CN117081831A - 基于数据生成和注意力机制的网络入侵检测方法及*** - Google Patents
基于数据生成和注意力机制的网络入侵检测方法及*** Download PDFInfo
- Publication number
- CN117081831A CN117081831A CN202311150569.1A CN202311150569A CN117081831A CN 117081831 A CN117081831 A CN 117081831A CN 202311150569 A CN202311150569 A CN 202311150569A CN 117081831 A CN117081831 A CN 117081831A
- Authority
- CN
- China
- Prior art keywords
- network
- data set
- samples
- intrusion detection
- network traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 56
- 230000007246 mechanism Effects 0.000 title claims abstract description 25
- 238000012549 training Methods 0.000 claims abstract description 58
- 238000007781 pre-processing Methods 0.000 claims abstract description 15
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 7
- 238000011156 evaluation Methods 0.000 claims abstract description 7
- 238000003062 neural network model Methods 0.000 claims abstract description 7
- 238000005457 optimization Methods 0.000 claims abstract description 7
- 238000000034 method Methods 0.000 claims description 43
- 230000006870 function Effects 0.000 claims description 40
- 238000012545 processing Methods 0.000 claims description 15
- 238000013528 artificial neural network Methods 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 9
- 238000012360 testing method Methods 0.000 claims description 9
- ORILYTVJVMAKLC-UHFFFAOYSA-N Adamantane Natural products C1C(C2)CC3CC1CC2C3 ORILYTVJVMAKLC-UHFFFAOYSA-N 0.000 claims description 7
- 230000004913 activation Effects 0.000 claims description 6
- 238000013527 convolutional neural network Methods 0.000 claims description 6
- 230000004927 fusion Effects 0.000 claims description 3
- 230000002123 temporal effect Effects 0.000 claims 1
- 230000002159 abnormal effect Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 238000002474 experimental method Methods 0.000 description 3
- 238000007637 random forest analysis Methods 0.000 description 3
- 238000002679 ablation Methods 0.000 description 2
