复杂度增加，降低了硬件成本投入和要求。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1为本申请实施例提供的网络入侵检测模型构建方法的流程图。

图2为本实施例提供的采用IGWO对所述初代网络入侵检测模型进行优化训练，获得目标网络入侵检测模型的方法的流程图。

图3为本申请实施例提供的网络入侵检测法的流程图。

图4为本申请实施例提供的网络入侵检测模型构建装置的示意图。

图5为本申请实施例提供的网络入侵检测装置的示意图。

图6为本申请实施例提供的基于网络入侵检测模型构建装置的电子设备的结构示意图。

通过上述附图，已示出本申请明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围，而是通过参考特定实施例为本领域技术人员说明本申请的概念。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

下面以具体的实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本申请的实施例进行描述。

图1为本申请实施例提供的网络入侵检测模型构建方法的流程图。如图1所示，本实施例的方法，包括：

S101：获取历史网络入侵检测数据，所述历史网络入侵检测数据包括无标签样本数据、标签样本数据和所述标签样本数据对应的标签。

本申请实施例的执行主体可以是服务器，也可以是服务器中的网络入侵检测模型构建系统，其中，网络入侵检测模型构建系统可以通过软件实现。

可以理解的是，在现有技术中的基于深度学习或机器学习的入侵检测模型的训练过程中，需要大规模的有标注样本对模型进行训练，对样本数据要求高，成本也高。本实施例则先获取历史网络入侵检测数据，历史网络入侵检测数据中包括大量的无标签样本数据和一部分标签样本数据，在后续的训练过程中，可以先用无标签样本数据进行预训练，再用少量标签样本数据进行微调。

可选地，标签样本数据可以包括多种攻击类型的网络流量样本数据，其标签则可以为正常或某种具体的攻击类型。

S102：利用主成分分析法对所述历史网络入侵检测数据进行一次特征提取，构建一次特征数据集，所述一次特征数据集包括与无标签样本数据对应的无标签特征数据、与标签样本数据对应的第一特征数据，以及所述第一特征数据对应的标签。

可以理解的是，主成分分析法的原理是设法将原来的变量重新组合成一组新的相互无关的几个综合变量，同时根据实际需要从中可以取出几个较少的综合变量尽可能多地反映原来变量的信息。在该步骤中，历史网络入侵检测数据也就是原来的变量，经过主成分分析法进行降维后，也就是在原来的变量的基础上找出作为主成分的特征，将原来的各历史网络入侵检测数据进行投影，从而获得历史网络入侵检测数据的一次特征数据。具体地，与无标签样本数据对应的为无标签特征数据，与标签样本数据对应的为第一特征数据，由于标签样本数据具有对应的标签，因此，第一特征数据也具有对应的标签。

S103：获取初代网络入侵检测模型，所述初代网络入侵检测模型包括二次特征提取器和递归预测分类器，所述二次特征提取器为预先采用无监督学习算法基于所述无标签特征数据训练得到的特征提取器，所述二次特征提取器用于提取所述一次特征数据集中所述第一特征数据与所述标签的对应关系，构建二次特征数据集，所述二次特征数据集用于训练所述递归预测分类器。

在该步骤中，采用无监督学习算法对无标签特征数据进行训练，从而对无标签特征数据进行分类或者统计，也就是去分析各个维度的关联关系。由于无监督学习很难去量化学习的效果，因此，可以用就一次特征数据集中第一特征数据与所述标签的对应关系调整无监督学习算法；换一个说法，利用这种对一次特征数据集进行二次特征提取的方式，能够有效的提取一次特征数据集中包含的深度特征与网络入侵攻击分类的深层关系。

作为示例而非限定的，二次特征提取器可以采用深度信念网络(Deep BeliefNetworks，DBN)，其可以通过较为简单直观的表现形式来挖掘数据之间的复杂关系与应用，有效地解决了无法从数据中提取出更深层次的抽象关系问题；递归预测分类器可以采用Elman神经网络，较其它分类器而言，Elman神经网络其本身的局部反馈具有更强的自学习能力，因此，利用DBN-Elman算法，提取一次特征数据集中的二次特征，并将二次特征输入递归预测分类器，能够有效提高入侵检测的准确性。

