CN116232694A - 轻量级网络入侵检测方法、装置、电子设备及存储介质 - Google Patents
轻量级网络入侵检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116232694A CN116232694A CN202310048136.9A CN202310048136A CN116232694A CN 116232694 A CN116232694 A CN 116232694A CN 202310048136 A CN202310048136 A CN 202310048136A CN 116232694 A CN116232694 A CN 116232694A
- Authority
- CN
- China
- Prior art keywords
- network
- intrusion detection
- lightweight
- data
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 261
- 238000012549 training Methods 0.000 claims abstract description 96
- 238000013140 knowledge distillation Methods 0.000 claims abstract description 30
- 238000012360 testing method Methods 0.000 claims description 62
- 230000006870 function Effects 0.000 claims description 57
- 238000012545 processing Methods 0.000 claims description 52
- 238000000034 method Methods 0.000 claims description 36
- 238000013507 mapping Methods 0.000 claims description 24
- 238000011176 pooling Methods 0.000 claims description 21
- 238000010586 diagram Methods 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 12
- 238000009826 distribution Methods 0.000 claims description 12
- 238000010606 normalization Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 description 13
- 239000004973 liquid crystal related substance Substances 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000013135 deep learning Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000004821 distillation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000035515 penetration Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000009499 grossing Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000001717 pathogenic effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000009827 uniform distribution Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Biophysics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Environmental & Geological Engineering (AREA)
- Artificial Intelligence (AREA)
- Biomedical Technology (AREA)
- Burglar Alarm Systems (AREA)
- Computational Linguistics (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
Abstract
本发明提供一种轻量级网络入侵检测方法、装置、电子设备及存储介质,该方法涉及网络安全技术领域,包括:获取待检测的网络数据;将所述待检测的网络数据输入至轻量级入侵检测模型,得到所述轻量级入侵检测模型输出的检测结果;所述轻量级入侵检测模型是基于样本网络数据、标签数据及采用自知识蒸馏方式进行训练得到的,用于对所述待检测的网络数据进行检测,通过轻量级入侵检测模型实现了待检测的网络数据的检测,提升了网络入侵检测的效率,同时,提升了网络入侵检测的精度。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种轻量级网络入侵检测方法、装置、电子设备及存储介质。