- 230000008485 antagonism Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000013145 classification model Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000010606 normalization Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000011176 pooling Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 241001091575 Echeveria Species 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000007477 logistic regression Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 210000002569 neuron Anatomy 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
- G06N3/0442—Recurrent networks, e.g. Hopfield networks characterised by memory or gating, e.g. long short-term memory [LSTM] or gated recurrent units [GRU]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0475—Generative networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Biophysics (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于数据生成和注意力机制的网络入侵检测方法及***,涉及网络技术领域,包括:接收网络流量数据集,对网络流量数据集进行预处理,得到预处理网络流量数据集;将攻击类样本中的少数类攻击类样本输入至预先建立的ECGAN模型内,得到预设类型和预设数量的少数类攻击类样本,并与网络流量样本合并,得到最终训练数据集;将最终训练数据集输入至预先建立的神经网络模型内,得到高维时空流量特征,将高维时空流量特征输入至预设的分类网络内,得到分类结果;结合分类结果,采用损失函数作为评估标准、采用优化算法作为优化器对预先建立的网络入侵检测模型进行训练,得到训练后的网络入侵检测模型,实现网络入侵检测功能。
Description
技术领域
本发明涉及网络技术领域,具体的是基于数据生成和注意力机制的网络入侵检测方法及***。
背景技术
随着4G、5G、物联网、云计算等技术的飞速发展,给人们的生活带来巨大的便利,但随之而来的网络攻击事件日益增多的网络安全问题,给社会安全带来了巨大威胁和挑战。例如,2020年4月,海莲花组织针对中国医疗卫生行业和机构发起以COVID-19为主题的网络攻击,以窃取中国医疗卫生行业相关机密。因此,及时检测并阻断网络攻击对于网络安全至关重要。而网络入侵检测作为网络安全的重要组成部分,能够主动检测网络中可能存在的异常流量数据,识别网络攻击,并提供实时的网络保护,具有重要的研究意义。
近年来,传统机器学***衡性,正常的流量行为远高于异常的流量行为,而基于数据类不平衡的数据集训练的模型,对于异常样本的检测性能不佳。针对数据类不平衡问题,传统方法是利用欠采样、过采样、以及混合采样等技术来解决类不平衡问题,但这些方法存在过拟合和丢失有用信息的风险。
目前的网络入侵检测研究单一针对分类模型性能不佳问题或改善网络流量数据的类别不平衡问题,但没有将两个问题结合起来处理,且模型的泛化能力不够,不能有效检测未知的网络攻击。
发明内容
为解决上述背景技术中提到的不足,本发明的目的在于提供基于数据生成和注意力机制的网络入侵检测方法及***。
本发明的目的可以通过以下技术方案实现:基于数据生成和注意力机制的网络入侵检测方法,方法包括以下步骤:
接收网络流量数据集,对网络流量数据集进行预处理,得到预处理网络流量数据集,其中,所述预处理网络流量数据集内有网络流量样本,所述网络流量样本包括正常流量样本和攻击类样本;
将攻击类样本中的少数类攻击类样本输入至预先建立的ECGAN模型内,得到预设类型和预设数量的少数类攻击类样本,将得到的预设类型和预设数量的少数类攻击类样本与网络流量样本合并,得到最终训练数据集;
将最终训练数据集输入至预先建立的CNN-BiLSTM-Attention神经网络模型内,得到高维时空流量特征,将高维时空流量特征输入至预设的分类网络内,得到分类结果;
结合分类结果,采用损失函数Binary crossentropy作为评估标准、采用优化算法Adam作为优化器对预先建立的网络入侵检测模型进行训练,得到训练后的网络入侵检测模型,从而实现了网络入侵检测的功能。
优选地,所述对网络流量数据集进行预处理的过程包括:
对网络流量数据集进行标准化和异常值处理:采用独热编码将符号特征转换成数值特征表示;对经过标准化和异常值处理后的网络流量数据集进行Min-Max Scaling将数值归一化到0到1之间。
优选地,所述网络流量数据集包括训练数据集、测试数据集,其中训练数据集和测试数据集中的网络流量样本包括正常流量样本、攻击类样本,且所述将攻击类样本中的少数类攻击类样本输入至预先建立的ECGAN模型内采用的是训练数据集内的少数类攻击类样本。
