一种基于并行交叉卷积神经网络的网络入侵检测方法

本发明涉及一种基于并行交叉卷积神经网络的网络入侵检测方法，属于网络安全。

背景技术：

1、科技的进步推动网络空间成为了继陆地、海洋、天空和太空之后的“第五前沿”，如何提升网络信息传输的安全性至关重要。

2、防火墙、策略管理、加密、身份验证等预防性安全机制是抵御网络入侵的第一道防线，但都属于被动的防护策略，这些预防机制提供的安全防护不足以抵御内部攻击，且对以前的流量数据有严重的依赖性。伴随着黑客攻击手段的不断升级以及网络的飞速发展，海量网络数据流量的处理问题亟需解决。

3、得益于人工智能的进步，基于深度学习的网络入侵检测技术成为网络安全领域的研究热点，目前深度学习方法已顺利应用于图像处理、数据处理、网络安全等诸多领域。基于深度学习的网络入侵检测是网络安全领域的一个重要研究课题，但是现有技术在检测多类非平衡异常流量数据方面仍然存在许多挑战和不足，在网络入侵检测领域，不同类别的异常流量的数据量差异很大，研究学者过于关注异常流量分类的整体准确率，而忽略了不平衡样本的分类准确率，存在数据不平衡的问题。

技术实现思路

1、本发明的目的在于克服现有技术中的不足，提供一种基于并行交叉卷积神经网络的网络入侵检测方法，提高对不平衡异常流量的检测效果。

2、为达到上述目的，本发明采用下述技术方案实现的：

3、本发明提供一种基于并行交叉卷积神经网络的网络入侵检测方法，所述方法包括：

4、获取网络入侵数据集进行预处理，将预处理后数据划分为训练集和测试集；

5、构建并行交叉卷积神经网络模型，通过嵌入层将预处理后的数据转换成向量，作为并行交叉卷积神经网络模型的输入数据；

6、使用部分训练集数据对并行交叉卷积神经网络模型超参数进行tpe优化，得到最优超参数；

7、将最优超参数作为并行交叉卷积神经网络模型的参数，使用完整的训练集对并行交叉卷积神经网络模型重新训练，得到待测试并行交叉卷积神经网络模型；

8、使用测试集对待测试并行交叉卷积神经网络模型进行测试，若测试结果与真实结果一致，则将该模型作为最终的网络入侵检测模型；否则调整最优超参数至模型测试结果与真实结果一致。

9、进一步的，所述预处理包括：

10、将cicids2017网络入侵数据集按照流的方式进行流量切分，得到若干个离散流量数据文件；

11、将离散流量数据文件按照固定字节进行统一长度处理，将统一长度处理后的离散流量数据文件生成json格式文件。

12、进一步的，所述并行交叉卷积神经网络模型由两组分支网络构成，依赖于一维卷积，并执行三次特征融合操作。

13、进一步的，所述构建并行交叉卷积神经网络模型包括：

14、对两组分支网络进行第一次下采样，对输出的特征图进行通道级联的第一次特征融合；

15、将第一次特征融合后的特征图分别通过两次卷积操作，对输出的特征图进行通道级联的第二次特征融合；

16、对第二次特征融合后的特征图分别执行第二次下采样，对输出的特征图进行通道级联的第三次特征融合，

17、将第三次特征融合后的特征图分别通过两次卷积操作，再依次采用带dropout的全局平均池层减小特征图的大小，最后采用softmax函数进行多类网络异常流量分类，得到并行交叉卷积神经网络模型。

18、进一步的，所述两次卷积操作后进行附加操作，所述附加操作包括对卷积后的特征图依次进行批处理规范化处理及使用leakyrelu激活函数处理。

19、进一步的，所述通过嵌入层将预处理后的数据转换成向量包括：构建嵌入层，将预处理后的数据通过嵌入层转换成向量。

20、进一步的，得到所述最优超参数包括：

21、对并行交叉卷积神经网络模型定义若干个超参数，构成超参数空间；

22、将超参数空间通过tpe优化算法带入到并行交叉卷积神经网络模型中，使用10％的训练集数据进行训练，得到最优超参数。

23、第二方面，本发明提供一种基于并行交叉卷积神经网络的网络入侵检测装置，包括：

24、预处理模块：用于获取网络入侵数据集进行预处理，将预处理后数据划分为训练集和测试集，以及通过嵌入层将预处理后的数据转换成向量，作为并行交叉卷积神经网络模型的输入数据；

