[发明专利]一种基于小样本学习的三元CCT网络的入侵检测方法

说明书

本发明涉及一种基于小样本学习的三元CCT网络的入侵检测方法，采用的步骤如下：构建小样本学习的数据集；将数据集中的网络流量存储在二维数组中，将二维数组转换为灰度图像；搭建基于小样本学习的三元CCT网络的入侵检测模型；训练入侵检测网络模型；检测网络流量并确定入侵类型；本发明对transformer编码器进行了改进，在每个残差连接之前加入了可学习的通道加权，由此来优化更深层次的CCT网络，使之收敛更快，精度更高；条件位置编码以输入为条件，使位置编码更灵活，在图像分类任务中保持所需的平移不变性，从而提高分类精度；本发明基于三元损失函数度量方法，能够获得比单点损失和成对的损失更高检测入侵的准确率。

技术领域

本发明涉及一种基于小样本学习的三元CCT网络的入侵检测方法，属于网络安全技术领域。

背景技术

随着科技的快速发展，计算机网络已经成为人们生活中不可或缺的组成部分。计算机网络人们提供了丰富多彩的服务，使得人们对计算机网络越来越依赖，以至于网络成为了犯罪的主要攻击目标。网络犯罪试图通过不同的网络入侵来达到窃取机密等不良目的。入侵检测系统通过监控和分析在线流量区分正常和恶意的流量。当入侵检测系统部署在网络中识别基于网络的入侵时，它们被称为基于网络的入侵检测系统。这些系统捕获在线网络流量并对其进行分析以检测攻击的存在。尽管已经取得了重大进展，但在设计网络入侵检测系统方面还存在着训练数据的不平衡、小样本学习精确度差以及未知攻击频繁发生现象，所以仍有各种创新的检测方法不断地被提出。

发明内容

本发明要解决的技术问题是提供一种使训练数据平衡、未知攻击减少且提高小样本学习精确度的基于小样本学习的三元CCT网络的入侵检测方法。

为解决上述问题，本发明采用的技术方案如下：

本发明基于小样本学习的三元CCT网络的入侵检测方法，采用如下步骤：

步骤一、构建小样本学习的数据集；

步骤二、将数据集中的网络流量存储在二维数组中，将二维数组转换为灰度图像；

步骤三、搭建基于小样本学习的三元CCT网络的入侵检测模型；

步骤四、训练入侵检测网络模型；

步骤五、检测网络流量并确定入侵类型。

本发明方法的步骤一中采用无监督子类型采样方法对数量充足的攻击类样本和正常类样本进行重新采样，具体如下：

1.1).将数量充足的攻击类样本和正常类样本采用k-mean++算法聚类为各个类型的子类型；

1.2).对每个子类型逐一进行随机抽取一个样本，以获得代表每个类型可用于训练的集合；

1.3).将经过与所述无监督子类型重新采样的样本集合与数量稀少的攻击类样本合在一起，构建模型训练所需的小样本训练数据集；

1.4).每种类型有k个样本，不同的类型设置不同的k值；k值根据轮廓系数S(i)自适应确定，计算公式如下：

式中：a(i)表示聚类中的样本i到聚类中所有其他样本的距离的平均值， b(i)表示聚类中的样本i到距离该样本最近的聚类中所有样本的平均距离的最小值，max{}是求最大值的函数，-表示逐元素相减；

轮廓系数的计算结果在-1和1之间，再设置一组初始k值并使用 k-mean++算法对每种类型中的数据进行聚类后，最终不同类型的k值根据以下公式选择，其代表前n大轮廓系数中最小的簇数：

K＝min{argmax_n{S(2),S(3),…,S(i)}}     (2)