优选地,所述网络流量数据集包含的特征类型为数值特征和符号特征,对网络流量数据集进行标准化处理,基于独热编码方法将符号特征转换成数值特征表示:
基于Min-Max Scaling方法,根据以下公式对经过标准化处理后的网络流量数据集进行归一化处理:
式中,x为网络流量数据集中其中一个数值特征对应的数据,xmax为数值特征对应数据中的最大值,xmin为数值特征对应数据中的最小值,x*表示归一化后的数值特征对应数据。
优选地,所述ECGAN模型包括生成器G,鉴别器D和分类器C。
优选地,所述鉴别器的损失函数定义为:
LD(x,z)=BCE(D(x),1)+BCE(D(G(z)),0)
其中BCE是二进制交叉熵,D是鉴别器,G是生成器,x是真实的标记数据,z是一个随机向量;
所述生成器的损失函数定义为:
LG(z)=BCE(D(G(z)),1)
对于生成器,只需输入鉴别器的预测和标签1表示预测是正确的;
对于分类器,损失函数定义为:
LC(x,y,z)=CE(C(x),y)+λCE(C(G(z)),argmax(C(G(z)))>t)
式中,y是伪标签,λ是无监督损失权重(对抗性权重),CE是交叉熵损失,C是分类器,并且t是伪标签阈值。
优选地,所述将攻击类样本中的少数类攻击类样本输入至预先建立的ECGAN模型内,得到预设类型和预设数量的少数类攻击类样本的过程为:
采用生成器G,鉴别器D,分类器C的损失函数对ECGAN网络模型进行预设次数的迭代训练,将迭代中损失函数的最小值所对应的网络参数保存下来,作为最佳数据生成网络模型;
利用最佳数据生成网络模型对攻击类样本中的少数类攻击类样本进行数据生成,得到预设类型和预设数量的少数类攻击类样本。
优选地,所述最终训练数据集中网络流量样本的一维数值特征转换成二维数值特征输入CNN神经网络,提取网络流量样本的空间特征,再通过全连接层整合输入到BiLSTM网络提取网络流量样本的时间特征,最终输出提取到的高维时空流量特征;
将最终训练数据集中的网络流量样本的数值特征输入Attention网络,获得训练数据集中的网络流量样本的时空融合特征进行注意力加权,得到加权结果的输出,最后,使用sigmoid函数作为激活函数进行二分类输出,输出各网络流量数据样本分别所对应的分类结果。
第二方面,为了达到上述目的,本发明公开了基于数据生成和注意力机制的网络入侵检测***,包括:
数据预处理模块:用于接收网络流量数据集,对网络流量数据集进行预处理,得到预处理网络流量数据集,其中,所述预处理网络流量数据集内有网络流量样本,所述网络流量样本包括正常流量样本和攻击类样本;
样本处理模块:用于将攻击类样本中的少数类攻击类样本输入至预先建立的ECGAN模型内,得到预设类型和预设数量的少数类攻击类样本,将得到的预设类型和预设数量的少数类攻击类样本与网络流量样本合并,得到最终训练数据集;
特征分类模块:用于将最终训练数据集输入至预先建立的CNN-BiLSTM-Attention神经网络模型内,得到高维时空流量特征,将高维时空流量特征输入至预设的分类网络内,得到分类结果;
模型训练模块:用于结合分类结果,采用损失函数Binary crossentropy作为评估标准、采用优化算法Adam作为优化器对预先建立的网络入侵检测模型进行训练,得到训练后的网络入侵检测模型,从而实现了网络入侵检测的功能。
在本发明的另一方面,为了达到上述目的,公开了一种设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当一个或多个所述程序被一个或多个所述处理器执行,使得一个或多个所述处理器实现如上所述的基于数据生成和注意力机制的网络入侵检测方法。
本发明的有益效果:
本发明利用ECGAN模型攻击类样本进行数据生成的同时,还利用的CNN-BiLSTM-Attention分类模型对网络流量完成分类判断任务,进一步提高了网络入侵的检测精度,提高了对未知攻击的检测功能,降低了误报率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图;
图1是本发明方法流程示意图;
图2是本发明网络入侵检测模型结构示意图;
图3是本发明基于ECGAN网络模型训练流程示意图;
图4是本发明示意CNN-BiLSTM-Attention神经网络结构图;
图5是本发明***结构示意图;
图6是本发明消融实验验证图;
图7是本发明与其他模型对比图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
如图1所示,基于数据生成和注意力机制的网络入侵检测方法,方法包括以下步骤:
接收网络流量数据集,对网络流量数据集进行预处理,得到预处理网络流量数据集,其中,所述预处理网络流量数据集内有网络流量样本,所述网络流量样本包括正常流量样本和攻击类样本;
数据预处理方法具体包括:对网络流量数据集进行标准化处理,即采用独热编码将符号特征转换成数值特征表示;对经过标准化和异常值处理后的数据集进行Min-MaxScaling将数值归一化到0到1之间。以网络流量数据集中的网络流量样本为输入,以经过预处理的网络流量数据集中的网络流量样本为输出,构建网络流量数据预处理模块;
