基于卷积长短期记忆自动编码器的入侵检测方法

本发明涉及信息处理，尤其涉及一种基于卷积长短期记忆自动编码器的入侵检测方法与装置。背景技术：1、随着大数据时代的不断深化，数据迎来了井喷式增长。当前，网络攻击频率不断加快，手段复杂多样，新型攻击层出不穷，网络攻击呈现出“实时化”“快速化”“复杂化”的趋势。入侵检测系统(intrusion detection system,ids)是网络安全保障的重要组成部分，其能够发现网络中恶意的攻击、未经授权的活动以及潜在的威胁，可以有效防范网络攻击。传统的入侵检测方法通过人工建立规则数据库进行规则与行为的匹配对应来实现入侵检测。传统类型的ids旨在将传入的流量签名与预先确定的已知恶意签名列表相匹配。该类型的ids在检测以前未见过的攻击或现有攻击的变体时是不可靠的。针对当前越来越复杂的网络环境和层出不穷的新型攻击，传统的入侵检测方法已显得力不从心，亟需更有力的入侵检测手段来应对网络安全威胁。2、人工智能的发展使得利用机器学习(machine learning,ml)进行入侵检测成为了可能。基于机器学习的入侵检测方法的主要特点在于通过输入输出对数据进行算法学习和预测，机器学习算法的应用提高了入侵检测效率，大大降低了误报率。深度学习算法能够使用许多非线性隐藏层来学习特征表示，挖掘高维数据的潜在特征，使特征工程自动化，从而将网络流量异常检测可转化为分类问题。基于深度学习的入侵检测系统，不但要能在异构的网络环境中准确的检测到已知的攻击，还应对藏身于海量、高维数据中的新型未知攻击有一定的泛化能力，同时尽量避免数据不平衡现象的影响，实现智能、高效的入侵检测。因此，深度学习已被成功地应用于更先进ids的开发中，其旨在从数据样本中提取和学习复杂的安全事件，实现了较好的检测性能。3、然而，这些方法中有很大一部分是基于有监督深度学习模型，训练时需要大量的有标记数据。其性能的好坏取决于有标签训练数据的质量和完整性。为了使深度学习模型的训练效果最大化，最重要的是提供大量有标签数据，这将最大限度地提高模型性能。但由于许多实际和隐私问题，从现实世界的生产网络中获取有标签数据集是非常困难的，从而使得目前的基于深度学习的入侵检测精度不够高。技术实现思路1、本发明的目的在于解决上述现有技术存在的缺陷，提供一种基于卷积长短期记忆自动编码器的入侵检测方法与装置。2、一种基于卷积长短期记忆自动编码器的入侵检测方法，包括：3、构建初始的入侵检测模型；所述入侵检测模型用于对输入的数据进行重构，以输出重构数据；4、将原始的正常数据输入所述初始的入侵检测模型进行训练，得到训练好的入侵检测模型；5、根据训练好的入侵检测模型，确定该模型的第一重构误差，并根据所述第一重构误差确定阈值α；6、将待检测的数据输入所述训练好的入侵检测模型，确定所述待检测的数据对应的第二重构误差；7、将所述第二重构误差与所述阈值α进行比较，根据比较结果确定检测结果。8、进一步地，如上所述的基于卷积长短期记忆自动编码器的入侵检测方法，所述入侵检测模型包括：9、编码器，用于对输入的原始数据进行编码，并输出压缩的一维向量；10、注意力残差块，用于提取所述压缩的一维向量对应的特征，并将提取的特征传递给解码器；11、解码器，用于将所述提取的特征恢复为原始的输入数据。12、进一步地，如上所述的基于卷积长短期记忆自动编码器的入侵检测方法，所述编码器包括：两个cnn层和一个lstm层；13、所述两个cnn层依次连接，所述lstm层连接在后一个所述cnn层之后；14、所述解码器包括的所有层与所述编码器的层相对称设置。15、进一步地，如上所述的基于卷积长短期记忆自动编码器的入侵检测方法，所述编码器的cnn层包括：依次设置的卷积层、bn层、max pooling层和一个dropout层。16、进一步地，如上所述的基于卷积长短期记忆自动编码器的入侵检测方法，在将原始数据输入所述入侵检测模型之前，还包括对所述原始数据进行预处理的步骤；所述预处理包括：17、对所述原始数据进行数值化处理，以得到数值化处理后的数据；18、将所述数值化处理后的数据进行归一化，得到归一化后的数据，以所述归一化后的数据作为入侵检测模型的输入。19、进一步地，如上所述的基于卷积长短期记忆自动编码器的入侵检测方法，所述对所述原始数据进行数值化处理，以得到数值化处理后的数据包括：20、删除所述原始数据中的重复值和异常值；21、将删除重复值和异常值后的所述原始数据分别利用标签编码和独热编码来完成预处理，得到经过处理的二进制数据。