S104：基于所述一次特征数据集，采用改进灰狼算法对所述初代网络入侵检测模型进行优化训练，获得目标网络入侵检测模型。

可以理解的是，灰狼优化算法是一种群智能优化算法，它具有较强的收敛性能、参数少、易实现等特点。

在该步骤中，所采用的改进灰狼算法(IGWO)结合了混沌序列初始化和动态反向学习策略，能够提高收敛性能，跳出局部最优。

本实施例提供的本申请提供的网络入侵检测模型构建方法，通过获取历史网络入侵检测数据，所述历史网络入侵检测数据包括无标签样本数据、标签样本数据和所述标签样本数据对应的标签，利用主成分分析法对所述历史网络入侵检测数据进行一次特征提取，构建一次特征数据集，所述一次特征数据集包括与无标签样本数据对应的无标签特征数据、与标签样本数据对应的第一特征数据，以及所述第一特征数据对应的标签，通过对网络数据进行一次特征提取，能有效地去除数据冗余，并达到降维目的；获取初代网络入侵检测模型，所述初代网络入侵检测模型包括二次特征提取器和递归预测分类器，所述二次特征提取器为预先采用无监督学习算法基于所述无标签特征数据训练得到的特征提取器，所述二次特征提取器用于提取所述一次特征数据集中所述第一特征数据与所述标签的对应关系，构建二次特征数据集，所述二次特征数据集用于训练所述递归预测分类器，初代网络入侵检测模型中的二次特征提取器采用无监督学习进行训练，提高了对无标签样本数据的适应性，降低了对训练数据的要求，能够进一步提取深层特征，提高了预测准确率；基于所述一次特征数据集，采用改进灰狼算法对所述初代网络入侵检测模型进行优化训练，获得目标网络入侵检测模型，采用灰狼寻优算法，避免了多种寻优算法结合导致计算量和复杂度增加，降低了硬件成本投入和要求。

下面对上述网络入侵检测模型构建方法的技术方案进行详细介绍。

在一种可能的实施方式中，本实施例提供的网络入侵检测模型构建方法通过采用主成分分析法对所述历史网络入侵检测数据进行一次数据特征提取，确定主成分后，生成一次特征数据集。

具体地，采用主成分分析法对所述历史网络入侵检测数据进行一次特征提取，获得各历史网络入侵检测数据的原始特征，生成原始特征集；根据预设的抽取贡献率阈值，确定主成分向量；将无标签样本数据在主成分向量上的投影作为无标签特征数据；将标签样本数据在主成分向量上的投影作为第一特征数据，并基于每个标签样本数据与标签的对应关系，获取所述第一特征数据对应的标签。

可以理解的是，主成分分析法的主成分其实就是历史网络入侵检测数据作为样本集的协方差矩阵的前n个特征值对应的特征向量矩阵，而利用这个特征向量矩阵处理每一个样本数据，即可实现降维的主成分分析的目的。

在本实施例中，可以首先对所有的样本数据，也就是历史网络入侵检测数据进行一次特征提取，由此获得各样本数据的原始特征，对原始特征进行协方差矩阵计算，并进行特征值分解后，取出最大的m(m为正整数)个特征值对应的特征向量，将所有的特征向量标准化之后，获得原始特征集，当前m个特征值的累加值占原始特征的百分比达到预设的抽取贡献率阈值时，确定最大的m个特征值对应的特征向量为主成分向量。

作为示例而非限定的，预设的抽取贡献率阈值可以为96％，也可以为其他由用户设定的数值。

本实施例中，由于历史网络数据之间存在很强的相似依赖性，影响最终的检测准确率，通过采用主成分分析法对所述历史网络入侵检测数据进行一次数据特征提取，确定主成分后，生成一次特征数据集，对原始样本数据进行变换，则能有效地去除数据冗余，并达到降维目的，降维后新变量(也称主成分)互不相关，能有效地表示原变量的信息，不丢失或尽量少丢失原有变量的信息。

