CN109829514A - 一种网络入侵检测方法、装置、计算机设备和存储介质 - Google Patents
一种网络入侵检测方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN109829514A CN109829514A CN201910171608.3A CN201910171608A CN109829514A CN 109829514 A CN109829514 A CN 109829514A CN 201910171608 A CN201910171608 A CN 201910171608A CN 109829514 A CN109829514 A CN 109829514A
- Authority
- CN
- China
- Prior art keywords
- data
- target data
- layer
- mode
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及信息技术领域,特别是涉及一种网络入侵检测方法、装置、计算机设备和存储介质。所述方法包括以下步骤:获取待检测的目标数据并进行预处理;将预处理后的所述目标数据输入预先训练的神经元模型,输出所述目标数据与预设数据模式的匹配概率;根据所述匹配概率确定所述目标数据的分类,根据所述分类判断是否存在入侵数据。本发明提供的网络入侵检测方法应用了神经元模型,并根据神经元网络模块的输入确定目标数据分类,从而判断是否存在入侵。本发明不但能检测一般性的常见攻击数据类型,对于极少数的异常数据同样具有较强的识别能力,提高了检测模型的可靠性、泛化能力以及降低误报率,有利于适应实际应用中可能出现的复杂多变的情况。
Description
技术领域
本发明涉及信息技术领域,特别是涉及一种网络入侵检测方法、装置、计算机设备和存储介质。
背景技术
入侵检测是对入侵行为的检查,通过计算机网络或计算机***的节点收集信息并对收集到的信息进行分析,从而判断出网络或者计算机***中是否存在违反安全策略的行为。
近年来,机器学***衡数据分类问题。网络中的数据流量往往表现出有标签的异常数据少,攻击数据变种较快难以标注,正常数据、异常数据及不同类型的异常数据间呈现出极度不平衡的特点,尤其是在实际的生产环境应用中,一旦被攻击产生的后果往往是灾难性的,这就要求我们更加关注极少的异常数据,关注真实数据分布的特性,更加关注检测模型的可靠性、误报率及泛化能力。
传统的入侵检测技术往往忽略了上述问题,一般都是假设数据集中各类样本分布均衡,得到的分类模型可靠性不高,对未知类型的异常数据检测效果较差,难以应用在实际生产中。
发明内容
基于此,有必要针对上述的问题,提供一种网络入侵检测方法、装置、计算机设备和存储介质。
本发明一个实施例提供了一种网络入侵检测方法,所述方法包括以下步骤:
获取待检测的目标数据并进行预处理;
将预处理后的所述目标数据输入预先训练的神经元模型,输出所述目标数据与预设数据模式的匹配概率;
根据所述匹配概率确定所述目标数据的分类,根据所述分类判断是否存在入侵数据。
在其中一个实施例中,本发明提供了一种网络入侵检测装置,所述装置包括:
数据获取模块,用于获取待检测的目标数据并进行预处理;
匹配关系计算模块,用于将预处理后的所述目标数据输入预先训练的神经元模型,输出所述目标数据与预设数据模式的匹配概率;
入侵检测模块,用于根据所述匹配概率确定所述目标数据的分类,根据所述分类判断是否存在入侵数据。
在其中一个实施例中,本发明还提供了一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行上述网络入侵检测方法的步骤。
在其中一个实施例中,本发明还提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行上述网络入侵方法的步骤。
本发明涉及信息技术领域,特别是涉及一种网络入侵检测方法、装置、计算机设备和存储介质。本发明提供的网络入侵检测方法应用了神经元模型,并根据神经元模型的输出确定目标数据分类,从而判断是否存在入侵。本发明不但能检测一般性的常见攻击数据类型,对于极少数的异常数据同样具有较强的识别能力,提高了检测模型的可靠性、泛化能力以及降低误报率,有利于适应实际应用中可能出现的复杂多变的情况。
附图说明
图1为一个实施例中提供的一种网络入侵检测方法的应用环境图;
图2为一个实施例中提供的一种网络入侵检测方法的流程图;
图3为图2中步骤S101的具体步骤流程图;
