[发明专利]基于自编码器能量检测的网络入侵检测方法

说明书

本发明公开了一种基于自编码器能量检测的网络入侵检测方法，从网络中抓取正常数据流，提取时间相关特征构成数据流特征向量，构建包括自编码网络、相关系数计算模块、重构误差计算模块、特征融合模块、密度检测网络、高斯混合模型和能量计算模块的网络入侵检测模型，融合自编码网络的隐藏层输出特征、重构前后数据流特征向量的相关系数以及重构误差得到融合特征向量并计算其能量，根据正常数据流的数据流特征向量对网络入侵检测模型进行训练并得到异常检测阈值，当需要进行网络入侵检测时，获取数据流的数据流特征向量，输入网络入侵检测模型得到对应的能量并判定是否出现网络入侵。采用本发明可以提高网络入侵的效率和准确性。

技术领域

本发明属于网络入侵检测技术领域，更为具体地讲，涉及一种基于自编码器能量检测的网络入侵检测方法。

背景技术

近年来随着互联网的普及，人们对于网络的应用更加频繁，这也暴露了许多的安全问题。针对网络的攻击方式层出不穷，攻击手段呈现多样化，因此需要针对网络攻击设计识别更多未知的攻击类型为管理员做决策。作为网络安全的第二道屏障，异常检测系统则在识别这些威胁上显得至关重要。

目前主流的异常检测方法都是基于无监督模型的，因为它无需标签就可以建立正常行为的规则，通过选取合适的阈值作为判断异常的标准。因为监督学习有很多缺点：首先，监督学习需要人工标注，因此非常耗费精力，代价过高；其次，人工标注的数据有可能存在误分类，会影响训练的效果；另外，监督模型分类所需训练数据无法涵盖巨大的攻击种类，有新类型的攻击方法难以识别。

无监督模型虽然能检测未知的攻击行为，但是作为判断异常的阈值选取较为困难，并且准确率偏低，误报率较高，无法获得很好的测试效果。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于自编码器能量检测的网络入侵检测方法，构建基于自编码网络的网络入侵检测模型，融合自编码网络的隐藏层输出特征、相关系数以及重构误差作为融合特征向量，通过计算融合特征向量的能量来实现网络入侵检测，提高网络入侵的效率和准确性。

为实现上述发明目的，本发明基于自编码器能量检测的网络入侵检测方法包括以下步骤：

S1：从网络中抓取M个正常数据流，然后对于每个数据流分别统计时间相关特征，将时间相关特征构成数据流特征向量；

S2：构建网络入侵检测模型，包括自编码网络、相关系数计算模块、重构误差计算模块、特征融合模块、密度检测网络、高斯混合模型和能量计算模块，其中：

自编码网络包括输入层、L-2层隐藏层和输出层，构成编码器和解码器，L 表示自编码网络的层数，编码器用于对输入的数据流特征向量x进行编码得到压缩特征，解码器用于对压缩特征进行映射得到重构的数据流特征向量x′；

相关系数计算模块用于计算数据流特征向量x和自编码网络重构的数据流特征向量x′之间的相关系数ρ；

重构误差计算模块用于计算自编码网络中解码层与对应编码层之间的重构误差，得到长度为(L-1)/2的重构误差向量MRE，具体计算方法如下：

对于自编码网络中的第i层，则对应的重构误差e_i的计算公式如下：

其中，i′＝L-i+1，D_i表示第i层输出特征的维数，y_i,d表示第i层输出特征中第d维特征值，x_i′,d表示第i′层输入特征中第d维特征值，d＝1,2,…,D_i；

根据(L-1)/2个重构误差e_i构建得到重构误差向量