本发明实施例所采用的网络流量数据集为UNSW-NB15数据集,其中UNSW-NB15数据集的特点如下:
UNSW-NB15数据集包含训练数据集和测试数据集。训练数据集和测试数据集都包含多个类标签,本方法中只需要进行二分类任务,即判断网络流量数据样本是正常流量还是异常流量,异常流量即代表受到攻击,对数据集标签进行替换。其中训练集为175341条,测试集为82332条,包含43个特征,一个多分类标签,一个二分类标签,其中多分类标签一共有10个类型,分别是正常状态“Normal”和9种攻击类型。
网络流量数据集包含的特征类型为数值特征和符号特征,对网络流量数据集进行标准化处理,基于独热编码方法将符号特征转换成数值特征表示。
UNSW-NB15数据集包括40个数值特征和3个符号特征,3个符号特征分别为protocol_type特征、service特征、flag特征,基于独热编码,将protocol_type等3个符号特征转化为3个与其对应的数值特征,将原43维的网络流量数据集转换为196维的网络流量数据集。
基于Min-Max Scaling方法,根据公式对经过标准化处理后的网络流量数据集进行归一化处理:
式中,x为网络流量数据集中其中一个数值特征对应的数据,xmax为数值特征对应的数据中的最大值,xmin为数值特征对应的数据中的最小值,x*表示归一化后的数值特征对应的数据。
将攻击类样本中的少数类攻击类样本输入至预先建立的ECGAN模型内,得到预设类型和预设数量的少数类攻击类样本,将得到的预设类型和预设数量的少数类攻击类样本与网络流量样本合并,得到最终训练数据集;
在本实施例中,所述网络流量数据集包括训练数据集、测试数据集,训练数据集、测试数据集中的网络流量样本包括攻击类样本,以经过预处理的网络流量数据集中训练数据集的少数类攻击类样本作为输入。
在本实施例中,如图3所示,将经过预处理的训练数据集中的少数类攻击类样本xi输入到ECGAN模型中,模型由三个部分组成:生成器G,鉴别器D,分类器C。每个训练周期的第一阶段训练生成器G和判别器D,生成器G接收随机噪声和随机标签,生成对应的人工数据和人工标签。然后使用真实数据和生产器G生成的人工样本训练判别器D,并更新判别器D以更好地区分真实样本和人工样本。每个训练周期的第二阶段训练分类器,将真实标签和生成的标签编码转化为one-hot编码形式,并分别使用真实数据和生成器生成的人工样本来计算分类器的损失。ECGAN使用了一种伪标记方法,该方法根据分类器C当前状态下最可能的类别来假设标签。仅当模型以高于特定阈值的概率预测样本的类别时,才会保留生成的生成样本和标签。鉴别器的损失函数定义为:
LD(x,z)=BCE(D(x),1)+BCE(D(G(z)),0)
其中BCE是二进制交叉熵,D是鉴别器,G是生成器,x是真实的标记数据,z是一个随机向量。生成器的损失函数定义为:
LG(z)=BCE(D(G(z)),1)
对于生成器,只需输入鉴别器的预测和标签1表示预测是正确的。这训练生成器学习生成更加逼真的数据。对于分类器,损失函数定义为:
LC(x,y,z)=CE(C(x),y)+λCE(C(G(z)),argmax(C(G(z)))>t)
式中,y是伪标签,λ是无监督损失权重(对抗性权重),CE是交叉熵损失,C是分类器,并且t是伪标签阈值。
基于输入的少数类攻击类样本以及输出的特定类型和数量的生成样本,采用构建的生成器G,鉴别器D,分类器C的损失函数对ECGAN网络模型进行预设次数的迭代训练,将迭代中损失函数的最小值所对应的网络参数保存下来,作为最佳数据生成网络模型。
加载所获得的最佳数据生成网络模型对训练数据集中的少数类攻击类样本进行数据生成,生成预设数量的少数类攻击类样本;
将所获得的预设类型和数量的攻击类样本与经过数据预处理的网络流量数据集中的训练数据集合并,构建最终训练数据集。
在一个实施例中,预设迭代次数为9000轮。
将最终训练数据集输入至预先建立的CNN-BiLSTM-Attention神经网络模型内,得到高维时空流量特征,将高维时空流量特征输入至预设的分类网络内,得到分类结果;
结合分类结果,采用损失函数Binary crossentropy作为评估标准、采用优化算法Adam作为优化器对预先建立的网络入侵检测模型进行训练,得到训练后的网络入侵检测模型,从而实现了网络入侵检测的功能。
在本实施例中,如图4所示,将最终训练数据集中网络流量样本的一维数值特征转换成二维数值特征输入CNN神经网络,提取网络流量样本的空间特征,再通过全连接层整合输入到BiLSTM网络提取网络流量样本的时间特征,最终输出提取到的高维时空流量特征;其中CNN神经网络由输入层、二维卷积层、池化层、全连接层、以及输出层组成,卷积层和池化层交替叠加的深层网络能够迭代提取更复杂的流量空间特征;BiLSTM神经网络是双向长短时记忆神经网络,是一种特殊的LSTM网络,由前向LSTM与后向LSTM组合而成,可以更好地捕捉双向的依赖关系,因此应用BiLSTM神经网络来提取最终训练数据集中网络流量样本的时间特征。