背景技术
随着网络技术的飞速发展,各种网络攻击层出不穷,网络威胁也越来越严重。作为回应,网络入侵检测(Network Intrusion Detection,NID)通过不断监控网络流量中的恶意和可疑活动,在网络安全方面发挥着至关重要的作用。目前,入侵检测***已广泛应用于医疗、交通、物联网安全和工业控制等领域。
入侵检测***应用两种类型的检测方式,包括基于签名的网络入侵检测方式和基于异常的网络入侵检测方式;其中,基于签名的NID方式预先通过状态建模或字符串匹配建立知识库,并通过将数据流与知识库中的已有签名进行匹配来检测异常行为,基于签名的NID方式在已知攻击上表现出相当好的性能,而不能处理不在知识库中的攻击。为了解决这一问题,基于异常的NID方式通过测量检测到的活动与正常活动之间的偏差来检测入侵行为。
随着深度学习的发展,基于深度学习的入侵检测模型层出不穷,大大提高了入侵检测的准确性和稳健性。尽管这些模型达到了令人满意的精度,但由于计算开销高和模型的规模大,导致大多数模型都很难在资源受限的设备上实现,从而导致网络入侵检测的效率较低。
发明内容
本发明提供一种轻量级网络入侵检测方法、装置、电子设备及存储介质,用以解决现有技术中网络入侵检测的效率较低的问题。
本发明提供一种轻量级网络入侵检测方法,包括:
获取待检测的网络数据;
将所述待检测的网络数据输入至轻量级入侵检测模型,得到所述轻量级入侵检测模型输出的检测结果;所述轻量级入侵检测模型是基于样本网络数据、标签数据及采用自知识蒸馏方式进行训练得到的,用于对所述待检测的网络数据进行检测。
根据本发明提供的一种轻量级网络入侵检测方法,所述轻量级入侵检测模型包括至少一个特征处理模块和分类器,所述将所述待检测的网络数据输入至轻量级入侵检测模型,得到所述轻量级入侵检测模型输出的检测结果,包括:
将所述待检测的网络数据输入至第一特征处理模块,得到所述第一特征处理模块输出的第一特征信息;
将所述第一特征信息输入至第二特征处理模块,得到所述第二特征处理模块输出的第二特征信息;
将所述第二特征信息输入至所述分类器,得到所述分类器输出的所述检测结果。
根据本发明提供的一种轻量级网络入侵检测方法,所述特征处理模块包括深度可分离卷积层、最大特征映射层和池化层,所述将所述待检测的网络数据输入至第一特征处理模块,得到所述第一特征处理模块输出的第二特征信息,包括:
将所述待检测的网络数据输入至所述深度可分离卷积层,得到所述深度可分离卷积层输出的至少一个第一特征图;第一特征图用于表示每个通道的数据特征;
将至少一组特征图输入至所述最大特征映射层,得到所述最大特征映射层输出的第二特征图;每组特征图包括两个所述第一特征图;所述第二特征图表示所述每组特征图中特征值最大的特征图;
将所述第二特征图输入至所述池化层,得到所述池化层输出的第一特征信息。
根据本发明提供的一种轻量级网络入侵检测方法,所述将所述第二特征信息输入至所述分类器,得到所述分类器输出的所述检测结果,包括:
将所述第二特征信息输入至所述分类器,所述分类器采用归一化函数计算所述第二特征信息对应的概率分布;
将所述概率分布中最大概率对应的类型确定为所述检测结果。
根据本发明提供的一种轻量级网络入侵检测方法,所述轻量级入侵检测模型是基于以下步骤训练得到的:
获取网络训练数据集;所述网络训练数据集包括多批训练数据;每批训练数据包括多个训练数据和多个测试数据;所述多个训练数据为多个样本网络数据和各所述样本网络数据的标签数据;
基于所述多个训练数据、所述多个测试数据和所述自知识蒸馏方式,确定所述轻量级入侵检测模型。
根据本发明提供的一种轻量级网络入侵检测方法,所述基于所述多个训练数据、所述多个测试数据和所述自知识蒸馏方式,确定所述轻量级入侵检测模型,包括:
在上一次迭代时,基于所述多个训练数据,对初始教师网络模型进行训练,得到第一教师网络模型、所述第一教师网络模型的第一参数和所述第一教师网络输出的第一检测结果;所述第一教师网络模型与所述轻量级入侵检测模型的结构相同;
将所述多个测试数据输入至所述第一教师网络模型,得到所述第一教师网络模型输出的第一测试结果;
在当前次迭代时,基于所述多个训练数据和所述第一参数,对初始学生网络模型进行训练,得到第一学生网络模型、所述第一学习网络模型的第二参数和所述第一学生网络模型输出的第二检测结果;所述第一学生网络模型与所述轻量级入侵检测模型的结构相同;
将所述多个测试数据输入至所述第一学生网络模型,得到所述第一学生网络模型输出的第二测试结果;
基于所述第一检测结果、所述第二测试结果、所述第二检测结果和所述第二参数,确定所述轻量级入侵检测模型。
根据本发明提供的一种轻量级网络入侵检测方法,所述基于所述第一检测结果、所述第二测试结果、所述第二检测结果和所述第二参数,确定所述轻量级入侵检测模型,包括:
基于所述第一检测结果和所述第二测试结果,计算第一损失函数值;
基于所述第二检测结果和所述第二测试结果,计算第二损失函数值;
基于所述第一损失函数值和所述第二损失函数值,计算目标损失函数值;
在所述目标损失函数值不满足预设条件的情况下,基于所述第二参数,更新所述第一教师网络模型;
将更新后的第一教师网络模型作为新的初始教师网络模型,并重复执行上述对初始教师网络模型进行训练的步骤;
在所述目标损失函数值满足预设条件的情况下,将所述第一学生网络模型确定为所述轻量级入侵检测模型。
本发明还提供一种轻量级网络入侵检测装置,包括:
获取模块,用于获取待检测的网络数据;
