[发明专利]网络入侵检测方法及其模型的训练方法、装置和服务器

权利要求书

1.一种网络入侵检测方法，其特征在于，所述方法包括：

获取待检测的网络流量数据；

通过预先训练完成的入侵数据检测模型，提取所述网络流量数据的特征数据，并基于所述特征数据确定所述网络流量数据是否是入侵数据；

其中，所述入侵数据检测模型通过双向长短时记忆神经网络训练得到；所述入侵数据检测模型还用于为提取出的所述特征数据设置预设的权重值。

2.根据权利要求1所述的方法，其特征在于，所述网络流量数据包括网络连接和系统审计数据。

3.根据权利要求1所述的方法，其特征在于，基于所述特征数据确定所述网络流量数据是否是入侵数据的步骤之后，所述方法还包括：

如果所述网络流量数据是入侵数据，生成报警信息，将所述报警信息发送至用户。

4.一种网络入侵数据检测模型的训练方法，其特征在于，包括：

基于预设的训练集合确定当前训练样本；

将所述当前训练样本进行数据预处理，得到所述当前训练样本的训练集合；

将所述训练集合输入至预设的双向长短时记忆神经网络，输出入侵分类预测的输出值；

根据所述输出值和预设的损失函数，计算所述输出值的损失值；

根据所述输出值和所述损失值更新所述双向长短时记忆神经网络模型中的参数；

继续执行基于预设的训练集合确定当前训练样本的步骤，直至所述损失值收敛，得到网络入侵检测模型。

5.根据权利要求4所述的方法，其特征在于，所述当前训练样本包括网络连接和系统审计数据的样本数据；

将所述当前训练样本进行数据预处理，得到所述当前训练样本的训练集合的步骤，包括：

将所述当前训练样本输入至预设的特征提取单元，输出预设维度的特征数据；

对每个维度的所述特征数据进行数字化处理，将处理后的所述特征数据进行归一化处理；

对所述归一化处理后的所述特征数据设置入侵类型标签；

将设置有所述入侵类型标签的所述特征数据转换为预设格式；

从格式转换后的所述特征数据中选取预设比例的特征数据，形成训练集合。

6.根据权利要求4所述的方法，其特征在于，所述双向长短时记忆神经网络包含：前向传播单元、反向传播单元和全连接单元；所述前向传播单元包括：双向长短时记忆神经网络细胞、注意力机制细胞和全连接细胞；

将所述训练集合输入至预设的双向长短时记忆神经网络，输出入侵分类预测的输出值的步骤，包括：

将所述训练集合输入至所述双向长短时记忆神经网络细胞中进行特征融合，得到融合之后的特征数据；

将所述融合之后的特征数据输入至所述注意力机制细胞，以对所述融合之后的特征进行二次特征融合，并赋予预设的权重值；

将赋予所述权重值的所述特征数据输入至所述全连接细胞，输出入侵分类预测输出值。

7.根据权利要求4所述的方法，其特征在于，得到网络入侵检测模型的步骤之后，所述方法还包括：

基于预设的测试集合确定当前测试样本；

将所述当前测试样本进行数据预处理，输出所述当前测试样本的测试集合；

将所述测试集合输入至所述网络入侵检测模型，输出入侵分类测试结果；

判断所述测试结果是否满足预设精度，如果不满足所述预设精度，继续执行基于预设的训练集合确定当前训练样本的步骤，直至所述测试结果满足所述预设精度。

8.一种网络入侵检测装置，其特征在于，所述装置包括：

数据获取模块，用于获取待检测的网络流量数据；

结果输出模块，通过预先训练完成的入侵数据检测模型，提取所述网络流量数据的特征数据，并基于所述特征数据确定所述网络流量数据是否是入侵数据；

其中，所述入侵数据检测模型通过双向长短时记忆神经网络训练得到；所述入侵数据检测模型还用于为提取出的所述特征数据设置预设的权重值。