【技術實現步驟摘要】
本專利技術涉及網絡安全,具體涉及一種基于在線深度神經網絡非遺忘入侵檢測方法、介質及設備。
技術介紹
1、入侵檢測系統(ids)是對計算機和網絡資源的惡意使用為進行識別的系統;它的目的是監測和發現可能存在的攻擊行為,包括來自系統外部的入侵行為和來自內部用戶的非授權行為,并且采取相應的防護手段。它在系統受到影響之前檢測并防御惡意流量,是網絡安全系統中的重要模塊。該系統可以從網絡系統中提取信息并快速指示反應,從而為系統提供實時保護。
2、入侵檢測系統按數據源可分為基于主機的入侵檢測和基于網絡的入侵檢測,按檢測分析方法可分為異常檢測和誤用檢測,基于異常的入侵檢測系統又可分為三大類:
3、1)基于統計的異常檢測系統:基于統計信息的入侵檢測系統為正常行為模式構建分布模型,然后識別當前行為與正常行為之間的差異,如果差異超過事先設定的閾值,則被判定為異常行為或入侵行為。基于統計的入侵檢測系統適用于靜態環境下的入侵檢測,其中正常行為和異常行為之間的差異相對穩定。缺點是:這種方法存在高誤報率、無法處理未知威脅等問題。
4、2)基于知識的異常檢測系統:基于知識的異常檢測系統是一種利用事先定義的專家知識或領域知識來進行異常檢測的系統。它使用人工構建的規則或專家經驗等知識來判斷當前觀測數據是否與預期的正常行為相符。該方法的主要好處是能夠減少誤報,因為系統了解所有正常行為。缺點是:在動態變化的計算環境中,這種入侵檢測系統需要定期更新有關預期正常行為的知識,這是一項耗時的任務,因為收集有關所有正常行為的信息非常困難。>
5、3)基于人工智能的異常檢測系統:基于人工智能的異常檢測系統是一種利用人工智能技術,如機器學習、深度學習等,來進行異常檢測的系統。它通過學習數據的模式和規律,自動識別和檢測異常行為,而無需明確定義規則或依賴領域專家知識。機器學習先于深度學習被應用于異常檢測系統。隨著深度學習的興起,人們發現深度學習模型的特征提取能力強于機器學習,它們通常能夠更準確地檢測出一些隱蔽、未知或新型的異常行為,相對于傳統機器學習方法具有更高的成功率。缺點是:深度學習應用深度神經網絡學習數據特征,但深度神經網絡模型的更新和訓練需要人去操作,不能完全自動化;并且隨著深度神經網絡模型不斷更新,會發生災難性遺忘,表現為模型對舊數據的檢測能力迅速下降。
技術實現思路
1、本專利技術要解決的技術問題是:克服現有技術的不足,提供一種基于在線深度神經網絡非遺忘入侵檢測方法、介質及設備,通過給深度神經網絡加入遺忘對抗機制,可以讓神經網絡在不斷學習新數據的同時仍然具備對舊數據的檢測能力。
2、本專利技術采用的技術方案如下:
3、一種基于在線深度神經網絡非遺忘入侵檢測方法,包括以下步驟:
4、s1、深度神經網絡模型初始化,包括如下小步:
5、s11、設置代表性樣本集e的初始數據;
6、s12、設置初始的損失函數為交叉熵損失函數,損失函數表達式如下:
7、
8、式中:n為樣本個數; yi是第i個樣本的標簽,正常流量樣本的標簽為0,異常流量樣本的標簽為1; pθ為在模型參數為 θ的情況下對樣本的預測概率;
9、s13、創建一個空數組,命名為費雪數組;
10、s14、用代表性樣本集e作為訓練集訓練神經網絡模型;
11、s15、計算fisher信息矩陣,并將其中部分信息存入費雪數組;
12、s2、保存訓練好的模型,修改算法的損失函數,包括如下小步:
13、s21、保存訓練好的神經網絡模型;
14、s22、將算法的損失函數改為下式:
15、
16、式中: l(θ)?為當前任務的交叉熵損失函數,?fold,i為前一個任務得到的第i個參數的費雪信息量,θi為當前任務的第i個參數,θold,i為前一個任務的第i個參數;fold,i和θold,i都為定值,θi和θold,i為同一個參數,區別在于θi的數值是在變化的;
17、s3、在流量經過設備時,使用流量捕獲軟件抓取數據;
18、s4、將抓取的數據流轉化成csv文件c;