图4为一个实施例中提供的神经元模型结构图;
图5为图2中步骤S102的具体步骤流程图;
图6为一个实施例中提供的一种网络入侵检测装置的结构框图;
图7为图6中数据获取模块601的具体结构框图;
图8为图6中匹配关系计算模块602的具体结构框图;
图9为一个实施例中提供的一种计算机设备的内部结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
可以理解,本申请所使用的术语“第一”、“第二”等可在本文中用于描述各种元件,但除非特别说明,这些元件不受这些术语限制。这些术语仅用于将第一个元件与另一个元件区分。举例来说,在不脱离本申请的范围的情况下,可以将第一xx脚本称为第二xx脚本,且类似地,可将第二xx脚本称为第一xx脚本。
图1为一个实施例中提供的网络入侵检测方法的应用环境图,如图1所示,在该应用环境中,包括数据采集装置110以及检测装置120。
在本发明实施例中,数据采集装置110采集的数据来自网络中各类节点,而数据采集装置可以是具有数据收发功能的网络节点本身,也可以网络节点本身的一部分,还可以是附加于网络节点的辅助设备,本发明对其具体形式不作限制。
在本发明实施例中,检测装置120根据数据采集装置110采集到的数据进行检测分析,确定网络中是否存在数据入侵。需要理解的是,检测装置120与数据采集装置110可以是直接连接的,也可以采用其它的方式实现数据在两者之间的传递,例如人工进行数据转移等方式,本发明对此不作限制。在本发明实施例中,检测装置120同样可以网络节点本身,可也可以网络节点本身的一部分,还可以是附加于网络节点的辅助设备,本发明对其具体形式不作限制。
如图2所示,在一个实施例中,提出了一种网络入侵检测方法,本实施例主要以该方法应用于上述图1中的检测装置120来举例说明。具体可以包括以下步骤:
步骤S101,获取待检测的目标数据并进行预处理。
在本发明实施例中,数据来源于网络各类型的节点,本发明可发是实时数据采集也可以是按设定的程度进行采集,例如定时采集、定量采集等,本发明对于具体的数据获取方式不作限定。在本发明中,还需要对采集到的数据进行预处理,而预处理的目的在于降低数据复杂度,便数据的形式符合后续处理的要求。
步骤S102,将预处理后的所述目标数据输入预先训练的神经元模型,输出所述目标数据与预设数据模式的匹配概率。
在本发明实施例中,通过神经元模型对完成预处理的数据进行检测,输出的结果为目标数据与各类预设数据模式的匹配概率。需要说明的是,本发明预设数据模式与最终到得的数据分类并不相同,预设数据模式与神经元模型的结构有关,即神经元模型内包含了各类预设的数据模式,可以利用目标数据与各类预设数据模式的匹配概率对其进行最终分类。数据模式与神经元模型的训练样品本匹配。
步骤S103,根据所述匹配概率确定所述目标数据的分类,根据所述分类判断是否存在入侵数据。
在本发明实施例中,由神经元模型的输出可以得到目标数据与训练样本的匹配概率,由该匹配概率应用现有方法可以将目标数据进行分类。例如可以是采用DBSCAN(Density-Based Spatial Clustering of Applications with Noise,密度聚类算法)分类算法实现。DBSCAN是一种基于密度的聚类算法,不同于K-means这种基于距离的聚类,因此DBSCAN可以发现任意形状的簇,且不需要设置分类类别数,很大程度上减少人工干预,实现自动分类;采用这种方式,融合了密度函数估计和贝叶斯决策理论,具有收敛速度快、容错率高等优点。将神经元模型的输出作为目标数据的深度特征提取结果,输入DBSCAN分类模型,能有效的检测到不易分类的离群点,从而对此类数据进行二次处理,提高检测模型的抗噪和泛化能力。采用DBSCAN分类算时,当可以准确分类时直接标记相应的数据分类,否则可以进行相应的标记,进行二次处理。
本发明实施例提供了一种网络入侵检测方法,本发明提供的网络入侵检测方法应用了神经元模型,并根据神经元模型的输出确定目标数据分类,从而判断是否存在入侵。本发明不但能检测一般性的常见攻击数据类型,对于极少数的异常数据同样具有较强的识别能力,提高了检测模型的可靠性、泛化能力以及降低误报率,有利于适应实际应用中可能出现的复杂多变的情况。
在一个实施例中,如图3所示,步骤S101即获取待检测的目标数据并进行预处理,具体可以包括以下步骤:
步骤S201,对网络节点的数据流进行抓取,获得待检测的目标数据。
在本发明实施例中,在本发明实施例中,数据来源于网络各类型的节点,本发明可发是实时数据采集也可以是按设定的程度进行采集,例如定时采集、定量采集等,本发明对于具体的数据获取方式不作限定。
