[发明专利]基于数据增强和自监督特征增强的网络入侵检测方法

说明书

本发明公开了基于数据增强和自监督特征增强的网络入侵检测方法，该方法包括：对数据进行预处理，预处理后的数据集包括正常样本和攻击类样本，使用自编码器对攻击类样本进行数据增强，扩充攻击类样本数；构建CNN‑BiLSTM神经网络和自编码器组成半自监督模型分别提取高维流量特征和自监督特征；将特征增强后的组合特征作为最终特征输入到分类模型中进行预测，对网络流量进行分类判断其是否是攻击流量，实现网络入侵检测的功能。本方法对攻击类样本进行数据增强的同时，还利用自监督模型提取自监督特征对流量特征进行增强，辅助CNN‑BiLSTM网络完成后续的分类任务，进一步提高了网络入侵的检测精度，提高了对未知攻击的检测功能，降低了误报率。

技术领域

本发明涉及网络技术领域，具体涉及基于数据增强和自监督特征增强的网络入侵检测方法。

背景技术

随着互联网技术的快速发展，我国已然进入信息化大数据时代。物联网，云计算等互联网新技术的应用在给人们带来巨大便利的同时，也让人们处在网络安全隐患威胁当中。特别是数据泄露、网络入侵等网络安全问题日益严峻，引起了人们对网络安全的高度重视。

尽管网络入侵检测技术已经发展了数十年，但是现有的网络入侵检测技术仍然面临着日益复杂的互联网攻击和海量数据入侵检测的挑战，准确检测异常流量对于网络安全性和可靠性尤为重要，现有的基于传统的机器学习方法是简单的浅层特征学习，面对大规模高维网络流量数据，往往需要进行复杂的特征提取工程，且准确率较低。而深度学习网络不需要复杂的特征工程就可以自动进行高维数据的特征选择，更适合用于网络入侵检测。

在目前使用自编码器网络的网络入侵检测模型中，绝大多数自编码器网络用于降维或者数据增强，然而自编码器作为自监督模型的一种，最主要的目的就是学习到更丰富的信息表征。实际上我们不仅可以用自编码器进行数据增强扩充攻击流量的数量，还可以用自编码器从原始网络中学习到更丰富的特征以增加流量的特征信息对流量特征进行增强。

虽然现有的基于数据增强的网络入侵检测模型有很多，但是应用于网络入侵检测中的特征增强还鲜少有学者进行研究。本发明在对攻击流量样本进行数据增强的同时还采用半自监督模型对流量特征进行增强。

发明内容

本发明目的：在于提供基于数据增强和自监督特征增强的网络入侵检测方法，设计了一种自编码器对攻击类流量进行流量数据扩充，解决了攻击类样本不足的问题，将扩充后的网络流量数据样本输入到所设计的CNN-BiLSTM神经网络中训练提取高维时空流量特征，并且通过自编码器网络从原始网络流量数据样本中学习更丰富的信息表征进行特征增强，生成自监督特征，将高维时空流量特征和自监督特征形成的组合特征输入分类网络进行分类；该方法能够有效提高网络入侵的检测精度，提高了对未知攻击的检测功能，降低了误报率。

为实现以上功能，本发明设计基于数据增强和自监督特征增强的网络入侵检测方法，基于数据增强和自监督特征增强的网络入侵检测方法，按预设周期执行步骤S1-步骤S4，获得网络入侵检测模型，然后应用网络入侵检测模型，对网络流量进行分类，实现网络入侵检测的功能；

S1:对网络流量数据集做数据分析，根据数据分析结果进行数据预处理，数据预处理方法具体包括：对网络流量数据集进行标准化处理，即采用独热编码将符号特征转换成数值特征表示；并使用四分位距异常值处理算法，对数值特征进行异常值处理；对经过标准化和异常值处理后的数据集进行Min-Max Scaling将数值归一化到0到1之间。以网络流量数据集中的网络流量样本为输入，以经过预处理的网络流量数据集中的网络流量样本为输出，构建网络流量数据预处理模块；

S2:网络流量数据集包括训练数据集、测试数据集，训练数据集、测试数据集中的网络流量样本包括攻击类样本，以经过预处理的网络流量数据集中训练数据集的攻击类样本为输入，构建数据增强自编码器网络对攻击类样本进行数据增强处理，生成预设数量的攻击类样本，基于生成的攻击类样本和步骤S1所获得的经过预处理的网络流量数据集中训练数据集中的网络流量样本，构建最终训练数据集，并输出最终训练数据集，构建攻击类样本增强模块；