[发明专利]一种基于元学习的小样本场景下网络入侵检测方法

权利要求书

1.一种基于元学习的小样本场景下网络入侵检测方法，其特征在于，包括以下步骤：

步骤（1）数据包捕获：从目标网络上抓取各种类型的流量信息，分类打好标签存放；

步骤（2）构建数据集：从采集的原始流量信息中构建出用于元学习的2个数据集，即将预处理后的流量组合成数据流，再以数据流为单位随机划分出采样集、请求集、支持集和测试集，最后把采样集和请求集构建成元训练集，把支持集和测试集构建成元测试集；

步骤（3）特征提取：从数据集里选择2个相同结构的数据流，通过对数据流进行特征提取得到2组特征；

步骤（4）比较：对2组特征进行比较，输出差异值，差异值是一个实数，表示两个输入的数据流的差异；

步骤（5）分类：每一个测试集里的样本会和支持集里的样本一一对比，根据支持集里样本标签分类计算平均差异值，即分别计算测试集里的样本和支持集里正常与恶意两类样本的平均差异值，测试集里样本预测的标签是和支持集里平均差异值最小的那一类样本的标签；

步骤（6）输出：如果得到的预测标签是恶意流量，说明检测到了网络入侵，输出入侵报警信息。

2.根据权利要求1所述的基于元学习的小样本场景下网络入侵检测方法，其特征在于，所述数据包捕获步骤中，需要得到正常流量样本和至少两类不同的恶意流量样本，其中正常流量样本和一部分类别的恶意流量样本属于大样本场景，另一部分类别的恶意流量样本属于小样本场景。

3.根据权利要求1所述的基于元学习的小样本场景下网络入侵检测方法，其特征在于，所述的将预处理后的流量组合成数据流，是指将具有相同的五元组[源IP，目的IP，源端口，目的端口，协议]的网络流量数据包按时间先后顺序组合在一起，得到数据流，数据流的标签与其中包含的数据包的标签一致，若同一个数据流里包含多种标签的数据包，则由人工介入手动指定一种标签。

4.根据权利要求1所述的基于元学习的小样本场景下网络入侵检测方法，其特征在于，所述的特征提取步骤和比较步骤通过人工神经网络完成，特征提取网络记为F-Net，比较网络记为C-Net，且两个网络是级联关系，构成FC-Net可以实现输入数据流，输出差异值的功能。

5.根据权利要求4所述的基于元学习的小样本场景下网络入侵检测方法，其特征在于，所述的特征提取步骤和比较步骤使用的FC-Net以端到端的方式训练，不需要人工提取特征。

6.根据权利要求4所述的基于元学习的小样本场景下网络入侵检测方法，其特征在于，所述的特征提取网络F-Net是一个双路的处理三维张量的卷积网络，每一路都由Block I和Block II两种模块交叉排列而成，其中Block I模块由三维卷积操作、批标准化操作、非线性激活操作和随机失活操作组成，Block II模块在Block I模块基础上删去随机失活操作。

7.根据权利要求4所述的基于元学习的小样本场景下网络入侵检测方法，其特征在于，所述的比较网络C-Net一共由6层组成：连接层、卷积层1、卷积层2、全连接层1、全连接层2和输出层。

8.根据权利要求4所述的基于元学习的小样本场景下网络入侵检测方法，其特征在于，所述的比较网络C-Net学习得到的比较函数不一定严格满足对称性，但是训练时2个被比较的特征表达随机输入，不区分顺序，最终学习得到的比较函数会近似满足对称性。