检测模块,用于将所述待检测的网络数据输入至轻量级入侵检测模型,得到所述轻量级入侵检测模型输出的检测结果;所述轻量级入侵检测模型是基于样本网络数据、标签数据及采用自知识蒸馏方式进行训练得到的,用于对所述待检测的网络数据进行检测。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述轻量级网络入侵检测方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述轻量级网络入侵检测方法。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述轻量级网络入侵检测方法。
本发明提供的轻量级网络入侵检测方法、装置、电子设备及存储介质,通过获取的待检测的网络数据,将待检测的网络数据输入至轻量级入侵检测模型,得到轻量级入侵检测模型输出的检测结果;轻量级入侵检测模型是基于样本网络数据、标签数据及采用自知识蒸馏方式进行训练得到的,用于对待检测的网络数据进行检测,通过轻量级入侵检测模型实现了待检测的网络数据的检测,提升了网络入侵检测的效率,同时,提升了网络入侵检测的精度。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的轻量级网络入侵检测方法的流程示意图;
图2是本发明提供的特征处理模块的结构示意图;
图3是本发明提供的采用自知识蒸馏方式训练轻量级入侵检测模型的过程示意图;
图4是本发明提供的轻量级网络入侵检测装置的结构示意图;
图5是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1-图3描述本发明的轻量级网络入侵检测方法。
图1是本发明提供的轻量级网络入侵检测方法的流程示意图,如图1所示,该方法包括步骤101-步骤102;其中,
步骤101,获取待检测的网络数据。
需要说明的是,本发明实施例提供的轻量级网络入侵检测方法,可适用于网络数据安全的检测场景中。该方法的执行主体可以为轻量级网络入侵检测装置,例如电子设备、或者该轻量级网络入侵检测装置中的用于执行轻量级网络入侵检测方法的控制模块。其中,电子设备可以包括手机、平板电脑或台式计算机等。
具体地,待检测的网络数据为网络流量数据,通过网络在运行过程中的数据流获取待检测的网络数据。
步骤102,将所述待检测的网络数据输入至轻量级入侵检测模型,得到所述轻量级入侵检测模型输出的检测结果;所述轻量级入侵检测模型是基于样本网络数据、标签数据及采用自知识蒸馏方式进行训练得到的,用于对所述待检测的网络数据进行检测。
具体地,在训练结束之后可以得到轻量级入侵检测模,将待检测的网络数据输入至轻量级入侵检测模型,可以得到轻量级入侵检测模型输出的检测结果;检测结果包括以下任一项:正常;DOS攻击;Web攻击;渗透攻击;轻量级入侵检测模型是基于样本网络数据、标签数据及采用自知识蒸馏方式进行训练得到的,用于对待检测的网络数据进行检测。
本发明提供的轻量级网络入侵检测方法,通过获取的待检测的网络数据,将待检测的网络数据输入至轻量级入侵检测模型,得到轻量级入侵检测模型输出的检测结果;轻量级入侵检测模型是基于样本网络数据、标签数据及采用自知识蒸馏方式进行训练得到的,用于对待检测的网络数据进行检测,通过轻量级入侵检测模型实现了待检测的网络数据的检测,提升了网络入侵检测的效率,同时,提升了网络入侵检测的精度。
可选地,所述轻量级入侵检测模型包括至少一个特征处理模块和分类器,上述步骤102的具体实现方式包括:
1)将所述待检测的网络数据输入至第一特征处理模块,得到所述第一特征处理模块输出的第一特征信息。
具体地,特征处理模块(DeepMax)用于提取待检测的网络数据中的特征信息,特征处理模块的数量可以为一个,也可以为多个,具体根据实际情况进行设定。将待检测的网络数据输入至第一特征处理模块,可以得到第一特征处理模块输出的第一特征信息。
2)将所述第一特征信息输入至第二特征处理模块,得到所述第二特征处理模块输出的第二特征信息。
具体地,将第一特征处理模块提取的第一特征信息输入至第二特征处理模块,可以得到第二特征处理模块输出的第二特征信息。需要说明的是,第二特征信息的维度比第一特征信息的维度少,但第二特征信息所表征的特征能够更好的体现待检测的网络数据的特征。
3)将所述第二特征信息输入至所述分类器,得到所述分类器输出的所述检测结果。
需要说明的是,分类器用于提取第二特征信息对应的检测类型,其中,分类器可以是分类模块,也可以是全连接层。在本申请中,分类器也可以是非线性分类器,例如,多层感知机和决策树等。
具体地,将第二特征信息输入至分类器,可以得到分类器输出的检测结果。
本发明提供的轻量级网络入侵检测方法,通过将待检测的网络数据输入至第一特征处理模块,得到第一特征处理模块输出的第一特征信息;再将第一特征信息输入至第二特征处理模块,得到第二特征处理模块输出的第二特征信息;再将第二特征信息输入至分类器,得到分类器输出的检测结果。通过多个特征处理模块的堆叠,能够更深层的提取待检测的网络数据的特征信息,进而通过分类器能够准确获取检测结果,模型规模小,计算量较少,不会受到资源设备的限制,从而提升了网络入侵检测的效率,同时,提升了网络入侵检测的精度。
可选地,所述特征处理模块包括深度可分离卷积层、最大特征映射层和池化层,所述将所述待检测的网络数据输入至第一特征处理模块,得到所述第一特征处理模块输出的第二特征信息,包括:
a)将所述待检测的网络数据输入至所述深度可分离卷积层,得到所述深度可分离卷积层输出的至少一个第一特征图;第一特征图用于表示每个通道的数据特征。