19、s5、使用模型檢測文件c是否存在攻擊數據,若存在則發出警報,由工作人員處理警報情況,否則直接進入步驟s6;
20、s6、將文件c與代表性樣本集e混合形成訓練集d;
21、s7、用訓練集d訓練模型;
22、s8、計算fisher信息矩陣,并更改費雪數組的數據,包括如下小步:
23、s81、清空費雪數組;
24、s82、計算fisher信息矩陣,并將其中部分信息存入費雪數組,方法與步驟s15相同;
25、s9、對代表性樣本集e進行增減,包括如下小步:
26、s91、計算訓練集d的平均特征向量 μa;
27、s92、計算代表性樣本集e中每個樣本特征向量 φi到平均特征向量 μa的歐式距離 di,計算方式如下:
28、
29、s93、對 di排序,取數值最小的后m個數據剔除出代表性樣本集e;
30、s94、計算文件c中每個樣本特征向量 μi到平均特征向量 μa的歐式距離 di,計算方式如下:
31、
32、s95、對 di排序,取數值最大的前m個數據加入代表性樣本集e。
33、本技術方案通過初始化深度神經網絡模型,利用代表性樣本集訓練模型并計算fisher信息矩陣,進而在流量捕獲后進行攻擊檢測,并根據檢測結果更新訓練集和樣本集,實現持續學習與非遺忘入侵檢測。
34、另外,根據本專利技術上述提出基于在線深度神經網絡非遺忘入侵檢測方法、介質及設備還具有如下附加技術特征:
35、根據本專利技術的一個實施例,所述步驟s15中,計算fisher信息矩陣并將其中部分信息存入費雪數組,包括如下小步:
36、s151、為神經網絡模型的每個參數創建一個與該參數維度相同的零矩陣,命名為fisher信息矩陣;
37、s152、使用模型對輸入樣本進行前向傳播,得到模型的輸出;
38、s153、計算損失函數,然后通過反向傳播計算每個參數的梯度;
39、s154、計算fisher信息矩陣:對于每個參數,計算其梯度值的本文檔來自技高網...
【技術保護點】
1.一種基于在線深度神經網絡非遺忘入侵檢測方法,其特征在于,包括以下步驟:
2.如權利要求1所述的基于在線深度神經網絡非遺忘入侵檢測方法,其特征在于,所述步驟S15中,計算Fisher信息矩陣并將其中部分信息存入費雪數組,包括如下小步:
3.如權利要求1所述的基于在線深度神經網絡非遺忘入侵檢測方法,其特征在于,所述步驟S3、S4、S5、S6、S7、S8、S9、S2按照流程進行循環,使得深度神經網絡在實時數據流中自我學習自我更新,從而形成完全自動化的在線學習機制。
4.如權利要求2所述的基于在線深度神經網絡非遺忘入侵檢測方法,其特征在于,方法還包括以下步驟:
5.一種電子設備,包括存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序,其特征在于,所述處理器執行所述計算機程序時,實現根據權利要求1-4中任一項所述的基于在線深度神經網絡非遺忘入侵檢測方法。
6.一種計算機可讀存儲介質,其上存儲有計算機程序,其特征在于,所述計算機程序被處理器執行時實現根據權利要求1-4中任一項所述的基于在線深度神經網絡非遺忘入侵檢測方法
...【技術特征摘要】
1.一種基于在線深度神經網絡非遺忘入侵檢測方法,其特征在于,包括以下步驟:
2.如權利要求1所述的基于在線深度神經網絡非遺忘入侵檢測方法,其特征在于,所述步驟s15中,計算fisher信息矩陣并將其中部分信息存入費雪數組,包括如下小步:
3.如權利要求1所述的基于在線深度神經網絡非遺忘入侵檢測方法,其特征在于,所述步驟s3、s4、s5、s6、s7、s8、s9、s2按照流程進行循環,使得深度神經網絡在實時數據流中自我學習自我更新,從而形成完全自動化的在線學習機制。
...【專利技術屬性】
技術研發人員:楊曉林,張昊,承昊新,王數,陸蕓,楊凱,殷新博,
申請(專利權)人:國網江蘇省電力有限公司常州供電分公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。