[发明专利]基于类不平衡处理的网络入侵检测模型SGM-CNN

权利要求书

1.一种基于数据流的网络入侵检测方法SGM-CNN，其特征在于，该方法包括：

获取待识别的网络数据流；

将所述待识别的网络数据流输入到预先建立的基于一维卷积神经网络(1DCNN)的入侵检测模型中，输出网络数据流的检测结果；

其中，所述的网络入侵检测模型通过以下方式建立：

获取网络数据流样本，对数据流样本进行数据预处理；

使用SGM对预处理后的用于模型训练的样本进行类不平衡处理；

建立一个六层的卷积神经网络结构；其中有四个一维卷积层，两个全连接层；每两个卷积层后有一个一维最大池化层；除最后一个全连接层使用Softmax激活函数外，其余各层均使用Relu激活函数；

将处理后的网络数据流输入至所述网络结构进行训练，生成所述网络入侵检测模型。

2.根据权利要求1所述的基于数据流的网络入侵检测方法SGM-CNN，其特征在于，所述获取待识别的网络数据流的步骤，包括：使用抓包工具(如Wireshark，BurpSuite，Tcpump等)捕获网络数据流；提取原始数据流的流特征、基本特征、内容特征、时间特征、通用特征、连接特征等特征，得到特征提取后的网络数据流样本。

3.根据权利要求1所述的基于数据流的网络入侵检测方法SGM-CNN，其特征在于，所述对数据流样本进行数据预处理的步骤，包括：首先使用One-hot编码将样本数据中的非数值化特征转换为数值化特征；对样本中的缺失值(NaN)进行补零，对无穷大值(infinity)使用所在列最大值+1进行替换；删除一些对模型分类冗余和无意义的特征，如IP地址和端口号；然后根据对样本数据x进行标准化，其中x'为标准化后的数据，μ和δ分别为样本数据的平均值和标准差；最后使用加权去噪自编码器(Denoising Autoencoder，DAE)选择出少量重要的特征，用于最终模型训练。

4.根据权利要求3所述的基于数据流的网络入侵检测方法SGM-CNN，其特征在于，所述使用DAE进行特征选择，步骤为：DAE是一种将损坏数据作为输入，经过训练将原始数据的预测作为输出的特征的自动编码器。首先通过添加标准差为σ的噪声的方式损坏原始数据X，损坏过程可以定义为：

其中，I表示单位矩阵。然后根据变形后的数据构建原始样本的重构版本，重构误差使用均方误差表示，计算公式为：

其中，g(x)和sig(x)分别为解码函数和sigmoid激活函数，W_E和b_E分别为编码过程中的权重矩阵和偏置向量。通过比较W_E行向量的l₂范数可以找到最重要的特征，为了更好的选择，在DAE训练中使用l_2,1正则化。正则化引起的损失表示为：

其中，W_ij为权重矩阵W_E第i行j列的元素，α是决定正则化强度的系数。

为了突出攻击类样本的重要性，将正常类样本和攻击类样本赋予不同的权重。如果正常类和攻击类分别用“0”和“1”表示，权重矩阵可定义为：

W_L＝(β-1)·Y+1 (4)

其中，矩阵Y是标签矩阵，1是一个元素值全为1的矩阵，β增加了攻击样本的权重系数。将加权矩阵集成到MSE损耗中，可得到基于DAE的特征选择器的最终损失函数，定义为：

在特征选择过程中，首先对DAE进行训练，最小化公式(5)中的损失函数；然后比较行向量的l₂范数，选择k个最大值；根据行向量的索引选择特征，并存储选择结果。