[发明专利]一种基于可视化胶囊网络入侵检测方法

权利要求书

1.一种基于可视化胶囊网络入侵检测方法，其特征在于，所述方法包括以下步骤：

步骤S1.搜集历史网络安全数据并进行预处理：数值化，对于入侵检测数据中的字符型特征，通过One-hot操作将其扩展为单位向量来完成数值化；假设该特征有i个特征值，则将其设置为{0,1,...,i-1}中对应的一种；归一化，数据按比例缩放，将其统一映射到[-1,1]区间上；

步骤S2.对处理好的数据进行改进后的可视化操作，使其从一维数据变为具有空间信息的二维矩阵，以此更加适配深度学习模型；

步骤S3.使用CBAM模块对胶囊网络进行改进；CBAM(Convolutional Block AttentionModule)是一种改进卷积神经网络的模块，可以用来改进胶囊网络；CBAM模块通过注意力机制对特征进行加权，可以更好地利用输入特征，从而提高胶囊网络的效果；

步骤S4.将可视化处理后的入侵检测数据应用于改进后的胶囊网络入侵检测模型；

步骤S5.采用经步骤S4训练后的胶囊网络模型对实时采集的网络数据进行网络入侵分类检测。

2.根据权利要求1所述的一种基于可视化胶囊网络入侵检测方法，其特征在于，所述入侵模式包括拒绝服务入侵、远端未经授权访问入侵、未经授权提升权限入侵以及探测与扫描入侵。

3.根据权利要求1所述的一种基于可视化胶囊网络入侵检测方法，其特征在于，所述步骤S1中，对数据进行可视化处理具体为：

入侵检测数据集中，多数入侵行为数据中的某个参数会异常的高，导致离群值过多过大；如果直接进行最大最小值归一化处理，那么这些极值很大的离群值会使其余数据过于集中，无法反映数值的相对大小；因此采用范式2归一化操作来保证特征的拓扑结构：

X_tr(j,:)←log(X_tr(j,:)+|Min_j|+1)

Max＝max(X_tr)

其中X_tr为训练集，X_jr(j，：)代表的是训练集中第j维特征的所有数据，Min_j代表第j维特征中的最小值，Max为所有数据中的最大值。

4.根据权利要求1所述的一种基于可视化胶囊网络入侵检测方法，其特征在于，所述步骤S2中，对数据进行可视化处理，具体为：

步骤S2-1.确定T’；将数据T进行转置操作，得到T’；

步骤S2-2.使用t-SNE对M*N的数据进行降维可视化，得到M*2的矩阵；通过这种方式，将每一维特征Xi∈X1D分配给平面上的一个二维点，其坐标分别为tsne(T’)[i，1]和tsne(T’)[i，2]；

步骤S2-3.使用凸包算法找到包含所有通过与X1D特征相关的二维点的最小矩形(最小边界框)，并将其旋转到水平或垂直形式；旋转后的矩形用min(x)、max(x)、min(y)和max(y)表示，它们分布代表沿二维坐标系x和y的最小坐标和最大坐标；被分割成一个n×m个像素帧的二维网格X2D，像素帧长度max(x)-min(x)/n，宽度max(y)-min(y)/m。