步骤S202,通过维度变换将所述目标数据统一数据维度。
在本发明实施例中,实现数据维度统一的方法可以是:按照KDD99数据集的模式处理为42维的样本数据,例如采用Bro进行处理。当然,根据神经元模型的不同设置,具体采用的方法可以有所不同。
步骤S203,对所述目标数据进行数字化、归一化以及缺失值处理,得到预处理后的待检测数据。
在本发明实施例中,对目标数据进行预处理还包括对目标数据进行数字化(ONE-HOT编码)、归一化、缺失值处理等,目的在于降低数据的复杂度,与后续处理衔接。此过程为成熟现有技术,本发明对此不再赘述。
本发明实施例提供了一种网络入侵检测方法,将目标数据输入神经元模型之前还包括目标数据的预处理,预处理的主要内容包括统一数据维度,降低数据复杂度,提取关键信息等,通过这种处理可以使数据形式更好地适应神经元模型的需要,使数据形式更有针对性,有利于入侵检测的进行。
在一个实施例中,如图4所示,所述神经元模型包括依次相连的输入层、模式层以及竞争层,其中,所述输入层与所述模式层为全连接,所述模式层与所述竞争层为非全连接。
在本发明实施例中,适应于本发明,神经元模型包括输入层、模式层以及竞争层,其中输入层与模式层的各节点采用全连接的形式,模式层与竞争层则采用非全连接的形式,这种连接形式是通过改进现有神经元模型使之符合本发明的要求得到的。
在一个实施例中,如图5所示,步骤S102的具体步骤可以包括:
步骤S301,将预处理后的所述目标数据输入所述输入层。
在本发明实施例中,预处理后的目标数据维度与神经元输入层节点数目一致。
步骤S302,根据所述输入层与所述模式层的连接关系,将所述目标数据传输给所述模式层。
在本发明实施例中,输入层接收到输入的目标数据后,根据输入层节点与模式层节点的连接关系,将目标数据向模式层输送。在本发明中输入层与模式层采用全连接的方式。
步骤S303,计算所述目标数据与所述模式层每一个节点所代表的数据类别的匹配概率,并根据所述模式层与所述竞争层的连接关系将计算结果传输给所述竞争层。
在本发明实施例中,模式层每一个节点为训练样品节点,其自身代表了一种数据类别。在本发明中,神经元节点的激活函数可以采用径向基函数,包括但不限于Gauss函数、Reflected Sigmoid函数、Inverse Multiquadrics(拟多二次)函数等:
GAUSS函数:
Reflected Sigmoid函数:
Inverse Multiquadric函数:
其中,σ为径向基函数的扩展常数,该值影响径向基函数的作用域宽度,σ越小,径向基函数的宽度越小,模型越具有选择性。例如,当选用高斯函数时,本层输出为:其中x为训练样本。
步骤S304,所述竞争层对接收到的计算结果进行处理并输出所述目标数据与预设数据模式的匹配关系。
在本发明实施例中,竞争层神经元节点数量与样本模式数量一致,该层神经元节点将对应模式层的输出累积并取均值,即,其输出为
本发明实施例提供了一种网络入侵检测方法,通过神经元模型计算目标数据与各个训练样本的匹配概率,再计算目标数据与数据模式的匹配概率,通过这种方式,由于模式层采用径向基函数作为激活函数,使得神经元模型具有局部逼近特性,且求和层与样本类别数相关,大大提高了神经网络的可解释性;模式层和求和层的设置避免了不平衡样本分类问题中分类结果偏向样本数据量多的类别的缺陷,有效提高了检测模型的可靠性和准确率。
在本发明一个实施例中,如图4所示,输入层的节点数与输入数据的维度相等,且每个节点均与所述模式层的所有结点相连,用于所述目标数据向所述模式层的传输。
在本发明中,通过这种设置,目标数据可以与模式层内的所有节点进行匹配概率运算,通过这种方式,可以检测目标数据与预设样本数据类别的匹配概率,使检测更为全面可靠。
在本发明一个实施例中,如图4所示,模式层包括若干类数据模式,每一类所述数据模式包括若干个代表不同数据类别的节点,属于同一数据模式的所有节点与所述竞争层的同一个节点相连,用于计算所述目标数据与所述数据类别的匹配概率。
在本发明实施例中,模式层由代表不同数据类别的样本数据组成,而多个类别的节点代表了一种数据模式,通过这种方式,可以提高目标数据属于某一数据模式的可靠程度,且各个数据类别的匹配度计算互不干扰,可以在多个数据模式中找到匹配概率较高的数据模式。
在本发明一个实施例中,如图4所示,竞争层的节点数与所述模式层的数据模式数量相等,用于计算所述目标数据与各所述数据模式的匹配概率。
