【技术实现步骤摘要】
本专利技术涉及网络安全检测技术,具体是一种网络入侵检测方法、终端设备及存储介质。
技术介绍
1、传统的入侵检测技术无法应对日益复杂的网络攻击模式,传统的基于签名的入侵检测系统严重依赖于匹配已知的攻击模式,无法检测未知的攻击模式;传统的基于异常的入侵检测系统则存在着假阳性率高、系统资源消耗大等问题;虽然混合的入侵检测系统通过结合以上两种模式具备了二者的优点,但是仍然存在实时性差、复杂度高的问题。基于机器学习的检测方法可以在一定程度上应对日益复杂的网络攻击模式,自动学习流量中复杂的攻击模式,然而仍然无法避免人工提取特征带来的局限。随着深度学习的发展,深度学习方法被用于网络入侵检测,以自动进行特征提取。尽管一些深度学习模型已经被应用于网络入侵检测领域,并取得了一定的效果,但是由于数据集中冗余特征的存在,容易导致模型过拟合错误数据导致模型泛化能力不佳。另外,传统的网络结构存在梯度消失等局限性。
技术实现思路
1、本专利技术所要解决的技术问题是,针对现有技术不足,提供一种网络入侵检测方法、终端设备及存储介质,提高入侵检测精度。
2、为解决上述技术问题,本专利技术所采用的技术方案是:一种网络入侵检测方法,包括以下步骤:
3、s1、对入侵检测数据集进行预处理,得到预处理后的数据集;
4、s2、利用预处理后的数据集构建训练集,将所述训练集作为lightgbm模型的输入,训练所述lightgbm模型,得到每个特征的重要性分数,选择大于设定阈值的重要性分数对应的特征
5、s3、将所述特征集作为入侵检测网络的输入,训练所述入侵检测网络,得到入侵检测模型;其中,所述入侵检测网络包括双通道残差卷积模块,所述双通道残差卷积模块与残差ba模块连接;所述双通道残差卷积模块包括依次连接的第一卷积层、第一最大池化层、第一批归一化层,所述第一批归一化层接第二卷积层、第三卷积层,所述第二卷积层后依次接第二批归一化层、第四卷积层、第二最大池化层、第三批归一化层,所述第三卷积层接第三最大池化层;所述第三批归一化层和第三最大池化层的输出拼接后作为残差ba模块的输入。
6、本专利技术基于lightgbm的特征选择方法来计算特征的重要性,根据重要性分数进行特征筛选,提高了ids(入侵检测系统,intrusion detection system)的可解释性,实验验证表明,本专利技术的方法显著提高了入侵检测精度。本专利技术通过增强的卷积网络,进行了双通道卷积特征提取,并利用残差连接,以确保模型的精度随着深度的增加而提高。本专利技术的双通道设计有效解决了梯度消失问题,优化了特征融合机制,提升模型的泛化能力。
7、步骤s1的具体实现过程包括:
8、对入侵检测数据集中的类别型特征字段进行独热编码,得到数值型特征字段;
9、对所述数值型特征字段进行归一化,得到预处理后的数据集。
10、对于数据集中的类别型特征字段,本专利技术通过独热编码将其转换为数值型,以便作为网络模型的输入。不同特征之间的量纲差距很大,本专利技术采用归一化技术将特征值的范围转换为标准化区间,从而减少量纲差距带来的影响。
11、所述残差ba模块包括依次连接的bigru层和自注意力层,所述bigru层的输出与所述自注意力层的输出拼接。针对普通自注意力模块在处理长序列时面临的计算复杂度高、难以捕捉深层次依赖关系的问题,设计了残差ba模块,通过引入残差连接,模型更易于学习输入与输出之间的残差,增强了模型捕捉深层次特征和依赖关系的能力。
12、所述bigru层包括级联的正向gru和反向gru。
13、训练所述入侵检测网络时,优化所述入侵检测网络参数的过程包括:
14、1)定义入侵检测网络参数集合p={p1,p2,...,pn},其中每个参数pi的定义域为di;n为入侵检测网络参数个数;初始化迭代次数t为0;
15、2)初始化种群g0={g1,g2,...gn},每个个体gi∈g0,每个个体是参数集合的p中元素的一种组合;
16、3)对第t次迭代的种群gt中的每个个体gi计算适应度f(gi),根据适应度f(gi),使用轮盘赌算法从种群gt中选择个体进行繁殖,生成种群子集
17、4)从gt'中选择父母个体g1,g2,通过交叉算子生成后代g3;
18、5)对g3应用变异算子,随机改变其某些参数;
