2. 技术
  3. 网络入侵检测模型的构建方法、装置、设备及存储介质与流程

网络入侵检测模型的构建方法、装置、设备及存储介质与流程

allin2024-03-20  102


1.本发明涉及网络安全技术领域,尤其涉及一种网络入侵检测模型的构建方法、装置、终端设备及计算机可读存储介质。


背景技术:

2.近年来,伴随着互联网技术的飞速发展和网络环境的变化,网络安全问题备受大众关注,现有的基于机器学习的网络入侵检测方法主要通过网络中的流量数据来判断网络是否遭到攻击,其需要依托大量标注的流量数据进行机器学习。但是,由于网络流量检测数据中入侵数据匮乏,导致现有的网络入侵检测模型对于数据量较少的网络攻击的检测效果不佳。


技术实现要素:

3.本发明实施例提供一种网络入侵检测模型的构建方法、装置、终端设备以及计算机可读存储介质,能够提高检测数据量较少的网络攻击的准确率。
4.本发明实施例提供了一种网络入侵检测模型的构建方法,包括:
5.获取网络入侵检测的第一流量数据集;其中,所述第一流量数据集包括多个连续采样周期的流量时序数据;
6.对所述第一流量数据集进行预处理,得到第二流量数据集;
7.通过efficientnet对所述第二流量数据集进行特征提取,得到初始特征图;
8.基于域随机化方法和所述初始特征图合成多个仿真特征图,以构成仿真特征图集;
9.通过所述初始特征图和所述仿真特征图集对预先构建的深度学习模型进行训练,得到网络入侵检测模型。
10.作为上述方案的改进,所述方法还包括:
11.获取网络入侵检测实时采集的流量时序数据;
12.通过增量学习的方法和所述实时采集的流量时序数据,更新所述网络入侵检测模型的模型参数,得到更新后的网络入侵检测模型。
13.作为上述方案的改进,所述对所述第一流量数据集进行预处理,得到第二流量数据集,具体为:
14.从第n个所述采样周期的流量时序数据开始,将每个所述采样周期的流量时序数据与该采样周期前面的n-1个所述采样周期的流量时序数据进行整合,得到第二流量数据集;其中,n大于1。
15.作为上述方案的改进,所述基于域随机化方法和所述初始特征图合成多个仿真特征图,以构成仿真特征图集,包括:
16.基于域随机化方法提取所述初始特征图的特征,将所述初始特征图的语义信息抽象成可变参数,并基于所述可变参数合成多个仿真特征图;
17.计算每个所述仿真特征图与所述初始特征图的相似度;
18.根据每个所述仿真特征图与所述初始特征图的相似度,筛选出与所述初始特征图相似的仿真特征图,构成仿真特征图集。
19.作为上述方案的改进,所述计算每个所述仿真特征图与所述初始特征图的相似度,包括:
20.提取每个所述仿真特征图和所述初始特征图的特征向量;
21.计算每个所述仿真特征图的特征向量与所述初始特征图的特征向量的夹角余弦值;
22.将每个所述仿真特征图对应的夹角余弦值,作为每个所述仿真特征图与所述初始特征图的相似度。
23.作为上述方案的改进,所述根据每个所述仿真特征图与所述初始特征图的相似度,筛选出与所述初始特征图相似的仿真特征图,构成仿真特征图集,具体为:
24.判断每个所述仿真特征图与所述初始特征图的相似度是否大于预设阈值,当所述仿真特征图对应的相似度大于预设阈值时,判定所述仿真特征图与所述初始特征图相似,将该所述仿真特征图筛选出来,以构成仿真特征图集。
25.作为上述方案的改进,所述预设阈值的取值范围为0.5-1。
26.相应地,本发明另一实施例提供一种网络入侵检测模型的构建装置,包括:
27.数据获取模块,用于获取网络入侵检测的第一流量数据集;其中,所述第一流量数据集包括多个连续采样周期的流量时序数据;
28.数据预处理模块,用于对所述第一流量数据集进行预处理,得到第二流量数据集;
29.特征提取模块,用于通过efficientnet对所述第二流量数据集进行特征提取,得到初始特征图;
30.数据仿真模块,用于基于域随机化方法和所述初始特征图合成多个仿真特征图,以构成仿真特征图集;
31.模型构建模块,用于通过所述初始特征图和所述仿真特征图集对预先构建的深度学习模型进行训练,得到网络入侵检测模型。
32.本发明另一实施例提供一种终端设备,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如上任意一项所述的网络入侵检测模型的构建方法。
33.本发明另一实施例提供一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如上任意一项所述的网络入侵检测模型的构建方法。
34.与现有技术相比,本发明实施例公开的网络入侵检测模型的构建方法、装置、设备及存储介质,具有以下有益效果:
35.本发明首先获取网络入侵检测的第一流量数据集;其中,所述第一流量数据集包括多个连续采样周期的流量时序数据;其次,对所述第一流量数据集进行预处理,得到第二流量数据集;通过efficientnet对所述第二流量数据集进行特征提取,得到初始特征图;然后,基于域随机化方法和所述初始特征图合成多个仿真特征图,以构成仿真特征图集;最后,通过所述初始特征图和所述仿真特征图集对预先构建的深度学习模型进行训练,得到
网络入侵检测模型。本发明一方面,通过efficientnet提取第一流量数据集的特征,使得深度学习模型能够学习到已检测到的流量时序数据的特征;另一方面,在初始特征图的基础上,通过域随机化方法结合样本自身的分布特点和语义特征合成大量的仿真特征图,从而能够依赖于少量的流量时序数据生成大量的训练样本数据,以解决现有的网络流量检测数据中入侵数据匮乏的问题,从而提高检测数据量较少的网络攻击的准确率。
附图说明
36.图1是本发明实施例提供的一种网络入侵检测模型的构建方法的流程示意图;
37.图2是本发明实施例提供的一种增量学习的流程示意图;
38.图3是本发明实施例提供的一种域随机化方法生成仿真特征图的流程示意图;
39.图4是本发明实施例提供的一种网络入侵检测模型的构建装置的结构框图;
40.图5是本发明实施例提供的一种终端设备的结构框图。
具体实施方式
41.下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
42.参见图1,图1是本发明实施例提供的一种网络入侵检测模型的构建方法的流程示意图。
43.本发明实施例提供的网络入侵检测模型的构建方法,包括步骤:
44.s11、获取网络入侵检测的第一流量数据集;其中,所述第一流量数据集包括多个连续采样周期的流量时序数据;
45.s12、对所述第一流量数据集进行预处理,得到第二流量数据集;
46.s13、通过efficientnet对所述第二流量数据集进行特征提取,得到初始特征图;
47.s14、基于域随机化方法和所述初始特征图合成多个仿真特征图,以构成仿真特征图集;
48.s15、通过所述初始特征图和所述仿真特征图集对预先构建的深度学习模型进行训练,得到网络入侵检测模型。
49.具体地,所述第一流量数据集具体包括多个数据源的多个连续采样周期的流量时序数据。
50.参见图2,图2是本发明实施例提供的一种增量学习的流程示意图。
51.作为其中一个可选的实施例,所述方法还包括:
52.获取网络入侵检测实时采集的流量时序数据;
53.通过增量学习的方法和所述实时采集的流量时序数据,更新所述网络入侵检测模型的模型参数,得到更新后的网络入侵检测模型。
54.示例性地,假设训练后的深度学习模型(即网络入侵检测模型)学习到的某一个参数为5,通过增量学习对实时采集的流量时序数据进行学习,学习到的参数为4,定义训练后的深度学习模型的参数5所占的权重为0.9,增量学习的参数4所占的权重为0.1,则最后的
参数更新为5
×
0.9+4
×
0.1=4.9。
55.网络入侵检测模型可以理解为深度神经网络模型,其输入的是特征图,输出的是1或0的标签。本发明通过深度学习的方式训练得到网络入侵检测模型,并加上增量学习调节的参数结果,以调整网络入侵检测模型的模型参数,从而形成一个不断更新的模型。例如:t时刻有一个更新好的网络入侵检测模型,用于检测t+1时刻的流量数据,得到t+1时刻的检测结果;那么在t+2时刻就不采用t时刻的网络入侵检测模型,而是采用t+1时刻的流量数据更新t时刻的网络入侵检测模型用于训练/检测t+2时刻的流量数据,这样反复迭代下去。
56.可以理解,由于网络入侵方式和网络攻击的手段会随着时间的推移产生巨大的变化,因此需要动态化地训练模型更新,也就是采用增量学习的方法来更新模型。在本发明中,增量学习一方面保持深度学习模型通过初始特征图和仿真特征图学习到的知识;另一方面,通过对实时采集的流量时序数据进行学习,采用学习到的内容对网络入侵检测模型进行更新,以提高网络入侵检测模型分析新数据和学习新知识的能力。
57.值得说明的是,在增量学习的过程中,所述实时采集的流量时序数据的处理过程,可参考步骤s12、s13、s14的相关内容,在此不做具体限定。
58.在一些更优的实施例中,所述对所述第一流量数据集进行预处理,得到第二流量数据集,具体为:
59.从第n个所述采样周期的流量时序数据开始,将每个所述采样周期的流量时序数据与该采样周期前面的n-1个所述采样周期的流量时序数据进行整合,得到第二流量数据集;其中,n大于1。
