CN117375896A

CN117375896A - 基于多尺度时空特征残差融合的入侵检测方法及系统

Info

Publication number: CN117375896A
Application number: CN202311248000.9A
Authority: CN
Inventors: 张亿林; 董火民; 刘祥志; 吴晓明
Original assignee: Shandong Science And Technology Innovation Group Co ltd; Shandong Shanke Intelligent Technology Co ltd; Qilu University of Technology; Shandong Computer Science Center National Super Computing Center in Jinan
Current assignee: Shandong Science And Technology Innovation Group Co ltd; Shandong Shanke Intelligent Technology Co ltd; Qilu University of Technology; Shandong Computer Science Center National Super Computing Center in Jinan
Priority date: 2023-09-25
Filing date: 2023-09-25
Publication date: 2024-01-09

Abstract

本发明公开了基于多尺度时空特征残差融合的入侵检测方法及系统；其中方法，包括：获取待检测的网络流量数据；对待检测的网络流量数据进行预处理；将预处理后的待检测的网络流量数据，输入到训练后的入侵检测模型中，输出入侵检测结果以及入侵检测类型；其中，训练后的入侵检测模型，用于对待检测的网络流量数据进行多尺度特征提取，并对多尺度特征进行特征融合，对融合特征进行分类，得到入侵检测结果以及入侵检测类型。

Description

基于多尺度时空特征残差融合的入侵检测方法及系统

技术领域

本发明涉及网络入侵检测技术领域，特别是涉及基于多尺度时空特征残差融合的入侵检测方法及系统。

背景技术

本部分的陈述仅仅是提到了与本发明相关的背景技术，并不必然构成现有技术。

当今社会，随着科学技术的进步，互联网的发展日益深入人们的生活和劳动生产中。但是，随着网络的发展，其环境也日益复杂，各种网络攻击方式也接踵而至，攻击方式的多样化以及攻击频率的高发性，导致全球网络安全泄露事件日趋频繁，严重危害个人、企业以及国家的信息安全。入侵检测技术作为网络流量能够安全传播的主动安全防御技术之一，在当今网络安全方面有着重要的地位。基于传统机器学习的入侵检测模型在准确率上取得的效果并不理想，以及有着较高的误报率，并且，随着互联网的发展，当今的网络流量日益庞大，而且入侵数据变得更加海量和复杂，入侵检测模型的运行中需要对大量的流量数据进行处理和特征提取，而传统的机器学习在该方面并不能很好地处理。

随着超算的兴起，近年来计算机的计算能力得到了极大地提高，深度学习也被广泛应用。如何提高检测恶意流量的准确率以及如何高效地分辨不同恶意流量的类别成为了当务之急，同时在网络入侵检测领域中，正常流量数据的数量要远大于异常数据，若对不平衡数据处理不当将导致高假阴性率和低召回率；传统的CNN结构主要是对数据的空间局部特征进行训练，并且对于卷积核的选取很重要，但由于CNN原始结构仅有一个固定大小的卷积核且CNN更适合于提取数据的空间特征，因此若想得到更为准确的全局特征，还需要使用多种尺寸的卷积核对数据加以训练，并且提升对数据的时序特征的提取能力；当前的网络威胁方法更加的隐蔽，关键的入侵行为过程通常隐藏在许多正常的数据包中，恶意通信量和可以捕获的威胁检测样本相对较少，很容易导致模型的学习过程太短和训练不足，进而使得传统的网络入侵检测方法具有较低的准确率和较高的虚警率，且一味地简单叠加更多网络层可能会使任务失败，在层数达到一定的阈值后，甚至可能导致性能下降。

