[发明专利]一种基于对抗自编码器的网络入侵检测方法、系统及介质

说明书

本发明公开了一种基于对抗自编码器的网络入侵检测方法、系统及介质，本发明基于对抗自编码器的网络入侵检测方法包括：S101，将网络流量数据输入训练好的对抗自编码器进行降维以得到低维度的数据特征；S102，将所述数据特征输入训练好的分类器，得到网络流量数据对应的入侵检测结果。本发明能够将高维度的数据分布转化为符合潜在概率分布的低维度数据，把原来数据样本中容易混淆的类别分离出来，在提高检测效率的同时降低训练和测试的时间，从而实现对包括DDoS攻击在内的各项网络攻击的早期入侵检测。

技术领域

本发明属于网络安全领域的入侵检测技术，具体涉及一种基于对抗自编码器的网络入侵检测方法、系统及介质。

背景技术

近年来，由于移动计算设备的快速发展、通信设备性能的提高和价格的下降，移动计算设备之间的通信变得越来越普遍，然而，作为普适计算和普适计算环境中的重要组成部分的移动计算设备却面临着各种各样的安全威胁。其中，DDoS(Distributed Denial ofService)攻击是最严重的威胁之一。随着网络基础设施的发展，DDoS攻击的强度越来越大。DDoS攻击的基本原理是产生非常大的流量，并迅速耗尽目标系统的资源，如网络带宽和计算能力。针对DDoS攻击的防御机制可以分为防御、检测、缓解和响应四类。当DDoS攻击发生时，阻止DDoS攻击的第一步是检测，应该尽快完成。但是，由于DDoS攻击的报文通常不包含恶意内容，因此很难将其与正常流量区分开来。此外，攻击者伪造他们的源地址，隐藏他们的位置，使DDoS攻击更加复杂。DDoS攻击检测方案既要保证短的检测延迟，又要保证高的检测率和低的误报率。计算开销也应该考虑在内，因为检测引擎(或模块)必须处理大量的实时网络流量。检测机制主要可分为两类；第一种是使用依赖于预定义的DDoS攻击模式(或签名)的误用检测。然而，基于模式的检测机制很难检测出新的入侵。第二种是使用异常检测，它侧重于比较系统的正常行为和异常行为，因此可检测未知入侵。

产生大量流量的DDoS攻击会消耗网络带宽和系统资源。因此，在DDoS攻击的早期阶段检测它们是非常重要的。但是，DDos攻击流量数据特征具有维度高、规模大、分类困难等特点。为了降低计算开销并提高分类准确率，有必要将高维度的数据分布转化为具有潜在概率分布的低维度数据。传统降低维度的方式主要采用主成分分析(principalcomponents analysis，PCA)。然而PCA需要用到KL散度技术，耗费时间，除此之外，PCA变化不能较好的保留数据信息，对于非线性依赖关系的数据效果不佳。

发明内容

本发明要解决的技术问题：针对现有技术的上述问题，提供一种基于对抗自编码器的网络入侵检测方法、系统及介质，本发明能够将高维度的数据分布转化为符合潜在概率分布的低维度数据，把原来数据样本中容易混淆的类别分离出来，在提高检测效率的同时降低训练和测试的时间，从而实现对包括DDoS攻击在内的各项网络攻击的早期入侵检测。

为了解决上述技术问题，本发明采用的技术方案为：

一种基于对抗自编码器的网络入侵检测方法，包括：

S101，将网络流量数据输入训练好的对抗自编码器进行降维以得到低维度的数据特征；

S102，将所述数据特征输入训练好的分类器，得到网络流量数据对应的入侵检测结果。