基于图像增强的网络流量入侵检测方法和系统

本发明涉及网络安全入侵检测，特别涉及一种基于图像增强的网络流量入侵检测方法和系统。

背景技术：

1、入侵检测系统最早于l980年提出,是一种网络安全防护技术,主要通过实时监视系统在网络传输过程中识别入侵者的异常行为与企图,并采取相应安全措施进行防护。

2、根据攻击识别的原理，入侵检测系统可以分为误用检测和异常检测。误用检测能够根据攻击的特征来检测攻击，但是如果没有人工规则，它不能识别新的攻击。识别新攻击的问题已经成为该领域的主要研究焦点。

3、异常检测是通过建立一个主体正常行为的模型，将攻击行为作为异常活动从大量的正常活动中检测出来，达到对攻击行为检测的目的。即通过对大量正常活动数据的分析，将异常活动从正常活动中检测出来。相比与误用检测算法，异常检测算法的优点就是对未知攻击做到相对有效的检测。

4、传统的入侵检测系统通常将数理统计方法与机器学习相结合来检测异常数据。机器学习可以从大量的数据集中自动获取有用的信息，与入侵检测系统的结合能可以大大提高检测效率。因此，在机器学习快速发展的过程中，人们进行了大量的研究，将该技术用于入侵检测，如k近邻、支持向量机、朴素贝叶斯、k-means等监督机器学习方法，主成分分析等无监督机器学习方法有效地降低了入侵检测系统中异常数据的虚警率，提高了检测精度。

5、深度学习是机器学习的一个分支。与传统的机器学习技术相比，深度学习的主要目标是学习样本数据的内在规律，在模型构建和特征提取方面效率更高，在处理大规模数据时具有更高的准确性。近年来，随着深度学习技术的成熟和普及，越来越多的学者将深度学习应用到网络异常流量检测中，开发出cnn、rnn、ae等相关的各种方法，结合dbn等深度学习模型的网络入侵检测系统在检测海量异常数据和新型网络攻击方面表现出优异的性能。

6、卷积神经网络(cnn)是一种众所周知的深度学习模型，最开始用于图像分类，在imagenet图像分类比赛中表现良好的cnn模型，如goolenet,resnet等，分类准确率超过了人眼分辨的水平。由于cnn的良好性能，大量基于cnn模型的应用被提出。

7、在本发明中提出一种基于图像增强的网络流量入侵检测方法，将流量特征转化为图片，再利用resnet模型进行分类识别，能够高效准确出识别出攻击流量。

技术实现思路

1、本发明针对现有技术的缺陷，提供了一种基于图像增强的网络流量入侵检测方法和系统。

2、为了实现以上发明目的，本发明采取的技术方案如下：

3、一种基于图像增强的网络流量入侵检测方法，包括以下步骤：

4、s1：对流量数据中的数值特征和标签特征分别进行特征缩放和标签编码；

5、s2：假设上述生成的像素个数为s，对上述步骤生成的像素进行填充和重构，生成正方形的灰度图像；

6、s3：采用最近邻插值法对生成的灰度图像进行放大，增强生成的灰度图像的质量；

7、s4：用生成的灰度图像训练一个神经网络(resnet)，提取灰度图像的特征，然后训练一个分类器，进行网络流量的攻击性检测，识别出恶意的入侵流量。

8、进一步地，s1包括以下子步骤:

9、步骤a1，针对网络流量中的数值特征，先采用max-min归一化将所有的特征缩放到0-1范围之间，在再乘以255，取整数部分作为对应特征所对应的像素值，输出的像素值为：

10、

11、其中x代表原始特征值，xmin代表训练集中特征的最小值，xmax代表训练集中特征的最大值，xnew代表生成的像素值。

12、步骤a2，针对网络流量中的字符特征，将单个字符特征的所有可能取值进行排序，根据所取特征值的位序将字符特征编码为0-255的像素值，输出的像素值为：

13、

14、其中n代表单个特征值所有取值的个数，c代表其中每个取值的位序。

15、进一步地，s2包括以下子步骤：

16、步骤b1，假设n2为大于s的最小完全平方数，采用0像素将上述生成的像素填充为n2个

17、步骤b2，将这n2个像素进行重构，每n个像素值进行换行，最后得到一个大小为n*n的正方形灰度图。

18、进一步地，s3中最近邻插值法坐标变换计算公式如下：

19、srcx＝dstx*(srcwidth/dstwidth)

20、srcy＝dsty*(srcheight/dstheight)

21、上式中，dstx与dsty为目标图像的某个像素的横纵坐标，dstwidth与dstheight为目标图像的长与宽；srcwidth与srcheight为原图像的宽度与高度。srcx，srcy为目标图像在该点(dstx，dsty)对应的原图像的坐标。像素点(dstx，dsty)的取值为(srcx，srcy)四舍五入后对应原图像位置的取值。

22、进一步地，s4中resnet卷积层的公式如下

23、

24、其中o表示输出特征映射中的元素值；f表示输入特征映射中的元素值；k表示卷积核中的元素值；(i,j)表示输出特征映射中的位置；(m,n)表示卷积核中的位置，经过多层的卷积层后，得到根据灰度图像提取出来的特征。

25、进一步地，s4中采用sigmod激活函数输出预测为攻击类型的概率值，公式如下：

26、

27、x表示最后经过全连接层输出的分数，sigmoid函数的输出范围始终在0到1之间。sigmoid函数将网络的输出映射为表示正类的概率，也即是预测为攻击的概率。采用的二元交叉熵损失函数如下：

28、

29、表示二分类交叉熵损失；y是实际的标签值(0或1)；是模型预测的概率值。

30、将若输出的概率大于0.5，则将该条流量预测为入侵流量，反之，则预测为正常的访问流量。

31、本发明还公开了一种基于图像增强的网络流量入侵检测系统，该系统能够用于实施上述的基于图像增强的网络流量入侵检测方法，具体的，包括：

32、特征处理模块：对网络流量数据中的数值特征和标签特征进行特征缩放和标签编码，以便进行后续处理。

33、图像生成模块：将处理后的特征数据转换成像素，并对生成的像素进行填充和重构，生成正方形的灰度图像。

34、图像增强模块：采用最近邻插值法对生成的灰度图像进行放大，以增强图像的质量和增加细节。

35、神经网络训练模块：利用生成的灰度图像训练一个神经网络模型resnet，从中提取图像特征，并训练一个分类器，用于网络流量的攻击性检测，从而识别出恶意的入侵流量。

36、本发明还公开了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述基于图像增强的网络流量入侵检测方法。

37、与现有技术相比，本发明的优点在于：

38、方便的部署到服务器端，检测访问服务器流量包是否为攻击的流量，为服务器端提供预警。有效避免不同的攻击对个人电脑的系统、个人信息、系统资源的侵害，同时可以防御如ddos对服务器的攻击。并且对于恶意流量的监测具有较高的识别率，提高了预测的准确性。