具体地,图2是本发明提供的特征处理模块的结构示意图,如图2所示,特征处理模块(DeepMax)包括深度可分离卷积层(DSConv)、最大特征映射层(MFM)和池化层(Pooling)。
进一步地,将待检测的网络数据输入至深度可分离卷积层,深度可分离卷积层(DSConv)将标准卷积分解为深度卷积和点卷积,深度卷积使用独立的卷积核提取每个通道的特征,大大减少了卷积的计算量,再使用逐点卷积(卷积核为1×1)匹配输出特征通道。假设深度可分离卷积层输入的待检测的网络数据对应的通道数为Ci,输出的通道数为C0,则深度可分离卷积层提取特征图的过程,可以采用公式(1)表示,其中:
其中,表示第j个通道对应的特征图,new表示输出,/>表示点卷积操作的卷积核尺寸,p表示点卷积,/>表示深度卷积操作的卷积核尺寸,d表示深度卷积,/>表示输入的待检测的网络数据对应的第i个通道的特征图,old表示输入,*表示卷积运算,κ表示卷积核尺寸。
进一步地,将待检测的网络数据输入至深度可分离卷积层,可以得到深度可分离卷积层输出的至少一个第一特征图;第一特征图用于表示每个通道的数据特征。
b)将至少一组特征图输入至所述最大特征映射层,得到所述最大特征映射层输出的第二特征图;每组特征图包括至少两个所述第一特征图;所述第二特征图表示所述每组特征图中特征值最大的特征图。
具体地,为了进一步减小网络规模,将深度可分离卷积层和最大特征映射层连接,可以使得第一特征图对应的通道数减半。将至少一组特征图输入至最大特征映射层,最大特征映射层可以对每组特征图进行处理,得到每一组特征图中特征值最大的特征图。例如,当每组特征图包括两个第一特征图时,最大特征映射层可任意采用公式(2)组合每一组特征图中的两个第一特征图,并输出特征值最大的特征图,即第二特征图,通道数为第一特征图的通道数的1/2。公式(2)表示为:
例如,当每组特征图包括三个第一特征图时,将每组特征图输入至最大特征映射层,最大特征映射层可以对三个第一特征图进行处理,得到三个第一特征图中特征值最大的特征图,通道数为第一特征图的通道数的1/3。依次类推,为避免重复,对此不做进一步描述。
c)将所述第二特征图输入至所述池化层,得到所述池化层输出的第一特征信息。
具体地,池化层用于降低第二特征图的大小,将第二特征图输入至池化层,可以得到池化层输出的第一特征信息。
可选地,将所述第一特征信息输入至第二特征处理模块,得到所述第二特征处理模块输出的第二特征信息,包括:
将所述第一特征信息输入至第二特征处理模块中的深度可分离卷积层,深度可分离卷积层采用上述公式(1)对第一特征信息进行卷积,可以得到深度可分离卷积层输出的至少一个第三特征图;将包括两个第三特征图的至少一组特征图输入至第二特征处理模块中的最大特征映射层,最大特征映射层采用上述公式(2)对每一组特征图中的两个第三特征图进行处理,可以得到最大特征映射层输出的第四特征图;再将第四特征图输入至池化层,可以得到池化层输出的第三特征信息。
本发明提供的轻量级网络入侵检测方法,通过将待检测的网络数据输入至深度可分离卷积层,得到深度可分离卷积层输出的至少一个第一特征图;第一特征图用于表示每个通道的数据特征;将至少一组特征图输入至最大特征映射层,得到最大特征映射层输出的第二特征图;每组特征图包括两个第一特征图;第二特征图表示所述每组特征图中特征值最大的特征图;再将第二特征图输入至池化层,得到池化层输出的第一特征信息,通过构建完整的特征处理模块,实现了有效特征的提取和选择,可以在满足计算消耗的情况下获得紧凑的特征表示,进而提升了网络入侵检测的精度,同时能够提升了网络入侵检测的效率。
可选地,所述将所述第二特征信息输入至所述分类器,得到所述分类器输出的所述检测结果,包括:
将所述第二特征信息输入至所述分类器,所述分类器采用归一化函数计算所述第二特征信息对应的概率分布;将所述概率分布中最大概率对应的类型确定为所述检测结果。
其中,τ表示温度因子,pi(x;τ)表示第i个通道对应的概率分布,x表示样本网络数据,z表示样本网络数据x对应的第二特征信息(logits)。
接下来对采用自知识蒸馏方式训练得到轻量级入侵检测模型的具体实现方式进行详细说明。
可选地,所述轻量级入侵检测模型是基于以下步骤训练得到的:
1)获取网络训练数据集;所述网络训练数据集包括多批训练数据;每批训练数据包括多个训练数据和多个测试数据;所述多个训练数据为多个样本网络数据和各所述样本网络数据的标签数据。
进一步地,将构建的基础NID模型(即初始入侵检测模型)定义为Mθ,θ表示初始入侵检测模型的参数,初始入侵检测模型包括至少一个特征处理模块和分类器。对于每一个样本(x,y),特征处理模块从样本网络数据x中提取特征信息其中,W和H分别表示特征图的宽度和高度。将初始入侵检测模型的输出(logits)记为/>
2)基于所述多个训练数据、所述多个测试数据和所述自知识蒸馏方式,确定所述轻量级入侵检测模型。
具体地,自知识蒸馏方式表示在训练的过程中将上一次训练得到的模型参数和模型输出的检测结果应用于下一次训练过程中。根据多个训练数据、多个测试数据和自知识蒸馏方式,可以确定轻量级入侵检测模型。
可选地,所述基于所述多个训练数据、所述多个测试数据和所述自知识蒸馏方式,确定所述轻量级入侵检测模型,包括:
a)在上一次迭代时,基于所述多个训练数据,对初始教师网络模型进行训练,得到第一教师网络模型、所述第一教师网络模型的第一参数和所述第一教师网络输出的第一检测结果;所述第一教师网络模型与所述轻量级入侵检测模型的结构相同。
具体地,构建的初始入侵检测模型可以为初始教师网络模型,也可以为初始学生网络模型,其中,初始教师网络模型和初始学生网络模型均与轻量级入侵检测模型的结构相同。
