[发明专利]一种基于PLI4DA的网络入侵检测方法

说明书

本发明涉及一种基于PLI4DA的网络入侵检测方法，包括：定义含有源域正则化和目标自学习分支的目标模型并从预训练源域模型加载参数和权重；获取每条无标签目标域样本经过目标自学习分支的分类预测矩阵并计算每条样本的自熵值；将每类样本对应的最小自熵中的最大值作为阈值，筛选样本特征矩阵并添加到ARSM中；通过ARSM计算每条目标域样本的伪标签；使用基于置信的过滤机制进一步决定是否使用该伪标签；另外为了防止域偏置，目标域模型需计算源域正则损失Lsubgt;src/subgt;和自学习损失Lsubgt;self/subgt;，共同优化网络后得到最终模型，从而实现网络入侵检测。

技术领域

本发明涉及伪标签迭代域适应(Pseudo Label Iteration for DomainAdaptation, PLI4DA)的网络入侵检测方法，特别涉及基于源域模型和无标注目标域数据的网络入侵检测方法。

背景技术

信息技术给予人们便利的同时亦存在着安全问题，因为互联网的开放、共享等等特性，网络犯罪也随之而来，技术的发展也使得网络犯罪活动日益猖獗。随着移动支付、电子商务、金融行业的发展，网络环境中每天都有大量的用户信息交换，所以建立网络信息安全的入侵检测系统变得越来越重要。

基于规则的网络入侵检测方法，使用网络先验知识，如某些攻击类型的数据包的数据分布，基于此可以创建针对此种类型攻击的规则并添加到网络入侵检测系统中。虽然这种入侵检测系统加入新攻击拦截时操作简单，但对于噪音或不完整数据无法补偿，另外对未知、新型攻击又要制定新的规则，对用户的专业性要求较高，同时降低了检测即时性；基于统计的入侵检测方法，可以处理不太精确的信息，但计算代价太大，如果入侵检测系统位于网络流量大的环境中，则显得力不从心；基于传统机器学习的入侵检测方法，例如随机森林(Random Forest, RF)和聚类(Cluster)等，可以在大量数据上训练，但数据特征的提取和表达能力不足；基于深度学习的入侵检测方法，例如基于卷积神经网络(Convolutional Neural Network, CNN)，自编码器(Auto Encoder, AE)或循环神经网络(Recurrent Neural Network, RNN)等等，对输入的数据进行逐层提取，使得低级线性特征经过深层神经网络的学习变为高级组合特征，从而提高对数据的深层理解能力，虽然基于深度学习的入侵检测方法可以训练出高准确率模型，但大多数情况下更适合检测攻击类型的分布同原有数据相似或相同，而且新型攻击数据往往和原有训练数据的分布不同，亦没有足够标注，为了保持高准确率需要代入已标注新攻击数据重新训练，即基于深度学习的入侵检测方法没有很好地利用模型原有的学习知识。另外，由于入侵检测数据集包含了部分网络环境的敏感信息和知识产权保护条例，不是所有的高校或公司等机构愿意公开他们的数据集。

发明内容

基于深度学习的网络入侵检测方法效果虽好，但极其依赖大量已标注数据，若训练数据不足或新型攻击数据分布与训练数据差异较大则无法达到很高的检测准确率，而重新训练的计算代价太大。针对以上问题，本发明的目的是提出一种基于PLI4DA的网络入侵检测方法，基于PLI4DA的网络入侵检测方法仅需要源域模型和无标注目标域数据，减少对源域数据和已标注目标域数据的依赖。为实现上述目的，本发明采取以下技术方案：一种基于PLI4DA的网络入侵检测方法，包括以下步骤：

步骤1，获取数据集并进行预处理，获取常用、公开的入侵检测数据集，对数据集进行预处理成可以输入神经网络的格式，同时将训练集作为源域数据，测试集作为目标域数据；

步骤2，模拟训练源域模型，使用源域数据训练一个单分支源域模型；

所述源域模型包括多个一维卷积层、池化层、全连接层和分类层；