在本发明实施例中,竞争层通过计算对应模式层的输出累积并取均值,即得到目标数据与各数据模式的匹配关系,根据该匹配关系,后续计算可以得到目标数据的分类,从而判断目标数据是否存在数据入侵。
如图6所示,在一个实施例中,提供了一种网络入侵检测装置,具体可以包括:
数据获取模块601,用于获取待检测的目标数据并进行预处理。
在本发明实施例中,数据来源于网络各类型的节点,本发明可发是实时数据采集也可以是按设定的程度进行采集,例如定时采集、定量采集等,本发明对于具体的数据获取方式不作限定。在本发明中,还需要对采集到的数据进行预处理,而预处理的目的在于降低数据复杂度,便数据的形式符合后续处理的要求。
匹配关系计算模块602,用于将预处理后的所述目标数据输入预先训练的神经元模型,输出所述目标数据与预设数据模式的匹配概率。
在本发明实施例中,通过神经元模型对完成预处理的数据进行检测,输出的结果为目标数据与各类预设数据模式的匹配概率。需要说明的是,本发明预设数据模式与最终到得的数据分类并不相同,预设数据模式与神经元模型的结构有关,即神经元模型内包含了各类预设的数据模式,可以利用目标数据与各类预设数据模式的匹配概率对其进行最终分类。数据模式与神经元模型的训练样品本匹配。
入侵检测模块603,用于根据所述匹配概率确定所述目标数据的分类,根据所述分类判断是否存在入侵数据。
在本发明实施例中,由神经元模型的输出可以得到目标数据与训练样本的匹配概率,由该匹配概率应用现有方法可以将目标数据进行分类。例如可以是采用DBSCAN分类算法实现。DBSCAN是一种基于密度的聚类算法,不同于K-means这种基于距离的聚类,因此DBSCAN可以发现任意形状的簇,且不需要设置分类类别数,很大程度上减少人工干预,实现自动分类;采用这种方式,融合了密度函数估计和贝叶斯决策理论,具有收敛速度快、容错率高等优点。将神经元模型的输出作为目标数据的深度特征提取结果,输入DBSCAN分类模型,能有效的检测到不易分类的离群点,从而对此类数据进行二次处理,提高检测模型的抗噪和泛化能力。采用DBSCAN分类算时,当可以准确分类时直接标记相应的数据分类,否则可以进行相应的标记,进行二次处理。
本发明实施例提供了一种网络入侵检测装置,本发明提供的网络入侵检测方法应用了神经元模型,并根据神经元模型的输出确定目标数据分类,从而判断是否存在入侵。本发明不但能检测一般性的常见攻击数据类型,对于极少数的异常数据同样具有较强的识别能力,提高了检测模型的可靠性、泛化能力以及降低误报率,有利于适应实际应用中可能出现的复杂多变的情况。
在一个实施例中,如图7所示,数据获取模块601具体可以包括:
数据获取单元701,用于对网络节点的数据流进行抓取,获得待检测的目标数据。
在本发明实施例中,在本发明实施例中,数据来源于网络各类型的节点,本发明可发是实时数据采集也可以是按设定的程度进行采集,例如定时采集、定量采集等,本发明对于具体的数据获取方式不作限定。
维度调整单元702,用于通过维度变换将所述目标数据统一数据维度。
在本发明实施例中,实现数据维度统一的方法可以是:按照KDD99数据集的模式处理为42维的样本数据,例如采用Bro进行处理。当然,根据神经元模型的不同设置,具体采用的方法可以有所不同。
预处理单元703,对所述目标数据进行数字化、归一化以及缺失值处理,得到预处理后的待检测数据。
在本发明实施例中,对目标数据进行预处理还包括对目标数据进行数字化(ONE-HOT编码)、归一化、缺失值处理等,目的在于降低数据的复杂度,与后续处理衔接。此过程为成熟现有技术,本发明对此不再赘述。
本发明实施例提供了一种网络入侵检测装置,将目标数据输入神经元模型之前还包括目标数据的预处理,预处理的主要内容包括统一数据维度,降低数据复杂度,提取关键信息等,通过这种处理可以使数据形式更好地适应神经元模型的需要,使数据形式更有针对性,有利于入侵检测的进行。
在一个实施例中,如图4所示,所述神经元模型包括依次相连的输入层、模式层以及竞争层,其中,所述输入层与所述模式层为全连接,所述模式层与所述竞争层为非全连接。
在本发明实施例中,适应于本发明,神经元模型包括输入层、模式层以及竞争层,其中输入层与模式层的各节点采用全连接的形式,模式层与竞争层则采用非全连接的形式,这种连接形式是通过改进现有神经元模型使之符合本发明的要求得到的。
在一个实施例中,如图8所示,匹配关系计算模块602具体可以包括:
输入单元801,用于将预处理后的所述目标数据输入所述输入层。
在本发明实施例中,预处理后的目标数据维度与神经元输入层节点数目一致。
传输单元802,用于根据所述输入层与所述模式层的连接关系,将所述目标数据传输给所述模式层。