19、6)使用生成的后代g3替换或补充原种群gt,形成新一代种群gt+1;
20、7)t的值加1,重复步骤3)~6),直至达到最大迭代次数,获得最终种群;
21、8)从最终种群中选择适应度最高的个体g*作为最优解。
22、本专利技术对网络结构参数进行了优化,使用遗传算法ga确定了网络的最优参数组合。通过ga确定最优参数组合可以自动确定最优的参数组合,免除了人工调参逐个尝试的麻烦,提高了参数优化的效率和可靠性。
23、作为一个专利技术构思,本专利技术还提供了一种终端设备,包括存储器、处理器及存储在存储器上的计算机程序;所述处理器执行所述计算机程序,以实现上述方法的步骤。
24、作为一个专利技术构思,本专利技术还提供了一种计算机可读存储介质,其上存储有计算机程序/指令;其特征在于,所述计算机程序/指令被处理器执行时实现上述方法的步骤。
25、作为一个专利技术构思,本专利技术还提供了一种计算机程序产品,包括计算机程序/指令;该计算机程序/指令被处理器执行时实现上述方法的步骤。
26、与现有技术相比,本专利技术所具有的有益效果为:
27、1、本专利技术提出了一种基于lightgbm的特征选择方法,通过计算特征重要性,设定阈值进行特征筛选,保证了模型的可解释性。并且通过实验验证了与其他特征选择方法相比,本专利技术的方法显著提高了模型的精度。
28、2.本专利技术提出了一种新的深度学习模型作为异常流量检测的分类器。在该模型中,设计了一种新的双通道残差卷积模块,通过双通道设计有效解决了梯度消失问题,优化了特征融合机制,提升模型的泛化能力。此外,针对普通自注意力模块在处理长序列时面临的计算复杂度高、难以捕捉深层次依赖关系的问题,设计了残差ba模块,通过引入残差连接,模型更易于学习输入与输出之间的残差,增强了模型捕捉深层次特征和依赖关系的能力。
29、3、本专利技术对完整的网络结构参数进行了优化,使用遗传算法ga确定了网络的最优参数组合。
30、4.本专利技术使用网络入侵检测基准数据集nsl-kdd验证了该模型的性能。实验结果证明了该模型的有效性。本专利技术的模型在nsl-kdd数据集上的准确率达到99.31%,误报率极低,仅0.22%。综合性能优于现有的先进工作,达到了最先进的水平。
本文档来自技高网...【技术保护点】
1.一种网络入侵检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的网络入侵检测方法,其特征在于,步骤S1的具体实现过程包括:
3.根据权利要求1所述的网络入侵检测方法,其特征在于,所述残差BA模块包括依次连接的BiGRU层和自注意力层,所述BiGRU层的输出与所述自注意力层的输出拼接。
4.根据权利要求3所述的网络入侵检测方法,其特征在于,所述BiGRU层包括级联的正向GRU和反向GRU。
5.根据权利要求1所述的网络入侵检测方法,其特征在于,训练所述入侵检测网络时,优化所述入侵检测网络参数的过程包括:
6.一种终端设备,包括存储器、处理器及存储在存储器上的计算机程序;其特征在于,所述处理器执行所述计算机程序,以实现上述权利要求1~5之一所述方法的步骤。
7.一种计算机可读存储介质,其上存储有计算机程序/指令;其特征在于,所述计算机程序/指令被处理器执行时实现上述权利要求1~5之一所述方法的步骤。
8.一种计算机程序产品,包括计算机程序/指令;其特征在于,该计算机程序/指令被处理器执行
...【技术特征摘要】
1.一种网络入侵检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的网络入侵检测方法,其特征在于,步骤s1的具体实现过程包括:
3.根据权利要求1所述的网络入侵检测方法,其特征在于,所述残差ba模块包括依次连接的bigru层和自注意力层,所述bigru层的输出与所述自注意力层的输出拼接。
4.根据权利要求3所述的网络入侵检测方法,其特征在于,所述bigru层包括级联的正向gru和反向gru。
5.根据权利要求1所述的网络入侵检测方法,其特征在于,训练所述入...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。