本发明专利技术公开了一种云平台网络入侵检测方法,所述方法包括采集网络入侵数据,并对所述数据进行标注,得到训练集;对所述训练集的数据进行预处理,所述预处理包括冗余样本去除和不平衡处理;将预处理后的数据输入训练好的卷积神经网络进行特征提取;将提取的特征输入至分类器进行二分类得到分类结果。本发明专利技术同时获取深度特征及时间特征并通过注意力机制增强空间特征,能够提高检测精度,具有较高的鲁棒性和泛化能力。性和泛化能力。性和泛化能力。
【技术实现步骤摘要】
一种云平台网络入侵检测方法
[0001]本专利技术涉及网络入侵检测领域,尤其涉及一种云平台网络入侵检测方法。
技术介绍
[0002]随着网络攻击手段的不断提升,基于浅层模型的网络入侵检测系统很难对复杂情况下的网络流量进行有效识别。因此,网络入侵检测模型结构的优化已成为当前安全研究领域的研究热点。传统的入侵检测方法主要包括统计分析方法、阅值分析方法、特征分析方法等。这些异常检测方法虽然能够对恶意流量进行识别,但只是对已经发现的恶意流量行为的总结,并不能适应当前互联网的海量数据和多变的网络攻击方式。深度学习能够直接从原始数据中提取特征,已逐渐被用于网络入侵检测任务中。
[0003]中国专利公开号第CN112839034A号提出一种基于CNN
‑
GRU分层神经网络的网络入侵检测方法,通过Wireshark软件抓取网络流量数据包,即待分类数据包;对待分类数据包进行标记、预处理、数据清洗,得到样本全集;将样本全集划分为训练集和测试集,通过训练集建立CNN
‑
GRU分层神经网络分类模型;将测试集的数据传入模型中,模型根据训练得到的参数对输入的数据进行预测,对未知的网络流量进行分类判断其是否为攻击流量。
[0004]中国专利公开号第CN111970259A号提出一种基于深度学习的网络入侵检测方法,主要通过对入侵检测数据集进行归一化处理、可视化图像转换处理和滤波处理,并且构建和优化训练关于多层卷积和深度置信网络相结合的模型,并基于该模型进行测试,以获得相应的网络入侵检测结果;可见,该基于深度学习的网络入侵检测方法能够有效地解决现有技术直接在KDDCUP99数据集上应用入侵检测算法时,检测速度慢和准确率低下的问题。但是现有网络入侵检测方法获取特征单一,检测精度有待提升,算法泛化能力和鲁棒性有待进一步增强。
技术实现思路
[0005]针对上述技术问题,本专利技术提供了一种云平台网络入侵检测方法。
[0006]在本专利技术的第一实施例中提供一种云平台网络入侵检测方法,所述方法包括:采集网络入侵数据,并对所述数据进行标注,得到训练集;对所述训练集的数据进行预处理,所述预处理包括冗余样本去除和不平衡处理,将预处理后的数据输入训练好的卷积神经网络进行特征提取;所述将预处理后的数据输入训练好的卷积神经网络进行特征提取的步骤包括:利用卷积神经网络CNN获取深度特征,利用循环神经网络LSTM获取时间特征;利用神经网络融合深度特征和时间特征;通过自注意力机制进行空间特征增强;所述自注意力机制通过下面的公式来计算矩阵输出;;上述公式中,Q表示一组查询向量矩,K表示一组键向量矩阵,d
k
表示keys的维度,V表示特征的向量矩阵将提取的特征输入至分类器进行二分类得到分类结果。
[0007]其中,所述不平衡处理包括:计算由网络入侵数据组成的数据集的不平衡率;对少数类的样本数据进行采样,将采样得到的样本数据与少数类初始的样本进行合并得到合成的新样本总数;根据欧氏距离计算少数类样本x
i
的K个近邻样本x
ij
,并计算每个少数类样本的γ
i
;对样本数据进行归一化处理;计算每个少数类样本合成的样本数量;生成新的样本,并将生成新的样本加入原有样本中组成平衡的数据集。
[0008]可选地,所述网络入侵数据为网络流量特征数据,所述网络流量特征数据至少包括平台标识特征,数据包特征和操作特征。
[0009]可选地,所述卷积神经网络CNN包括输入层、卷积层、池化层和输出层,卷积层在训练时通过学习卷积核的权重提取特征,池化层用于保留有用特征,舍去多余无用特征。
[0010]可选地,所述分类器为Sigmoid分类器。
[0011]可选地,所述神经网络的输入层神经元数量与深度特征和时间特征的总数相等。
[0012]可选地,所述神经网络的输出层神经元数量为100个。
