基于智能网络入侵检测系统及方法与流程

本发明涉及网络安全，尤其涉及基于智能网络入侵检测系统及方法。

背景技术：

1、网络安全技术领域专注于保护计算机网络及其可访问资源免受未经授权的访问、盗窃、损害或其他形式的恶意行为，网络安全技术涵盖了从基础的防火墙和加密技术到高级的入侵检测和预防系统。随着网络环境的日益复杂和攻击技术的不断进步，传统的基于规则和签名的安全机制逐渐显示出局限性，智能网络入侵检测系统应运而生，利用机器学习、人工智能和大数据分析等先进技术，以更灵活、高效的方式识别和应对安全威胁，从而提高网络的整体安全性能。

2、其中，基于智能网络入侵检测系统是一种利用人工智能技术，特别是机器学习和深度学习算法，来监控网络流量和用户行为，识别、预防和响应网络攻击或异常行为的安全技术。这类系统的主要目的是提高检测未知威胁和自动化响应能力，降低对人工干预的依赖，从而加快响应时间并减少潜在的损害。通过智能分析网络行为的模式，这些系统能够识别出与已知安全威胁相似或完全新颖的攻击行为，实现早期警告和主动防御，达到提高网络安全防御能力和保护关键信息资产的效果。

3、传统基于智能网络入侵检测系统依赖于较为简单的算法和技术，如基础聚类方法和静态规则匹配，这限制在处理复杂网络环境下的效率和准确性。缺乏动态行为分析和时间变化跟踪能力，导致无法有效监测和评估网络行为的实时变化，增加了漏报和误报的风险。传统异常识别方法的准确度和泛化能力受限，难以应对复杂多变的网络安全威胁，缺少自适应和优化的防御策略，导致防御措施在面对新型威胁时反应迟钝，效果不佳。在跨域检测方面，传统系统无法克服数据标签不足的问题，影响了模型适用性和准确性。

技术实现思路

1、本技术通过提供了基于智能网络入侵检测系统及方法，解决了传统基于智能网络入侵检测系统依赖于较为简单的算法和技术，如基础聚类方法和静态规则匹配，这限制在处理复杂网络环境下的效率和准确性。缺乏动态行为分析和时间变化跟踪能力，导致无法有效监测和评估网络行为的实时变化，增加了漏报和误报的风险。传统异常识别方法的准确度和泛化能力受限，难以应对复杂多变的网络安全威胁，缺少自适应和优化的防御策略，导致防御措施在面对新型威胁时反应迟钝，效果不佳。在跨域检测方面，传统系统无法克服数据标签不足的问题，影响了模型适用性和准确性的问题。

2、鉴于上述问题，本技术提供了基于智能网络入侵检测系统及方法。

3、本技术提供了基于智能网络入侵检测系统，其中，所述系统包括：

4、数据分群模块基于网络流量数据，采用谱聚类算法，通过构建数据点的相似度矩阵并计算拉普拉斯矩阵，挖掘数据的自然分布并划分为多个群组，利用群组的特征识别网络行为中的自然聚类和潜在异常模式，生成聚类标签；

5、动态监控模块基于所述聚类标签，采用动态行为分析方法，通过应用时间序列分析，监测聚类中行为模式随时间变化的跟踪情况，结合变点检测识别行为模式的突变，监测和评估聚类内行为的动态变化，生成异常候选集；

6、异常识别模块基于所述异常候选集，利用随机森林模型，通过构建多个决策树并对结果进行优化，对异常行为进行分类和识别，处理数据集中的异常行为，生成异常行为指标；

7、学习与匹配模块基于所述异常行为指标，通过网络环境的持续交互，采用深度q网络算法，通过结合深度学习对状态空间进行编码和q学习评估行动的价值，并通过网络环境互动过程学习并采取防御措施，生成适应性策略；

8、策略优化模块基于所述适应性策略，通过模拟攻击场景和应用遗传算法，模拟自然选择的过程中的交叉、变异和选择操作优化防御策略，捕捉在模拟攻击场景中表现最优策略，生成优化防御策略；

9、特征表示提取模块基于所述优化防御策略，采用图嵌入技术进行节点嵌入，通过优化网络节点的邻域结构保留和节点间的结构相似性，将网络流量数据中的实体映射到有限维度向量空间中，捕捉网络结构中的信息，生成表示向量；

10、跨域检测模块基于所述表示向量，采用域自适应网络技术，通过源域和目标域数据分布的差异，利用在源域学习的知识提升模型在目标域中的性能，在领域中检测网络安全威胁，面对数据标签稀缺的挑战，生成跨域威胁指标。