发明内容

为了解决现有技术的不足，本发明提供了基于多尺度时空特征残差融合的入侵检测方法及系统；

一方面，提供了基于多尺度时空特征残差融合的入侵检测方法，包括：

获取待检测的网络流量数据；

对待检测的网络流量数据进行预处理；

将预处理后的待检测的网络流量数据，输入到训练后的入侵检测模型中，输出入侵检测结果以及入侵检测类型；

其中，训练后的入侵检测模型，用于对待检测的网络流量数据进行多尺度特征提取，并对多尺度特征进行特征融合，对融合特征进行分类，得到入侵检测结果以及入侵检测类型。

另一方面，提供了基于多尺度时空特征残差融合的入侵检测系统，包括

获取模块，其被配置为：获取待检测的网络流量数据；

预处理模块，其被配置为：对待检测的网络流量数据进行预处理；

入侵检测模块，其被配置为：将预处理后的待检测的网络流量数据，输入到训练后的入侵检测模型中，输出入侵检测结果以及入侵检测类型；

再一方面，还提供了一种电子设备，包括：

存储器，用于非暂时性存储计算机可读指令；以及

处理器，用于运行所述计算机可读指令，

其中，所述计算机可读指令被所述处理器运行时，执行上述第一方面所述的方法。

再一方面，还提供了一种存储介质，非暂时性地存储计算机可读指令，其中，当非暂时性计算机可读指令由计算机执行时，执行第一方面所述方法的指令。

再一方面，还提供了一种计算机程序产品，包括计算机程序，所述计算机程序当在一个或多个处理器上运行的时候用于实现上述第一方面所述的方法。

上述技术方案中的一个技术方案具有如下优点或有益效果：

(1)生成对抗网络(GAN)具有生成符合原数据集分布特征新样本的能力。然而，GAN存在难以兼顾生成样本质量与训练稳定性的问题。因此，提出了一种基于改进辅助分类生成对抗网络(ACGAN)的不平衡数据分类过采样方法。首先，将自注意力机制(SA)算法加入到ACGAN的生成器中，自注意力机制SA算法能够对输入的不同位置进行加权，使生成器能够更好地处理局部细节和全局结构；使用残差网络结构构建模型的生成器，加快训练模型的收敛速度；将BiGRU加入到模型的生成器中，通过BiGRU的长期依赖建模能力，从而使ACGAN的生成器可以更好的捕捉输入噪声和条件向量之间的时间相关性，从而生成更连贯和合理的样本。使用改进的ACGAN来充分学习少数类数据的分布，有利于提高少数类别分类的准确率。

(2)由于传统的CNN卷积模型的结构较为简单，无法准确获取入侵数据的特征。因此本发明使用多个卷积层的Inception模块对数据特征进行多尺度提取融合，提高卷积神经网络提取到的特征丰富性和完善性，增加了网络宽度，可以使网络同时对稀疏和非稀疏特征进行学习，获得一个强相关的特征集合。并对改进的Inception模块引入自注意力机制和BiGRU模型，对提取到的不同尺度的空间特征进行加权的同时，也提高了对时序特征的提取能力，可提高分类准确率。

(3)添加残差网络，通过跳跃连接使Inception模块得到简化，不仅避免了向网络中添加额外的参数和计算，而且也不会影响原始网络的复杂性，保证性能的同时，网络可以学习更深层次的特征。因此，网络收敛速度更快，可以达到更高的分类精度。

(4)由于网络入侵具有多维度和时间依赖性的特点，通过引入BiGRU模型，来提高整体模型对入侵数据的时序特征提取能力，使特征提取更加全面，即以较小的时间增长为代价，取得更高的准确率，从而获得更优的效果。

附图说明

构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。

图1为本申请实施例一的模型整体流程图；

图2为本申请实施例一的Inception-BiGRU-SA模型的流程图；

图3为本申请实施例一的ACGAN结构图；

图4为本申请实施例一的改进的ACGAN生成器结构图；

图5为本申请实施例一的ACGAN判别器结构图；

图6为本申请实施例一的Transformer-Encoder结构图。

具体实施方式

应该指出，以下详细说明都是示例性的，旨在对本发明提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。

实施例一

本实施例提供了基于多尺度时空特征残差融合的入侵检测方法；

基于多尺度时空特征残差融合的入侵检测方法，包括：

S101：获取待检测的网络流量数据；

S102：对待检测的网络流量数据进行预处理；

S103：将预处理后的待检测的网络流量数据，输入到训练后的入侵检测模型中，输出入侵检测结果以及入侵检测类型；

进一步地，训练后的入侵检测模型，训练过程包括：

构建训练集，所述训练集为已知入侵检测结果与入侵检测类型的网络流量数据；

将训练集，输入到入侵检测模型中，对模型进行训练，当训练的迭代次数超过设定次数，或者，训练的损失函数值不再下降时，停止训练，得到训练后的入侵检测模型。

进一步地，所述构建训练集，包括：

获取已知入侵检测结果与入侵检测类型的网络流量数据；

对网络流量数据进行数据类型转换，数据类型转换后进行数据归一化处理；

针对归一化处理后的网络流量数据，判断每个标签对应的样本数量是否超过设定阈值，如果超过设定阈值，则认定当前标签对应的样本为多数类样本，如果低于设定阈值，则认定当前标签对应的样本为少数类样本，得到训练集。