在本发明实施例中,输入层接收到输入的目标数据后,根据输入层节点与模式层节点的连接关系,将目标数据向模式层输送。在本发明中输入层与模式层采用全连接的方式。在本发明中,传输单元可以是输入单元的一个功能模块。
模式层803,用于计算所述目标数据与所述模式层每一个节点所代表的数据类别的匹配概率,并根据所述模式层与所述竞争层的连接关系将计算结果传输给所述竞争层。
在本发明实施例中,模式层每一个节点为训练样品节点,其自身代表了一种数据类别。在本发明中,神经元节点的激活函数可以采用径向基函数,包括但不限于Gauss函数、Reflected Sigmoid函数、Inverse Multiquadrics(拟多二次)函数等:
GAUSS函数:
Reflected Sigmoid函数:
Inverse Multiquadric函数:
其中,σ为径向基函数的扩展常数,该值影响径向基函数的作用域宽度,σ越小,径向基函数的宽度越小,模型越具有选择性。例如,当选用高斯函数时,本层输出为:其中x为训练样本。
竞争层804,用于对接收到的计算结果进行处理并输出所述目标数据与预设数据模式的匹配关系。
在本发明实施例中,竞争层神经元节点数量与样本模式数量一致,该层神经元节点将对应模式层的输出累积并取均值,即,其输出为
本发明实施例提供了一种网络入侵检测装置,通过神经元模型计算目标数据与各个训练样本的匹配概率,再计算目标数据与数据模式的匹配概率,通过这种方式,由于模式层采用径向基函数作为激活函数,使得神经元模型具有局部逼近特性,且求和层与样本类别数相关,大大提高了神经网络的可解释性;模式层和求和层的设置避免了不平衡样本分类问题中分类结果偏向样本数据量多的类别的缺陷,有效提高了检测模型的可靠性和准确率。
在本发明一个实施例中,如图4所示,输入层的节点数与输入数据的维度相等,且每个节点均与所述模式层的所有结点相连,用于所述目标数据向所述模式层的传输。
在本发明中,通过这种设置,目标数据可以与模式层内的所有节点进行匹配概率运算,通过这种方式,可以检测目标数据与预设样本数据类别的匹配概率,使检测更为全面可靠。
在本发明一个实施例中,如图4所示,模式层包括若干类数据模式,每一类所述数据模式包括若干个代表不同数据类别的节点,属于同一数据模式的所有节点与所述竞争层的同一个节点相连,用于计算所述目标数据与所述数据类别的匹配概率。
在本发明实施例中,模式层由代表不同数据类别的样本数据组成,而多个类别的节点代表了一种数据模式,通过这种方式,可以提高目标数据属于某一数据模式的可靠程度,且各个数据类别的匹配度计算互不干扰,可以在多个数据模式中找到匹配概率较高的数据模式。
在本发明一个实施例中,如图4所示,竞争层的节点数与所述模式层的数据模式数量相等,用于计算所述目标数据与各所述数据模式的匹配概率。
在本发明实施例中,竞争层通过计算对应模式层的输出累积并取均值,即得到目标数据与各数据模式的匹配关系,根据该匹配关系,后续计算可以得到目标数据的分类,从而判断目标数据是否存在数据入侵。
图9示出了一个实施例中计算机设备的内部结构图。该计算机设备具体可以是图1中的检测装置120。如图9所示,该计算机设备包括该计算机设备包括通过***总线连接的处理器、存储器、网络接口、输入装置和显示屏。其中,存储器包括非易失性存储介质和内存储器。该计算机设备的非易失性存储介质存储有操作***,还可存储有计算机程序,该计算机程序被处理器执行时,可使得处理器实现本发明提供的一种网络入侵检测方法。该内存储器中也可储存有计算机程序,该计算机程序被处理器执行时,可使得处理器执行本发明提供的一种网络入侵检测方法。计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,本申请提供的网络入侵检测装置可以实现为一种计算机程序的形式,计算机程序可在如图9所示的计算机设备上运行。计算机设备的存储器中可存储组成该网络入侵检测装置的各个程序模块,各个程序模块构成的计算机程序使得处理器执行本说明书中描述的本申请各个实施例的网络入侵检测方法中的步骤。
在一个实施例中,提出了一种计算机设备,所述计算机设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时执行本发明提供的一种网络入侵检测方法的步骤。
在一个实施例中,提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时,使得处理器执行本发明提供的一种网络入侵检测方法的步骤。
应该理解的是,虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种网络入侵检测方法,所述方法包括以下步骤:
获取待检测的目标数据并进行预处理;
将预处理后的所述目标数据输入预先训练的神经元模型,输出所述目标数据与预设数据模式的匹配概率;
根据所述匹配概率确定所述目标数据的分类,根据所述分类判断是否存在入侵数据。
2.根据权利要求1所述一种网络入侵检测的方法,其特征在于,所述获取待检测的目标数据并进行预处理,具体包括以下步骤:
对网络节点的数据流进行抓取,获得待检测的目标数据;
通过维度变换将所述目标数据统一数据维度;
对所述目标数据进行数字化、归一化以及缺失值处理,得到预处理后的待检测数据。
3.根据权利要求1所述的一种网络入侵检测方法,其特征在于,所述神经元模型包括依次相连的输入层、模式层以及竞争层,其中,所述输入层与所述模式层为全连接,所述模式层与所述竞争层为非全连接。
4.根据权利要求3所述的一种网络入侵检测方法,其特征在于,所述将预处理后的所述目标数据输入预先训练的神经元模型,输出所述目标数据与预设数据模式的匹配概率,具体包括以下步骤:
将预处理后的所述目标数据输入所述输入层;
根据所述输入层与所述模式层的连接关系,将所述目标数据传输给所述模式层;
计算所述目标数据与所述模式层每一个节点所代表的数据类别的匹配概率,并根据所述模式层与所述竞争层的连接关系将计算结果传输给所述竞争层;
所述竞争层对接收到的计算结果进行处理并输出所述目标数据与预设数据模式的匹配关系。
5.如权利要求3或4所述的一种网络入侵检测方法,其特征在于,所述输入层的节点数与输入数据的维度相等,且每个节点均与所述模式层的所有结点相连,用于所述目标数据向所述模式层的传输。
6.如权利要求3或4所述的一种网络入侵检测方法,其特征在于,所述模式层包括若干类数据模式,每一类所述数据模式包括若干个代表不同数据类别的节点,属于同一数据模式的所有节点与所述竞争层的同一个节点相连,用于计算所述目标数据与所述数据类别的匹配概率。
7.如权利要求3或4所述的一种网络入侵检测方法,其特征在于,所述竞争层的节点数与所述模式层的数据模式数量相等,用于计算所述目标数据与各所述数据模式的匹配概率。
8.一种网络入侵检测装置,所述装置包括:
数据获取模块,用于获取待检测的目标数据并进行预处理;
匹配关系计算模块,用于将预处理后的所述目标数据输入预先训练的神经元模型,输出所述目标数据与预设数据模式的匹配概率;
入侵检测模块,用于根据所述匹配概率确定所述目标数据的分类,根据所述分类判断是否存在入侵数据。
9.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行权利要求1至7中任一项权利要求所述的网络入侵检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行权利要求1至7中任一项权利要求所述的网络入侵检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910171608.3A CN109829514A (zh) | 2019-03-07 | 2019-03-07 | 一种网络入侵检测方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910171608.3A CN109829514A (zh) | 2019-03-07 | 2019-03-07 | 一种网络入侵检测方法、装置、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109829514A true CN109829514A (zh) | 2019-05-31 |
Family
ID=66865631
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910171608.3A Pending CN109829514A (zh) | 2019-03-07 | 2019-03-07 | 一种网络入侵检测方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109829514A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110262467A (zh) * | 2019-07-15 | 2019-09-20 | 北京工业大学 | 基于深度学习的工控***入侵攻击及线索发现方法 |