在一种可能的实施方式中，本实施例提供的网络入侵检测模型构建方法中，所述二次特征提取器为深度信念网络DBN，所述深度信念网络依次包括输入层、若干个隐含层以及输出层，所述的输出层将Elman神经网络作为分类器。

具体地，可以根据一次特征数据集中特征量个数设置初始的计算机网络入侵检测模型输入层的神经元个数，构建输入层结构；将隐含层个数设置为3层；根据输出的入侵检测结果的网络入侵攻击分类个数，将分类器的神经元个数设置为4个。

本实施例中，采用DBN-Elman算法建立计算机网络入侵检测模型，其中DBN网络采用无监督学习进行训练，提高了对无标签样本数据的适应性，降低了对训练数据的要求，提高了实用性，并且能够提取网络数据与入侵攻击分类之间的深层关系，提高了预测的准确性，Elman算法作为分类器，对特征数据具有强大的学习能力，当输入样本量增大或训练样本数据改变，也不会影响自身已经训练好的结构，模型稳定性强，适用于各种对分类情况。

在一种可能的实施方式中，本实施例提供的网络入侵检测模型构建方法通过设定适应度和寻优目标，采用改进灰狼算法IGWO对所述初代网络入侵检测模型进行优化训练，获得目标网络入侵检测模型。图2为本实施例提供的采用IGWO对所述初代网络入侵检测模型进行优化训练，获得目标网络入侵检测模型的方法的流程图，如图2所示，基于所述一次特征数据集，采用改进灰狼算法对所述初代网络入侵检测模型进行优化训练，获得目标网络入侵检测模型，包括：

S201：将一次特征数据集按预设比例划分为训练样本集和测试样本集。

可以理解的是，可以通过训练样本对网络入侵检测模型进行训练，通过测试样本对网络入侵检测模型的训练效果进行检验。示例性的，可以将一次特征数据集的70％划分为训练样本集，将30％划分为测试样本集。

S202：将所述初代网络入侵检测模型中每个隐含层的神经元个数、深度信念网络的初始连接权值和偏置值、Elman神经网络的初始连接权值和偏置值作为寻优目标，将预测输出值与真实输出值的均方误差作为改进灰狼算法的适应度。

可以理解的是，灰狼算法的独特之处在于一小部分拥有绝对话语权的灰狼带领一群灰狼向猎物前进。简单而言，可以理解为狼群中有a、b、c三只狼做头狼，其中a是狼王，b、c分别排第二、第三，b、c都要服从于a的，c要服从于b，这三匹狼指导者其他的狼寻找猎物，狼群寻找猎物的过程就是我们寻找最优解的过程。

在该步骤中，灰狼的寻优目标可以为初代网络入侵检测模型中每个隐含层的神经元个数、深度信念网络的初始连接权值和偏置值、Elman神经网络的初始连接权值和偏置值，而适应度则是预测输出值与真实输出值的均方误差，适应度越小，位置越接近全局最优

S203：基于所述适应度和所述寻优目标使用改进灰狼算法进行寻优，若适应度满足要求或寻优迭代次数达到阈值，获得寻优目标的参数值。

可以理解的是，IGWO(改进灰狼)算法引入了混沌序列初始化和动态反向学习策略对传统灰狼进行改进，传统的GWO算法的灰狼种群初始化存在不均匀性的缺陷，本实施例采用Circle混沌映射进行初始化使灰狼种群的空间分布更加均匀，提高算法收敛速度，扩展搜索范围，跳出陷入局部最优值。

