[发明专利]一种基于堆叠自编码器的网络入侵检测方法

说明书

本发明涉及一种基于堆叠自编码器的网络入侵检测方法，其特征在于包括以下步骤：1、将原始数据进行特征化处理，将不同维度的数据转化为相同维度的数据；2、使用阻尼窗口模型对数据流量进行特征提取；3、将特征映射到实例中去；4、异常检测，异常检测器集成层检测在训练模式下各实例子空间的异常，并学习正常行为，且在训练模式或者执行模式下，向输出层报告RMSE错误；5、异常输出，异常检测器输出层学习异常检测器集成层的正常RMSE，并生成最终的异常分数；6、根据原始的RMSE分数来评估异常检测器的检测能力，从而进行网络入侵检测。本发明解决了在入侵检测在实时检测时的不足，同时提高了检测的准确性。

技术领域

本发明属于信息安全领域，具体是涉及一种基于堆叠自编码器的网络入侵检测方法。

背景技术

现如今，计算机网络受到的攻击越来越多，一种常见的计算机网络安全系统是网络入侵检测系统(NIDS)。NIDS通过监视每个网络信道是否存在异常行为，当检测到异常行为时，及时发出警报或者采取主动防御措施。很多的机器学习技术被应用在NIDS以提高检测性能。最流行的方法是使用人工神经网络(ANN)进行网络数据检测，使用人工神经网络的优点是能够学习复杂非线性的数据，与其他的机器算法相比，在检测的性能有着很大的优势。使用人工神经网络作为网络入侵检测系统(NIDS)的方法是训练它将网络数据分类为正常数据或者异常数据。而使用人工神经网络作为异常检测系统不能对原始数据进行实时处理，并且监督学习的训练方式导致了系统具有高复杂性。

发明内容

本发明针对现有技术的不足，提供一种基于堆叠自编码器的网络入侵检测方法。该方法使用阻尼流量窗口对实时数据进行特征提取，同时抛弃旧的实例，再将特征映射到实例中去，通过自动编码器的检测模型的训练与执行，解决了在入侵检测在实时检测时的不足，同时提高了检测的准确性。

为达到上述的目的，一种基于堆叠自编码器的网络入侵检测方法，主要包括以下步骤：

第一步、数据预处理，将原始数据进行特征化处理，将不同维度的数据转化为相同维度的数据；

第二步、特征提取阶段，使用阻尼窗口模型对数据流量进行高速特征提取；

第三步、特征映射环节，将特征映射到实例中去；

第四步、异常检测，异常检测器集成层检测在训练模式下各实例子空间的异常，并学习正常行为，且在训练模式或者执行模式下，向输出层报告RMSE错误；

第五步、异常输出，异常检测器输出层学习异常检测器集成层的正常(即训练模式)RMSE，并生成最终的异常分数；

第六步、根据原始的RMSE分数来评估异常检测器的检测能力，从而进行网络入侵检测。

优选地，所述入侵检测模型为基于自动编码器集合的模型。

优选地，所述入侵检测模型的参数的训练方法的算法使用的是反向传播算法。

优选地，所述第六步使用训练好的入侵检测模型评估异常检测器的方法是设定异常分数截止阈值φ来评估。

本发明用阻尼流量窗口对实时数据进行特征提取，同时抛弃旧的实例，再将特征映射到实例中去，通过自动编码器的检测模型的训练与执行，提高检测的准确性。

附图说明

图1为本发明基于自动编码器集合的入侵检测方法的流程示意图。

具体实施方式

以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。