| CN111259967A (zh) * | 2020-01-17 | 2020-06-09 | 北京市商汤科技开发有限公司 | 图像分类及神经网络训练方法、装置、设备及存储介质 |
| CN111585955A (zh) * | 2020-03-31 | 2020-08-25 | 中南大学 | 一种http请求异常检测方法及*** |
| CN111786999A (zh) * | 2020-06-30 | 2020-10-16 | 中国电子科技集团公司电子科学研究院 | 一种入侵行为的检测方法、装置、设备和存储介质 |
| CN112085281A (zh) * | 2020-09-11 | 2020-12-15 | 支付宝(杭州)信息技术有限公司 | 检测业务预测模型安全性的方法及装置 |
| CN112087447A (zh) * | 2020-09-07 | 2020-12-15 | 广西师范大学 | 面向稀有攻击的网络入侵检测方法 |
| CN114580791A (zh) * | 2022-04-28 | 2022-06-03 | 深圳丰尚智慧农牧科技有限公司 | 膨化机工作状态识别方法、装置、计算机设备、存储介质 |
-
2019
- 2019-03-07 CN CN201910171608.3A patent/CN109829514A/zh active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110262467A (zh) * | 2019-07-15 | 2019-09-20 | 北京工业大学 | 基于深度学习的工控***入侵攻击及线索发现方法 |
| CN111259967A (zh) * | 2020-01-17 | 2020-06-09 | 北京市商汤科技开发有限公司 | 图像分类及神经网络训练方法、装置、设备及存储介质 |
| CN111259967B (zh) * | 2020-01-17 | 2024-03-08 | 北京市商汤科技开发有限公司 | 图像分类及神经网络训练方法、装置、设备及存储介质 |
| CN111585955A (zh) * | 2020-03-31 | 2020-08-25 | 中南大学 | 一种http请求异常检测方法及*** |
| CN111585955B (zh) * | 2020-03-31 | 2021-10-15 | 中南大学 | 一种http请求异常检测方法及*** |
| CN111786999A (zh) * | 2020-06-30 | 2020-10-16 | 中国电子科技集团公司电子科学研究院 | 一种入侵行为的检测方法、装置、设备和存储介质 |
| CN111786999B (zh) * | 2020-06-30 | 2023-03-24 | 中国电子科技集团公司电子科学研究院 | 一种入侵行为的检测方法、装置、设备和存储介质 |
| CN112087447A (zh) * | 2020-09-07 | 2020-12-15 | 广西师范大学 | 面向稀有攻击的网络入侵检测方法 |
| CN112085281A (zh) * | 2020-09-11 | 2020-12-15 | 支付宝(杭州)信息技术有限公司 | 检测业务预测模型安全性的方法及装置 |
| CN112085281B (zh) * | 2020-09-11 | 2023-03-10 | 支付宝(杭州)信息技术有限公司 | 检测业务预测模型安全性的方法及装置 |
| CN114580791A (zh) * | 2022-04-28 | 2022-06-03 | 深圳丰尚智慧农牧科技有限公司 | 膨化机工作状态识别方法、装置、计算机设备、存储介质 |
| CN114580791B (zh) * | 2022-04-28 | 2022-08-30 | 深圳丰尚智慧农牧科技有限公司 | 膨化机工作状态识别方法、装置、计算机设备、存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109829514A (zh) | 一种网络入侵检测方法、装置、计算机设备和存储介质 | |
| Fontani et al. | A framework for decision fusion in image forensics based on Dempster–Shafer theory of evidence | |
| Qin et al. | Anti‐noise diesel engine misfire diagnosis using a multi‐scale CNN‐LSTM neural network with denoising module | |