以CNN-BiLSTM网络提取的时空融合特征作为作为Attention机制的输入,Attention机制的计算过程可以分为两个过程:一是计算权重系数,二是加权求和。在过程1中,通过计算输入向量Key的值与查询向量F(Q,K)进行相似度计算得到注意力分数S,再利用softmax函数将注意力分数进行归一化处理,将其转换为概率分布形式,进而得到权重系数A;在过程2中,将归一化的注意力权重A与每个Value向量相乘,并将它们相加,以得到最终的注意力向量值。通过上述两个过程,可以获得针对Query向量的AttentionValue,从而实现对输入序列的有针对性的关注,最后,使用sigmoid函数作为激活函数进行二分类输出,输出各网络流量数据样本分别所对应的分类结果,检验所提网络入侵检测模型的性能。。
采用所述网络入侵检测模型,实现快速、高效、准确的网络入侵检测。
在一个实施例中,所述各模型均使用Adam优化器,ECGAN网络模型的生成器G和判别器D均使用Wasserstein损失函数,分类器C使用交叉熵损失函数,ECGAN网络模型的Dropout层的神经元丢弃率均设为0.3,tanh激活函数,CNN-BiLSTM-Attention神经网络中的CNN层和BiLSTM层均采用relu函数作为激活函数,输出层采用sigmoid函数作为激活函数。
在另一方面,如图5所示,为了达到上述目的,本发明公开了基于数据生成和注意力机制的网络入侵检测***,包括:
数据预处理模块:用于接收网络流量数据集,对网络流量数据集进行预处理,得到预处理网络流量数据集,其中,所述预处理网络流量数据集内有网络流量样本,所述网络流量样本包括正常流量样本和攻击类样本;
样本处理模块:用于将攻击类样本中的少数类攻击类样本输入至预先建立的ECGAN模型内,得到预设类型和预设数量的少数类攻击类样本,将得到的预设类型和预设数量的少数类攻击类样本与网络流量样本合并,得到最终训练数据集;
特征分类模块:用于将最终训练数据集输入至预先建立的CNN-BiLSTM-Attention神经网络模型内,得到高维时空流量特征,将高维时空流量特征输入至预设的分类网络内,得到分类结果;
模型训练模块:用于结合分类结果,采用损失函数Binary crossentropy作为评估标准、采用优化算法Adam作为优化器对预先建立的网络入侵检测模型进行训练,得到训练后的网络入侵检测模型,从而实现了网络入侵检测的功能。
此外,为了验证ECGAN模型和Attention机制对网络入侵检测的有效性,将各个模型在UNSW-NB15数据集上进行消融实验,结果如图6所示,从图中可以看出,相比与CNN模型、CNN-BiLSTM模型的分类预测性能更优。CNN-BiLSTM模型加入Attention机制后的准确率提高到了90.19%。在CNN-BiLSTM-Attention模型加入ECGAN模型生成的生成的人工异常流量样本训练后,模型的准确率进一步提高到了92.16%,实验证明ECGAN模型和Attention机制能够提升CNN-BiLSTM模型的对异常流量的检测能力。
将本文模型与朴素贝叶斯,逻辑回归,决策树,随机森林等模型进行对比,结果图7所示,以上模型中随机森林模型相对表现最佳,随机森林模型在准确率达到了86.16%,但仍然低于本发明的准确率:92.16%。可以看出本发明基于ECGAN模型和Attention机制的CNN-BiLSTM模型相对与其他模型在网络入侵检测更具有优势。
基于同一种发明构思,本发明还提供一种计算机设备,该计算机设备包括包括:一个或多个处理器,以及存储器,用于存储一个或多个计算机程序;程序包括程序指令,处理器用于执行存储器存储的程序指令。处理器可能是中央处理单元(Central ProcessingUnit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor、DSP)、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,其是终端的计算核心以及控制核心,其用于实现一条或一条以上指令,具体用于加载并执行计算机存储介质内一条或一条以上指令从而实现上述方法。
需要进一步进行说明的是,基于同一种发明构思,本发明还提供一种计算机存储介质,该存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述方法。该存储介质可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电、磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本公开的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上显示和描述了本公开的基本原理、主要特征和本公开的优点。本行业的技术人员应该了解,本公开不受上述实施例的限制,上述实施例和说明书中描述的只是说明本公开的原理,在不脱离本公开精神和范围的前提下,本公开还会有各种变化和改进,这些变化和改进都落入要求保护的本公开范围内容。
Claims (10)
1.基于数据生成和注意力机制的网络入侵检测方法,其特征在于,方法包括以下步骤:
接收网络流量数据集,对网络流量数据集进行预处理,得到预处理网络流量数据集,其中,所述预处理网络流量数据集内有网络流量样本,所述网络流量样本包括正常流量样本和攻击类样本;
将攻击类样本中的少数类攻击类样本输入至预先建立的ECGAN模型内,得到预设类型和预设数量的少数类攻击类样本,将得到的预设类型和预设数量的少数类攻击类样本与网络流量样本合并,得到最终训练数据集;
将最终训练数据集输入至预先建立的CNN-BiLSTM-Attention神经网络模型内,得到高维时空流量特征,将高维时空流量特征输入至预设的分类网络内,得到分类结果;
结合分类结果,采用损失函数Binary crossentropy作为评估标准、采用优化算法Adam作为优化器对预先建立的网络入侵检测模型进行训练,得到训练后的网络入侵检测模型,从而实现了网络入侵检测的功能。
2.根据权利要求1所述的基于数据生成和注意力机制的网络入侵检测方法,其特征在于,所述对网络流量数据集进行预处理的过程包括:
对网络流量数据集进行标准化和异常值处理:采用独热编码将符号特征转换成数值特征表示;对经过标准化和异常值处理后的网络流量数据集进行Min-Max Scaling将数值归一化到0到1之间。
3.根据权利要求2所述的基于数据生成和注意力机制的网络入侵检测方法,其特征在于,所述网络流量数据集包括训练数据集、测试数据集,其中训练数据集和测试数据集中的网络流量样本包括正常流量样本、攻击类样本,且所述将攻击类样本中的少数类攻击类样本输入至预先建立的ECGAN模型内采用的是训练数据集内的少数类攻击类样本。
4.根据权利要求3所述的基于数据生成和注意力机制的网络入侵检测方法,其特征在于,所述网络流量数据集包含的特征类型为数值特征和符号特征,对网络流量数据集进行标准化处理,基于独热编码方法将符号特征转换成数值特征表示:
基于Min-Max Scaling方法,根据以下公式对经过标准化处理后的网络流量数据集进行归一化处理:
式中,x为网络流量数据集中其中一个数值特征对应的数据,xmax为数值特征对应数据中的最大值,xmin为数值特征对应数据中的最小值,x*表示归一化后的数值特征对应数据。
5.根据权利要求1所述的基于数据生成和注意力机制的网络入侵检测方法,其特征在于,所述ECGAN模型包括生成器G,鉴别器D和分类器C。
6.根据权利要求5所述的基于数据生成和注意力机制的网络入侵检测方法,其特征在于,所述鉴别器的损失函数定义为:
LD(x,z)=BCE(D(x),1)+BCE(D(G(z)),0)
其中BCE是二进制交叉熵,D是鉴别器,G是生成器,x是真实的标记数据,z是一个随机向量;
所述生成器的损失函数定义为:
LG(z)=BCE(D(G(z)),1)
对于生成器,只需输入鉴别器的预测和标签1表示预测是正确的;
对于分类器,损失函数定义为:
LC(x,y,z)=CE(C(x),y)+λCE(C(G(z)),argmax(C(G(z)))>t)
y是伪标签,λ是无监督损失权重,CE是交叉熵损失,C是分类器,并且t是伪标签阈值。
7.根据权利要求1所述的基于数据生成和注意力机制的网络入侵检测方法,其特征在于,所述将攻击类样本中的少数类攻击类样本输入至预先建立的ECGAN模型内,得到预设类型和预设数量的少数类攻击类样本的过程为:
采用生成器G,鉴别器D,分类器C的损失函数对ECGAN网络模型进行预设次数的迭代训练,将迭代中损失函数的最小值所对应的网络参数保存下来,作为最佳数据生成网络模型;
利用最佳数据生成网络模型对攻击类样本中的少数类攻击类样本进行数据生成,得到预设类型和预设数量的少数类攻击类样本。
8.根据权利要求1所述的基于数据生成和注意力机制的网络入侵检测方法,其特征在于,所述最终训练数据集中网络流量样本的一维数值特征转换成二维数值特征输入CNN神经网络,提取网络流量样本的空间特征,再通过全连接层整合输入到BiLSTM网络提取网络流量样本的时间特征,最终输出提取到的高维时空流量特征;
将最终训练数据集中的网络流量样本的数值特征输入Attention网络,获得训练数据集中的网络流量样本的时空融合特征进行注意力加权,得到加权结果的输出,最后,使用sigmoid函数作为激活函数进行二分类输出,输出各网络流量数据样本分别所对应的分类结果。
9.基于数据生成和注意力机制的网络入侵检测***,其特征在于,包括:
数据预处理模块:用于接收网络流量数据集,对网络流量数据集进行预处理,得到预处理网络流量数据集,其中,所述预处理网络流量数据集内有网络流量样本,所述网络流量样本包括正常流量样本和攻击类样本;
样本处理模块:用于将攻击类样本中的少数类攻击类样本输入至预先建立的ECGAN模型内,得到预设类型和预设数量的少数类攻击类样本,将得到的预设类型和预设数量的少数类攻击类样本与网络流量样本合并,得到最终训练数据集;
特征分类模块:用于将最终训练数据集输入至预先建立的CNN-BiLSTM-Attention神经网络模型内,得到高维时空流量特征,将高维时空流量特征输入至预设的分类网络内,得到分类结果;