在上一次迭代训练的过程中,将多个训练数据输入至初始教师网络模型,对初始教师网络模型进行训练,可以的的第一教师网络模型和第一教师网络模型的第一参数和第一教师网络输出的第一检测结果。
b)将所述多个测试数据输入至所述第一教师网络模型,得到所述第一教师网络模型输出的第一测试结果。
具体地,在得到第一教师网络模型之后,采用多个测试数据对第一教师网络模型进行验证,即将多个测试数据输入至第一教师网络模型,可以得到第一教师网络模型输出的第一测试结果。
c)在当前次迭代时,基于所述多个训练数据和所述第一参数,对初始学生网络模型进行训练,得到第一学生网络模型、所述第一学习网络模型的第二参数和所述第一学生网络模型输出的第二检测结果;所述第一学生网络模型与所述轻量级入侵检测模型的结构相同。
具体地,在当前次迭代训练的过程中,将第一教师网络模型的第一参数作为初始学习网络模型的参数,再将多个训练数据输入至初始学习网络模型,对初始初始学生网络模型进行训练,可以得到第一学生网络模型、第一学习网络模型的第二参数和第一学生网络模型输出的第二检测结果。
d)将所述多个测试数据输入至所述第一学生网络模型,得到所述第一学生网络模型输出的第二测试结果。
具体地,在第一学生网络模型之后,再采用多个测试数据对第一学生网络模型进行验证,即将多个测试数据输入至第一学生网络模型,可以得到第一学生网络模型输出的第二测试结果。
e)基于所述第一检测结果、所述第二测试结果、所述第二检测结果和所述第二参数,确定所述轻量级入侵检测模型。
具体地,根据第一教师网络模型输出的第一检测结果、第一学生网络模型输出的第二测试结果和第一学生网络模型输出的第二检测结果,可以进一步确定轻量级入侵检测模型。
可选地,上述步骤e)的具体实现方式包括:
e-1)基于所述第一检测结果和所述第二测试结果,计算第一损失函数值。
具体地,根据第一检测结果和第二测试结果,采用公式(4)计算第一损失函数值,即基于批次的蒸馏通过优化连续迭代之间的KL散度和自知识蒸馏的损失传递知识。公式(4)表示为:
其中,LSKD表示第一损失函数值,SKD表示自知识蒸馏,表示第一检测结果,即在t-1次迭代时生成的软化标签,/>表示第二测试结果,即在t次迭代时生成的软化标签,n表示批次的大小。进一步地,软化程度通过温度系数τ来控制,较高的温度会导致更均匀的分布,从而产生更平滑的正则化效果。
e-2)基于所述第二检测结果和所述第二测试结果,计算第二损失函数值。
具体地,考虑到入侵检测的网络训练数据集的不均衡性,使用类平衡的交叉熵损失函数来提高对尾类别样本的关注度,因此,根据第二检测结果和第二测试结果,采用公式(5)计算第二损失函数值。
采用公式(5)表示为:
其中,LCB(z,y)表示第二损失函数值,z表示logits,y表示标签数据对应的类别;β表示超参数,取值范围为[0,1),根据实际情况进行设置;ny表示类别y的样本数量,zy表示类别y对应的logits值,zj表示类别为j对应的logits值,M表示总类别数。
e-3)基于所述第一损失函数值和所述第二损失函数值,计算目标损失函数值。
具体地,根据第一损失函数值和第二损失函数值,将第一损失函数(SKD损失)、第二损失函数(类别平衡损失)和折衷系数λ组合,采用公式(6)计算目标损失函数值。公式(6)表示为:
L=LCB+λLSKD (6)
其中,LCB表示第二损失函数值,LSKD表示第一损失函数值。
e-4)在所述目标损失函数值不满足预设条件的情况下,基于所述第二参数,更新所述第一教师网络模型。
具体地,在得到目标损失函数值之后,判断目标损失函数值是否满足预设条件,其中,预设条件为训练停止条件。在目标损失函数值不满足预设条件的情况下,根据当前次迭代得到的第一学习网络模型的第二参数,作为第一教师网络模型新的参数更新第一教师网络模型。
e-5)将更新后的第一教师网络模型作为新的初始教师网络模型,并重复执行上述对初始教师网络模型进行训练的步骤。
具体地,将更新后的第一教师网络模型作为新的初始教师网络模型,并采用训练数据,对新的初始教师网络模型进行训练,即重复上述对初始教师网络模型进行训练的步骤,直至最终迭代得到的目标损失函数满足预设条件。
e-6)在所述目标损失函数值满足预设条件的情况下,将所述第一学生网络模型确定为所述轻量级入侵检测模型。
具体地,在目标损失函数值满足预设条件的情况下,训练结束,此时,将当前次迭代得到的第一学生网络模型确定为轻量级入侵检测模型。
需要说明的是,与原始的知识蒸馏相比,SKD在训练阶段扮演着学生和教师的双重角色,保留软化标签(软目标),并从前一次迭代中提取平滑的标签(软化标签)进行正则化。使用上一次迭代的测试结果(软预测)来生成动态样本级平滑标签,从而为每个训练样本提供最瞬时的蒸馏。
图3是本发明提供的采用自知识蒸馏方式训练轻量级入侵检测模型的过程示意图,如图3所示,在t-1次迭代时,采用训练数据Bt对初始入侵检测模型(LNet)进行训练,此时初始入侵检测模型可以看作是初始教师网络模型,从而可以得到第一教师网络模型、第一教师网络模型的第一参数和第一教师网络输出的第一检测结果;采用第t-2次迭代时的训练数据据Bt-1作为测试数据对第一教师网络模型进行验证,得到第一测试结果。在t次迭代时,将第一教师网络模型的第一参数作为初始学生网络模型的参数,再采用第t-1次迭代时的测试数据Bt+1作为训练数据对初始学生网络模型(LNet)进行训练,从而可以得到第一学生网络模型、第一学***衡检测结果对应的类别,提高对类别较少的样本的关注度。根据第一损失函数值和第二损失函数值,计算目标损失函数值,进一步将目标损失函数和预设条件进行判断,在满足预设条件时将第一学生网络模型确定为轻量级入侵检测模型,从而得到轻量级入侵检测模型。