示例性地，所述训练集，采用CIC-IDS-2017数据集来实现。采用CIC-IDS-2017数据集作为网络入侵检测的输入数据，并利用机器学习算法将所述输入数据进行数据类型转换，去除与特征提取无关的Flow ID、Source IP、Destination IP、Timestamp四个特征量，删除数据中的空值后，利用sk-learn中MinMaxScaler归一化进行处理，提取出数据集最后一列用作标签。

示例性地，输入数据按照80％的训练集和20％的测试集进行划分，并进行数据清洗，每组数据的前80维是特征量，为方便将数据转化为二维格式，即将第81维填充为0，第82维是类型标记。总划分为10类数据类型，依次将标签转化为int类型从0到9，总数据量为1053853个。

表1训练集和测试集数据构成

进一步地，所述归一化处理，假设数据集中共有N个样本，可将所有样本的每个特征属性映射为X＝(X₁,X₂,X₃,...,X_N)^T，采用min-max方法，将所有数值归一化到[0,1]范围内，计算式如下：

其中，X_min和X_max分别表示某个特征属性中所有数值的最小值和最大值。

由于数据是从真实的网络环境中抓取的，所以存在无效数据的可能性非常大。删除无效数据，以提高检测结果的准确性。另外从原始数据中提取的特征有80多个，例如流持续时间、前向数据包总长度和后向数据包总长度等特征都是本发明模型进行入侵检测的重要特征，但是也存在IP地址、协议、端口号等特征，这些特征并不是所需要的，所以本发明将不需要的特征字段删除，如：Flow ID(样本的唯一凭证)、Source IP(源主机IP地址)、Destination IP(目的地IP)、Timestamp(时间戳)四个特征量。

进一步地，如图1所示，所述训练后的入侵检测模型，其网络结构包括：

依次连接的带辅助分类器的生成对抗网络ACGAN、Transformer的Encoder模块、Inception-BiGRU-SA模块、1*1的卷积层、全局平均池化层、Dropout层、Softmax激活函数层。

进一步地，如图3、图4和图5所示，通过带辅助分类器的生成对抗网络ACGAN(Auxiliary Classifier Generative Adversarial Network)学习少数类样本的分布，并通过带辅助分类器的生成对抗网络ACGAN的生成器进行少数类样本的上采样。

进一步地，如图3所示，所述带辅助分类器的生成对抗网络ACGAN，包括：

生成器和判别器；

生成器的输入端用于输入真实样本标签和随机噪声；

生成器的输出端用于输出假数据；

判别器的输入端用于输入真实样本标签和假数据；

判别器的输出端输出当前输入的数据是真的或假的概率值；

判别器的输出端还输出样本的标签。

进一步地，如图4所示，所述生成器，包括依次连接的第一全连接层、第一批归一化层、第一激活函数层、第一反卷积层、第一注意力机制层SA、第二批归一化层、第二激活函数层、第二反卷积层、第二注意力机制层SA、第一双向门控循环单元BiGRU、第三批归一化层、第三激活函数层和第三反卷积层；

其中，第一全连接层的输出端还与第二批归一化层的输入端连接；第一注意力机制层SA的输出端还与第一双向门控循环单元BiGRU的输入端连接；第二注意力机制层SA的输出端还与第三批归一化层的输入端连接；

其中，第一和第二激活函数层，采用ReLU激活函数；第三激活函数层采用tanh激活函数。

进一步地，如图5所示，所述判别器，包括：依次连接的第四激活函数层、卷积层C1、第一Dropout层、第五激活函数层、卷积层C2、第二Dropout层、第六激活函数层、卷积层C3、第三Dropout层、第二全连接层和输出层；

其中，第四、第五和第六激活函数层通过LeakyReLU来实现。

示例性地，ACGAN的生成器中，反卷积层采用批归一化处理(BN)加速模型训练，保证训练的稳定性，同时使用ReLU激活函数，最后一层反卷积层采用tanh激活函数。

将随机噪声和标签输入生成器，依次经过加入注意力机制SA的第一反卷积层和第二反卷积层，通过计算注意力机制特征图丰富特征细节，再经过第一BiGRU层，捕捉输入噪声和条件向量之间的时间相关性，从而生成连贯和合理的样本；使用残差网络结构构建模型的生成器，加快训练模型的收敛速度，再经过一层反卷积层后输出生成的样本。

ACGAN的判别器中是卷积神经网络(CNN),其网络中采用LeakyReLU激活函数，并将其负值斜率设置为α＝0.2，同时加入Dropout层，防止模型出现过拟合。

