基于流量特征融合的网络入侵检测方法及系统技术方案

本发明专利技术公开了基于流量特征融合的网络入侵检测方法及系统，包括：获取待检测的网络流量数据；对网络流量数据进行预处理；将预处理后的网络流量数据，输入到训练后的网络入侵检测模型中，得到网络入侵检测结果；其中，所述训练后的网络入侵检测模型，包括：对预处理后的网络流量数据分别进行特征提取，得到第一特征数据和第二特征数据；对提取的第一特征数据和第二特征数据，进行特征融合，得到融合特征；将融合特征进行分类，得到分类结果。得到分类结果。得到分类结果。

【技术实现步骤摘要】
基于流量特征融合的网络入侵检测方法及系统


[0001]本专利技术涉及网络入侵检测
，特别是涉及基于流量特征融合的网络入侵检测方法及系统。

技术介绍

[0002]本部分的陈述仅仅是提到了与本专利技术相关的
技术介绍
，并不必然构成现有技术。
[0003]当今社会，随着科学技术的进步，互联网的发展日益深入人们的生活和劳动生产中。但是，随着网络的发展，其环境也日益复杂，各种网络攻击方式也接踵而至，攻击方式的多样化以及攻击频率的高发性，导致全球网络安全泄露事件日趋频繁，严重危害个人、企业以及国家的信息安全。入侵检测技术作为网络流量能够安全传播的主动安全防御技术之一，在当今网络安全方面有着重要的地位。基于传统机器学习的入侵检测模型在准确率上取得的效果并不理想，以及有着较高的误报率，并且，随着互联网的发展，当今的网络流量日益庞大，而且入侵数据变得更加海量和复杂，入侵检测模型的运行中需要对大量的流量数据进行处理和特征提取，而传统的机器学习在该方面并不能很好地处理。
[0004]随着超算的兴起，近年来计算机的计算能力得到了极大地提高，深度学习也被广泛应用。并以卷积神经网络(Convolutional Neural Network,CNN)为代表的深度学习在学术界得到广泛的关注，其突出的特点是不需要人工干预的深层特征提取能力。因此研究人员提出了各种基于深度学习的入侵检测模型，例如自编码器和卷积神经网络等等，但是这些模型还存在着部分问题需要解决。比如，模型结构单一，难以提取各种数据类型的特征，如基于CNN(卷积神经网络)的入侵检测模型在提取空间特征方面效果很好，CNN(卷积神经网络)算法具有自动提取特征、参数共享、系数连接、平移不变性等优点，但也需要将数据集归一化，忽视了特征间的长期依赖关系，且不能一次提取全局特征等缺点。以及基于TVAE的入侵检测模型在特征重构方面效果不错，但是对时序特征的重构能力还不足。

