基于ADASYN算法和改进卷积神经网络的入侵检测方法及装置

摘要

本发明涉及一种入侵检测技术领域，是一种基于ADASYN算法和改进卷积神经网络的入侵检测方法及装置，前者包括：获取若干原始数据，对原始数据进行预处理，并利用ADASYN算法对若干原始数据中的小样本进行增强处理；将若干原始数据分为训练样本集和测试样本集，并利用训练样本集对预设模型进行训练；将评估结果最好的预设模型作为入侵检测模型，通过入侵检测模型对获取到的网络数据进行入侵检测。本发明能利用ADASYN数据增强算法对小样本进行增强处理，提高模型对小样本的学习和识别能力，并改进卷积神经网络SPC‑CNN算法模型提取数据的多尺度特征，有效地解决信道间特征冗余的问题，从而提高模型的入侵检测识别率。

说明书

技术领域

本发明涉及一种入侵检测技术领域，是一种基于ADASYN算法和改进卷积神经网络的入侵检测方法及装置。

背景技术

随着5G技术的迅速普及，无线网络已经成为一种必然的发展趋势。由于无线网络的分布性和开放性，使其成为一个理想的攻击目标，因此无线网络安全越来越受到人们的关注。主流的网络安全技术包括防火墙技术、访问认证技术等，但这些安全措施失效时入侵检测系统（IDS）无疑是最有效的网络安全措施之一。

目前，多通过机器学习入侵检测方法进行入侵检测，机器学习算法包括朴素贝叶斯、决策树（DTs）、支持向量机（SVM）、人工神经网络（ANN）等。传统的机器学习入侵检测算法虽然在检测精度有所提高，但是需要复杂的特征工程，很难适应当前多变的网络环境。其中基于卷积神经网络的入侵检测算法可以自主的提取网络的流量特征，虽然取得了一定的效果，但是没有考虑到数据不平衡、特征多样化、特征冗余对训练模型性能的影响，因此存在整体和小样本的检测率低、误报率高、泛化能力差等问题。

发明内容

本发明提供了一种基于ADASYN算法和改进卷积神经网络的入侵检测方法及装置，克服了上述现有技术之不足，其能有效解决现有基于卷积神经网络的入侵检测算法存在的不能结合数据不平衡、特征冗余等特点，造成检测准确度低、误报率高的问题。

本发明的技术方案之一是通过以下措施来实现的：一种基于ADASYN算法和改进卷积神经网络的入侵检测方法，包括：

获取若干原始数据，对原始数据进行预处理，并利用ADASYN算法对若干原始数据中的小样本进行增强处理；

将若干原始数据分为训练样本集和测试样本集，并利用训练样本集对预设模型进行训练，利用测试样本集对训练后的预设模型进行测试评估；其中预设模型通过改进卷积神经网络SPC-CNN算法建立；

将评估结果最好的预设模型作为入侵检测模型，通过入侵检测模型对获取到的网络数据进行入侵检测。

下面是对上述发明技术方案的进一步优化或/和改进：

上述获取若干原始数据，对原始数据进行预处理，并利用ADASYN算法对若干原始数据中的小样本进行增强处理，包括：

获取若干原始数据，利用one-hot编码将原始数据的符号特征转换为数字特征；

利用最大最小归一化将原始数据的每个特征均匀的映射到[0,1]；

获取所有原始数据中的小样本，利用ADASYN算法对若干原始数据中的小样本进行增强处理。

上述将若干原始数据分为训练样本集和测试样本集，包括在若干原始数据中分别抽取预设比例的原始数据作为训练样本集，将未被抽取的原始数据作为测试样本集。

上述利用训练样本集对预设模型进行训练，其中预设模型通过改进卷积神经网络SPC-CNN算法建立，训练过程包括包括：

通过改进卷积神经网络SPC-CNN算法建立预设模型，预设模型包括输入层、卷积层、2个SPConv模块、全连接层、Softmax层和输出层，SPConv模块包括通道拆分模块、2个卷积模块和特征融合模块；

利用卷积层中的向量卷积模块对训练样本进行卷积处理，输出L个特征映射；

利用SPConv模块中的信道拆分模块将特征映射分为代表部分和冗余部分；

利用SPConv模块中的2个卷积模块分别对代表部分和冗余部分进行不同层次的特征提取；

利用SPConv模块中的特征融合模块对不同通道的特征进行整合；

根据Softmax层计算损耗值，通过误差反向传播优化网络参数，使模型收敛。

本发明的技术方案之二是通过以下措施来实现的：一种基于ADASYN算法和改进卷积神经网络的入侵检测装置，包括：

预处理单元，获取若干原始数据，对原始数据进行预处理，并利用ADASYN算法对若干原始数据中的小样本进行增强处理；

模型输出单元，将若干原始数据分为训练样本集和测试样本集，并利用训练样本集对预设模型进行训练，利用测试样本集对训练后的预设模型进行测试评估；其中预设模型通过改进卷积神经网络SPC-CNN算法建立；

入侵检测单元，将评估结果最好的预设模型作为入侵检测模型，通过入侵检测模型对获取到的网络数据进行入侵检测。

本发明的技术方案之三是通过以下措施来实现的：一种存储介质，所述存储介质上存储有能被计算机读取的计算机程序，所述计算机程序被设置为运行时执行基于ADASYN算法和改进卷积神经网络的入侵检测方法。

本发明的技术方案之四是通过以下措施来实现的：一种电子设备，，包括处理器和存储器，所述存储器中存储有计算机程序，计算机程序由处理器加载并执行以实现基于ADASYN算法和改进卷积神经网络的入侵检测方法。

本发明能利用ADASYN数据增强算法对小样本进行增强处理，提高模型对小样本的学习和识别能力，并改进卷积神经网络SPC-CNN算法模型提取数据的多尺度特征，有效地解决信道间特征冗余的问题，从而提高模型的入侵检测识别率。

附图说明

附图1为本发明实施例1的流程图。

附图2为本发明实施例1中对原始数据进行预处理的流程图。

附图3为本发明实施例2中利用训练样本集对预设模型进行训练的流程图。

附图4为本发明实施例2的结构框图。

具体实施方式

本发明不受下述实施例的限制，可根据本发明的技术方案与实际情况来确定具体的实施方式。

下面结合实施例及附图对本发明作进一步描述：

实施例1：如附图1所示，本实施例公开了一种基于ADASYN算法和改进卷积神经网络的入侵检测方法，包括：

S101，获取若干原始数据，对原始数据进行预处理，并利用ADASYN算法对若干原始数据中的小样本进行增强处理；

S102，将若干原始数据分为训练样本集和测试样本集，并利用训练样本集对预设模型进行训练，利用测试样本集对训练后的预设模型进行测试评估；其中预设模型通过改进卷积神经网络SPC-CNN算法建立；

S103，将评估结果最好的预设模型作为入侵检测模型，通过入侵检测模型对获取到的网络数据进行入侵检测。

如附图2所示，上述技术方案步骤S101获取原始数据，对原始数据进行预处理，并利用ADASYN算法对若干原始数据中的小样本进行增强处理，包括：

S1011，获取若干原始数据，利用one-hot编码将原始数据的符号特征转换为数字特征；

S1012，利用最大最小归一化将原始数据的每个特征均匀的映射到[0,1]；

S1013，获取所有原始数据中的小样本，利用ADASYN算法对若干原始数据中的小样本进行增强处理。

由于原始数据的特征之间的取值范围波动较大，例如src_bytes特征的值范围是[0,1379963888]，num_access_files取值范围是[0,9]，其中最大值和最小值的取值范围波动较大，为了消除不同维度数据之间的差异，保证训练结果的可靠性，步骤S1012采用最大最小归一化处理方法将每个特征均匀的映射。

由于获取若干原始数据为原始入侵检测数据，故而原始数据中的数据分布是极不均衡的，例如若干原始数据中Normal攻击类型和DOS攻击类型数量分别占53.46%和36.46%，而R2L攻击类型和U2R攻击类型总量不到1%，故而在模型训练过程中，数据分布极不均衡易引起学习器对大样本产生过拟合现象，而对小样本产生欠拟合现象，导致模型的检测精确率下降，由此在步骤S1013中利用ADASYN算法对若干原始数据中的小样本进行增强处理，增强后的样本拥有更好的综合离散特性，防止模型对异常大样本敏感而忽略小样本，提高模型的小样本识别能力，一般情况训练样本的分布离散程度越高，模型的识别效果越好。