具体地，Circle混沌映射的公式为：

式中，x_i+1,j+1为Circle混沌映射灰狼种群初始位置；x_i,j为随机生成初始位置；mod()为mod函数；

动态反向学习策略的公式为：

式中，为灰狼个体的反向最优解；/>为正向最优解；γ为递减惯性系数，γ＝0.9-0.5t/T；L_max、L_min分别为向量空间最大、小值。

若适应度满足要求或寻优迭代次数达到阈值，将最优狼的位置作为最优的深度信念网络每个隐含层的神经元个数、最优的深度信念网络的初始连接权值和偏置值以及最优的Elman神经网络的初始连接权值和偏置值。

S204：将所述训练样本集输入至添加寻优目标的参数值的所述初代网络入侵检测模型中进行优化训练，直到训练迭代次数到达阈值，获得第一网络入侵检测模型。

可以理解的是，将寻优目标的参数值添加至初代网络入侵检测模型后，可以将训练样本集输入初代网络入侵检测模型，并对其进行训练，从而获得训练后的第一网络入侵检测模型。

S205：将所述测试样本集输入第一网络入侵检测模型，检测所述第一网络入侵检测模型的准确率是否达到阈值。

在该步骤中，可以将测试样本集输入训练好的第一网络入侵检测模型；根据第一网络入侵检测模型输出的分类置信度预测测试样本集中的数据对应的类别标签，计算检测结果与真实标签的偏差值，也就是准确率。

S206：若是，则输出第一网络入侵检测模型作为目标网络入侵检测模型。

若第一网络入侵检测模型的准确率达到阈值，也就是说，第一网络入侵检测模型的准确度足以使得其被作为目标网络入侵检测模型，用于实际的网络入侵检测中。

S207：若否，重复寻优直至寻优目标的参数值使得第一网络入侵检测模型的准确率达到阈值。

若第一网络入侵检测模型的准确率未达到阈值，也就是说，第一网络入侵检测模型还需要进行优化，因此，可以回到S203，重新进行寻优，得到寻优目标的参数值，进而得到第一网络入侵检测模型，直至第一网络入侵检测模型的准确率达到阈值。

本实施例中，通过设定适应度和寻优目标，采用改进灰狼算法IGWO对所述初代网络入侵检测模型进行优化训练，获得目标网络入侵检测模型，其算法收敛性强，框架简单，调节参数少并且容易实现，避免了多种寻优算法结合导致计算量和复杂度增加，降低了硬件成本投入和要求，而IGWO算法结合了混沌序列初始化和动态反向学习策略，能够提高收敛性能，跳出局部最优。

在一种可能的实施方式中，考虑到直接收集的原始数据是网络中的二进制的数据流，需要进行解析与格式转换才能用来分类，因此，本实施例提供的网络入侵检测模型构建方法在获取历史网络入侵检测数据之前，还包括：获取原始的历史网络入侵检测数据；对所述原始的历史网络入侵检测数据进行离散字符型数据处理，获得数值型数据；对所述数值型数据进行归一化处理，获得归一化数据；对所述归一化数据进行数据格式转换处理，获得预处理后的网络数据。

具体地，为了避免字符数据不能直接计算距离以及过大或者过小数据直接应用影响平均值计算和距离计算效果等问题，将数据的字段进行离散字符型数据处理；归一化采用Min-max标准化方法，以同一特征属性为依据将具有同一特征的数据进行归一化，并将归一化后的数据按比例缩放后统一映射到[0，1]区间上。

本实施例中，通过对原始数据进行数值化处理、归一化处理以及数据格式转换得到预处理后的网络数据，有效的消除了数值大小对分类的负面影响，同时也将数据集的属性集升高到一个较高的维度。

图3为本申请实施例提供的网络入侵检测方法的流程图。如图3所示，本实施例的方法，包括：

S301：获取实时网络数据，对所述实时网络数据进行预处理，获得预处理后的实时数据。

可以理解的是，对于实时网络数据，也可以通过进行数值化处理、归一化处理以及数据格式转换的方式进行处理，从而得到预处理后的实时数据。

S302：对所述预处理后的实时数据进行一次特征数据提取，获得第一实时特征数据集。

在步骤中，可以采用主成分分析法对所述预处理后的实时数据进行一次特征数据提取，其中，主成分可以是基于网络入侵检测模型构建方法中的主成分，从而实现其数据在特征向量上投影的一致。