技术实现思路

[0005]为了解决现有技术的不足，本专利技术提供了基于流量特征融合的网络入侵检测方法及系统；
[0006]第一方面，本专利技术提供了基于流量特征融合的网络入侵检测方法；
[0007]基于流量特征融合的网络入侵检测方法，包括：
[0008]获取待检测的网络流量数据；
[0009]对网络流量数据进行预处理；
[0010]将预处理后的网络流量数据，输入到训练后的网络入侵检测模型中，得到网络入侵检测结果；其中，所述训练后的网络入侵检测模型，包括：对预处理后的网络流量数据分别进行特征提取，得到第一特征数据和第二特征数据；对提取的第一特征数据和第二特征数据，进行特征融合，得到融合特征；将融合特征进行分类，得到分类结果。
[0011]第二方面，本专利技术提供了基于流量特征融合的网络入侵检测系统；
[0012]基于流量特征融合的网络入侵检测系统，包括：
[0013]获取模块，其被配置为：获取待检测的网络流量数据；
[0014]预处理模块，其被配置为：对网络流量数据进行预处理；
[0015]输出模块，其被配置为：将预处理后的网络流量数据，输入到训练后的网络入侵检测模型中，得到网络入侵检测结果；其中，所述训练后的网络入侵检测模型，包括：对预处理后的网络流量数据分别进行特征提取，得到第一特征数据和第二特征数据；对提取的第一特征数据和第二特征数据，进行特征融合，得到融合特征；将融合特征进行分类，得到分类结果。
[0016]第三方面，本专利技术还提供了一种电子设备，包括：
[0017]存储器，用于非暂时性存储计算机可读指令；以及
[0018]处理器，用于运行所述计算机可读指令，
[0019]其中，所述计算机可读指令被所述处理器运行时，执行上述第一方面所述的方法。
[0020]第四方面，本专利技术还提供了一种存储介质，非暂时性地存储计算机可读指令，其中，当非暂时性计算机可读指令由计算机执行时，执行第一方面所述方法的指令。
[0021]第五方面，本专利技术还提供了一种计算机程序产品，包括计算机程序，所述计算机程序当在一个或多个处理器上运行的时候用于实现上述第一方面所述的方法。
[0022]与现有技术相比，本专利技术的有益效果是：
[0023](1)基于TVAE神经网络模型对网络流量数据进行数据重构、去噪的同时，加入BiGRU神经网络模型，可以提高其对时序特征上下时刻的特征重构能力。
[0024](2)基于一维卷积神经网络模型和BiGRU神经网络模型，对其进行结构重组，并加入残差网络结构，可以在提取网络流量数据的空间特征和时间特征的同时，有效的加快收敛和防止梯度爆炸。
[0025](3)使用多头注意力机制，对融合后的数据进行重要性提取，可以有效地利用数据的特征属性，提高检测的准确率。
[0026](4)构建D1CNN
‑
BiGRU
‑
TVAE神经网络模型，利用TVAE对数据去噪的同时，提取网络流量数据的空间特征和时间特征，进行特征融合，从而进行网络安全检测，准确率高于单独使用D1CNN神经网络模型、BiGRU神经网络模型以及TVAE神经网络模型，有效的提高了网络攻击的检测算法的准确率。
[0027](5)为解决TVAE模型不能很好地处理时序特征的缺点，将TVAE中的VAE编码器输入层和解码器输出层以及AE的解码器输出层神经单元替换为BiGRU门控循环单元，来提高其对时序特征数据的重构能力。
[0028](6)为解决同时提取空间特征与时序特征的能力，并快速收敛。通过串联一维CNN与BiGRU，并加入残差网络结构，在提高模型对流量数据的空间与时序特征的提取能力，同时加快了收敛和防止梯度爆炸。
[0029](7)通过对融合后的数据加入多头注意力机制，对不同的特征类型赋予不同的权重，可以更好地捕捉全局特征与局部特征之间的关系；最后，通过随机森林算法对模型输出进行十分类检测。该专利技术更好地对各种数据类型的特征进行全面的提取，可提高整体网络的特征表示能力。
附图说明
[0030]构成本专利技术的一部分的说明书附图用来提供对本专利技术的进一步理解，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。
[0031]图1为模型整体流程图；
[0032]图2为BiGRU
‑
TVAE模型的流程图；
[0033]图3为D1CNN
‑
BiGRU残差模型的流程图；
[0034]图4为现有技术中的双变分自动编码器TVAE结构图；
[0035]图5为现有技术中的变分自动编码器VAE结构图；
[0036]图6为现有技术中的自动编码器AE结构图。
具体实施方式
[0037]应该指出，以下详细说明都是示例性的，旨在对本专利技术提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本专利技术所属
的普通技术人员通常理解的相同含义。
[0038]需要注意的是本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于流量特征融合的网络入侵检测方法，其特征是，包括：获取待检测的网络流量数据；对网络流量数据进行预处理；将预处理后的网络流量数据，输入到训练后的网络入侵检测模型中，得到网络入侵检测结果；其中，所述训练后的网络入侵检测模型，包括：对预处理后的网络流量数据分别进行特征提取，得到第一特征数据和第二特征数据；对提取的第一特征数据和第二特征数据，进行特征融合，得到融合特征；将融合特征进行分类，得到分类结果。2.如权利要求1所述的基于流量特征融合的网络入侵检测方法，其特征是，所述训练后的网络入侵检测模型，其网络结构包括：并联的BiGRU
‑
TVAE模型和D1CNN
‑
BiGRU残差模型；所述BiGRU
‑
TVAE模型的输入端用于输入预处理后的网络流量数据，所述BiGRU
‑
TVAE模型的输出端与数据融合模块的输入端连接；所述D1CNN
‑
BiGRU残差模型的输入端用于输入预处理后的网络流量数据，所述D1CNN
‑
BiGRU残差模型的输出端与数据融合模块的输入端连接；数据融合模块的输出端与多头注意力机制模块的输入端连接，多头注意力机制模块的输出端与随机森林算法模块的输入端连接，随机森林算法模块的输出端用于输出网络入侵检测分类结果。3.如权利要求2所述的基于流量特征融合的网络入侵检测方法，其特征是，所述BiGRU
‑
TVAE模型，网络结构包括：依次连接的变分自动编码器VAE的编码器、线性激活层、变分自动编码器VAE的解码器和自动编码器AE的解码器；其中，变分自动编码器VAE的编码器的输入层神经单元、变分自动编码器VAE的解码器的输出层神经单元和自动编码器AE的解码器输出层神经单元，均替换为门控循环单元BiGRU。4.如权利要求3所述的基于流量特征融合的网络入侵检测方法，其特征是，所述BiGRU
‑
TVAE模型，工作过程包括：变分自动编码器VAE的编码器的门控循环单元BiGRU对网络流量数据的时序特征进行捕捉，线性激活层对时序特征进行处理，输出时序特征的均值和方差，然后对均值和方差进行重参数化操作，对点向量的隐变量分布进行估计；变分自动编码器VAE的解码器的门控循环单元BiGRU，根据点向量的隐变量分布，对数据集的输入数据进行时序性重构；自动编码器AE的解码器的门控循环单元BiGRU，对时序性重构结果进行解码，得到重构向量。5.如权利要求2所述的基于流量特征融合的网络入侵检测方法，其特征是，所述D1CNN
‑
...

【专利技术属性】
技术研发人员：张亿林，董火民，吴晓明，刘祥志，
申请(专利权)人：齐鲁工业大学山东省科学院山东省科创集团有限公司，
类型：发明
国别省市：