一种计算机网络入侵检测方法及系统

本发明涉及网络安全，尤其涉及一种计算机网络入侵检测方法及系统。

背景技术：

1、作为网络安全防护的关键技术支撑手段之一，网络流量异常检测发挥着重要作用，通过对网络流量处理和分析数据，可以及时发现异常流量和潜在攻击行为。传统的网络流量异常检测是基于规则对海量的流量信息进行过滤，但能够挖掘到的危险信息有限，随着攻击手段越来越隐蔽，传统方法已经不能满足电力系统的安全要求。近年来，机器学习算法在网络流量异常检测中得到了广泛应用，并在识别的准确率上有了一定的提升，但是机器学习模型隐藏层数少，结构单一，对异常和正常流量的行为模式缺乏本质上的认识，无法充分利用流量数据的丰富信息，导致在面对复杂的网络环境和数据爆炸性增长的情况下，模型性能降低的同时泛化能力也较弱。深度学习技术的不断演进促使网络流量异常检测与之融合的应用变得越来越常见。尽管深度学习方法可通过多个隐藏层提取数据特征，但在处理大量复杂的网络流量数据方面仍然存在检测准确率低、误报率高和泛化能力不足等问题。

技术实现思路

1、鉴于现有技术的上述缺点、不足，本发明提供一种计算机网络入侵检测方法及系统。

2、为了达到上述目的，本发明采用的主要技术方案包括：

3、第一方面，本发明实施例提供一种计算机网络入侵检测方法，包括：

4、s1、获取计算机网络流量数据；

5、s2、将所获取的计算机网络流量数据输入至预训练的网络流量异常检测模型中，获取检测结果；

6、其中，网络流量异常检测模型包括残差神经网络、双向长短期记忆网络、深度神经网络；

7、预训练的网络流量异常检测模型是预先采用训练网络流量数据集对网络流量异常检测模型训练后得到的；

8、所述训练网络流量数据集为入侵检测数据集cicids2017。

9、优选地，所述方法在s1之前还包括：

10、s0、获取训练网络流量数据集，并基于所述训练网络流量数据集，对预先获取的网络流量异常检测模型进行训练，得到预训练的网络流量异常检测模型。

11、优选地，所述网络流量异常检测模型依次包括残差神经网络、第一结构、深度神经网络；

12、所述第一结构依次包括：2个双向长短期记忆网络结构；

13、其中，所述双向长短期记忆网络结构为双向长短期记忆网络，或者，所述双向长短期记忆网络结构包括依次连接的正则化层和双向长短期记忆网络。

14、优选地，

15、所述第一结构中的2个双向长短期记忆网络结构之间还有形状调整层。

16、优选地，所述s0具体包括：

17、s01、获取训练网络流量数据集，并对所述训练网络流量数据集进行预处理，得到预处理后的训练网络流量数据集；

18、s02、将预处理后的训练网络流量数据集中的每一流量数据输入所述网络流量异常检测模型中残差神经网络，所述残差神经网络得到与网络流量数据对应的中间特征；

19、s03、与网络流量数据对应的中间特征依次输入至第一结构中，所述第一结构对第一网络流量数据序列进行分析，得到时序数据特征；

20、所述第一网络流量数据序列依次包括整个预处理后的训练网络流量数据集中每一流量数据的中间特征；

21、s04、深度神经网络对所述时序数据特征进行分类回归处理，并将分类回归处理后的特征进行softmax处理，得到分类结果；

22、s05、重复s01-s04直至满足预先指定的训练结束条件，得到预训练的网络流量异常检测模型；

23、所述预先指定的训练结束条件为：所述网络流量异常检测模型的损失函数收敛。

24、优选地，

25、所述预处理包括：清洗数据、特征数字化、特征归一化和数据重采样。

26、优选地，

27、所述残差神经网络为34层，包括33个卷积层和1个全连接层；

28、其中，第一个卷积层采用7×7卷积；

29、其余卷积层采用3×3卷积；

30、输入所述网络流量异常检测模型中残差神经网络流量数据的尺寸为（78，1）。

31、优选地，所述网络流量异常检测模型的损失函数为交叉熵损失。

32、优选地，

33、其中，在对所述网络流量异常检测模型进行训练过程中，采用adam优化函数对网络流量异常检测模型中的参数进行调整，从而使得所述网络流量异常检测模型的损失函数最小化；