S303：采用预设的目标网络入侵检测模型对所述第一实时特征数据集进行入侵检测，获得入侵检测结果，其中，所述目标网络入侵检测模型采用上述任意一项网络入侵检测模型构建方法构建。

本实施例中，通过获取实时网络数据，对所述实时网络数据进行预处理，获得预处理后的实时数据，对所述预处理后的实时数据进行一次特征数据提取，获得第一实时特征数据集，采用预设的目标网络入侵检测模型对所述第一实时特征数据集进行入侵检测，获得入侵检测结果，其中，所述目标网络入侵检测模型采用上述任意一项网络入侵检测模型构建方法构建，能够提取实时网络数据的深层特征，提高预测准确。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本申请所必须的。

进一步需要说明的是，虽然流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

图4为本申请实施例提供的网络入侵检测模型构建装置的示意图。如图4所示，该网络入侵检测模型构建装置包括：

样本数据获取模块41，用于获取历史网络入侵检测数据，所述历史网络入侵检测数据包括无标签样本数据、标签样本数据和所述标签样本数据对应的标签；

一次特征提取模块42，用于利用主成分分析法对所述历史网络入侵检测数据进行一次特征提取，构建一次特征数据集，所述一次特征数据集包括与无标签样本数据对应的无标签特征数据、与标签样本数据对应的第一特征数据，以及所述第一特征数据对应的标签；

初代模型获取模块43，用于获取初代网络入侵检测模型，所述初代网络入侵检测模型包括二次特征提取器和递归预测分类器，所述二次特征提取器为预先采用无监督学习算法基于所述无标签特征数据训练得到的特征提取器，所述二次特征提取器用于提取所述一次特征数据集中所述第一特征数据与所述标签的对应关系，构建二次特征数据集，所述二次特征数据集用于训练所述递归预测分类器；

模型训练模块44，用于基于所述一次特征数据集，采用改进灰狼算法对所述初代网络入侵检测模型进行优化训练，获得目标网络入侵检测模型。

在一种可能的设计中，一次特征提取模块42具体用于：

根据预设的抽取贡献率阈值，确定主成分向量；

在一种可能的设计中，初代模型获取模块43中，所述二次特征提取器为深度信念网络，所述深度信念网络依次包括输入层、若干个隐含层以及输出层，所述的输出层将Elman神经网络作为分类器。

在一种可能的设计中，模型训练模块44具体用于：

在一种可能的设计中，样本数据获取模块41还具体用于：

获取原始的历史网络入侵检测数据；

对所述数值型数据进行归一化处理，获得归一化数据；

图5为本申请实施例提供的网络入侵检测装置的示意图。如图5所示，该网络入侵检测装置包括：

数据处理模块51，用于获取实时网络数据，对所述实时网络数据进行预处理，获得预处理后的实时数据；

特征提取模块52，用于对所述预处理后的实时数据进行一次特征数据提取，获得第一实时特征数据集；

入侵检测模块53，用于采用预设的目标网络入侵检测模型对所述第一实时特征数据集进行入侵检测，获得入侵检测结果，其中，所述目标网络入侵检测模型采用如上述任意一项所述网络入侵检测模型构建方法构建。

应该理解，上述的装置实施例仅是示意性的，本申请的装置还可通过其它的方式实现。例如，上述实施例中单元/模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。例如，多个单元、模块或组件可以结合，或者可以集成到另一个系统，或一些特征可以忽略或不执行。

另外，若无特别说明，在本申请各个实施例中的各功能单元/模块可以集成在一个单元/模块中，也可以是各个单元/模块单独物理存在，也可以两个或两个以上单元/模块集成在一起。上述集成的单元/模块既可以采用硬件的形式实现，也可以采用软件程序模块的形式实现。

图6为本申请实施例提供的基于网络入侵检测模型构建装置的电子设备的结构示意图。如图6所示，该实施例的电子设备包括：至少一个处理器60(图6中仅示出一个)处理器、存储器61以及存储在存储器61中并可在至少一个处理器60上运行的计算机程序，处理器60执行计算机程序时实现上述任意各个方法实施例中的步骤。

该电子设备可包括，但不仅限于，处理器60、存储器61。本领域技术人员可以理解，图6仅仅是电子设备的举例，并不构成对电子设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如还可以包括输入输出设备、网络接入设备等。

所称处理器60可以是中央处理单元(Central Processing Unit，CPU)，该处理器60还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(FieldProgrammable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

处理器601的具体实现过程可参见上述方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。

存储器61在一些实施例中可以是电子设备的内部存储单元，例如电子设备的内存。存储器61在另一些实施例中也可以是电子设备的外部存储设备，例如电子设备上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)等。进一步地，存储器61还可以既包括电子设备的内部存储单元也包括外部存储设备。存储器61用于存储操作系统、应用程序、引导装载程序(BootLoader)、数据以及其他程序等，例如计算机程序的程序代码等。存储器61还可以用于暂时地存储已经输出或者将要输出的数据。

本申请实施例还提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现可实现上述各个方法实施例中的步骤。

上述的计算机可读存储介质，上述可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。可读存储介质可以是通用或专用计算机能够存取的任何可用介质。

一种示例性的可读存储介质耦合至处理器，从而使处理器能够从该可读存储介质读取信息，且可向该可读存储介质写入信息。当然，可读存储介质也可以是处理器的组成部分。处理器和可读存储介质可以位于专用集成电路(Application Specific IntegratedCircuits，简称：ASIC)中。当然，处理器和可读存储介质也可以作为分立组件存在于上述电子设备中。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。上述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求书指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。

Claims

1.一种网络入侵检测模型构建方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述对所述历史网络入侵检测数据进行一次数据特征提取，生成一次特征数据集，包括：

采用主成分分析法对所述历史网络入侵检测数据进行一次特征提取，获得所述历史网络入侵检测数据的原始特征集，根据预设的抽取贡献率阈值，在所述原始特征集的基础上确定主成分向量；

将所述无标签样本数据在主成分向量上的投影作为无标签特征数据；

将所述标签样本数据在主成分向量上的投影作为第一特征数据，并基于每个标签样本数据与标签的对应关系，获取所述第一特征数据对应的标签。

3.根据权利要求1所述的方法，其特征在于，所述二次特征提取器为深度信念网络，所述深度信念网络依次包括输入层、若干个隐含层以及输出层，所述的输出层将Elman神经网络作为分类器。

4.根据权利要求3所述的方法，其特征在于，所述基于所述一次特征数据集，采用改进灰狼算法对所述初代网络入侵检测模型进行优化训练，获得目标网络入侵检测模型，包括：

5.根据权利要求1所述的方法，其特征在于，在获取历史网络入侵检测数据之前，还包括：

获取原始的历史网络入侵检测数据；

对所述数值型数据进行归一化处理，获得归一化数据；

6.一种网络入侵检测方法，其特征在于，所述方法包括：

7.一种网络入侵检测模型构建装置，其特征在于，包括：

8.一种网络入侵检测装置，其特征在于，包括：

入侵检测模块，用于采用预设的目标网络入侵检测模型对所述第一实时特征数据集进行入侵检测，获得入侵检测结果，其中，所述目标网络入侵检测模型采用如权利要求1-5任意一项所述方法构建。

9.一种电子设备，其特征在于，包括：处理器，以及与所述处理器通信连接的存储器；

所述存储器存储计算机执行指令；

所述处理器执行所述存储器存储的计算机执行指令，以实现如权利要求1至6任一项所述的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现如权利要求1至6任一项所述的方法。