由于传统的CNN入侵检测模型忽略了信道的冗余性，不经过任何特征分析的直接将所有特征输入到下一个卷积层，显然，这些信道上的冗余会降低网络的检测性能和执行效率；因为很难确定相似的特征是否包含不同的细节，故而这些相似的特征不能直接删除。为了减少信道间的信息冗余，更合理地提取多尺度特征，上述技术方案步骤S102中预设模型通过改进卷积神经网络SPC-CNN算法建立，该改进卷积神经网络SPC-CNN算法模型是一种基于通道拆分的入侵检测CNN模型，其中设有基于Split的卷积计算单元（SPConv），不仅可以提取数据的多尺度特征，而且可以有效地解决信道间特征冗余的问题，并可以将不同的渠道特征进行有机融合。

上述技术方案步骤S102中将若干原始数据分为训练样本集和测试样本集，包括在若干原始数据中分别抽取预设比例的原始数据作为训练样本集，将未被抽取的原始数据作为测试样本集。

本发明公开了一种基于ADASYN算法和改进卷积神经网络的入侵检测方法，能利用ADASYN数据增强算法对小样本进行增强处理，提高模型对小样本的学习和识别能力，并改进卷积神经网络SPC-CNN算法模型提取数据的多尺度特征，有效地解决信道间特征冗余的问题，从而提高模型的入侵检测识别率。

实施例2：如附图3所示，本实施例公开了一种基于ADASYN算法和改进卷积神经网络的入侵检测方法，其中利用训练样本集对预设模型进行训练，其中预设模型通过改进卷积神经网络SPC-CNN算法，该训练过程进一步包括：

S201，通过改进卷积神经网络SPC-CNN算法建立预设模型，预设模型包括输入层、卷积层、2个SPConv模块、全连接层、Softmax层和输出层，SPConv模块包括通道拆分模块、2个卷积模块和特征融合模块；

S202，利用卷积层中的向量卷积模块对训练样本进行卷积处理，输出L个特征映射；

S203，利用SPConv模块中的信道拆分模块将特征映射分为代表部分和冗余部分；

S204，利用SPConv模块中的2个卷积模块分别对代表部分和冗余部分进行不同层次的特征提取；

S205，利用SPConv模块中的特征融合模块对不同通道的特征进行整合；

S206，根据Softmax层计算损耗值，通过误差反向传播优化网络参数，使模型收敛。

上述技术方案S204中利用SPConv模块中的2个卷积模块分别对代表部分和冗余部分进行不同层次的特征提取；其中对于代表部分可采用3*3的群卷积提取固有信息，由于单一的3*3群卷积核会造成一定的信息丢失，为此可在群卷积的基础之上增加了1*1的点卷积作为群卷积的补充，对于冗余部分可直使用1*1的点卷积提取细节信息作为代表部分的信息补充，既能保证提取多尺度特征又能使得提取的特征不冗余，从而得到较为合理的特征分布。

上述技术方案S205利用SPConv模块中的特征融合模块对不同通道的特征进行整合时，首先通过全局平局池化分别将2个卷积模块输出的特征维度进行压缩，然后使用Stack函数将压缩后的特征组合在一起，组合后输出至Softmax函数，Softmax函数生成一个权重因子，最后两部分的特征根据权重因子合理的融合在一起。

实施例3：如附图4所示，本实施例公开了一种基于ADASYN算法和改进卷积神经网络的入侵检测装置，包括：

预处理单元，获取若干原始数据，对原始数据进行预处理，并利用ADASYN算法对若干原始数据中的小样本进行增强处理；

模型输出单元，将若干原始数据分为训练样本集和测试样本集，并利用训练样本集对预设模型进行训练，利用测试样本集对训练后的预设模型进行测试评估；其中预设模型通过改进卷积神经网络SPC-CNN算法建立；

入侵检测单元，将评估结果最好的预设模型作为入侵检测模型，通过入侵检测模型对获取到的网络数据进行入侵检测。

实施例4，该存储介质，所述存储介质上存储有能被计算机读取的计算机程序，所述计算机程序被设置为运行时执行基于ADASYN算法和改进卷积神经网络的入侵检测方法。

上述存储介质可以包括但不限于：U盘、只读存储器、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。

实施例5，该电子设备，包括处理器和存储器，所述存储器中存储有计算机程序，计算机程序由处理器加载并执行以实现基于ADASYN算法和改进卷积神经网络的入侵检测方法。

上述电子设备还包括传输设备、输入输出设备，其中，传输设备和输入输出设备均与处理器连接。

以上技术特征构成了本发明的最佳实施例，其具有较强的适应性和最佳实施效果，可根据实际需要增减非必要的技术特征，来满足不同情况的需求。