模型训练模块:用于结合分类结果,采用损失函数Binary crossentropy作为评估标准、采用优化算法Adam作为优化器对预先建立的网络入侵检测模型进行训练,得到训练后的网络入侵检测模型,从而实现了网络入侵检测的功能。
10.一种设备,其特征在于,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当一个或多个所述程序被一个或多个所述处理器执行,使得一个或多个所述处理器实现如权利要求1-8中任一所述的基于数据生成和注意力机制的网络入侵检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311150569.1A CN117081831A (zh) | 2023-09-07 | 2023-09-07 | 基于数据生成和注意力机制的网络入侵检测方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311150569.1A CN117081831A (zh) | 2023-09-07 | 2023-09-07 | 基于数据生成和注意力机制的网络入侵检测方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117081831A true CN117081831A (zh) | 2023-11-17 |
Family
ID=88715362
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311150569.1A Pending CN117081831A (zh) | 2023-09-07 | 2023-09-07 | 基于数据生成和注意力机制的网络入侵检测方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117081831A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117527451A (zh) * | 2024-01-08 | 2024-02-06 | 国网江苏省电力有限公司苏州供电分公司 | 一种网络入侵检测方法、装置、电子设备及存储介质 |
| CN117527449A (zh) * | 2024-01-05 | 2024-02-06 | 之江实验室 | 一种入侵检测方法、装置、电子设备以及存储介质 |
| CN118101274A (zh) * | 2024-02-27 | 2024-05-28 | 中国铁道科学研究院集团有限公司 | 网络入侵检测模型的构建方法、装置、设备及介质 |
| CN118137277A (zh) * | 2024-05-06 | 2024-06-04 | 南京信息工程大学 | 一种基于深度学习的快速自动锁模方法、***和设备 |
-
2023
- 2023-09-07 CN CN202311150569.1A patent/CN117081831A/zh active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117527449A (zh) * | 2024-01-05 | 2024-02-06 | 之江实验室 | 一种入侵检测方法、装置、电子设备以及存储介质 |
| CN117527451A (zh) * | 2024-01-08 | 2024-02-06 | 国网江苏省电力有限公司苏州供电分公司 | 一种网络入侵检测方法、装置、电子设备及存储介质 |
| CN117527451B (zh) * | 2024-01-08 | 2024-04-02 | 国网江苏省电力有限公司苏州供电分公司 | 一种网络入侵检测方法、装置、电子设备及存储介质 |
| CN118101274A (zh) * | 2024-02-27 | 2024-05-28 | 中国铁道科学研究院集团有限公司 | 网络入侵检测模型的构建方法、装置、设备及介质 |
| CN118137277A (zh) * | 2024-05-06 | 2024-06-04 | 南京信息工程大学 | 一种基于深度学习的快速自动锁模方法、***和设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Jiang et al. | Network intrusion detection combined hybrid sampling with deep hierarchical network | |
| CN117081831A (zh) | 基于数据生成和注意力机制的网络入侵检测方法及*** | |
| Zhang et al. | Self-supervised learning for time series analysis: Taxonomy, progress, and prospects | |
| Chen et al. | An efficient network behavior anomaly detection using a hybrid DBN-LSTM network | |