应理解地，本发明首先对数据集进行数据预处理操作，之后提出了一种基于改进辅助分类生成对抗网络(ACGAN)的不平衡数据分类过采样方法。首先，将自注意力机制(SA)算法加入到ACGAN的生成器中，SA算法能够对输入的不同位置进行加权，使生成器能够更好地处理局部细节和全局结构；使用残差网络结构构建模型的生成器，加快训练模型的收敛速度；将BiGRU加入到模型的生成器中，通过BiGRU的长期依赖建模能力，从而使ACGAN的生成器可以更好的捕捉输入噪声和条件向量之间的时间相关性，从而生成更连贯和合理的样本。使用改进的ACGAN来充分学习少数类数据的分布并通过生成器进行少数类数据的上采样以构建平衡数据集，该样本集相较于原始数据样本分布更加均衡，有利于提高少数类别分类的准确率。

进一步地，所述训练后的入侵检测模型，其工作过程包括：

Transformer的Encoder模块在全局捕捉联系，对输入数据进行初步的特征提取、Inception-BiGRU-SA模块，对多尺度特征提取，利用自注意力机制对提取到的不同尺度的空间特征进行加权，卷积层和全局平均池化层的组合减少网络中的训练参数，Dropout层降低神经元之间的相互耦合，减少过拟合情况的发生，Softmax激活函数对网络流量数据进行分类检测。

进一步地，如图2所示，所述Inception-BiGRU-SA模块，包括：

依次并列的三个分支：第一分支、第二分支和第三分支；

所述第一分支，包括：依次连接的最大池化层、第一卷积层、第四批归一化层、第七激活函数层、第二卷积层、第五批归一化层和第八激活函数层；

所述第二分支，包括：依次连接的第三卷积层、第六批归一化层、第九激活函数层、第四卷积层、第七批归一化层、第十激活函数层；

所述第三分支，包括：依次连接的第五卷积层、第八批归一化层、第十一激活函数层、第六卷积层、第九批归一化层、第十二激活函数层；

其中，最大池化层的输入端、第三卷积层的输入端以及第五卷积层的输入端均与Inception-BiGRU-SA模块的输入端连接；

其中，第八激活函数层的输出端、第十激活函数层的输出端和第十二激活函数层的输出端，均与第三注意力机制模块SA的输入端连接；

第三注意力机制模块SA的输出端与第二双向门控循环单元BiGRU的输入端连接，第二双向门控循环单元BiGRU的输出端与第一加法器的输入端连接；

第一加法器的输入端还与Inception-BiGRU-SA模块的输入端连接；

第一加法器的输出端为Inception-BiGRU-SA模块的输出端。

其中，第一卷积层、第三卷积层和第五卷积层的卷积核均为1*1；

其中，第二卷积层的卷积核为1*1；第四卷积层的卷积核为3*1；第六卷积层的卷积核为5*1。

进一步地，如图2所示，所述Inception-BiGRU-SA模块，工作过程包括：

Inception-BiGRU-SA模块在同一层神经网络中布置了多个尺度不同的卷积核应用于输入数据，从而捕捉不同尺度的特征；然后对特征赋予不同的权重，然后对赋予不同权重的特征进行正向和反向特征提取，得到提取后的特征。

捕捉不同尺度的特征，意味着网络可以同时学习更细粒度和更高层次的特征，以此增强网络的感知力。

为了降低网络的计算复杂度，使用1×1的卷积核和最大池化层对输入的高维数据进行降维，减少网络的参数量，并降低计算需求，同时保持较高的准确性，以达到获取更丰富局部特征信息的目的。

之后串联1×1，3×1，5×1的卷积核一起形成最终的输出，并列的三个分支的并行结构使网络能够同时学习到多个尺度的特征，从而提高网络模型的表达能力，为了提高训练速度，在卷积前和池化后分别使用1×1卷积来控制输出的特征维度以便特征融合。为了控制梯度爆炸，加快网络的训练和收敛速度，在卷积层后增加了BN(批量归一化)层，之后使用Relu激活函数对数据进行处理，优化特征分布。为了能够突出重要特征的作用，在卷积层后添加SA模块，通过对重要特征赋予更高的权重，提高识别的准确性。

多尺度卷积的融合输出数据输入到自注意力机制中，最后输入到BiGRU中，BiGRU分别从正向和反向处理该段序列向量，以确保算法不仅能由正序获得积累依赖信息，而且也能从逆序获得来自未来的积聚依赖信息，保持对时间特征的敏感性，并进一步剔除冗余信息，达到丰富特征信息的目的，为获得对网络入侵数据具有判别性的关键特征以提高检测精度。

应理解地，本发明对Inception结构进行了改进，将1×1，3×1，5×1的卷积核与池化操作并行连接。为了提高训练速度，在卷积前和池化后分别使用1×1卷积来控制输出的特征维度以便特征融合。为了控制梯度爆炸，加快网络的训练和收敛速度，在卷积层后增加了批量归一化BN层，之后使用Relu激活函数对数据进行处理，优化特征分布。并通过增加两个1×1的卷积核保持通道数的统一，同时进行降维实现同一层网络下多特征提取的目标。并在网络主干之后引入自注意力机制，对提取到的不同尺度的空间特征进行加权来提高分类准确率，并加入BiGRU模型，提高Inception模块对网络入侵数据的全局时间特征提取能力。

应理解地，为获取不同尺度的丰富特征以及时空特征，首先采用多尺度卷积神经网络Inception网络结构来增加网络的宽度，并将大小各异的卷积核放入Inception模块中，利用卷积核提升网络的适应性，扩大模块的感受野，从而可以获取不同尺度的丰富特征，以及提高特征张量宽度，在增加网络深度和宽度的同时减少参数，以此减少计算负担；

将自注意力机制和BiGRU加入到Inception模块中，提升时序特征的提取能力同时，对提取到的不同尺寸的空间特征进行加权，使模型能够关注到区分度高的空间特征；

结合残差网络结构对改进的Inception模型和BiGRU模型进行结构重组，并将自注意力机制引入Inception模型中构建Inception-BiGRU-SA残差模型；

在最终输出之前，使用一个卷积层和全局平均池化层的组合代替全连接层，减少网络中的训练参数，避免过拟合。

本实施例提出一种基于数据不平衡的多尺度时空特征残差融合的入侵检测方法，首先对不平衡数据集进行有效地上采样，构建平衡数据集；其次使用Transformer的Encoder模块、引入自注意力机制的Inception模块和BiGRU构成的残差结构对预处理后的数据进行特征提取，最后使用Softmax激活函数对数据类别进行检测分类。

之后在最终输出之前，使用一个卷积层和全局平均池化层的组合代替全连接层，减少网络中的训练参数，并添加Dropout层，降低神经元之间的相互耦合，减少过拟合情况的发生。采用Softmax激活函数，对网络流量数据进行分类检测。

辅助分类生成对抗网络(Auxiliary Classifier Generative AdversarialNetwork，ACGAN)是一种生成对抗网络(GAN)的扩展模型，用于生成具有特定属性的假数据。ACGAN通过同时训练生成器和判别器来实现生成过程的控制。生成器负责生成虚拟样本，而判别器则负责区分生成样本和真实样本。为了更精确地控制生成过程，ACGAN还引入了辅助分类器。辅助分类器的作用是对生成的样本进行额外的属性分类，这可以帮助生成器更好地理解和控制所需的属性。通过在训练过程中同时优化生成器、判别器和辅助分类器，ACGAN可以逐渐提高生成样本的质量和属性控制性能。总体而言，ACGAN是一种通过生成对抗网络结合生成器、判别器和辅助分类器的方法，用于生成具有特定属性的虚拟样本。这种方法可以在一定程度上控制生成过程，使生成样本更符合要求。

SA(自注意力机制)仅从输入自身中提取信息，不使用其他额外信息，有着参数少，计算速度快等优点，更适宜实际工程应用。

首先输入数据通过3个线性层，计算得到查询矩阵Q、键矩阵K和值矩阵V；之后，将Q和K的转置相乘，除以缩放因子后经Softmax计算得到自注意力权重矩阵A；最后，将V和权重矩阵A相乘，得到自注意加权后的结果。

其计算过程用公式表示如下：

式中，d_k是缩放因子，功能是控制矩阵乘积的结果不会过大；attn(h)是输入h经自注意力加权后的结果，即自注意力机制的输出。

双向GRU(bidirectional GRU,BiGRU)神经网络的基本思路是在每个训练序列的前向和后向两个方向分别都有配置单向的GRU，并且两个GRU同时与一个输出层连接，这种结构能将一个序列数据点的过去和未来提供给输出层。BiGRU由两个GRU上下堆叠而成，在任意时刻t，输入端同时向两个相反的方向的GRU提供相同的输入数据x_i，分别得到前向GRU的输出状态和后向GRU的输出状态输出GRU_O_t由前向GRU的状态和后向GRU的输出状态按照特定准则拼接而成。BiGRU神经网络的计算过程如下：

假设在时间步t的输入为x_i，隐藏层的激活函数为θ，前向隐藏状态为后向隐藏状态为那么：

其中，W_fx，W_fh，W_bx，W_bh分别表示权重参数，b_fh，b_bh分别表示前向隐藏状态和后向隐藏状态对应的偏置。由此计算输出层的输出GRU_O_t：

其中，W_q表示输出层的权重参数，b_q表示输出层的偏置，表示前向和后向隐藏状态的拼接。通过对前向隐藏状态和后向隐藏状态加权拼接计算最终输出，既能学习到有效信息，也能保持输出维度不变，相较于将两个方向的隐藏状态直接拼接，降低了维度，有利于减少训练时间。

针对ACGAN模型，在其生成器的第一反卷积层和第二反卷积层后加入SA注意力机制模块，提取攻击样本的全局特征，使用残差网络结构构建模型的生成器，加快训练模型的收敛速度，将BiGRU加入到模型的生成器中，通过BiGRU的长期依赖建模能力，从而使ACGAN的生成器可以更好的捕捉输入噪声和条件向量之间的时间相关性，从而生成更连贯和合理的样本。该生成器采用BN层加速模型训练，保证训练的稳定性，并使用Relu作为激活函数。在其判别器中加入Dropout层，防止模型出现过拟合。

Transformer的原始模型结构包含了编码和解码两个部分，由于入侵检测任务的具体需要以及数据集中每条数据定长的特点，本模型只使用Transformer中的编码部分，并对其中某些参数进行微调。

如图6所示，Transformer的Encoder模块，包括：依次连接的输入层、多头注意力机制层、第二加法器、第一归一化层、前馈神经网络层、第三加法器、第二归一化层和输出层；其中，输入层还与第二加法器的输入端连接，第一归一化层的输出端还与第三加法器的输入端连接。

Transformer的Encoder模块，包括：多头注意力机制层和前馈神经网络，多头注意力机制层使用的点积注意力，即有三个输入query、keys和values，使用query和keys计算出分配给每个值的权重分数，之后再将该权重与values计算加权和得到输出，使用点积注意力能够并行运算，减少训练时间。其计算公式如下：

其中，Q、K、V分别代表Query、Key、Value三个矩阵，d_k为Key的维度。由于本发明输入数据的特点，略去了原模型中的Mask部分。为了使提取的特征更加丰富使用了多头注意力的结构。多头注意力的计算公式如下：

Q_i＝QW_i ^Q,K_i＝KW_i ^K,V_i＝VW_i ^V i＝1,2,...,n

head_i＝Attention(Q_i,K_i,V_i)i＝1,2,...,n

MultiHead(Q,K,V)＝Concat(head₁,...,head_n)W^O

前馈神经网络部分是只有一个隐藏层的感知机，其输入输出维度相同，该部分使用残差连接以防止出现梯度消失问题。

Inception特点是使用稠密结构近似构造稀疏网络，ResNet可以解决深层网络退化问题，因此结合Inception和ResNet，构造尽可能稀疏的网络，同时提高网络堆叠效果，避免出现退化问题。

传统的卷积神经网络思路往往是朝着增加网络深度的方向来发展，然而随着深度的增加会导致网络训练参数过多导致过拟合，而Inception则从加宽网络的方向发展，增加了横向网络结构，Inception网络对输入特征图进行并行特征采集，将所有输出拼接为一个新的特征图，在并行提取特征时，每一层中卷积核大小不一样，也就提取到了不同的特征。本发明对Inception结构进行了改进，将1×1，3×1，5×1的卷积核与池化操作并行连接，为了提高训练速度，在卷积前和池化后分别使用1×1卷积来控制输出的特征维度以便特征融合。为了控制梯度爆炸，加快网络的训练和收敛速度，在卷积层后增加了BN(批量归一化)层，之后使用Relu激活函数对数据进行处理，优化特征分布。一维卷积更适用于序列处理，如果采用高维卷积，则需要把序列变为高维向量，转换过程中有可能把原有流量的连续数据变成毫不相干的两部分，破坏了流量的原始信息。因此本发明采用一维卷积来提取流量的空间特征，不会破坏流量数据原来的相对位置，避免了信息丢失给模型识别准确率带来的影响。

批量归一化(batch-normal,BN)函数将神经网络每一层中的神经元输入值分布调整成均值为0，方差为1的标准正态分布，可解决网络训练的困难，从而有效的提高网络的训练速度，避免梯度消失，提高泛化能力。批量归一化的输出表示为：

y_i＝λx′_i+η

其中：λ和η是系数；x′_i计算过程如下：

其中，m为批处理大小，x_i为时间序列。

网络流量异常检测不能仅依赖于离散的局部特征，而应通过不同尺度的卷积核提取到不同尺度的网络流量特征，基于Inception结构的多尺度特征融合的思想，本发明通过多尺度一维卷积层实现多尺度网络流量数据局部空间特征的提取，采用的卷积核长度(即特征提取尺度)分别为1，3，5，三个分支的计算式分别如下：

x_out1＝δ(xW₁+b₁)

x_out2＝δ(xW₂+b₂)

x_out3＝δ(xW₃+b₃)

其中，W_1∈P^k1，W_2∈P^k2，W_3∈P^k3，k₁＝1，k₂＝3，k₃＝5，激活函数采用Relu函数，通过逐项相加的方式，即ADD函数实现特征融合，计算式如下：

x_add＝x_out1+x_out2+x_out3

若采用Concatenate函数通过合并的方式进行特征融合，则单个元素的信息量不变，特征维度增加；若采用ADD函数，通过逐项相加的方式进行特征融合，则单个元素的信息量增加，特征维度不变。由于输出维度一致，为减少后续运算参数量，本发明采用ADD函数代替Concatenate函数进行特征融合。

利用BN层进行规范化处理，使得输出满足或近似服从正态分布，从而加快模型的收敛速度，防止出现梯度消失的现象。

将输出输入到自注意力机制中，随后输入到BiGRU中，BiGRU分别从正向和反向处理该段序列向量，以确保算法不仅能由正序获得积累依赖信息，而且也能从逆序获得来自未来的积聚依赖信息，保持对时间特征的敏感性，并进一步剔除冗余信息，达到丰富特征信息的目的，为获得对网络入侵数据具有判别性的关键特征以提高检测精度。并在该模块加入残差结构，增加恒等映射来实现残差拟合。之后在最终输出之前，使用一个1×1卷积层和全局平均池化层的组合代替全连接层，减少网络中的训练参数，并添加参数为0.5的Dropout层，降低神经元之间的相互耦合，减少过拟合情况的发生。

采用softmax激活函数对网络流量数据进行分类检测，采用训练集进行训练，并使用测试集数据验证训练模型的性能；使用准确率(Accuracy,AC)、精确率(Precision，PR)和F1-score(F1)作为评价指标评估入侵检测模型的性能，计算式如下：

其中：TP、FP、TN和FN分别为真阳性、假阳性、真阴性和假阴性，其物理含义见表2。

表2几种术语的物理含义

所谓10分类实验，即将CIC-IDS-2017数据分为正常样本和其余9种攻击样本，其中，9种攻击样本标签为：Dos Hulk(拒绝服务攻击的网络超负荷)、PortScan(端口扫描)、DDos(分布式拒绝服务)、Dos GoldenEye(拒绝服务攻击的黄金眼)、FTP-Patator(文件传输协议的暴力破解工具)、SSH-Parator(网络安全协议的暴力破解工具)、Dos slowloris(拒绝服务攻击的资源消耗工具)、Dos Slowhttptest(拒绝服务攻击的网站压力测试工具)、Bot(自动化攻击)的所有数据，不同模型的检测结果对比见表3。

表3不同模型的检测结果对比

实施例二

本实施例提供了基于多尺度时空特征残差融合的入侵检测系统；

基于多尺度时空特征残差融合的入侵检测系统，包括

获取模块，其被配置为：获取待检测的网络流量数据；

上述模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例一所公开的内容。需要说明的是，上述模块作为系统的一部分可以在诸如一组计算机可执行指令的计算机系统中执行。

上述实施例中对各个实施例的描述各有侧重，某个实施例中没有详述的部分可以参见其他实施例的相关描述。

所提出的系统，可以通过其他的方式实现。例如以上所描述的系统实施例仅仅是示意性的，例如上述模块的划分，仅仅为一种逻辑功能划分，实际实现时，可以有另外的划分方式，例如多个模块可以结合或者可以集成到另外一个系统，或一些特征可以忽略，或不执行。

实施例三

本实施例还提供了一种电子设备，包括：一个或多个处理器、一个或多个存储器、以及一个或多个计算机程序；其中，处理器与存储器连接，上述一个或多个计算机程序被存储在存储器中，当电子设备运行时，该处理器执行该存储器存储的一个或多个计算机程序，以使电子设备执行上述实施例一所述的方法。

应理解，本实施例中，处理器可以是中央处理单元CPU，处理器还可以是其他通用处理器、数字信号处理器DSP、专用集成电路ASIC，现成可编程门阵列FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