11、优选的，所述聚类标签包括网络行为的自然聚类标识和潜在异常模式识别，所述异常候选集包括时间变化跟踪的行为模式和行为模式的突变指标，所述异常行为指标包括异常分类标签和异常程度评估，所述适应性策略包括防御措施的调整方案和行为策略的更新，所述优化防御策略包括模拟攻击场景下的最优策略和策略调整方案，所述表示向量包括网络实体的向量表示和结构相似性度量，所述跨域威胁指标包括改进的目标域性能指标和源域到目标域的知识迁移效果。

12、优选的，所述数据分群模块包括：

13、谱聚类子模块基于网络流量数据，采用谱聚类算法，使用谱聚类方法设置邻接矩阵的相似度计算方法为高斯核函数，计算数据点间的相似度，生成相似度矩阵；

14、特征分析子模块基于所述相似度矩阵，使用矩阵运算方法对矩阵进行度矩阵的减法运算，通过减去节点的度数构建矩阵，揭示数据点的连接关系和图中的分布特性，生成拉普拉斯矩阵；

15、模式挖掘子模块基于所述拉普拉斯矩阵，执行谱聚类的关键步骤，使用k均值聚类方法对特征向量进行聚类，聚类数k通过轮廓系数法自动选择，将特征向量作为输入，进行k均值聚类识别数据的自然群组，生成聚类标签。

16、优选的，所述动态监控模块包括：

17、行为变化分析子模块基于所述聚类标签，采用时间序列分析方法，使用自回归积分滑动平均模型进行建模，模型参数根据数据自动选择，通过分析时间序列数据的关联性跟踪聚类中行为模式的变化，生成时间序列分析结果；

18、统计评估子模块基于所述时间序列分析结果，执行变点检测，采用变点分析方法，设置最小化信息准则为贝叶斯信息准则确定变点，通过分析时间序列数据中的统计特性变化识别行为模式的变化，生成变点检测结果；

19、候选集生成子模块基于所述变点检测结果，进行异常候选集的筛选，采用自定义阈值方法对异常分数进行判定，异常分数基于变点检测结果中的统计差异计算，分析结果识别潜在的异常行为模式，生成异常候选集。

20、优选的，所述异常识别模块包括：

21、模型训练子模块基于所述异常候选集，采用随机森林模型，通过构建决策树的集成学习方法，设置随机种子参数，合并多个决策树的预测结果提升数据集上异常行为识别的准确度，生成训练后的随机森林模型；

22、行为分类子模块基于所述训练后的随机森林模型，进行异常行为的分类，利用分类预测方法对数据进行分类预测，将数据输入模型，并根据模型训练判断数据点的异常，根据模型在多个决策树上的投票结果进行判定，生成异常行为分类结果；

23、指标生成子模块基于所述异常行为分类结果，采用性能评估指标，通过计算模型的召回率，基于真正例、假正例、真反例和假反例的数量计算得出，量化模型在异常行为识别任务上的表现，生成异常行为指标。

24、优选的，所述学习与匹配模块包括：

25、增强学习子模块基于所述异常行为指标，实施深度q网络算法，定义网络结构，包括输入层对应网络状态，通过设置优化算法为自适应动量，利用深度学习技术对环境状态进行编码，通过与环境的交互来更新q值，生成初步的深度q网络模型；

26、交互学习子模块基于所述初步的深度q网络模型，执行与网络环境的交互学习，采用经验回放机制存储状态转移，优化算法参数，通过在差异化网络状态下测试差异化防御措施的效果，反馈调整模型，生成优化后的深度q网络模型；

27、策略生成子模块基于所述优化后的深度q网络模型，进行防御策略的生成，通过评估网络状态决定防御行动，并选择预期回报的行动作为响应策略，匹配实时网络安全威胁的动态防御策略，生成适应性策略。

28、优选的，所述策略优化模块包括：

29、场景模拟子模块基于所述适应性策略，执行网络攻击场景模拟，通过使用网络模拟方法定制多种网络配置，模拟差异化的攻击场景，通过调整网络拓扑和流量，生成模拟攻击数据集；

30、规则调整子模块基于所述模拟攻击数据集，实施遗传算法优化，实施遗传算法优化，利用进化计算方法，通过编码防御策略为染色体，执行选择、交叉和变异操作，生成进化中的防御策略；

31、参数配置子模块基于所述进化中的防御策略，调整防御参数，根据遗传算法结果优化防火墙规则集和入侵检测参数，调整规则的优先级和灵敏度设置，生成优化防御策略。

32、优选的，所述特征表示提取模块包括：

33、图嵌入子模块基于所述优化防御策略，执行节点嵌入算法进行图嵌入，设置随机游走长度，返回参数和纳入参数均设为默认值，分析网络流量数据中实体的邻域结构，通过随机游走捕捉节点间的结构相似性，生成节点嵌入向量；