22、一种基于卷积长短期记忆自动编码器的入侵检测装置，包括：23、构建单元，用于构建初始的入侵检测模型，所述入侵检测模型用于对输入的数据进行重构，以输出重构数据；24、训练单元，用于将原始的正常数据输入所述初始的入侵检测模型进行训练，得到训练好的入侵检测模型；25、确定单元，用于根据训练好的入侵检测模型，确定该模型的第一重构误差，并根据所述第一重构误差确定阈值α；26、所述确定单元，还用于将待检测的数据输入所述训练好的入侵检测模型，确定所述待检测的数据对应的第二重构误差；27、比较单元，用于将所述第二重构误差与所述阈值α进行比较；28、所述确定单元，还用于根据比较结果确定检测结果。29、一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现如上所述基于卷积长短期记忆自动编码器的入侵检测方法。30、一种非暂态计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述基于卷积长短期记忆自动编码器的入侵检测方法。31、一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上所述基于卷积长短期记忆自动编码器的入侵检测方法。32、有益效果：33、本发明提供的基于卷积长短期记忆自动编码器的入侵检测方法，主要应用于样本标签不确定或某些特定类别标签较少的情况下，其通过构建的入侵检测模型实现了利用最小监督的学习方法来识别出标签数据中的隐藏模态，并对无标签的数据进行相应的分类，使得该构建的模型仅使用正常样本进行训练，即可对输入的数据进行有效识别，从而大大降低了对有标签数据的依赖性；而且，入侵检测模型将重构误差作为异常分数来实现入侵检测，通过优化模型的参数权重和偏置来最小化训练数据的平均重构误差。最小化重构数据与原始正常数据之间的差异能够使模型更好地了解数据的正常模态，从而使包含攻击字段的数据更有可能脱颖而出，从而提高了检测的精度。技术特征：1.一种基于卷积长短期记忆自动编码器的入侵检测方法，其特征在于，包括：2.根据权利要求1所述的基于卷积长短期记忆自动编码器的入侵检测方法，其特征在于，所述入侵检测模型包括：3.根据权利要求2所述的基于卷积长短期记忆自动编码器的入侵检测方法，其特征在于，所述编码器包括：两个cnn层和一个lstm层；4.根据权利要求3所述的基于卷积长短期记忆自动编码器的入侵检测方法，其特征在于，所述编码器的cnn层包括：依次设置的卷积层、bn层、maxpooling层和一个dropout层。5.根据权利要求1-4任一所述的基于卷积长短期记忆自动编码器的入侵检测方法，其特征在于，在将原始数据输入所述入侵检测模型之前，还包括对所述原始数据进行预处理的步骤；所述预处理包括：6.根据权利要求5所述的基于卷积长短期记忆自动编码器的入侵检测方法，其特征在于，所述对所述原始数据进行数值化处理，以得到数值化处理后的数据包括：7.一种基于卷积长短期记忆自动编码器的入侵检测装置，其特征在于，包括：8.一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至6任一项所述基于卷积长短期记忆自动编码器的入侵检测方法。9.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6任一项所述基于卷积长短期记忆自动编码器的入侵检测方法。10.一种计算机程序产品，包括计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6任一项所述基于卷积长短期记忆自动编码器的入侵检测方法。技术总结本发明提供一种基于卷积长短期记忆自动编码器的入侵检测方法与装置。该方法包括：构建初始的入侵检测模型；将原始的正常数据输入初始的入侵检测模型进行训练，得到训练好的入侵检测模型；根据训练好的入侵检测模型，确定该模型的第一重构误差，并根据第一重构误差确定阈值α；将待检测的数据输入训练好的入侵检测模型，确定待检测的数据对应的第二重构误差；将第二重构误差与所述阈值α进行比较，根据比较结果确定检测结果。本发明通过入侵检测模型实现了仅使用正常样本进行训练，大大降低了有标签数据缺乏对入侵检测的影响；而且能够有效检测新型、未知攻击，实现了准确、快速的入侵检测。技术研发人员：唐明伟,李林熹,崔济元,胡节,赵明峰,蒙科竹,王刘选,温雅,凌苗桂,蔡涛,徐皓文,边邓,唐骐,熊健乔,吕世轩,陶林平,徐杨胜,王鹏程,田佳鑫受保护的技术使用者：西华大学技术研发日：技术公布日：2024/8/16