[发明专利]一种基于深度监督离散哈希的网络入侵检测方法

权利要求书

1.一种基于深度监督离散哈希的网络入侵检测方法，其特征在于，包括以下步骤：

步骤1、数据预处理：对原始网络流量数据集进行数据清洗以及标准化缩放，将其转化为处于同一数量级的数值型数据；

步骤2、数据划分：基于预处理后的数据，构建训练数据集和测试数据集，控制分组数据集的正常与异常流量比例；

步骤3、构建模型：依据线性分类器建模学习到的哈希码和网络流量数据标签之间的关系，选择负对数似然函数作为神经网络的损失函数训练得到哈希码，构建神经网络模型，使用处理之后的训练数据集通过神经网络训练后得到网络入侵检测模型；

步骤4、模型离散优化：采用交替最小化损失函数的方式优化模型权重，通过离散循环坐标下降的方式求解哈希码；

步骤5、数据测试：将测试数据集的数据输入到训练后且优化的网络入侵检测模型，得到检测结果；

步骤6、当检测结果满足预设条件时，采用对应的网络入侵检测模型，对未知的网络流量数据进行网络入侵检测。

2.根据权利要求1所述的一种基于深度监督离散哈希的网络入侵检测方法，其特征在于，所述步骤1的数据预处理，包括：

删除原始网络流量数据集中非数和无穷大的脏数据；

根据预设公式进行标准化处理；

再剔除所述原始网络流量数据集中的非必要特征列；

对于与数据集中非数字的特征符合，采用独热编码方式编码为一组多维向量。

3.根据权利要求2所述的一种基于深度监督离散哈希的网络入侵检测方法，其特征在于，所述预设公式如下：

式中，ε为原始网络流量数据集中的数据，α取值为100，β取值为10。

4.根据权利要求1所述的一种基于深度监督离散哈希的网络入侵检测方法，其特征在于，所述步骤2的数据划分，包括：

将预处理后的原始网络流量数据集进行整合，将其中数据数量较多的攻击类型数据采取过采样方式，减少其数据量；

将其中数据数量较少的攻击类型数据采取欠采样方式，增加其数据量；

基于采样数据，构建训练数据集和测试数据集，每个数据集中的攻击类型数据与正常流量数据的比例相同。

5.根据权利要求1所述的一种基于深度监督离散哈希的网络入侵检测方法，其特征在于，所述步骤3的构建模型过程包括：

所构建的深度哈希神经网络模型的输入、输出以及隐藏层数分别为1、1、3，各层之间全连接，中间层采用sigmoid激活函数，最后一层采用tanh激活函数；

模型的损失函数有两部分组成，第一部分为通过由所得哈希码和网络流量标签之间关系建模的线性分类器的l₂损失；第二部分为神经网络学习得到哈希码的负对数似然损失函数；

最后将经过处理的训练集通过神经网络训练得到网络入侵检测模型。

6.根据权利要求5所述的一种基于深度监督离散哈希的网络入侵检测方法，其特征在于，所述步骤4的模型离散优化，包括：

采用交替最小化线性分类器的l₂损失函数和神经网络的负对数似然损失函数的方式进行神经网络权重优化；

通过离散循环坐标下降的方式求解哈希码。

7.根据权利要求1所述的一种基于深度监督离散哈希的网络入侵检测方法，其特征在于，所述步骤5的数据测试，包括：

将测试数据集以及所有训练数据集中的数据通过训练后且优化的网络入侵检测模型计算得到相应的哈希编码；

对于每一条测试数据，从输出的所有训练数据集数据的哈希编码中匹配汉明距离最小的网络流量数据；

对比测试数据与匹配网络流量数据的标签是否相同,得到检测结果。