下面对本发明提供的轻量级网络入侵检测装置进行描述,下文描述的轻量级网络入侵检测装置与上文描述的轻量级网络入侵检测方法可相互对应参照。
图4是本发明提供的轻量级网络入侵检测装置的结构示意图,如图4所示,轻量级网络入侵检测装置400包括:获取模块401和检测模块402;其中,
获取模块401,用于获取待检测的网络数据;
检测模块,用于将所述待检测的网络数据输入至轻量级入侵检测模型,得到所述轻量级入侵检测模型输出的检测结果;所述轻量级入侵检测模型是基于样本网络数据、标签数据及采用自知识蒸馏方式进行训练得到的,用于对所述待检测的网络数据进行检测。
本发明提供的轻量级网络入侵检测装置,通过获取的待检测的网络数据,将待检测的网络数据输入至轻量级入侵检测模型,得到轻量级入侵检测模型输出的检测结果;轻量级入侵检测模型是基于样本网络数据、标签数据及采用自知识蒸馏方式进行训练得到的,用于对待检测的网络数据进行检测,通过轻量级入侵检测模型实现了待检测的网络数据的检测,提升了网络入侵检测的效率,同时,提升了网络入侵检测的精度。
可选地,所述轻量级入侵检测模型包括至少一个特征处理模块和分类器,所述检测模块402,具体用于:
将所述待检测的网络数据输入至第一特征处理模块,得到所述第一特征处理模块输出的第一特征信息;
将所述第一特征信息输入至第二特征处理模块,得到所述第二特征处理模块输出的第二特征信息;
将所述第二特征信息输入至所述分类器,得到所述分类器输出的所述检测结果。
可选地,所述特征处理模块包括深度可分离卷积层、最大特征映射层和池化层,所述检测模块402,具体用于:
将所述待检测的网络数据输入至所述深度可分离卷积层,得到所述深度可分离卷积层输出的至少一个第一特征图;第一特征图用于表示每个通道的数据特征;
将至少一组特征图输入至所述最大特征映射层,得到所述最大特征映射层输出的第二特征图;每组特征图包括两个所述第一特征图;所述第二特征图表示所述每组特征图中特征值最大的特征图;
将所述第二特征图输入至所述池化层,得到所述池化层输出的第一特征信息。
可选地,所述检测模块402,具体用于:
将所述第二特征信息输入至所述分类器,所述分类器采用归一化函数计算所述第二特征信息对应的概率分布;
将所述概率分布中最大概率对应的类型确定为所述检测结果。
可选地,所述轻量级入侵检测模型是基于以下步骤训练得到的:
获取网络训练数据集;所述网络训练数据集包括多批训练数据;每批训练数据包括多个训练数据和多个测试数据;所述多个训练数据为多个样本网络数据和各所述样本网络数据的标签数据;
基于所述多个训练数据、所述多个测试数据和所述自知识蒸馏方式,确定所述轻量级入侵检测模型。
可选地,所述基于所述多个训练数据、所述多个测试数据和所述自知识蒸馏方式,确定所述轻量级入侵检测模型,包括:
在上一次迭代时,基于所述多个训练数据,对初始教师网络模型进行训练,得到第一教师网络模型、所述第一教师网络模型的第一参数和所述第一教师网络输出的第一检测结果;所述第一教师网络模型与所述轻量级入侵检测模型的结构相同;
将所述多个测试数据输入至所述第一教师网络模型,得到所述第一教师网络模型输出的第一测试结果;
在当前次迭代时,基于所述多个训练数据和所述第一参数,对初始学生网络模型进行训练,得到第一学生网络模型、所述第一学习网络模型的第二参数和所述第一学生网络模型输出的第二检测结果;所述第一学生网络模型与所述轻量级入侵检测模型的结构相同;
将所述多个测试数据输入至所述第一学生网络模型,得到所述第一学生网络模型输出的第二测试结果;
基于所述第一检测结果、所述第二测试结果、所述第二检测结果和所述第二参数,确定所述轻量级入侵检测模型。
可选地,所述基于所述第一检测结果、所述第二测试结果、所述第二检测结果和所述第二参数,确定所述轻量级入侵检测模型,包括:
基于所述第一检测结果和所述第二测试结果,计算第一损失函数值;
基于所述第二检测结果和所述第二测试结果,计算第二损失函数值;
基于所述第一损失函数值和所述第二损失函数值,计算目标损失函数值;
在所述目标损失函数值不满足预设条件的情况下,基于所述第二参数,更新所述第一教师网络模型;
将更新后的第一教师网络模型作为新的初始教师网络模型,并重复执行上述对初始教师网络模型进行训练的步骤;
在所述目标损失函数值满足预设条件的情况下,将所述第一学生网络模型确定为所述轻量级入侵检测模型。
图5是本发明提供的一种电子设备的实体结构示意图,如图5所示,该电子设备500可以包括:处理器(processor)510、通信接口(Communications Interface)520、存储器(memory)530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令,以执行轻量级网络入侵检测方法,该方法包括:获取待检测的网络数据;将所述待检测的网络数据输入至轻量级入侵检测模型,得到所述轻量级入侵检测模型输出的检测结果;所述轻量级入侵检测模型是基于样本网络数据、标签数据及采用自知识蒸馏方式进行训练得到的,用于对所述待检测的网络数据进行检测。
此外,上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的轻量级网络入侵检测方法,该方法包括:获取待检测的网络数据;将所述待检测的网络数据输入至轻量级入侵检测模型,得到所述轻量级入侵检测模型输出的检测结果;所述轻量级入侵检测模型是基于样本网络数据、标签数据及采用自知识蒸馏方式进行训练得到的,用于对所述待检测的网络数据进行检测。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的轻量级网络入侵检测方法,该方法包括:获取待检测的网络数据;将所述待检测的网络数据输入至轻量级入侵检测模型,得到所述轻量级入侵检测模型输出的检测结果;所述轻量级入侵检测模型是基于样本网络数据、标签数据及采用自知识蒸馏方式进行训练得到的,用于对所述待检测的网络数据进行检测。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种轻量级网络入侵检测方法,其特征在于,包括:
获取待检测的网络数据;
将所述待检测的网络数据输入至轻量级入侵检测模型,得到所述轻量级入侵检测模型输出的检测结果;所述轻量级入侵检测模型是基于样本网络数据、标签数据及采用自知识蒸馏方式进行训练得到的,用于对所述待检测的网络数据进行检测。
2.根据权利要求1所述的轻量级网络入侵检测方法,其特征在于,所述轻量级入侵检测模型包括至少一个特征处理模块和分类器,所述将所述待检测的网络数据输入至轻量级入侵检测模型,得到所述轻量级入侵检测模型输出的检测结果,包括:
将所述待检测的网络数据输入至第一特征处理模块,得到所述第一特征处理模块输出的第一特征信息;
将所述第一特征信息输入至第二特征处理模块,得到所述第二特征处理模块输出的第二特征信息;
将所述第二特征信息输入至所述分类器,得到所述分类器输出的所述检测结果。
3.根据权利要求2所述的轻量级网络入侵检测方法,其特征在于,所述特征处理模块包括深度可分离卷积层、最大特征映射层和池化层,所述将所述待检测的网络数据输入至第一特征处理模块,得到所述第一特征处理模块输出的第二特征信息,包括:
将所述待检测的网络数据输入至所述深度可分离卷积层,得到所述深度可分离卷积层输出的至少一个第一特征图;第一特征图用于表示每个通道的数据特征;
将至少一组特征图输入至所述最大特征映射层,得到所述最大特征映射层输出的第二特征图;每组特征图包括两个所述第一特征图;所述第二特征图表示所述每组特征图中特征值最大的特征图;
将所述第二特征图输入至所述池化层,得到所述池化层输出的第一特征信息。
4.根据权利要求2所述的轻量级网络入侵检测方法,其特征在于,所述将所述第二特征信息输入至所述分类器,得到所述分类器输出的所述检测结果,包括:
将所述第二特征信息输入至所述分类器,所述分类器采用归一化函数计算所述第二特征信息对应的概率分布;
将所述概率分布中最大概率对应的类型确定为所述检测结果。
5.根据权利要求1-4任一项所述的轻量级网络入侵检测方法,其特征在于,所述轻量级入侵检测模型是基于以下步骤训练得到的:
获取网络训练数据集;所述网络训练数据集包括多批训练数据;每批训练数据包括多个训练数据和多个测试数据;所述多个训练数据为多个样本网络数据和各所述样本网络数据的标签数据;
基于所述多个训练数据、所述多个测试数据和所述自知识蒸馏方式,确定所述轻量级入侵检测模型。
6.根据权利要求5所述的轻量级网络入侵检测方法,其特征在于,所述基于所述多个训练数据、所述多个测试数据和所述自知识蒸馏方式,确定所述轻量级入侵检测模型,包括:
在上一次迭代时,基于所述多个训练数据,对初始教师网络模型进行训练,得到第一教师网络模型、所述第一教师网络模型的第一参数和所述第一教师网络输出的第一检测结果;所述第一教师网络模型与所述轻量级入侵检测模型的结构相同;
将所述多个测试数据输入至所述第一教师网络模型,得到所述第一教师网络模型输出的第一测试结果;
在当前次迭代时,基于所述多个训练数据和所述第一参数,对初始学生网络模型进行训练,得到第一学生网络模型、所述第一学习网络模型的第二参数和所述第一学生网络模型输出的第二检测结果;所述第一学生网络模型与所述轻量级入侵检测模型的结构相同;
将所述多个测试数据输入至所述第一学生网络模型,得到所述第一学生网络模型输出的第二测试结果;
基于所述第一检测结果、所述第二测试结果、所述第二检测结果和所述第二参数,确定所述轻量级入侵检测模型。
7.根据权利要求6所述的轻量级网络入侵检测方法,其特征在于,所述基于所述第一检测结果、所述第二测试结果、所述第二检测结果和所述第二参数,确定所述轻量级入侵检测模型,包括:
基于所述第一检测结果和所述第二测试结果,计算第一损失函数值;
基于所述第二检测结果和所述第二测试结果,计算第二损失函数值;
基于所述第一损失函数值和所述第二损失函数值,计算目标损失函数值;
在所述目标损失函数值不满足预设条件的情况下,基于所述第二参数,更新所述第一教师网络模型;
将更新后的第一教师网络模型作为新的初始教师网络模型,并重复执行上述对初始教师网络模型进行训练的步骤;
在所述目标损失函数值满足预设条件的情况下,将所述第一学生网络模型确定为所述轻量级入侵检测模型。
8.一种轻量级网络入侵检测装置,其特征在于,包括:
获取模块,用于获取待检测的网络数据;
检测模块,用于将所述待检测的网络数据输入至轻量级入侵检测模型,得到所述轻量级入侵检测模型输出的检测结果;所述轻量级入侵检测模型是基于样本网络数据、标签数据及采用自知识蒸馏方式进行训练得到的,用于对所述待检测的网络数据进行检测。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述轻量级网络入侵检测方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述轻量级网络入侵检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310048136.9A CN116232694A (zh) | 2023-01-31 | 2023-01-31 | 轻量级网络入侵检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310048136.9A CN116232694A (zh) | 2023-01-31 | 2023-01-31 | 轻量级网络入侵检测方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116232694A true CN116232694A (zh) | 2023-06-06 |