[0013]本专利技术第二实施例提供一种云平台网络入侵检测系统,包括:数据获取模块,获取网络入侵数据,并对所述数据进行标注,得到训练集;数据处理模块,对所述训练集的数据进行预处理,所述预处理包括冗余样本去除和不平衡处理;特征提取模块,将预处理后的数据输入训练好的卷积神经网络进行特征提取,其包括自注意力机制模块,用于进行空间特征增强;数据分析模块,将提取的特征输入至分类器进行二分类得到分类结果。
[0014]本专利技术第三实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令被一个或多个处理器执行时,可使得所述一个或多个处理器执行上述任一项所述的云平台网络入侵检测方法。
[0015]本专利技术提供的技术方案中,采集网络入侵数据,并进行标注,得到训练集,对训练集的数据进行冗余样本去除和不平衡处理;将处理后的数据输入训练好的卷积神经网络进行特征提取,将提取的特征输入至分类器进行二分类得到分类结果。本专利技术同时获取深度特征及时间特征并通过注意力机制增强空间特征,能够提高检测精度,具有较高的鲁棒性和泛化能力。
附图说明
[0016]为了更清楚地说明本专利技术实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
[0017]图1为本专利技术云平台网络入侵检测方法的流程示意图;图2为本专利技术云平台网络入侵检测方法的不平衡处理的方法流程示意图;图3为本专利技术云平台网络入侵检测方法的特征提取的方法流程示意图。
具体实施方式
[0018]下面将结合专利技术实施例中的附图,对专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是专利技术一部分实施例,而不是全部的实施例。基于专利技术中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属
于专利技术保护的范围。
[0019]本专利技术提供一种云平台网络入侵检测方法,请参考图1所示,所述方法包括如下步骤:步骤S10,采集网络入侵数据,并对所述数据进行标注,得到训练集。
[0020]所述网络入侵数据为网络流量特征数据,网络流量特征数据由反映网络通信行为的一系列指标构成,是云平台网络入侵检测的基础。本专利技术中,提出采集涵盖云平台标识特征、数据包特征、操作特征的网络流量特征数据,并对数据进行标注,作为训练集,用于模型训练。
[0021]步骤S20,对训练集的数据进行预处理,预处理包括冗余样本去除和不平衡处理。
[0022]对训练集的数据进行冗余样本去除,提高数据质量。同时,对数据进行样本扩充和不平衡处理。
[0023]在云平台网络入侵检测中,由于样本各类别数据间的数量差异较大,容易使模型对某一或某些样本的判别具有倾向性,因此需进行样本数据不平衡处理。请参考图2所示,所述不平衡处理步骤如下:步骤S21,计算由网络入侵数据组成的数据本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种云平台网络入侵检测方法,其特征在于,所述方法包括:步骤S10,采集网络入侵数据,并对所述数据进行标注,得到训练集;步骤S20,对所述训练集的数据进行预处理,所述预处理包括冗余样本去除和不平衡处理,步骤S30,将预处理后的数据输入训练好的卷积神经网络进行特征提取;其包括:步骤S31,利用卷积神经网络CNN获取深度特征,利用循环神经网络LSTM获取时间特征;步骤S32,利用神经网络融合深度特征和时间特征;步骤S33,通过自注意力机制进行空间特征增强;所述自注意力机制通过下面的公式来计算矩阵输出;;上述公式中,Q表示一组查询向量矩,K表示一组键向量矩阵,d
k
表示keys的维度,V表示特征的向量矩阵;步骤S40,将提取的特征输入至分类器进行二分类得到分类结果。2.根据权利要求1所述的云平台网络入侵检测方法,其特征在于,所述网络入侵数据为网络流量特征数据,所述网络流量特征数据至少包括平台标识特征,数据包特征和操作特征。3.根据权利要求1所述的云平台网络入侵检测方法,其特征在于,所述不平衡处理包括:计算由网络入...
【专利技术属性】
技术研发人员:韩平军,
申请(专利权)人:江苏网进科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。