34、模块化学习子模块基于所述节点嵌入向量，采用主成分分析方法进行降维，选择保留前若干个主成分，优化向量的存储和计算效率，进行多维嵌入向量的处理，生成降维向量；

35、向量整合子模块基于所述降维向量，整合差异化来源的图嵌入向量，执行向量合并操作，创建综合网络表示向量，捕获网络中关键实体和关系的信息，生成综合表示向量。

36、优选的，所述跨域检测模块包括：

37、知识迁移子模块基于所述综合表示向量，执行深度自适应网络技术进行域匹配，使用深度学习框架构建模型，调整源域和目标域间的均值差异参数，通过在源域学习得到的知识优化模型在目标域中的表现，生成初步域匹配模型；

38、域匹配子模块基于所述初步域匹配模型，进行初步域匹配模型的微调和优化，通过逐步减少源域与目标域数据分布的差异，优化网络权重和偏置，匹配目标域的特征分布，生成优化后的域匹配模型；

39、威胁识别子模块基于所述优化后的域匹配模型，对目标域中的网络流量进行安全威胁检测，利用模型对数据进行评估，识别未知恶意软件和潜在安全威胁，通过模型的预测能力识别并标记目标域中的异常行为和攻击活动，生成跨域威胁指标。

40、基于智能网络入侵检测方法，所述基于智能网络入侵检测方法基于上述基于智能网络入侵检测系统执行，包括以下步骤：

41、s1：基于网络流量数据，采用谱聚类算法，构建相似度矩阵，通过高斯核函数转换数据点间的距离为相似度，确定最优数量的群组，构造拉普拉斯矩阵，运用特征值分解方法选取特征向量进行数据点聚类，按照数据自然分布特性划分群组，生成聚类标签；

42、s2：基于所述聚类标签，进行动态行为分析，利用时间序列分析方法处理时间序列数据，采用时间序列预测模型预测行为模式的时间序列趋势，结合数值计算方法进行计算，识别行为模式的突变点，使用变点检测算法，包括累积和控制图算法，确定变化位置，监控聚类中行为模式随时间的变化，生成异常候选集；

43、s3：基于所述异常候选集，应用随机森林模型，构建随机森林分类器，利用信息增益率作为分裂标准，对特征进行随机采样，训练多个决策树，对每棵树使用差异化数据子集和特征子集，聚合决策树的预测结果，通过投票机制提升模型的准确性和泛化能力，生成异常行为指标；

44、s4：基于所述异常行为指标，采用深度q网络算法，定义深度神经网络模型结构，设置损失函数为均方误差，通过调整行为策略的q值，训练网络预测动作的期望回报，在网络环境中学习采取最优防御措施，生成适应性策略；

45、s5：基于所述适应性策略，应用遗传算法，定义个体为防御策略参数，包括网络配置和响应机制，设置匹配度函数评估策略效果，通过交叉和变异操作分析策略空间，迭代优化防御策略，提升网络攻击的防御能力，生成优化防御策略；

46、s6：基于所述优化防御策略，采用图嵌入技术，通过随机游走策略捕获网络节点的局部和全局结构信息，利用嵌入学习方法学习节点的向量表示，保留节点间的邻域关系，将网络结构映射到有限维度向量空间中，捕捉并编码网络流量数据中的关键结构特征，生成表示向量；

47、s7：基于所述表示向量，进行跨域检测，采用域自适应网络技术，设计多层神经网络捕获源域和目标域数据的特征分布，设置邻域匹配层减少域间的分布差异，通过对抗训练方法使模型在源域学习到的特征表示匹配目标域，提升模型在差异化网络环境中的泛化能力，生成跨域威胁指标；

48、s8：基于所述跨域威胁指标，进行集成与性能评估，采用综合评估方法，计算模型的准确率、召回率，结合网络攻击场景进行模拟测试，包括防御策略的灵敏度和检测算法的阈值，通过反馈循环和性能调优，生成智能识别网络入侵检测结果。

49、本技术中提供的一个或多个技术方案，至少具有如下技术效果或优点：

50、通过谱聚类算法通过精准地挖掘数据的自然分布，优化了群组划分，提高了自然聚类和潜在异常模式的识别能力。动态行为分析和时间序列分析的结合，使得系统能够实时监控和评估网络行为的动态变化，及时挖掘异常行为模式。随机森林模型的应用增强了异常行为的分类和识别精度。深度q网络算法的引入，促进了基于网络环境交互的学习效率，使防御策略更加适应性和精准。遗传算法的运用在策略优化方面，通过模拟自然选择过程，有效提升了防御策略的匹配能力和效果。图嵌入技术的利用，增强了网络结构信息的捕捉能力，而域自适应网络技术的应用，则有效解决了跨域检测中数据标签稀缺的挑战，提升了模型在差异化域中的性能。

51、上述说明仅是本技术技术方案的概述，为了能够更清楚了解本技术的技术手段，而可依照说明书的内容予以实施，并且为了让本技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本技术的具体实施方式。