| Lim et al. | Efficient-prototypicalnet with self knowledge distillation for few-shot learning | |
| Yang et al. | Application of meta-learning in cyberspace security: A survey | |
| Bohani et al. | A comprehensive analysis of supervised learning techniques for electricity theft detection | |
| Ra et al. | DeepAnti-PhishNet: Applying deep neural networks for phishing email detection | |
| CN113595998A (zh) | 基于Bi-LSTM的电网信息***漏洞攻击检测方法及装置 | |
| Chethana et al. | Analysis of Credit Card Fraud Data Using Various Machine Learning Methods | |
| Huang | Network Intrusion Detection Based on an Improved Long‐Short‐Term Memory Model in Combination with Multiple Spatiotemporal Structures | |
| Said et al. | AI-based solar energy forecasting for smart grid integration | |
| Lu et al. | Self‐supervised domain adaptation for cross‐domain fault diagnosis | |
| Huang et al. | SOPA‐GA‐CNN: Synchronous optimisation of parameters and architectures by genetic algorithms with convolutional neural network blocks for securing Industrial Internet‐of‐Things | |
| Li et al. | Adadebunk: An efficient and reliable deep state space model for adaptive fake news early detection | |
| Ding et al. | A deep learning‐based classification scheme for cyber‐attack detection in power system | |
| CN117729003A (zh) | 基于机器学习的威胁情报可信分析***及方法 | |
| Zhao et al. | IoT intrusion detection model based on gated recurrent unit and residual network | |
| Yu et al. | Efficient Classification of Malicious URLs: M-BERT-A Modified BERT Variant for Enhanced Semantic Understanding | |
| Jiang et al. | PruneFaceDet: Pruning lightweight face detection network by sparsity training | |
| Khetarpal et al. | Power quality disturbance signal segmentation and classification based on modified BI‐LSTM with double attention mechanism | |
| CN113469816A (zh) | 基于多组学技术的数字货币识别方法、***和存储介质 | |
| Reddy et al. | Evaluation of Recurrent Neural Networks for Detecting Injections in API Requests | |
| Patidar et al. | Leveraging LSTM-RNN combined with SVM for Network Intrusion Detection | |
| De Peng et al. | Industrial intrusion detection technology based on one-dimensional multi-scale residual network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |