[发明专利]一种基于深度监督离散哈希的网络入侵检测方法

说明书

本发明公开了一种基于深度监督离散哈希的网络入侵检测方法，包括：对原始网络流量数据集进行数据清洗以及标准化缩放；构建训练数据集和测试数据集；使用处理之后的训练数据集通过神经网络训练后得到网络入侵检测模型；采用交替最小化损失函数的方式优化模型权重，通过离散循环坐标下降的方式求解哈希码；将测试数据集的数据输入到训练后且优化的网络入侵检测模型，得到检测结果；当检测结果满足预设条件时，采用对应的网络入侵检测模型，对未知的网络流量数据进行网络入侵检测。该方法可提供更高效、更快速的网络入侵检测能力，训练得到的离散二进制码能够可以有效减小空间开销，且能较为全面地反映实际网络流量数据间的特征差异。

技术领域

本发明涉及网络空间安全技术领域，特别涉及一种基于深度监督离散哈希的网络入侵检测方法。

背景技术

基于误用的检测方法和基于异常的检测方法是两种主要的传统入侵检测方法。前者通过人为描述每一种攻击样本的特征和模式并以此作为规则来检测，应用较为广泛。该方法的查验准确率较高，但成本也较大，需要建立大型的攻击模式库且只能检测已知类型的攻击。

针对误用检测方法面临的问题，一些基于马尔可夫随机过程模型、基于阈值、基于机器学习以及神经网络的异常检测方法相继被提出。

目前入侵检测一个重要的研究方向是采用机器学习或深度学习的相关方法，利用已知数据集建立有效的检测模型以寻求对未知数据的异常判定。目前一些深度神经网络方法例如卷积神经网络、长短期记忆网络以及自编码器相关的入侵检测模型研究是较为有代表性的。

众多研究表明，这些方法取得了不错的成效，但也有可扩展性较差、查准率不高以及开销较大等问题。

发明内容

本发明的目的在于提供一种至少部分解决上述技术问题的基于深度监督离散哈希的网络入侵检测方法，该方法所构建的模型具有收敛速度快、可扩展性强等优点，该方法对网络流量数据网络入侵检测准确率高。

为实现上述目的，本发明采取的技术方案为：

本发明提供一种基于深度监督离散哈希的网络入侵检测方法，包括以下步骤：

步骤1、数据预处理：对原始网络流量数据集进行数据清洗以及标准化缩放，将其转化为处于同一数量级的数值型数据；

步骤2、数据划分：基于预处理后的数据，构建训练数据集和测试数据集，控制分组数据集的正常与异常流量比例；

步骤3、构建模型：依据线性分类器建模学习到的哈希码和网络流量数据标签之间的关系，选择负对数似然函数作为神经网络的损失函数训练得到哈希码，构建神经网络模型，使用处理之后的训练数据集通过神经网络训练后得到网络入侵检测模型；

步骤4、模型离散优化：采用交替最小化损失函数的方式优化模型权重，通过离散循环坐标下降的方式求解哈希码；

步骤5、数据测试：将测试数据集的数据输入到训练后且优化的网络入侵检测模型，得到检测结果；

步骤6、当检测结果满足预设条件时，采用对应的网络入侵检测模型，对未知的网络流量数据进行网络入侵检测。

进一步地，所述步骤1的数据预处理，包括：

删除原始网络流量数据集中非数和无穷大的脏数据；

根据预设公式进行标准化处理；

再剔除所述原始网络流量数据集中的非必要特征列；

对于与数据集中非数字的特征符合，采用独热编码方式编码为一组多维向量。

进一步地，所述预设公式如下：

式中，ε为原始网络流量数据集中的数据，α取值为100，β取值为10。