60.需要说明的是,网络入侵检测的数据采集方式有很多,常见的数据采集方式有:1、入侵检测系统(简称:ids);2、网络安全监视系统;3、开源主机入侵检测系统(简称:ossec)等等。而每一种采集方式都有对应的事件序列数据,将某种数据采集方式采集的事件序列数据表示为:其中,x(t)表示为t时刻的测量值,t表示长度为t的时间序列,可以理解为每一个采样周期都需要采集长度为t的时间序列。由于在实际的操作过程中,存在m种数据采集方式,即m种数据源,因此,在一个采样周期内,能够检测到m
×
t个流量数据,用xm×
t
表示检测到的一个采样周期内的流量时序数据,x的第i行第j列的流量数据表示为x
ij
。为了让xm×
t
更适用于efficientnet网络的算法,以n等于3为例,将本发明第1个、第2个、第3个采样周期的流量时序数据进行整合,构成具有“更宽时间维度”的网络流量时空维度,那么上述的时序矩阵将变成“m
×
t
×
3”,考虑到数据的可处理性,t=m,也就是通过对数据的采样频率进行调整,迁就m种数据源。那么,单个采样周期的流量时序数据就变成了“m
×m×
3”的时序矩阵。
61.可以理解,所述对所述第一流量数据集进行预处理,得到第二流量数据集,除了上述提到的方式,也可以从第1个所述采样周期的流量时序数据开始,将每个所述采样周期的流量时序数据与后面接邻的n-1个所述采样周期的流量时序数据进行整合,得到第二流量数据集。不仅如此,还可以从第2个所述采样周期的流量时序数据开始,将每个所述采样周期的流量时序数据与前后相邻的两个所述采样周期的流量时序数据进行整合,得到第二流量数据集。
62.优选地,在步骤s13中,通过efficientnet-b0对所述第二流量数据集进行特征提取,得到初始特征图。
63.在本实施例中,本发明通过数据整合的方式对所述第一流量数据集进行预处理,得到第二流量数据集,并通过efficientnet-b0对所述第二流量数据集进行处理得到初始特征图,这个特征图与传统cnn特征提取有3点不一样的地方:1、通过数据整合的方式增加了网络深度,从而使初始特征图得到更加丰富、复杂的特征;2、更宽放的网络使初始特征图捕获到更细粒度的特征;3、通过更高分辨度的数据输入,使初始特征图获得更细粒度的特征。可以理解,由于很多采集设备的采集频率是很低的,低频率的采集数据往往造成特征提取准确率更低。而基于上述方式得到的初始特征图,能够具有多尺度、跨时间、细粒度的特点。
64.参见图3,图3是本发明实施例提供的一种域随机化方法生成仿真特征图的流程示意图。
65.在一些更优的实施例中,所述基于域随机化方法和所述初始特征图合成多个仿真特征图,以构成仿真特征图集,包括:
66.基于域随机化方法提取所述初始特征图的特征,将所述初始特征图的语义信息抽象成可变参数,并基于所述可变参数合成多个仿真特征图;
67.计算每个所述仿真特征图与所述初始特征图的相似度;
68.根据每个所述仿真特征图与所述初始特征图的相似度,筛选出与所述初始特征图相似的仿真特征图,构成仿真特征图集。
69.优选地,所述可变参数包括:基于相同目的地址的连接次数、出现syn错误的连接次数、出现rej错误的连接次数、建立相同服务的连接次数、建立不同服务的连接次数、连接不同主机的次数。
70.本发明考虑到特征图结构化信息,设计了6种不同的连接规则,分别是基于相同目的地址的连接次数、出现syn错误的连接次数、出现rej错误的连接次数、建立相同服务的连接次数、建立不同服务的连接次数、连接不同主机的次数,这6类的连接随机化在降低由于随机化带来的计算量同时,保证了合成仿真特征图的多样性。其中,这6种不同的连接规则就是可变参数,通过对这6种参数的随机化,可以合成大量仿真的仿真特征图。
71.在一个具体的实施方式中,所述计算每个所述仿真特征图与所述初始特征图的相似度,包括:
72.提取每个所述仿真特征图和所述初始特征图的特征向量;
73.计算每个所述仿真特征图的特征向量与所述初始特征图的特征向量的夹角余弦值;
74.将每个所述仿真特征图对应的夹角余弦值,作为每个所述仿真特征图与所述初始特征图的相似度。
75.可以理解,由于标签信息缺乏,无法质量量化网络入侵检测模型效果的好坏,因此为了防止完全随机化对算法精度造成的影响,结合初始特征图和仿真特征图的相似性来筛选训练集。具体地,在本发明中采用夹角余弦值来衡量两个特征图的相似性。
76.具体地,根据以下公式,计算每个所述仿真特征图的特征向量与所述初始特征图的特征向量的夹角余弦值cosθ:
77.78.其中,a为初始特征图的特征向量,b为仿真特征图的特征向量,cos为余弦函数,θ为特征向量a和特征向量b的夹角。
79.需要说明,k维初始特征图的特征向量a=(x
11
,x
12
,

