[发明专利]一种入侵检测方法、系统、设备及可读存储介质

说明书

本申请实施例公开了一种入侵检测方法、系统、设备及可读存储介质，所述方法包括：对入侵检测数据集进行预处理；基于预处理之后的数据的维度确定网络模型的输入输出节点个数，根据隐含层和其他参数确定网络结构和训练参数，用训练集对SDAE‑ELM模型和/或DBN‑Softmax模型进行训练；将测试数据集输入训练好的SDAE‑ELM模型和/或DBN‑Softmax模型，得到每条数据集的入侵检测分类结果。鉴于入侵数据源的不同，充分考虑SDAE和DBN模型的特点，分别使用SDAE和DBN对网络数据流量进行特征学习，进一步将SDAE和DBN学习的特征送入各自的分类器完成入侵检测。相比于其他经典的机器学习模型，具有更佳的入侵检测效果。

技术领域

本申请实施例涉及人工智能技术领域，具体涉及一种入侵检测方法、系统、设备及可读存储介质。

背景技术

国际标准化组织(ISO)将计算机网络安全定义为“为数据处理系统建立和采取的技术与管理方面的安全保护，保护硬件、软件数据不因偶然和恶意的原因遭到破坏、更改和泄露，系统连续可靠、正常运行，网络服务不中断”。

随着全球信息化的快速发展，网络连接变得越来越便利。人民能够更好地享受网络快速发展带来的便利，但于此同时网络安全也日益受到威胁。网络攻击行为日趋复杂，网络攻击频繁出现，具有广泛性、隐蔽性、持续性、趋利性的网络攻击与信息窃取已经从个人蔓延到金融、通信、能源、航空、交通等许多领域。因此，需要构建一种更加新颖、灵活和可靠的入侵检测系统(intrusion detection system，IDS)。IDS能够对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备，其作为一种积极主动的安全防护技术，已经发展成为保障网络安全的关键技术。根据检测方法的不同，可分为误用检测(misuse detection)和异常检测(anomaly detection)。误用检测通过对已知的入侵行为和企图进行特征提取并编写进规则库，将监测到的网络行为与规则库进行模式匹配，进而判断入侵行为或者入侵企图，该方法的优点是误报率低，但其最主要的缺点是入侵信息的收集和更新较为困难以及特征库的维护工作量较大；异常检测则是从大量正常用户行为中检测出攻击行为，可以对未知攻击进行检测是其显著优点，但其在检测过程中容易产生较高的假阳性。

发明内容

为此，本申请实施例提供一种入侵检测方法、系统、设备及可读存储介质，深入研究堆叠降噪自编码器(stacked denoising autoencoder，SDAE)和深度置信网络(deepbelief networks，DBN)，以开发一种灵活有效的入侵检测系统来对网络攻击进行实时检测。鉴于入侵数据源的不同，充分考虑SDAE和DBN模型的特点，提出了基于SDAE-ELM以及DBN-Softmax的集成深度入侵检测模型。首先，分别使用SDAE和DBN对网络数据流量进行特征学习。然后，将SDAE 和DBN学习的特征送入各自的分类器完成入侵检测。文中模型参数在KDDCup99数据集上通过神经网络优化方法进行选择，并使用小批量梯度下降法训练SDAE-ELM和DBN-Softmax模型，最终将最优模型SDAE-ELM和 DBN-Softmax分别应用于基于网络和基于主机的入侵检测系统，通过严格的实验，证明了SDAE-ELM和DBN-Softmax与其他经典的机器学习模型相比具有较优的入侵检测效果。

为了实现上述目的，本申请实施例提供如下技术方案：

根据本申请实施例的第一方面，提供了一种入侵检测方法，所述方法包括：

对入侵检测数据集进行预处理，所述预处理方式为高维数据特征映射、基于词袋模型对数据集进行处理和数据归一化处理中的一种或多种；

基于预处理之后的数据的维度确定网络模型的输入输出节点个数，根据隐含层和其他参数确定网络结构和训练参数，用训练集对SDAE-ELM模型和/ 或DBN-Softmax模型进行训练；

将测试数据集输入训练好的SDAE-ELM模型和/或DBN-Softmax模型，得到每条数据集的入侵检测分类结果。