[发明专利]一种基于CVAE-GAN的入侵检测方法

说明书

本发明公开了一种基于CVAE‑GAN的入侵检测方法，涉及入侵检测技术领域，包括以下主要步骤：（一）进行数据增强；（二）进行数据预处理；（三）进行自编码器网络特征提取；（四）进行入侵识别；（五）进行异常处理。本发明有效地解决了入侵检测系统对某类或某几类数据检测率过低的问题。

技术领域

本发明涉及入侵检测技术领域，尤其涉及一种基于CVAE-GAN的入侵检测方法。

背景技术

随着接入互联网的应用设备不断普及，越来越多的业务需要依赖网络来完成，随之带来了日益增加的用户对网络安全性能的重视。由于网络攻击手段及攻击规模不断的迭代发展，致使传统的入侵检测机制等被动的安全检测系统对层出不穷的攻击行为难以阻挡。随后研究者将入侵检测作为一种主动防御技术进行研究，以弥补了传统安全检测技术的不足，主动防御及响应技术也开始受到国内外的研究学者们所关注。

入侵攻击严重的威胁着个人隐私信息以及企业的重要信息，网络安全防御技术的改进显得尤为重要。目前，网络安全防御技术有安全路由器、VPN安全网关、防火墙和加密认证等技术。但这些技术只能通过固定的策略为网络建起一道安全屏障，这只是一种被动的对已知非法访问进行控制的安全防御手段，无法对未知的行为进行检测并响应。

入侵检测是对潜在的攻击行为进行检测，主要是通过收集网络流量的特征属性和系统操作审计信息，然后分析收集到的信息，判断网络设备或操作系统中是否存在可疑的行为，当检测到网络设备或操作系统中受到攻击时，在还没有对系统产生危害之前拦截攻击行为。入侵检测弥补了被动防御技术的缺陷，有效地应对网络中的各种攻击行为，完善了网络信息安全的基础架构。

以NSL-KDD训练数据集为例，异常数据的比例是46.54％，在入侵检测数据集中异常数据比例是较高的。其中异常数据包含有四类攻击数据，他们对应的数量分别是PROBE：11656，DOS：45927，U2R： 52，R2L：995。目前将自编码器应用到入侵检测中，由于数据集的不平衡性，对四类数据进行训练，检测率有着很大的差距，PROBE和DOS 攻击的检测率可以达到98％以上，而U2R和R2L攻击的检测率分别只有0％和28％。由此可知，目前入侵检测中对低样本检测成功率非常低。

发明内容

针对现有技术的不足，本发明所解决的技术问题是如何解决因原始数据集中某类异常类数据太少而导致的检测率太低的问题。

为解决上述技术问题，本发明采用的技术方案是一种基于 CVAE-GAN的入侵检测方法，包括以下主要步骤：

(一)进行数据增强，具体包括下述分步骤：

(1)将因缺少训练而检测率低的序列数据分别转为二维图像；

(2)将第一类转换后的图像数据和条件c输入进编码器进行特征提取，编码器输出潜向量z；

(3)将上述输出的潜向量z和条件c输入进生成器，生成器生成合成异常数据x’；

(4)将分步骤(3)的输出x’和原始数据x输入到判别器D中；用判别器输出的y和门限值相比，判断生成器的输出是否合格；

(5)将分步骤(3)的输出x’和原始数据x输入到分类器C中；分类器C以x为输入，输出一个k维向量，然后用一个SoftMax函数将其转换为类概率；将分类器输出的条件c’与之前输入到编码器和生成器中c做对比，判断合成的异常数据是否与原类别相同；

(6)重复分步骤(4)-(5)，直到生成器生成的样本符合判别器和分类器的要求为止；

(7)依次将检测率偏低类型的数据由序列数据转为图像数据，利用训练好的CVAE-GAN模型，生成与检测率偏高类型相当数量的图像数据，再将图像数据转为序列数据；

(8)将生成的检测率偏低类型的数据与原始数据集合并在一起，形成新的数据集；