[发明专利]一种入侵检测方法、系统、设备及可读存储介质

说明书

本申请实施例公开了一种入侵检测方法、系统、设备及可读存储介质，针对传统深度信念神经网络中的BP模型由于存在随机初始化权值、阈值等参数，容易陷入局部最优、训练周期过长等不足，本申请实施例首先采用具有监督学习能力的核极限学习机网络模型，并针对KELM随机初始化核参数等带来分类性能不佳的问题，公开一种基于增强型灰狼算法优化核极限学习机的监督分类算法。在传统灰狼算法的基础上，引入了内层围捕与外层围捕相结合的优化策略，增强算法的搜索能力与寻优能力，提升优化性能。在KDDCup99、NSL‑KDD以及UNSW‑NB15三个数据集上的实验证明，在准确率、精确率、真正率、假正率等评价指标上均具有较大优势，能够有效满足复杂网络的入侵检测要求。

技术领域

本申请实施例涉及人工智能技术领域，具体涉及一种入侵检测方法、系统、设备及可读存储介质。

背景技术

随着5G、云计算、物联网等网络技术的迅速发展，网络产生的海量数据给网络安全带来了巨大的困难及挑战，网络的安全性引起越来越多的关注。入侵检测(IntrusionDetection，ID)是对入侵行为进行标记、识别的过程。该方法使用的关键技术主要包括两种：(1)分析已有网络数据，并记录已有攻击数据信息及特征，再与主机或网络中的存储以及流动的数据进行匹配，称之为误用检测；(2)首先在样本数据库中建立具有正常行为轨迹特征的网络数据连接，再将偏离该行为特征的网络数据均视为入侵行为，称为异常检测。

误用检测能够记录已知网络攻击的行为特征，误报率低，但缺乏学习能力，须不断更新匹配数据库，对新攻击的检测效果差；异常检测则能够有效发现未知攻击，但误警率高。

发明内容

为此，本申请实施例提供一种入侵检测方法、系统、设备及可读存储介质，提出一种基于改进深度信念网络的入侵检测模型(DBN-EGWO-KELM)，针对传统深度信念神经网络中的BP模型由于存在随机初始化权值、阈值等参数，容易陷入局部最优、训练周期过长等不足，本申请实施例首先采用具有监督学习能力的核极限学习机(Kernel Extreme LearningMachine，KELM)代替BP(Back Propagation)网络模型，并针对KELM随机初始化核参数等带来分类性能不佳的问题，设计一种基于增强型灰狼算法优化核极限学习机(EGWO-KELM)的监督分类算法。在传统灰狼算法的基础上，引入了内层围捕与外层围捕相结合的优化策略，增强算法的搜索能力与寻优能力，提升优化性能。KDDCup99、NSL-KDD以及UNSW-NB15三个数据集上的实验证明，相比BP、RBF(Radial Basis Function)、SVM(Support VectorMachine)、KELM、DBN-KELM等入侵检测模型，DBN-EGWO-KELM算法在准确率、精确率、真正率、假正率等评价指标上均具有较大优势，能够有效满足复杂网络的入侵检测要求。

为了实现上述目的，本申请实施例提供如下技术方案：

根据本申请实施例的第一方面，提供了一种入侵检测方法，所述方法包括：

步骤1：针对KDDCup99、NSL-KDD、UNSW-NB15数据集存在的字符特征进行归一化处理，得到数值型数据，形成标准化数据集；

步骤2：定义DBN-EGWO-KELM神经网络模型参数；

步骤3：对所述标准化数据集进行预训练，确定网络节点权值，并获得DBN特征降维后的数据；

步骤4：将特征降维后的数据按比例分为训练集、验证集和测试集；其中，将训练集和验证集的数据输入到EGWO-KELM有监督分类模型中进行训练，以调整有监督分类模型；

步骤5：利用所述DBN-EGWO-KELM神经网络模型对KELM分类器进行参数优化，输出最优E、s参数并应用于所述KELM分类器；

步骤6：形成EGWO-KELM有监督分类模型；将训练集和验证集数据输入到EGWO-KELM有监督分类模型中进行训练；