[发明专利]基于深度生成模型的半监督入侵检测方法

说明书

本发明公开了一种基于深度生成模型的半监督入侵检测方法，包括：一、数据预处理，将数据集中的符号属性转化为数值属性，后对全部数值属性进行归一化处理；二、利用生成模型中的变分自编码技术将有标签和无标签数据的高维特征表示转换成新特征空间低维表示，对低维特征向量加一个约束使之服从高斯正太分布，得到隐变量z，用隐变量z结合有标签样本训练分类器；三、有标签样本数据重构，用隐变量z结合标签类别信息共同生成新的有标签样本；四、无标签样本重构，用隐变量z预测无标签样本所属每一个类别的概率，然后结合隐变量z生成新的无标签样本；五、用新生成的有标签和无标签样本计算模型的重构误差，结合分类误差训练优化模型参数直至收敛。

技术领域

本发明应用于网络安全中的入侵检测领域。特别是涉及一种基于深度生成模型的半监督入侵检测方法。

背景技术

随着网络与信息技术日新月异的发展，网络安全问题已经成为一个备受关注的重大问题。入侵检测(Intrusion Detection)是一种积极主动的安全防护技术，通过分析网路流量或系统审计记录发现入侵行为，当发现可疑通信时发出告警或采取防御措施以保证系统安全。

目前基于机器学习与深度学习的入侵检测学习算法是国内外学者研究的重点，对现有的入侵检测方法总结分析如下：

(1)基于统计的入侵检测方法。统计模型的基础是收集大量的训练数据，在数据中获得各个特征的取值范围划分统计区间，从而确定系统特征的统计度量值，并推测出统计测度，是早期异常检测的基础。统计方法依赖于大量的已知数据，但是这种方法不能反映所识别出的事件在时间上的先后顺序，阈值的设置也是影响系统准确率的因素之一。

(2)基于规则的入侵检测方法。系统需要动态建立和维护一个规则库，利用规则对发生的事件进行判断。规则的建立通常也依赖于大量已有的知识，与统计方法的区别在于建立的是规则而不是系统度量，例如树形规则库或基于时间的规则库。专家系统是一种基于预定义规则的方法，根据专家经验预先定义系统的推理规则，将已知的入侵行为特征或攻击代码等编为规则集，是误用入侵检测的典型方法。基于规则的方法对于已知的攻击或入侵有很高的检测率，但是难以发现未知攻击。

(3)基于神经网络的入侵检测方法。神经网络方法以其并行式计算、分布式存储、以及多层结构的特点，适合于计算大规模、高维度的网络数据。通过已知数据训练神经网络分类器，然后以待分类的数据作为神经网络的输入，通过隐层的计算，最终输出层的结果即为分类结果。神经网络方法的优势是能够处理大规模、高维度的数据，缺点是所构建的神经网络隐层拓扑以及输出结果等通常难以控制和解释。

(4)基于免疫学的入侵检测方法。利用生物体的免疫机理进行入侵行为的分析，区分自我(Self)和非我(None-self)，并消除异常模式，建立系统正常行为的特征库。定义属于“自我”的体系结构、管理策略与使用模式等，监视系统的行为，识别“非我”的行为。

基于以上入侵检测算法通常只能检测已知的攻击类型且需要大量有标签样本，模型时间计算复杂度高。

发明内容

为了解决上述问题，本发明的目的在于提供一种基于深度生成模型半监督入侵检测方法。

为了达到上述目的，本发明提供的

一种基于深度生成模型的半监督入侵检测方法，包括下列步骤：

步骤一、将数据集中的符号属性转化为数值型属性，然后将所有数值型属性归一化；

步骤二、将归一化处理后的数据作为变分自编码的输入，建立高维空间到低维空间的双向映射，设置模型的深度和每一层隐藏层单元的个数，进而把得到隐变量z，将隐变量z作为分类器的输入变量，训练分类器；得到分类误差；

步骤三、将有标签样本编码得到的隐变量z和有标签样本的签信息做数据重构，生成新的有标签样本；