[发明专利]基于混合神经网络CNN-DNN的入侵检测系统及方法

权利要求书

1.一种基于混合神经网络CNN-DNN的入侵检测系统，其特征在于包括：

网络流量收集模块，用于获取实时网络流量数据；

流量数据预处理模块，用于接收来自网络流量收集模块的网络流量数据，将网络流量数据中字符、文本转化为数字，并进行归一化操作，最后利用组合自编码器将网络流量数据降维；

混合神经网络CNN-DNN模块，用于对流量数据预处理模块传输的数据进行实时异常判别；

预测结果输出模块，用于输出混合神经网络CNN-DNN模块的预测结果并存储，同时提供接口供第三方应用程序直接获取混合神经网络CNN-DNN模块的预测结果。

2.一种基于混合神经网络CNN-DNN的入侵检测方法，其特征在于该方法包括以下步骤：

步骤S100：获取带有标签的网络流量数据；

步骤S200：数据预处理：

将网络流量数据中字符、文本信息转化为数字，并进行归一化操作；最后利用组合自编码器将网络流量数据降维；具体是：

S210：对上述得到的每个网络数据包进行缺失特征填补；

S220：对缺失特征填补后的网络数据包进行数据类型判断，若全部为数值则跳转至S240，反之则跳转至S230；

S230：判断缺失特征填补后的网络数据包中非数值类特征是否存在关联特征，若存在则对所有关联特征采用独热编码LabelEncoder将其转换为数值，对其他非数值类特征用标签编码转化为数值；若不存在关联特征则所有非数值类特征采用标签编码OneHotEncoder转化为数值；

S240：对数值特征进行最值归一化操作；

S250：对步骤S240处理后的数据使用组合自编码器进行数据降维；

所述组合自编码器是在传统自编码器的隐藏层与输入层间增加一层组合特征筛选层；所述组合特征筛选层包括个子自编码器，其用于降维；每个子自编码器的输入为组合自编码器输入层接收到n维数值特征中随机筛选出的m维数值特征；

步骤S300：将步骤S200预处理后的数据其中一部分作为训练集，另一部分作为测试集；

步骤S400：构建混合神经网络CNN-DNN，并利用步骤S300获得进行训练；

S500：利用测试集对上述训练好的混合神经网络CNN-DNN进行测试；

S600：实时获取目标检测网络的未带标签网络流量数据集；然后重复步骤S200，然后将其输入至测试好的混合神经网络CNN-DNN，以实现入侵检测。

3.如权利要求2所述的一种基于混合神经网络CNN-DNN的入侵检测方法，其特征在于步骤S210所述缺失特征填补具体是对缺失特征采用相对应的特征默认值进行填补。

4.如权利要求2所述的一种基于混合神经网络CNN-DNN的入侵检测方法，其特征在于所述混合神经网络CNN-DNN以降维后的网络流量数据集作为输入，以分类结果为输出；其包括依次级联的卷积神经网络模块CNN、深度神经网络模块DNN。

5.如权利要求4所述的一种基于混合神经网络CNN-DNN的入侵检测方法，其特征在于所述卷积神经网络模块CNN包括依次级联的输入层、第一卷积层、第一池化层、第二卷积层、第二池化层、第三卷积层；其中第一至三卷积层神经元数量为64～256不等，前两卷积层后使用池化层防止过拟合；

所述深度神经网络模块DNN包括依次级联的3层全连接层、输出层。

6.如权利要求2所述的一种基于混合神经网络CNN-DNN的入侵检测方法，其特征在于目标检测网络获取网络流量数据集的方式是嗅探器。