25、优化模块：用于构建并行交叉卷积神经网络模型，使用部分训练集数据对并行交叉卷积神经网络模型超参数进行tpe优化，得到最优超参数；

26、训练模块：用于将最优超参数作为并行交叉卷积神经网络模型的参数，使用完整的训练集对并行交叉卷积神经网络模型重新训练，得到待测试并行交叉卷积神经网络模型；

27、测试模块：使用测试集对待测试并行交叉卷积神经网络模型进行测试，若测试结果与真实结果一致，则将该模型作为最终的网络入侵检测模型；否则调整最优超参数至模型测试结果与真实结果一致。

28、本发明还提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时，实现上述任一所述的基于并行交叉卷积神经网络的网络入侵检测方法方法。

29、与现有技术相比，本发明所达到的有益效果包括：

30、本发明采用并行交叉卷积神经网络模型，可以在样本较少的情况下更好地学习流量特征，提高对不平衡异常流量的检测效果；

31、通过引入嵌入层，进一步降低维度，以及减少计算量，且通过采用tpe超参数优化算法，自动选择最优超参数值，省去需要人工反复实验，手动调参的过程；

32、在构建模型时，采用tpe参数优化算法，对模型中的超参数进行优化，自动选择最优超参数。

技术特征：

1.一种基于并行交叉卷积神经网络的网络入侵检测方法，其特征在于，所述方法包括：

2.根据权利要求1所述的基于并行交叉卷积神经网络的网络入侵检测方法，其特征在于，所述预处理包括：

3.根据权利要求1所述的基于并行交叉卷积神经网络的网络入侵检测方法，其特征在于，所述并行交叉卷积神经网络模型由两组分支网络构成，依赖于一维卷积，并执行三次特征融合操作。

4.根据权利要求3所述的基于并行交叉卷积神经网络的网络入侵检测方法，其特征在于，所述构建并行交叉卷积神经网络模型包括：

5.根据权利要求4所述的基于并行交叉卷积神经网络的网络入侵检测方法，其特征在于，所述两次卷积操作后进行附加操作，所述附加操作包括对卷积后的特征图依次进行批处理规范化处理及使用leakyrelu激活函数处理。

6.根据权利要求1所述的基于并行交叉卷积神经网络的网络入侵检测方法，其特征在于，所述通过嵌入层将预处理后的数据转换成向量包括：构建嵌入层，将预处理后的数据通过嵌入层转换成向量。

7.根据权利要求1所述的基于并行交叉卷积神经网络的网络入侵检测方法，其特征在于，得到所述最优超参数包括：

8.一种基于并行交叉卷积神经网络的网络入侵检测装置，其特征在于，包括：

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时，实现如权利要求1-7中任一所述的基于并行交叉卷积神经网络的网络入侵检测方法方法。

技术总结
本发明公开了一种基于并行交叉卷积神经网络的网络入侵检测方法，包括获取网络入侵数据集进行预处理，将预处理后数据划分为训练集和测试集；构建并行交叉卷积神经网络模型，通过嵌入层将预处理后的数据转换成向量，作为模型的输入数据；使用部分训练集对模型超参数进行TPE优化，得到最优超参数；将最优超参数作为模型的参数，使用完整的训练集对模型重新训练，训练完成后得到待测试模型，使用测试集对模型进行测试，若测试结果与真实结果一致，则将该模型作为最终的网络入侵检测模型；否则调整最优超参数至模型测试结果与真实结果一致，有效提高了对不平衡异常流量的检测效果。

技术研发人员：邹柏林,刘惠义,吴育宝
受保护的技术使用者：南京森林警察学院
技术研发日：
技术公布日：2024/1/15