,x
1k
)和k维仿真特征图的特征向量b=(y
11
,y
12
,

,y
1k
),x
1k
和y
1k
分别为初始特征图和仿真特征图对应的可变参数的数据。
80.进一步地,所述根据每个所述仿真特征图与所述初始特征图的相似度,筛选出与所述初始特征图相似的仿真特征图,构成仿真特征图集,具体为:
81.判断每个所述仿真特征图与所述初始特征图的相似度是否大于预设阈值,当所述仿真特征图对应的相似度大于预设阈值时,判定所述仿真特征图与所述初始特征图相似,将该所述仿真特征图筛选出来,以构成仿真特征图集。
82.具体地,所述预设阈值的取值范围为0.5-1。
83.优选地,所述预设阈值为0.8。
84.可以理解,本发明通过相似度来对合成的仿真特征图进行筛选,能够防止完全随机化对网络入侵检测模型的算法精度造成影响。
85.参见图4,是本发明实施例提供的一种网络入侵检测模型的构建装置的结构框图。
86.本发明实施例提供的网络入侵检测模型的构建装置,包括:
87.数据获取模块21,用于获取网络入侵检测的第一流量数据集;其中,所述第一流量数据集包括多个连续采样周期的流量时序数据;
88.数据预处理模块22,用于对所述第一流量数据集进行预处理,得到第二流量数据集;
89.特征提取模块23,用于通过efficientnet对所述第二流量数据集进行特征提取,得到初始特征图;
90.数据仿真模块24,用于基于域随机化方法和所述初始特征图合成多个仿真特征图,以构成仿真特征图集;
91.模型构建模块25,用于通过所述初始特征图和所述仿真特征图集对预先构建的深度学习模型进行训练,得到网络入侵检测模型。
92.作为上述方案的改进,所述装置还包括:参数更新模块26;
93.所述数据获取模块21,还用于获取网络入侵检测实时采集的流量时序数据;
94.所述参数更新模块26,用于通过增量学习的方法和所述实时采集的流量时序数据,更新所述网络入侵检测模型的模型参数,得到更新后的网络入侵检测模型。
95.作为其中一个可选的实施方式,所述数据预处理模块22,具体用于:
96.从第n个所述采样周期的流量时序数据开始,将每个所述采样周期的流量时序数据与该采样周期前面的n-1个所述采样周期的流量时序数据进行整合,得到第二流量数据集;其中,n大于1。
97.优选地,所述数据仿真模块24,包括:
98.随机化单元,用于基于域随机化方法提取所述初始特征图的特征,将所述初始特征图的语义信息抽象成可变参数,并基于所述可变参数合成多个仿真特征图;
99.数据运算单元,用于计算每个所述仿真特征图与所述初始特征图的相似度;
100.数据筛选单元,用于根据每个所述仿真特征图与所述初始特征图的相似度,筛选
出与所述初始特征图相似的仿真特征图,构成仿真特征图集。
101.作为其中一个可选的实施方式,所述数据运算单元,具体用于:
102.提取每个所述仿真特征图和所述初始特征图的特征向量;
103.计算每个所述仿真特征图的特征向量与所述初始特征图的特征向量的夹角余弦值;
104.将每个所述仿真特征图对应的夹角余弦值,作为每个所述仿真特征图与所述初始特征图的相似度。
105.作为其中一个优选的实施方式,所述数据筛选单元,具体用于:
106.判断每个所述仿真特征图与所述初始特征图的相似度是否大于预设阈值,当所述仿真特征图对应的相似度大于预设阈值时,判定所述仿真特征图与所述初始特征图相似,将该所述仿真特征图筛选出来,以构成仿真特征图集。
107.优选地,在所述数据筛选单元中所述预设阈值的取值范围为0.5-1。
108.需要说明的是,本实施例的网络入侵检测模型的构建装置的各实施例的相关具体描述和有益效果可以参考上述的网络入侵检测模型的构建方法的各实施例的相关具体描述和有益效果,在此不再赘述。
109.参见图5,是本发明实施例提供的一种终端设备的结构框图。
110.本发明实施例提供的一种终端设备,包括处理器10、存储器20以及存储在所述存储器20中且被配置为由所述处理器10执行的计算机程序,所述处理器10执行所述计算机程序时实现如上述任一实施例所述的网络入侵检测模型的构建方法。
111.所述处理器10执行所述计算机程序时实现上述网络入侵检测模型的构建方法实施例中的步骤,例如图1所示的网络入侵检测模型的构建方法的所有步骤。或者,所述处理器10执行所述计算机程序时实现上述网络入侵检测模型的构建装置实施例中各模块/单元的功能,例如图4所示的网络入侵检测模型的构建装置的各模块的功能。
