[发明专利]基于自编码器能量检测的网络入侵检测方法

权利要求书

1.一种基于自编码器能量检测的网络入侵检测方法，其特征在于，包括以下步骤：

S1：从网络中抓取M个正常数据流，然后对于每个数据流分别统计时间相关特征，将时间相关特征构成数据流特征向量；

S2：构建网络入侵检测模型，包括自编码网络、相关系数计算模块、重构误差计算模块、特征融合模块、密度检测网络、高斯混合模型和能量计算模块，其中：

自编码网络包括输入层、L-2层隐藏层和输出层，构成编码器和解码器，L表示自编码网络的层数，编码器用于对输入的数据流特征向量x进行编码得到压缩特征，解码器用于对压缩特征进行映射得到重构的数据流特征向量x′；

相关系数计算模块用于计算数据流特征向量x和自编码网络重构的数据流特征向量x′之间的相关系数ρ；

重构误差计算模块用于计算自编码网络中解码层与对应编码层之间的重构误差，得到长度为(L-1)/2的重构误差向量MRE，具体计算方法如下：

对于自编码网络中的第i层，则对应的重构误差e_i的计算公式如下：

其中，i′＝L-i+1，D_i表示第i层输出特征的维数，y_i,d表示第i层输出特征中第d维特征值，x_i′,d表示第i′层输入特征中第d维特征值，d＝1,2,…,D_i；

根据(L-1)/2个重构误差e_i构建得到重构误差向量

特征融合模块用于将自编码网络每层隐藏层的输出特征向量、相关系数ρ、重构误差向量MRE组成融合特征向量c＝[h₁,…,h_L-2,ρ,MRE]^T，其中h_j表示自编码网络第j个隐藏层的输出特征向量，j＝1,2,…,L-2，上标T表示转置，记融合特征向量c的维度为G；

密度检测网络包括神经网络和softmax层，用于对融合特征向量c进行密度检测，输出K个softmax值；

高斯混合模型包括K个高斯模型，第k个高斯模型对应密度检测网络输出的第k个softmax值，k＝1,2,…,K；高斯混合模型采用以下公式表示：

其中，P(c)表示特征向量c的预测分布函数，表示高斯混合模型中第k个高斯模型，是第k个高斯模型对应的混合系数，满足表示第k个softmax值对应的均值，表示第k个softmax值对应的协方差矩阵；

能量计算模块用于根据高斯混合模型的参数计算得到融合特征向量c的能量E(c)，计算公式如下：

其中，exp表示自然常数e为底的指数函数，上标T表示转置，上标-1表示求逆；

S3：采用以下方法训练网络入侵检测模型：

S3.1：对网络入侵模型中的自编码网络和密度检测网络的参数分别进行初始化；

S3.2：初始化迭代次数t＝1，初始化阈值参数ω＝-∞；

S3.3：将步骤S1得到的每个数据流特征向量依次输入网络入侵检测模型，由网络入侵检测模型中的自编码网络、相关系数计算模块、重构误差计算模块和密度检测网络处理得到该数据流特征向量对应的融合特征向量c_m，以及K个softmax值π_m,k，m＝1,2,…,M；

S3.4：对于每个维度的softmax值分别计算其高斯模型中的混合 系数均值协方差矩阵

S3.5：能量计算模块根据高斯混合模型的参数计算得到每个数据流特征向量对应的融合特征向量c_m的能量E(c_m)；

S3.6：采用以下公式计算损失函数L：

其中，L₁表示自编码网络的损失，λ₁、λ₂为预设的权重参数，表示基于协方差矩阵的损失，其计算公式如下：

其中，表示协方差矩阵的逆矩阵中坐标为(g,g)的协方差值；

S3.7：根据步骤S3.6计算得到的损失函数对网络入侵模型中自编码网络和密度检测网络的参数进行更新；

S3.8：判断是否迭代次数t＜t_max，t_max表示预设的最大迭代次数，如果是，进入步骤S3.9，否则进入步骤S3.11；

S3.9：从重构误差计算模块计算得到的每个数据流特征向量对应的重构误差向量中，提取输出层对应的重构误差e_m,L，然后计算得到输出层重构误差均值如果则令否则不作任何操作；

S3.10：令t＝t+1，返回步骤S3.3；

S3.11：固定自编码网络、密度检测网络以及高斯模型参数，令异常检测阈值W＝εω，ε为预设的阈值调节参数，其取值范围为ε＞0，从而得到训练好的网络入侵模型；

S4：当需要进行网络入侵检测时，从网络中抓取数据流，采用步骤S1中相同方法得到数据流特征向量，将其输入网络入侵检测模型，得到对应的能量，当能量大于异常检测阈值W时，则判定出现网络入侵，否则判定未出现网络入侵。