基于CNN的可解释流量入侵检测方法

本发明属于人工智能安全，具体涉及一种基于cnn的可解释流量入侵检测方法。

背景技术：

1、随着人工智能的发展，深度神经网络在计算机网络方面得到了越来越广泛的应用。但是，现有的网络流量检测方法依然以规则化筛选方式为主，存在误判率高、规则性漏洞等缺陷。深度神经网络可以提取并学习数据流量的深度特征，从多方面研究流量特征与其行为之间的关联性，具有高效率、高准确率的特点。但是，深度神经网络通常被视为黑盒模型，人们很难了解模型的分类判断依据。近年来，人们针对深度神经网络的可解释进行了越来越广泛的研究，旨在发现模型的关注特征区域，提高模型的可信度。

2、区域可视化和特征定位是常用的可解释方法。其中，区域可视化通常用于图像处理领域，需要对模型的特征相关层进行处理，计算模型重点关注的特征在图像中所处位置。特征定位，则是模型给出分类标签c过程中的关键特征，对某一标签c，其数据样本中最频繁出现的一组特征就是关键特征，关键特征往往与分类结果有着直接的联系。

技术实现思路

1、本发明解决的技术问题：提供一种基于cnn的高准确率流量入侵检测方法的同时，可以对模型的分类依据进行可视化解释并给出关键特征，有效验证了模型分类结论的合理性，有助于提高人对模型的信任度。

2、技术方案：为了解决上述技术问题，本发明采用的技术方案如下：

3、一种基于cnn的可解释流量入侵检测方法，包括：首先，将输入样本进行图像化重构；对所用cnn模型进行预训练，选择其中表现最好的三个模型进行超参数优化；将所选模型集成、重组并进行训练；计算各个子模型的热力图；计算集成模型热力图；定位并输出关键特征。

4、作为优选，将输入样本进行图像化重构的方法如下：

5、步骤1.1：按顺序选取流量数据的可量化数字特征，作为拼接数据；

6、步骤1.2：统计特征数目，对于n个特征的数据，按照长、宽、通道数为的格式组成图片，组成方法是数据按行拼接，不足的部分采用同类数据循环拼接补齐；

7、步骤1.3：利用放缩处理图像尺寸。

8、作为优选，对cnn模型预训练，选择表现最好的三个模型进行超参数优化的方法如下：

9、步骤2.1：选用xception，vgg16，vgg19，inceptionv3和resnet152共5个模型在网络流量数据集上进行预训练；

10、步骤2.2：经过多轮训练在其准确率达到最高后，依次采用随机搜索和自适应tpe两种方法对表现最好的3个模型的超参数空间进行搜索，选取最优结果。

11、作为优选，将所选模型集成、重组并进行训练的方法如下：

12、步骤3.1：截取步骤2.2中筛选出的3个模型的输入层与输出层构成新模型，将新模型作为集成模型的特征层，每个特征层的输入和输出相互独立；

13、步骤3.2：对特征层的输出进行拼接，组成一维向量，作为集成模型的拼接层；往后依次分别加入dense层、dropout层和output层，编译构成新模型；

14、步骤3.3：冻结步骤3.1中所述的特征层和步骤3.2中所述的拼接层，对新模型进行训练。

15、作为优选，使用grad-cam方法计算各个子模型的热力图，方法如下：

16、；

17、其中，是子模型的热力图，a是子模型特征层；k是特征层的第k个通道；是子模型的最后一个卷积层对应的第k个特征图；c是分类类别；是a的权重，计算方法为：

18、；

19、其中，是模型对类别c的预测分数，是特征层k通道位置i，j的数据，z是特征层的尺寸。

20、作为优选，计算集成模型热力图的方法为：冻结集成模型的拼接层，利用集成模型的第一层全连接层权重反向计算拼接层每一个输出神经元的权重：

21、；

22、并利用各个子模型的热力图与加权后的神经元相乘叠加，得到集成模型的可视化热力图：

23、；

24、其中，为全连接层权重矩阵的第i行k列，n为全连接层神经元数目，为第n个模型的激活热力图，u是子模型输出神经元数目，是经过激活的向量的第n个元素值。

25、作为优选，定位并输出关键特征的方法如下：

26、步骤6.1：将激活热力图尺寸还原为；

27、步骤6.2：统计处于敏感区间的像素数目：对于每一列像素，如果存在3个及以上的敏感像素，则认为该列对应的特征属于关键特征；其中敏感区间的判断标准是：在bgr(0，128，255)至bgr(0，0，128)区间内。

28、有益效果：与现有技术相比，本发明具有以下优点：

29、（1） 本发明提出了基于cnn的可解释流量入侵检测方法，相比于其他流量入侵检测方法，可以挖掘特征之间的空间联系特性，具有数据可视化特点。

30、（2） 本发明在流量数据检测时，根据多种高精度模型的分类结果进行判断，具有更高的准确率。

31、（3） 本发明在给出分类后利用集成模型激活热力图的方法对分类结果进行解释，可视化的同时给出关键特征，增加了模型分类结果的可信度。

技术特征：

1.一种基于cnn的可解释流量入侵检测方法，其特征在于，包括：首先，将输入样本进行图像化重构；对所用cnn模型进行预训练，选择其中表现最好的三个模型进行超参数优化；将所选模型集成、重组并进行训练；计算各个子模型的热力图；计算集成模型热力图；定位并输出关键特征。

2.根据权利要求1所述的基于cnn的可解释流量入侵检测方法，其特征在于：将输入样本进行图像化重构的方法如下：

3.根据权利要求1所述的基于cnn的可解释流量入侵检测方法，其特征在于：对cnn模型预训练，选择表现最好的三个模型进行超参数优化的方法如下：

4.根据权利要求1所述的基于cnn的可解释流量入侵检测方法，其特征在于：将所选模型集成、重组并进行训练的方法如下：

5.根据权利要求1所述的基于cnn的可解释流量入侵检测方法，其特征在于：使用grad-cam方法计算各个子模型的热力图，方法如下：

6.根据权利要求1所述的基于cnn的可解释流量入侵检测方法，其特征在于：计算集成模型热力图的方法为：冻结集成模型的拼接层，利用集成模型的第一层全连接层权重反向计算拼接层每一个输出神经元的权重：

7.根据权利要求1所述的基于cnn的可解释流量入侵检测方法，其特征在于：定位并输出关键特征的方法如下：

技术总结
本发明公开一种基于CNN的可解释流量入侵检测方法，属于人工智能安全技术领域。包括将输入样本进行图像化重构；对所用CNN模型进行预训练，选择其中表现最好的三个模型进行超参数优化；将所选模型集成、重组并进行训练；计算各个子模型的热力图；计算集成模型热力图；定位并输出关键特征。本发明利用梯度激活热力图机制的特点，来提取模型重点关注的特征区域，在对流量数据进行分类的同时，提供了关注特征区域的可视化方法，即保证了入侵检测的准确率，又增强了模型分类依据的可解释性，提高了对模型的信任度。

技术研发人员：孙云鹏,练智超
受保护的技术使用者：南京理工大学
技术研发日：
技术公布日：2024/1/15