112.示例性的,所述计算机程序可以被分割成一个或多个模块,所述一个或者多个模块被存储在所述存储器20中,并由所述处理器10执行,以完成本发明。所述一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述终端设备中的执行过程。
113.所述终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备可包括,但不仅限于,处理器10、存储器20。本领域技术人员可以理解,所述示意图仅仅是终端设备的示例,并不构成对终端设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。
114.所称处理器10可以是中央处理单元(central processing unit,cpu),还可以是其他通用处理器、数字信号处理器(digital signal processor,dsp)、专用集成电路(application specific integrated circuit,asic)、现场可编程门阵列(field-programmable gate array,fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器10是所述终端设备的控制中心,利用各种接口和线路连接整个终端设备的各个部分。
115.所述存储器20可用于存储所述计算机程序和/或模块,所述处理器10通过运行或执行存储在所述存储器20内的计算机程序和/或模块,以及调用存储在存储器20内的数据,实现所述终端设备的各种功能。所述存储器20可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据终端设备的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(smart media card,smc),安全数字(secure digital,sd)卡,闪存卡(flash card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
116.其中,所述终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom,read-only memory)、随机存取存储器(ram,random access memory)、电载波信号、电信信号以及软件分发介质等。
117.需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
118.相应地,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序;其中,所述计算机程序在运行时控制所述计算机可读存储介质所在的设备执行上述任一实施例所述的网络入侵检测模型的构建方法。
119.综上,本发明实施例所提供的一种网络入侵检测模型的构建方法、装置、终端设备及计算机可读存储介质,首先获取网络入侵检测的第一流量数据集;其中,所述第一流量数据集包括多个连续采样周期的流量时序数据;其次,对所述第一流量数据集进行预处理,得到第二流量数据集;通过efficientnet对所述第二流量数据集进行特征提取,得到初始特征图;然后,基于域随机化方法和所述初始特征图合成多个仿真特征图,以构成仿真特征图集;最后,通过所述初始特征图和所述仿真特征图集对预先构建的深度学习模型进行训练,得到网络入侵检测模型。一方面,本发明通过efficientnet提取第一流量数据集的特征,使得深度学习模型能够学习到已检测到的流量时序数据的特征;另一方面,本发明在初始特征图的基础上,通过域随机化方法结合样本自身的分布特点和语义特征合成大量的仿真特征图,从而能够依赖于少量的流量时序数据生成大量的训练样本数据,以解决现有的网络流量检测数据中入侵数据匮乏的问题,从而提高网络入侵检测模型的可靠性和检测数据量较少的网络攻击的准确率。
120.以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。