存储器可以包括只读存储器和随机存取存储器，并向处理器提供指令和数据、存储器的一部分还可以包括非易失性随机存储器。例如，存储器还可以存储设备类型的信息。

在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。

实施例一中的方法可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器、闪存、只读存储器、可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

本领域普通技术人员可以意识到，结合本实施例描述的各示例的单元及算法步骤，能够以电子硬件或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

实施例四

本实施例还提供了一种计算机可读存储介质，用于存储计算机指令，所述计算机指令被处理器执行时，完成实施例一所述的方法。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.基于多尺度时空特征残差融合的入侵检测方法，其特征是，包括：

获取待检测的网络流量数据；

对待检测的网络流量数据进行预处理；

2.如权利要求1所述的基于多尺度时空特征残差融合的入侵检测方法，其特征是，训练后的入侵检测模型，训练过程包括：

3.如权利要求2所述的基于多尺度时空特征残差融合的入侵检测方法，其特征是，所述构建训练集，包括：

获取已知入侵检测结果与入侵检测类型的网络流量数据；

4.如权利要求1所述的基于多尺度时空特征残差融合的入侵检测方法，其特征是，所述训练后的入侵检测模型，其网络结构包括：

依次连接的带辅助分类器的生成对抗网络ACGAN、Transformer的Encoder模块、Inception-BiGRU-SA模块、1*1的卷积层、全局平均池化层、Dropout层、Softmax激活函数层；

通过带辅助分类器的生成对抗网络ACGAN学习少数类样本的分布，并通过带辅助分类器的生成对抗网络ACGAN的生成器进行少数类样本的上采样；

5.如权利要求4所述的基于多尺度时空特征残差融合的入侵检测方法，其特征是，所述带辅助分类器的生成对抗网络ACGAN，包括：

生成器和判别器；生成器的输入端用于输入真实样本标签和随机噪声；生成器的输出端用于输出假数据；判别器的输入端用于输入真实样本标签和假数据；判别器的输出端输出当前输入的数据是真的或假的概率值；判别器的输出端还输出样本的标签；

所述生成器，包括依次连接的第一全连接层、第一批归一化层、第一激活函数层、第一反卷积层、第一注意力机制层SA、第二批归一化层、第二激活函数层、第二反卷积层、第二注意力机制层SA、第一双向门控循环单元BiGRU、第三批归一化层、第三激活函数层和第三反卷积层；

其中，第一和第二激活函数层，采用ReLU激活函数；第三激活函数层采用tanh激活函数；

所述判别器，包括：依次连接的第四激活函数层、卷积层C1、第一Dropout层、第五激活函数层、卷积层C2、第二Dropout层、第六激活函数层、卷积层C3、第三Dropout层、第二全连接层和输出层；

其中，第四、第五和第六激活函数层通过LeakyReLU来实现。

6.如权利要求4所述的基于多尺度时空特征残差融合的入侵检测方法，其特征是，所述Inception-BiGRU-SA模块，包括：

依次并列的三个分支：第一分支、第二分支和第三分支；

第一加法器的输入端还与Inception-BiGRU-SA模块的输入端连接；

第一加法器的输出端为Inception-BiGRU-SA模块的输出端；

7.如权利要求4所述的基于多尺度时空特征残差融合的入侵检测方法，其特征是，所述Inception-BiGRU-SA模块，工作过程包括：

Inception-BiGRU-SA模块在同一层神经网络中布置了多个尺度不同的卷积核应用于输入数据，从而捕捉不同尺度的特征；然后对特征赋予不同的权重，然后对赋予不同权重的特征进行正向和反向特征提取，得到提取后的特征；

Transformer的Encoder模块，包括：依次连接的输入层、多头注意力机制层、第二加法器、第一归一化层、前馈神经网络层、第三加法器、第二归一化层和输出层；其中，输入层还与第二加法器的输入端连接，第一归一化层的输出端还与第三加法器的输入端连接。

8.基于多尺度时空特征残差融合的入侵检测系统，其特征是，包括

获取模块，其被配置为：获取待检测的网络流量数据；

9.一种电子设备，其特征是，包括：

存储器，用于非暂时性存储计算机可读指令；以及

处理器，用于运行所述计算机可读指令，

其中，所述计算机可读指令被所述处理器运行时，执行上述权利要求1-7任一项所述的方法。

10.一种存储介质，其特征是，非暂时性地存储计算机可读指令，其中，当非暂时性计算机可读指令由计算机执行时，执行权利要求1-7任一项所述方法的指令。