[发明专利]一种基于CVAE-GAN的入侵检测方法

权利要求书

1.一种基于CVAE-GAN的入侵检测方法，其特征在于，包括以下步骤：

(一)进行数据增强；包括下述分步骤：

(1)将因缺少训练而检测率低的序列数据分别转为二维图像；

(2)将第一类转换后的图像数据和条件c输入进编码器进行特征提取，编码器输出潜向量z；

(3)将上述输出的潜向量z和条件c输入进生成器，生成器生成合成异常数据x’；

(4)将分步骤(3)的输出x’和原始数据x输入到判别器D中；用判别器输出的y和门限值相比，判断生成器的输出是否合格；

(5)将分步骤(3)的输出x’和原始数据x输入到分类器C中；分类器C以x为输入，输出一个k维向量，然后用一个SoftMax函数将其转换为类概率；将分类器输出的条件c’与之前输入到编码器和生成器中c做对比，判断合成的异常数据是否与原类别相同；

(6)重复分步骤(4)-(5)，直到生成器生成的样本符合判别器和分类器的要求为止；

(7)依次将检测率偏低类型的数据由序列数据转为图像数据，利用训练好的CVAE-GAN模型，生成与检测率偏高类型数量一致的图像数据，再将图像数据转为序列数据；

(8)将生成的检测率偏低类型的数据与原始数据集合并在一起，形成新的数据集；

(9)将新数据集按8:2比例分为训练集和测试集；

(二)进行数据预处理；包括下述分步骤：

(1)将训练集数据用高维映射方法进行符号数值化处理；

(2)为了消除各属性之间的量纲影响，还需作归一化处理；

(三)进行自编码器网络特征提取；

(四)进行入侵识别；包括下述分步骤：

(1)将测试集数据参照步骤(二)进行数据预处理，得到标准数据集；

(2)将分步骤(1)得到的标准数据集输入给通过步骤(三)训练好的自编码器；

(3)把分步骤(2)的输出给SoftMax分类器，对输入的数据集进行分类；

(五)进行异常处理，分为实时入侵检测系统和事后入侵检测系统两种方式，其中：

所述实时入侵检测系统是系统自动获取系统管理员设置的策略阻断攻击行为，所采取的措施包括警报、断开与该网络的连接、关闭进程；

所述事后入侵检测系统只报告和记录发生的攻击事件，不立即对攻击行为进行处理，由系统管理员定期处理。

2.根据权利要求1所述的基于CVAE-GAN的入侵检测方法，其特征在于，步骤(三)具体包括下述分步骤：

(1)经过高维映射和归一化的数据，加入一定噪声比例ρ得到的训练数据；

(2)将训练数据作为输入，采用基于梯度下降的优化方法进行训练，得到第一隐藏层的网络参数θ₁，利用原始数据x和参数θ₁计算第一隐藏层输出h₁；

(3)将分步骤(2)得到的输出h₁加入一定噪声比例ρ后得到的数据作为第二隐藏层的输入，然后同样训练方法进行训练，得到第二隐藏层的网络参数θ₂，并利用h₁和θ₂计算第二隐藏层输出h₂；

(4)重复分步骤(2)-(3)，逐层训练得到权值参数θ₁、θ₂、θ₃、θ₄和θ₅；

(5)利用h₅和原始数据标签作为SoftMax分类器的输入，对分类器进行有监督的训练从而得到参数θ₆；

(6)初始化自编码器的权重，最后通过有监督学习对整个网络的权重进行微调。