技术特征:
1.一种网络入侵检测模型的构建方法,其特征在于,包括:获取网络入侵检测的第一流量数据集;其中,所述第一流量数据集包括多个连续采样周期的流量时序数据;对所述第一流量数据集进行预处理,得到第二流量数据集;通过efficientnet对所述第二流量数据集进行特征提取,得到初始特征图;基于域随机化方法和所述初始特征图合成多个仿真特征图,以构成仿真特征图集;通过所述初始特征图和所述仿真特征图集对预先构建的深度学习模型进行训练,得到网络入侵检测模型。2.如权利要求1所述的网络入侵检测模型的构建方法,其特征在于,所述方法还包括:获取网络入侵检测实时采集的流量时序数据;通过增量学习的方法和所述实时采集的流量时序数据,更新所述网络入侵检测模型的模型参数,得到更新后的网络入侵检测模型。3.如权利要求1所述的网络入侵检测模型的构建方法,其特征在于,所述对所述第一流量数据集进行预处理,得到第二流量数据集,具体为:从第n个所述采样周期的流量时序数据开始,将每个所述采样周期的流量时序数据与该采样周期前面的n-1个所述采样周期的流量时序数据进行整合,得到第二流量数据集;其中,n大于1。4.如权利要求1所述的网络入侵检测模型的构建方法,其特征在于,所述基于域随机化方法和所述初始特征图合成多个仿真特征图,以构成仿真特征图集,包括:基于域随机化方法提取所述初始特征图的特征,将所述初始特征图的语义信息抽象成可变参数,并基于所述可变参数合成多个仿真特征图;计算每个所述仿真特征图与所述初始特征图的相似度;根据每个所述仿真特征图与所述初始特征图的相似度,筛选出与所述初始特征图相似的仿真特征图,构成仿真特征图集。5.如权利要求4所述的网络入侵检测模型的构建方法,其特征在于,所述计算每个所述仿真特征图与所述初始特征图的相似度,包括:提取每个所述仿真特征图和所述初始特征图的特征向量;计算每个所述仿真特征图的特征向量与所述初始特征图的特征向量的夹角余弦值;将每个所述仿真特征图对应的夹角余弦值,作为每个所述仿真特征图与所述初始特征图的相似度。6.如权利要求4所述的网络入侵检测模型的构建方法,其特征在于,所述根据每个所述仿真特征图与所述初始特征图的相似度,筛选出与所述初始特征图相似的仿真特征图,构成仿真特征图集,具体为:判断每个所述仿真特征图与所述初始特征图的相似度是否大于预设阈值,当所述仿真特征图对应的相似度大于预设阈值时,判定所述仿真特征图与所述初始特征图相似,将该所述仿真特征图筛选出来,以构成仿真特征图集。7.如权利要求6所述的网络入侵检测模型的构建方法,其特征在于,所述预设阈值的取值范围为0.5-1。8.一种网络入侵检测模型的构建装置,其特征在于,包括:
数据获取模块,用于获取网络入侵检测的第一流量数据集;其中,所述第一流量数据集包括多个连续采样周期的流量时序数据;数据预处理模块,用于对所述第一流量数据集进行预处理,得到第二流量数据集;特征提取模块,用于通过efficientnet对所述第二流量数据集进行特征提取,得到初始特征图;数据仿真模块,用于基于域随机化方法和所述初始特征图合成多个仿真特征图,以构成仿真特征图集;模型构建模块,用于通过所述初始特征图和所述仿真特征图集对预先构建的深度学习模型进行训练,得到网络入侵检测模型。9.一种终端设备,其特征在于,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至7中任意一项所述的网络入侵检测模型的构建方法。10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如权利要求1至7中任意一项所述的网络入侵检测模型的构建方法。

技术总结
本发明公开了一种网络入侵检测模型的构建方法、装置、设备及存储介质,该方法包括:获取网络入侵检测的第一流量数据集;其中,所述第一流量数据集包括多个连续采样周期的流量时序数据;对所述第一流量数据集进行预处理,得到第二流量数据集;通过EfficientNet对所述第二流量数据集进行特征提取,得到初始特征图;基于域随机化方法和所述初始特征图合成多个仿真特征图,以构成仿真特征图集;通过所述初始特征图和所述仿真特征图集对预先构建的深度学习模型进行训练,得到网络入侵检测模型。采用本发明实施例能够提高检测数据量较少的网络攻击的准确率。的网络攻击的准确率。的网络攻击的准确率。


技术研发人员:杜翠凤 蒋仕宝
受保护的技术使用者:广州杰赛通信规划设计院有限公司
技术研发日:2022.03.17
技术公布日:2022/7/5
转载请注明原文地址: https://www.8miu.com/read-12557.html

专利

最新回复(0)