| Wu et al. | A new classification method based on the negation of a basic probability assignment in the evidence theory | |
| CN110213244A (zh) | 一种基于时空特征融合的网络入侵检测方法 | |
| CN107426741B (zh) | 一种基于免疫机理的无线传感器网络故障诊断方法 | |
| Ji et al. | A novel deep learning approach for anomaly detection of time series data | |
| CN111881722B (zh) | 一种跨年龄人脸识别方法、***、装置及存储介质 | |
| He et al. | MTAD‐TF: Multivariate Time Series Anomaly Detection Using the Combination of Temporal Pattern and Feature Pattern | |
| CN112966714A (zh) | 一种边缘时序数据异常检测和网络可编程控制方法 | |
| Park et al. | Host-based intrusion detection model using siamese network | |
| Hasnat et al. | A graph signal processing framework for detecting and locating cyber and physical stresses in smart grids | |
| Fan et al. | Gcn-se: Attention as explainability for node classification in dynamic graphs | |
| CN112087443A (zh) | 一种大规模工业传感网络信息物理攻击下传感数据异常智能化检测方法 | |
| Liang et al. | Deep multi-label learning for image distortion identification | |
| CN116520806A (zh) | 一种工业***智能故障诊断***及其方法 | |
| CN115189942A (zh) | 一种伪标签引导下的多视角共识图半监督网络入侵检测*** | |
| You et al. | A new modeling and inference approach for the belief rule base with attribute reliability | |
| Sheng et al. | Network traffic anomaly detection method based on chaotic neural network | |
| CN111858343A (zh) | 一种基于攻击能力的对抗样本生成方法 | |
| CN117110446A (zh) | 识别车轴疲劳裂纹声发射信号方法 | |
| Dang et al. | seq2graph: discovering dynamic dependencies from multivariate time series with multi-level attention | |
| Balaji et al. | Plant Infirmity Detection Using Vgg-16 Convolutional Neural Network | |
| CN111310907A (zh) | 一种微波组件故障诊断方法、装置及设备 | |
| Hu et al. | Selection of Outline Descriptors Based on LightGBM with Application to Infrared Image Target Recognition |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190531 |
|
| WD01 | Invention patent application deemed withdrawn after publication |