[发明专利]一种网络入侵检测方法及系统

说明书

本发明实施例提供一种网络入侵检测方法及系统，该方法包括：基于训练好的网络入侵检测模型对待检测网络数据进行检测，并对得到的检测结果进行分析判断，若判断获知待检测网络数据为网络已知数据，则根据检测结果，对网络已知数据进行细粒度分类；若判断获知待检测网络数据为网络未知类别入侵数据，则对网络未知类别入侵数据进行聚类，获取网络未知类别入侵数据中各类别的聚类质心；根据网络未知类别入侵数据中各类别的聚类质心，对训练好的网络入侵检测模型的分类器进行更新，以根据更新后的网络入侵检测模型对后续待检测网络数据中网络未知类别入侵数据进行入侵检测。本发明实施例实现对网络未知入侵的识别和学习。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络入侵检测方法及系统。

背景技术

如今，随着5G技术的快速发展，以及物联网技术的广泛使用，大量的物理设备接入网络，使得整个网络容易受到各种各样的安全威胁。现有大多数网络系统都使用防火墙进行预防，而将入侵检测系统(Intrusion Detection System，简称IDS)认为是第二道防线。

但是，现有基于机器学习和基于深度学习的入侵检测解决方案与IDS实际部署的解决方案之间存在严重脱节。具体而言，现有的大部分算法是基于一些有缺陷的假设，进而扭曲了其映射到实际部署的IDS。目前，大部分的算法都是基于封闭世界的假设，在分类过程中只考虑在训练期间看到的类别，仅评估固定的闭集类的准确性，而实际部署的IDS处于一个动态和开放的环境，新的网络入侵会不断出现，由于训练数据集难以覆盖所有会出现的网络入侵，根据不完整的训练数据集所构建的入侵检测模型可能会将新的网络入侵误检为已有入侵或者已有正常行为，从而导致入侵检测模型在检测未知网络入侵时失效。

因此，现在亟需一种网络入侵检测方法及系统来解决上述问题。

发明内容

针对现有技术存在的问题，本发明实施例提供一种网络入侵检测方法及系统。

第一方面，本发明实施例提供了一种网络入侵检测方法，包括：

基于训练好的网络入侵检测模型对待检测网络数据进行检测，并对得到的检测结果进行分析判断，若判断获知所述待检测网络数据为网络已知数据，则根据所述检测结果，对所述网络已知数据进行细粒度分类；若判断获知所述待检测网络数据为网络未知类别入侵数据，则对所述网络未知类别入侵数据进行聚类，获取所述网络未知类别入侵数据中各类别的聚类质心；

根据所述网络未知类别入侵数据中各类别的聚类质心，对所述训练好的网络入侵检测模型的分类器进行更新，以根据更新后的网络入侵检测模型对后续待检测网络数据中网络未知类别入侵数据进行入侵检测。

进一步地，所述训练好的网络入侵检测模型是通过以下步骤得到的：

基于卷积神经网络构建待训练的网络入侵检测模型，所述待训练的网络入侵检测模型包括卷积层、最大池化层、完全连接层和最近类别均值分类器；

获取训练样本集，所述训练样本集包括网络已知样本数据和分布外合成样本网络数据，所述网络已知样本数据包括网络样本正常数据和网络样本入侵类别数据，所述分布外合成样本网络数据是通过所述网络已知样本数据和样本噪声数据合成得到的；

获取预设训练损失函数，所述预设训练损失函数包括Fisher损失函数和MMD损失函数，并将所述Fisher损失函数、所述MMD损失函数和交叉熵损失函数进行联合优化处理，得到整体训练损失函数；

根据所述训练样本集和所述整体训练损失函数，对所述待训练的网络入侵检测模型进行批次训练，得到所述训练好的网络入侵检测模型。

进一步地，在所述根据所述训练样本集和所述整体训练损失函数，对所述待训练的网络入侵检测模型进行批次训练，得到所述训练好的网络入侵检测模型之后，所述方法还包括：