34、网络流量异常检测模型的学习速率为0.0001。

35、另一方面，本实施例提供一种计算机网络入侵检测系统，包括：

36、至少一个处理器；以及

37、与所述处理器通信连接的至少一个存储器，其中，所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如第一方面所述的计算机网络入侵检测方法。

38、本发明的有益效果是：本发明的一种计算机网络入侵检测方法，由于采用了残差神经网络、双向长短期记忆网络和深度神经网络多种模型结合的方式，这些模型能够分别捕获不同尺度的空间特征和前向与后向的时序模式，综合利用它们提高了网络流量异常检测的准确性和鲁棒性。

39、另外，本发明的一种计算机网络入侵检测方法，使用了预训练的网络流量异常检测模型，能够减少模型训练时间，提高网络流量异常检测模型的性能和泛化能力。通过预先采用训练网络流量数据集对模型进行训练，可以更好地适应实际网络环境中的数据特点和异常行为。

40、本发明的一种计算机网络入侵检测方法，使用了入侵检测数据集cicids2017进行训练，这是一个包含多种类型网络流量的全面数据集，能够更好地覆盖网络环境中可能出现的各种异常情况，从而提高网络流量异常检测模型的泛化能力。

41、本发明的一种计算机网络入侵检测方法，残差神经网络和双向长短期记忆网络等模型能够从不同层面和角度提取网络流量数据的特征，包括时序特征、空间特征和时空关系特征等，从而更全面地描述网络流量数据的特性，提高网络流量异常检测的准确性和鲁棒性。

42、本发明的一种计算机网络入侵检测方法，由于深度学习模型的高效性和并行性，该方法能够在实时或接近实时的情况下对网络流量数据进行网络流量异常检测，及时发现和应对潜在的网络入侵行为，保障网络安全。

技术特征：

1.一种计算机网络入侵检测方法，其特征在于，包括：

2.根据权利要求1所述的计算机网络入侵检测方法，其特征在于，所述方法在s1之前还包括：

3.根据权利要求2所述的计算机网络入侵检测方法，其特征在于，所述网络流量异常检测模型依次包括残差神经网络、第一结构、深度神经网络；

4.根据权利要求3所述的计算机网络入侵检测方法，其特征在于，

5.根据权利要求3或4所述的计算机网络入侵检测方法，其特征在于，所述s0具体包括：

6.根据权利要求5所述的计算机网络入侵检测方法，其特征在于，

7.根据权利要求6所述的计算机网络入侵检测方法，其特征在于，

8.根据权利要求7所述的计算机网络入侵检测方法，其特征在于，所述网络流量异常检测模型的损失函数为交叉熵损失。

9.根据权利要求8所述的计算机网络入侵检测方法，其特征在于，

10.一种计算机网络入侵检测系统，其特征在于，包括：

技术总结本发明涉及网络安全技术领域，尤其涉及一种计算机网络入侵检测方法及系统，方法包括：S1、获取计算机网络流量数据；S2、将计算机网络流量数据输入至预训练的网络流量异常检测模型中，获取检测结果；网络流量异常检测模型包括残差神经网络、双向长短期记忆网络、深度神经网络；预训练的网络流量异常检测模型是预先采用训练网络流量数据集对网络流量异常检测模型训练后得到的。本发明的一种计算机网络入侵检测方法，由于采用了残差神经网络、双向长短期记忆网络和深度神经网络多种模型结合，这些模型能分别捕获不同尺度的空间特征和前向与后向的时序模式，解决梯度消失和模型退化问题，综合利用它们提高了网络流量异常检测的准确性和鲁棒性。技术研发人员：张磊,尹肖栋受保护的技术使用者：北京航空航天大学杭州创新研究院技术研发日：技术公布日：2024/7/23