[发明专利]一种基于条件变分自编码器的网络入侵检测方法

权利要求书

1.一种基于条件变分自编码器的网络入侵检测方法，该方法由基于条件变分自编码器的网络入侵检测模型实现，其特征在于，该方法包括以下步骤：

步骤S1：选择训练数据集；

步骤S2：构建基于对数双曲余弦损失的条件变分自编码器模型，对训练数据集进行扩充，得到扩充后的训练数据集；

步骤S3：构建基于卷积神经网络的分类器模型；

步骤S4：对扩充后的训练数据集进行预处理操作，得到预处理操作后的训练数据集；

步骤S5：采用步骤S4中预处理操作后的训练数据集训练分类器模型，得到训练好的分类器模型；

步骤S6：使用训练好的分类器模型对网络中的攻击或者入侵行为进行检测；

其中，所述基于对数双曲余弦损失的条件变分自编码器模型为了解决训练数据集中的样本不均衡问题，使用条件变分自编码器来生成某种特定类别的数据，以此对训练数据集进行扩充，所述基于对数双曲余弦损失的条件变分自编码器模型的结构具体为：每一个条件变分自编码器包含两部分：编码器和解码器；编码器是一个神经网络，将提取的数据特征映射成低维的潜在变量，编码器使用四层全连接网络，输入维度为118，输出维度为1024，中间两层隐含层维度分别为256和512；解码器也是一个神经网络，将低维的潜在变量解码重构回与原始数据特征尽可能接近的表示，解码器的维度与编码器的维度相反，输入输出维度分别为1024和118，中间隐含层的维度为512和256；基于对数双曲余弦损失的条件变分编码器的总损失函数为：

其中，x_i，分别表示条件变分自编码器的输入和输出，下标i表示数据的维度编号，a是超参数，预先设定为10，μ，σ分别表示变分自编码器输出的均值和方差，下标j表示潜在特征向量的维度；

所述基于卷积神经网络的分类器模型结构由两层卷积神经网络层和三层稠密连接网络层组成，卷积神经网络层用于提取数据的特征，再使用稠密连接网络层预测数据的类别信息，具体地，使用RELU函数作为卷积神经网络层的激活函数，并且为了加速模型收敛，在每层卷积神经网络层之后添加归一化层，最后，在最后一层卷积神经网络层之后加上池化层，三层稠密连接网络层连接在池化层之后；第一层卷积神经网络层的输入维度数为1维，输出维度为5维，卷积核大小为3，填充和步数都设置为1，第二层卷积神经网络层的输入和输出维度分别为6和16维，卷积核大小、填充和步数与第一层卷积神经网络层相同，三层稠密连接网络层输出维度分别为512、256和数据集中数据的类别数目；

所述步骤S1中选取NSL-KDD数据集进行实验，NSL-KDD数据集是从KDDCUP99数据集中分离出来的一个子数据集，该数据集删除了KDDCUP99数据集中重复和冗余的数据，因此更适合于模型网络入侵性能评估，NSL-KDD数据集总共包含5大类，1个正常类和4个异常类，包括端口攻击、拒绝服务攻击、远程用户攻击、提权攻击，NSL-KDD数据集是不均衡的，远程用户攻击和提权攻击两类具有较少的数据量，因此该数据集存在样本不均衡问题，这与网络设备在实际生活中一致，正常数据总是大量存在，而异常数据是少量的，使用该数据集中文件名为：KDDTrain+_20Percent.txt的文件作为训练数据集，文件名为：KDDTest+.txt中的数据作为测试数据集来评估基于条件变分自编码器的网络入侵检测模型的性能。