Family
ID=86586619
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310048136.9A Pending CN116232694A (zh) | 2023-01-31 | 2023-01-31 | 轻量级网络入侵检测方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116232694A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117593698A (zh) * | 2023-12-04 | 2024-02-23 | 成都信息工程大学 | 区域目标入侵检测方法、装置及***和存储介质 |
-
2023
- 2023-01-31 CN CN202310048136.9A patent/CN116232694A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117593698A (zh) * | 2023-12-04 | 2024-02-23 | 成都信息工程大学 | 区域目标入侵检测方法、装置及***和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Juvonen et al. | Online anomaly detection using dimensionality reduction techniques for HTTP log analysis | |
WO2019109743A1 (zh) | Url攻击检测方法、装置以及电子设备 | |
CN116647411B (zh) | 游戏平台网络安全的监测预警方法 | |
CN113408743A (zh) | 联邦模型的生成方法、装置、电子设备和存储介质 | |
CN111564179B (zh) | 一种基于三元组神经网络的物种生物学分类方法及*** | |
CN110135681A (zh) | 风险用户识别方法、装置、可读存储介质及终端设备 | |
CN113628059A (zh) | 一种基于多层图注意力网络的关联用户识别方法及装置 | |
CN112214775A (zh) | 对图数据的注入式攻击方法、装置、介质及电子设备 | |
CN113014566A (zh) | 恶意注册的检测方法、装置、计算机可读介质及电子设备 | |
CN113705604A (zh) | 僵尸网络流量分类检测方法、装置、电子设备及存储介质 | |
CN112884204A (zh) | 网络安全风险事件预测方法及装置 | |
CN115242559A (zh) | 基于区块链和联邦学习的网络流量入侵检测方法 | |
CN116232694A (zh) | 轻量级网络入侵检测方法、装置、电子设备及存储介质 | |
CN115080756A (zh) | 一种面向威胁情报图谱的攻防行为和时空信息抽取方法 | |
Chen et al. | A mutual information based federated learning framework for edge computing networks | |
CN110457387B (zh) | 一种应用于网络中用户标签确定的方法及相关装置 | |
CN108121912B (zh) | 一种基于神经网络的恶意云租户识别方法和装置 | |
CN111368552A (zh) | 一种面向特定领域的网络用户群组划分方法及装置 | |
CN114239750A (zh) | 告警数据处理方法、装置、存储介质和设备 | |
WO2020075462A1 (ja) | 学習器推定装置、学習器推定方法、リスク評価装置、リスク評価方法、プログラム | |
CN111581640A (zh) | 一种恶意软件检测方法、装置及设备、存储介质 | |
Kundaliya et al. | Advance deep learning technique for big data classification in IDS environment | |
CN117150321B (zh) | 设备信任度评价方法、装置、服务设备及存储介质 | |
Li et al. | Intelligent Attack Behavior Portrait for Path Planning of Unmanned Vehicles | |
Hariharan et al. | Enhancement of Attacks Prediction on Cloud Computing using ResNet 50 Algorithm |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |