CN117579324B - 基于门控时间卷积网络与图的入侵检测方法 - Google Patents
基于门控时间卷积网络与图的入侵检测方法 Download PDFInfo
- Publication number
- CN117579324B CN117579324B CN202311511946.XA CN202311511946A CN117579324B CN 117579324 B CN117579324 B CN 117579324B CN 202311511946 A CN202311511946 A CN 202311511946A CN 117579324 B CN117579324 B CN 117579324B
- Authority
- CN
- China
- Prior art keywords
- graph
- network
- features
- time
- intrusion detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 56
- 238000013528 artificial neural network Methods 0.000 claims abstract description 19
- 238000012545 processing Methods 0.000 claims abstract description 8
- 239000011159 matrix material Substances 0.000 claims description 17
- 238000000034 method Methods 0.000 claims description 13
- 230000003044 adaptive effect Effects 0.000 claims description 9
- 230000002776 aggregation Effects 0.000 claims description 9
- 238000004220 aggregation Methods 0.000 claims description 9
- 238000005096 rolling process Methods 0.000 claims description 9
- 230000006870 function Effects 0.000 claims description 7
- 238000005070 sampling Methods 0.000 claims description 6
- 238000007781 pre-processing Methods 0.000 claims description 5
- 238000004140 cleaning Methods 0.000 claims description 4
- 238000010606 normalization Methods 0.000 claims description 4
- 230000004913 activation Effects 0.000 claims description 3
- 230000004931 aggregating effect Effects 0.000 claims description 3
- 238000010276 construction Methods 0.000 claims description 3
- 238000005065 mining Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 claims description 3
- 230000009466 transformation Effects 0.000 claims description 3
- 230000000694 effects Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000010801 machine learning Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000013135 deep learning Methods 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 238000012549 training Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000002474 experimental method Methods 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 238000012706 support-vector machine Methods 0.000 description 2
- 102100021283 1-aminocyclopropane-1-carboxylate synthase-like protein 1 Human genes 0.000 description 1
- 229930091051 Arenine Natural products 0.000 description 1
- 101000675558 Homo sapiens 1-aminocyclopropane-1-carboxylate synthase-like protein 1 Proteins 0.000 description 1
- 206010035148 Plague Diseases 0.000 description 1
- 241000607479 Yersinia pestis Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000000547 structure data Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于门控时间卷积网络与图的入侵检测方法,该方法通过利用分层的门控时间卷积网络(GatedTCN)提取时间特征,将门控时间卷积网络(Gated TCN)捕获的时间特征输入到图卷积网络(GCN)中,以提取网络数据中的空间特征,通过使用已建立的GraphSAGE算法以及图注意力网络(GAT)提出一种Graph‑SAGE算法,利用可用的图信息将残差学习集成到图神经网络(GNN)中,加入残差连接作为一种处理高层类不平衡的策略,以保留原始信息,提高少数类的性能。本发明通过对网络流量数据进行检测,检测出数据中的攻击类型,更好的有效的提高网络入侵检测的能力。
Description
技术领域
本发明涉及网络入侵检测技术领域,具体是一种基于门控时间卷积网络与图(Gated-TG)的入侵检测方法。
背景技术
随着互联网技术在经济、科研、军事和人民日常生活中的普及,人们的生活越来越离不开互联网。随着网络攻击者的增多及其手段的复杂性和多样性,可能会给网络安全带来重大隐患。因此,网络安全问题是无法避免的,网络安全的防御变得越来越紧迫。
入侵检测系统作为网络安全体系的一个重要组成部分,主要分为误用检测和异常检测。误用检测根据已有的知识构建规则库,对于已知的攻击具有较好的效果,但缺点也很明显,维护频繁并且不能检测未知攻击。异常检测通过对异常行为特征进行训练,能检测已知和未知攻击。虽然异常检测比误用检测的误检率和漏检率都低,但对于用户来说,检测率和误检率依然比较高,为了解决这些问题,数据挖掘和机器学习被引入到网络入侵检测中。随着科技的发展,互联网规模越来越庞大,结构越来越复杂,但是由于计算机网络设计之初没有过多考虑安全问题,一些底层的问题始终困扰着我们,网络攻击者在和安全人员的攻防博弈中提升了相关能力,致使现在的网络攻击趋向于更隐蔽。此外,部分国家为了自身利益有组织地对他国发动高级持续威胁(Advanced Persistent Threat,APT)。针对0day漏洞,专业性和针对性极强的工具不断被开发出来。随着攻击手段、攻击技术的不断提升,现有的浅层模型学习能力不足,基于浅层模型的入侵检测系统很难对各种类型的攻击进行有效检测。深度学习通过组合低层特征形成更加抽象的高层表示,以发现数据的分布式特征表示,训练出分类效果较高的分类器,从而提高检测系统检测的实时性和准确率。
网络入侵检测通常对基于流的网络数据执行,例如NetFlow,其中流由通信端点标识,并通过一组流字段进行注释,这些字段提供流的详细信息,例如数据包数量、字节数、流持续时间等。该流数据可以用图格式表示,其中流端点映射到图节点,网络流量映射到图边缘。拓扑信息以及边缘特征中包含的信息对于网络流量的分类和攻击流的检测都至关重要。
入侵检测系统(IDS)是近年来网络安全技术的研究热点。同时,鉴于传统网络安全防护技术的局限性,建立一个稳定、可靠、高精度的入侵检测模型,提高网络安全性,具有广阔的应用前景。基于机器学习的用户建模是入侵检测领域的热门话题,例如基于支持向量机(SVM)算法、神经网络(NN)聚类算法。传统的机器学习算法属于浅层学习,在标记数据样本数量较少的情况下效果良好。然而,随着网络数据的不断扩展,大量的高维非线性未标记网络数据给入侵检测带来了新的挑战。
深度学习因其适应大数据处理的优势而受到持续关注,一些研究人员已经将深度学习应用于网络入侵检测。尽管深度学习的性能优于传统的机器学习二分法和多分类方法,然而,传统的方法和机器学习方案进行分类时存在一些局限性。例如,特征工程与特征选择难以提取大数据中最具代表性的特征,导致精度不高,使得这些经典方法无法取得更好的结果。
发明内容
本发明的目的是通过对网络流量数据进行检测,检测出数据中的攻击类型,更好的有效的提高网络入侵检测的能力,提出一种基于门控时间卷积网络与图的入侵检测方法(Gated-TG)。
一种基于门控时间卷积网络与图的入侵检测方法,包括如下步骤:
步骤一、通过数据清洗和划分方式对网络流量数据进行预处理得到交通流数据,将交通流数据输入到构建的门控时间卷积网络Gated TCN;
步骤二、利用构建的门控时间卷积网络Gated TCN从输入的交通流数据中提取时间特征并输出;
步骤三、对输出的时间特征进行批量归一化操作,获得归一化后的时间特征,然后输入到构建的图卷积网络GCN;
步骤四、利用图卷积网GCN从输入的归一化后的时间特征中提取空间特征,然后输入到构建的图注意力网络GAT;
步骤五、利用图注意力网络GAT提取时空特征,将提取的时空特征输入到图神经网络GNN;
步骤六、利用可用的图信息将残差学习集成到图神经网络GNN中,对输入的时空特征进行学习,获得新的时空特征,将新的时空特征输入到残差连接;
步骤七、在GNN网络之后加入残差连接作为一种处理高层类不平衡的策略,以保留原始信息,将原始信息与提取的时空特征相结合,输入到检测层进行网络流量入侵检测。
进一步的,步骤一中网络流量数据的获取步骤如下:
步骤1.1、构建批量的两跳完整邻域;
步骤1.2、对一组固定大小的邻居节点进行统一采样,将节点集的邻域定义为来自集合的固定大小的均匀样本;
步骤1.3、采样后,算法逐层迭代聚合相邻边缘特征,使用边缘特征构建;
步骤1.4、构建一个二分图G(S,D;E),其中S、D、E分别代表源节点集、目标节点集和边集;
步骤1.5、将二分图转换为其对应的折线图,节点对应原始的边;
步骤1.6、构建虚拟节点将源节点集扩大到目标节点集的大小;
步骤1.7、扩大目标节点集之后,通过目标节点集构建批量的完整邻域,以获取网络流量数据。
进一步的,步骤二中构建的门控时间卷积网络Gated TCN,给定输入X∈RN×D×S,其形式为:
其中θ1,θ2,b和c是模型参数,是元素乘积,g(·)是输出的激活函数,σ(·)是sigmoid函数,用于确定传递到下一层信息的比率。
进一步的,步骤三中图卷积网络GCN的构建过程如下:
步骤3.1、图卷积网络GCN通过聚合和转换其邻域信息来平滑节点的信号,令表示归一化邻接矩阵,X∈RN×D表示输入信号,Z∈RN×M表示输出,W∈RD×M表示模型参数矩阵,图卷积网络定义为:
步骤3.2、构建一种自适应邻接矩阵通过使用可学习参数E1,E2∈RN×c随机初始化两个节点嵌入字典来挖掘交通流隐藏的空间特征,自适应邻接矩阵如下所示:
其中,E1表示源节点嵌入,E2表示目标节点嵌入,将E1和E2相乘,得到源节点和目标节点之间的空间依赖权重;通过结合预定义的空间依赖关系和自学习隐藏的空间特征,图卷积层如下所示:
当结构不适用时,单独使用自适应邻接矩阵来捕获隐藏的空间依赖关系,如下所示:
步骤3.3、构建残差连接聚合层,输入是线性图中的节点特征hv,v∈B0,层输出是聚合节点嵌入h′v;对于每个节点v首先计算相邻特征的加权平均值,然后与变换后的节点特征ev连接;在第k层,基于注意力的残差聚合表示如下:
其中αuv是分配给线性图中边缘euv的注意力系数,W是跨层的共享线性变换;注意力系数αuv通过前馈神经网络a[Whu||Whv]来学习,其中a是权重向量,注意力系数如下所示:
本发明具有如下优点:
1.本发明依赖于门控时间卷积网络(G-TCN)和图卷积网络(GCN),允许结合边缘特征和拓扑模式来进行网络入侵检测,提升对网络流量数据的检测效果;
2.本发明考虑了原始网络流量的时间特征,可以分层学习网络流量的时间特征,有效的解决了难以提取流量时间特征的局限性;
3.本发明构建利用可用的图信息将残差学习集成到图神经网络(GNN)中,加入残差连接作为一种处理高层类不平衡的策略,以保留原始信息,提高少数类的性能。
4.本发明在UNSW-NB15数据集上进行了评估,实验结果表明本发明提出的方法的有效性和鲁棒性。
附图说明
图1是本发明实施例GTCN-G的网络结构图;
图2是本发明实施例GatedTCN框架图;
图3是本发明实施例UNSW-NB15数据集多分类混淆矩阵图;
图4是本发明实施例ToN-IoT数据集多分类混淆矩阵图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种基于门控时间卷积网络与图的入侵检测方法(GTCN-G),如图1所示,所述的网络入侵检测方法由门控时间卷积网络(Gated TCN)(如图2所示)、图卷积网络(GCN)以及图注意力网络(GAT)组成;GatedTCN用于捕获网络流量的时间特征,GCN用于捕获网络流量的空间特征,GAT用于捕获网络流量的时空特征;通过利用可用的图信息将残差学习集成到图神经网络(GNN)中,加入残差连接作为一种处理高层类不平衡的策略,以保留原始信息,通过这种方式,GTCN-G方法通过检测层进行网络入侵检测。
所述方法具体包括如下步骤:
步骤一、通过数据清洗和划分方式对网络流量数据进行预处理得到交通流数据,将交通流数据输入到构建的门控时间卷积网络GatedTCN;步骤一具体包括:
步骤1.1、构建批量的两跳完整邻域;
步骤1.2、对一组固定大小的邻居节点进行统一采样,将节点集的邻域定义为来自集合的固定大小的均匀样本;
步骤1.3、采样后,算法逐层迭代聚合相邻边缘特征,使用边缘特征构建;
步骤1.4、构建一个二分图G(S,D;E),其中S、D、E分别代表源节点集、目标节点集和边集;
步骤1.5、将二分图转换为其对应的折线图,节点对应原始的边;
步骤1.6、构建虚拟节点将源节点集扩大到目标节点集的大小;
步骤1.7、扩大目标节点集之后,通过目标节点集构建批量的完整邻域,以获取网络流量数据;
步骤1.8、通过数据清洗和划分方式对网络流量数据进行预处理,预处理之后得到平稳的交通流数据;
步骤1.9、将预处理后的交通流数据输入到门控时间卷积网络(Gated TCN)。
步骤二、利用构建的门控时间卷积网络(Gated TCN)从输入的交通流数据中提取时间特征并输出;其中构建的门控时间卷积网络(Gated TCN),给定输入X∈RN×D×S,其形式为:
其中θ1,θ2,b和c是模型参数,是元素乘积,g(·)是输出的激活函数,σ(·)是sigmoid函数,它确定传递到下一层信息的比率;
步骤三、对输出的时间特征进行批量归一化操作,获得归一化后的时间特征,然后输入到构建的图卷积网络GCN;图卷积网络GCN的构建过程如下:
步骤3.1、图卷积网络GCN通过聚合和转换其邻域信息来平滑节点的信号,令表示归一化邻接矩阵,X∈RN×D表示输入信号,Z∈RN×M表示输出,W∈RD×M表示模型参数矩阵,图卷积网络定义为:
步骤3.2、构建一种自适应邻接矩阵该矩阵不需要任何先验知识,并且通过随机梯度下降进行端到端学习,通过使用可学习参数E1,E2∈RN×c随机初始化两个节点嵌入字典来挖掘交通流隐藏的空间特征,自适应邻接矩阵如下所示:
其中,E1表示源节点嵌入,E2表示目标节点嵌入,将E1和E2相乘,得到源节点和目标节点之间的空间依赖权重;通过结合预定义的空间依赖关系和自学习隐藏的空间特征,图卷积层如下所示:
当结构不适用时,提出单独使用自适应邻接矩阵来捕获隐藏的空间依赖关系,如下所示:
步骤3.3、构建残差连接聚合层,输入是线性图中的节点特征hv,v∈B0,层输出是聚合节点嵌入h′v;对于每个节点v首先计算相邻特征的加权平均值,然后与变换后的节点特征ev连接,适用于恶意软件检测中高度不平衡的数据;在第k层,基于注意力的残差聚合表示如下:
其中αuv是分配给线性图中边缘euv的注意力系数,W是跨层的共享线性变换,它将输入特征映射到较低维度;注意力系数αuv可以通过前馈神经网络a[Whu||Whv]来学习,其中a是权重向量。注意力系数如下所示。
步骤四、利用图卷积网GCN从输入的归一化后的时间特征中提取空间特征,然后输入到构建的图注意力网络GAT;
步骤五、利用图注意力网络GAT提取时空特征,将提取的时空特征输入到图神经网络GNN;
步骤六、利用可用的图信息将残差学习集成到图神经网络GNN中,对输入的时空特征进行学习,获得新的时空特征,将新的时空特征输入到残差连接;
当特征输入到残差连接以后,进一步的配置整体网络模型的超参数、模型的优化器、损失函数和迭代次数;每层使用具有6个头注意力的更深模型进行节点分类,根据最佳性能的超参数值选择层数,对注意力系数使用丢弃率;根据验证集的性能,从每个数据集的最佳设置中选择学习率;对于UNSW-NB15数据集,学习率设置为0.007,对于ToN-IoT数据集,学习率为0.01;所有模型都在训练集上训练10个epoch;
步骤七、在GNN网络之后加入残差连接作为一种处理高层类不平衡的策略,加入残差可以保留原始信息,提高少数类的性能,以保留原始信息,将原始信息与提取的时空特征相结合,输入到检测层进行网络流量入侵检测。
下面通过具体实验对本发明的方案效果进行验证:
步骤1、数据描述:
本发明选择两个入侵检测数据集,分别是UNSW-NB15和ToN-IoT。对于UNSW-NB15数据集,使用可用数据的样本;对于ToN-IoT数据集使用提供的训练/测试文件。
UNSW-NB15由澳大利亚网络安全中心(ACCS)于2015年生成,对于数据集,攻击样本首先从三个真实世界的网站收集:CVE(Common Vulnerabilities and Exposures),BID(Symantec Corporation)和MSD(Microsoft Security Bulletin),然后在实验室环境中模拟样本攻击以生成数据集。UNSW-NB15数据集中有九种攻击类别:DoS、Exploits、Generic、Shellcode、Reconnaissance、Backdoor、Worms、Analysis和Fuzzers。
ToN-IoT数据集:是一个相对较新且广泛的数据集,由Abdullah等人于2019年生成,其中包括不同类型的物联网数据,例如操作系统日志、物联网/IIoT服务的遥测数据,以及从Cyber Range的中等规模网络和UNSW Canberra(Australia)的物联网实验室收集的物联网网络流量。
步骤2、基线方法:
基于图的入侵检测网络E-GraphSAGE:一个基于图神经网络的物联网入侵检测系统;
基于图的入侵检测网络小批量版E-GraphSAGE M:一个基于图神经网络的物联网入侵检测系统的小批量版本;
图注意力神经网络GAT:图注意力网络是一种专为处理图结构数据而设计的特殊神经网络;
步骤3、确定评价指标:
本发明根据F1-score来衡量所提出的GTCN-G方法整体性能,如下所示:
其中Precision用于衡量入侵检测系统仅识别攻击的能力,而Recall可以用于系统发现所有攻击的能力。F1-score越高,模型实现的精确度和召回率之间的平衡就越好。
Precision与Recall的计算如下:
其中TP为攻击次数,TN为正确分类的正常流量数,FP是实际的正常记录被误归类为攻击的数量,以及FN是被错误地归类为正常流量的攻击的数量。
步骤4、实验结果与分析:
本发明首先对二分类进行评估,评估流量属于正常类别还是恶意的类别,然后分析多分类,在多分类中检测识别良性攻击类别与单独攻击类别。如表1显示了四种算法在两个数据集中获得的F1-score结果;为了公平地评估残差特征的好处,在每对修改后的模型和原始模型中进行了比较。从表1中可以看出,本发明提出的GTCN-G模型在F1-score方面,在两个数据集中明显优于原始模型,可以观察到GTCN-G模型在这两个数据集中比GAT产生更好的分数。
表1展示了本发明提出的GTCN-G模型在二分类和多分类情况下的详细结果,显示了所考虑的UNSW-NB15基准数据集与ToN-IoT数据集中,GTCN-G模型与基线模型的二分类和多分类的F1-score指标的值。从表1中可以看出,GTCN-G模型在所有不同的性能指标上都表现良好。由于所考虑的数据集通常高度不平衡,因此F1-score是一个更相关的性能指标,通过使用F1-Score将本发明的GTCN-G模型与基线模型进行比较,证明了本发明所提出的GTCN-G模型具有更好的检测性能。
表1:GTCN-G在两个数据集上的F1-score性能
本发明考虑了多类分类问题,其中分类器旨在区分不同类型的攻击以及良性流量。多分类是一个比二分类困难得多的问题。为了在多类场景中评估GTCN-G模型,本发明考虑了与二分类相同的两个NIDS数据集,表1和表2显示了UNSW-NB15数据集和ToN-IoT数据集的相应结果。对于UNSW-NB15数据集,实现了非常高的F1-score,多分类为0.9870,如图3所示。ToN-IoT数据集的F1-Score为0.9956,如图4所示。
表2:F1-score两个选定数据集上每个类别的得分结果
本发明提出了一种基于门控时间卷积网络与图的入侵检测方法(GTCN-G)用于入侵检测研究,GTCN-G方法依赖于门控时间卷积网络(G-TCN)、图卷积网络(GCN)以及图注意力网络(GAT),其关键思想是利用可用的图信息将残差学习集成到图神经网络(GNN)中,加入残差作为一种处理高层类不平衡的策略,以保留原始信息,提高少数类的性能;此外,为了加强学习,本发明还在模型中加入批量归一化。在非冗余数据集UNSW-NB15和ToN-IoT数据集上进行大量的实验,实验结果表明,GTCN-G模型能够有效地利用G-TCN、GCN以及GAT网络。与其他最优的基线模型相比,本发明所提出的GTCN-G模型可以显着提高验证准确性并降低网络入侵检测的误报率,结果表明,本发明提出的GTCN-G方法具有最佳的检测性能。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何属于本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (3)
1.一种基于门控时间卷积网络与图的入侵检测方法,其特征在于,包括如下步骤:
步骤一、通过数据清洗和划分方式对网络流量数据进行预处理得到交通流数据,将交通流数据输入到构建的门控时间卷积网络GatedTCN;
步骤二、利用构建的门控时间卷积网络GatedTCN从输入的交通流数据中提取时间特征并输出;
步骤三、对输出的时间特征进行批量归一化操作,获得归一化后的时间特征,然后输入到构建的图卷积网络GCN;
步骤四、利用图卷积网GCN从输入的归一化后的时间特征中提取空间特征,然后输入到构建的图注意力网络GAT;
步骤五、利用图注意力网络GAT提取时空特征,将提取的时空特征输入到图神经网络GNN;
步骤六、利用可用的图信息将残差学习集成到图神经网络GNN中,对输入的时空特征进行学习,获得新的时空特征,将新的时空特征输入到残差连接;
步骤七、在GNN网络之后加入残差连接作为一种处理高层类不平衡的策略,以保留原始信息,将原始信息与提取的时空特征相结合,输入到检测层进行网络流量入侵检测;
步骤一中网络流量数据的获取步骤如下:
步骤1.1、构建批量的两跳完整邻域;
步骤1.2、对一组固定大小的邻居节点进行统一采样,将节点集的邻域定义为来自集合的固定大小的均匀样本;
步骤1.3、采样后,算法逐层迭代聚合相邻边缘特征,使用边缘特征构建;
步骤1.4、构建一个二分图G(S,D;E),其中S、D、E分别代表源节点集、目标节点集和边集;
步骤1.5、将二分图转换为其对应的折线图,节点对应原始的边;
步骤1.6、构建虚拟节点将源节点集扩大到目标节点集的大小;
步骤1.7、扩大目标节点集之后,通过目标节点集构建批量的完整邻域,以获取网络流量数据。
2.根据权利要求1所述的基于门控时间卷积网络与图的入侵检测方法Gated-TG,其特征在于:步骤二中构建的门控时间卷积网络GatedTCN,给定输入X∈RN×D×S,其形式为:
h=g(θ1*X+b)⊙σ(θ2*X+c) (1)
其中θ1,θ2,b和c是模型参数,⊙是元素乘积,g(·)是输出的激活函数,σ(·)是sigmoid函数,用于确定传递到下一层信息的比率。
3.根据权利要求1所述的基于门控时间卷积网络与图的入侵检测方法Gated-TG,其特征在于:步骤三中图卷积网络GCN的构建过程如下:
步骤3.1、图卷积网络GCN通过聚合和转换其邻域信息来平滑节点的信号,令表示归一化邻接矩阵,X∈RN×D表示输入信号,Z∈RN×M表示输出,W∈RD×M表示模型参数矩阵,图卷积网络定义为:
步骤3.2、构建一种自适应邻接矩阵通过使用可学习参数E1,E2∈RN×c随机初始化两个节点嵌入字典来挖掘交通流隐藏的空间特征,自适应邻接矩阵如下所示:
其中,E1表示源节点嵌入,E2表示目标节点嵌入,将E1和E2相乘,得到源节点和目标节点之间的空间依赖权重;通过结合预定义的空间依赖关系和自学习隐藏的空间特征,图卷积层如下所示:
当结构不适用时,单独使用自适应邻接矩阵来捕获隐藏的空间依赖关系,如下所示:
步骤3.3、构建残差连接聚合层,输入是线性图中的节点特征hv,v∈B0,层输出是聚合节点嵌入hv';对于每个节点v首先计算相邻特征的加权平均值,然后与变换后的节点特征ev连接;在第k层,基于注意力的残差聚合表示如下:
其中αuv是分配给线性图中边缘euv的注意力系数,W是跨层的共享线性变换;注意力系数αuv通过前馈神经网络a[Whu||Whv]来学习,其中a是权重向量,注意力系数如下所示:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311511946.XA CN117579324B (zh) | 2023-11-14 | 2023-11-14 | 基于门控时间卷积网络与图的入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311511946.XA CN117579324B (zh) | 2023-11-14 | 2023-11-14 | 基于门控时间卷积网络与图的入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117579324A CN117579324A (zh) | 2024-02-20 |
CN117579324B true CN117579324B (zh) | 2024-04-16 |
Family
ID=89861712
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311511946.XA Active CN117579324B (zh) | 2023-11-14 | 2023-11-14 | 基于门控时间卷积网络与图的入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117579324B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5371368A (en) * | 1992-07-23 | 1994-12-06 | Alfano; Robert R. | Ultrafast optical imaging of objects in a scattering medium |
CN111740971A (zh) * | 2020-06-15 | 2020-10-02 | 郑州大学 | 基于类不平衡处理的网络入侵检测模型sgm-cnn |
CN115086029A (zh) * | 2022-06-15 | 2022-09-20 | 河海大学 | 一种基于双通道时空特征融合的网络入侵检测方法 |
CN116248392A (zh) * | 2023-03-07 | 2023-06-09 | 广西民族大学 | 一种基于多头注意力机制的网络恶意流量检测系统及方法 |
CN116543554A (zh) * | 2023-05-01 | 2023-08-04 | 兰州理工大学 | 基于动态相关性的时空Transformer交通流预测方法 |
CN116596151A (zh) * | 2023-05-25 | 2023-08-15 | 湖北工业大学 | 基于时空图注意力的交通流量预测方法及计算设备 |
CN116596109A (zh) * | 2023-04-04 | 2023-08-15 | 康明 | 一种基于门控时间卷积网络的交通流预测模型 |
CN116760742A (zh) * | 2023-06-21 | 2023-09-15 | 南京南瑞信息通信科技有限公司 | 基于多阶段混合时空融合的网络流量异常检测方法及系统 |
CN116781346A (zh) * | 2023-06-20 | 2023-09-19 | 广东工业大学 | 基于数据增强的卷积双向长短期记忆网络入侵检测方法 |
CN116827666A (zh) * | 2023-07-31 | 2023-09-29 | 江苏大学 | 一种基于图注意力网络的恶意网络流量检测方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112733937A (zh) * | 2021-01-11 | 2021-04-30 | 西安电子科技大学 | 一种可信图数据节点分类方法、系统、计算机设备及应用 |
-
2023
- 2023-11-14 CN CN202311511946.XA patent/CN117579324B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5371368A (en) * | 1992-07-23 | 1994-12-06 | Alfano; Robert R. | Ultrafast optical imaging of objects in a scattering medium |
CN111740971A (zh) * | 2020-06-15 | 2020-10-02 | 郑州大学 | 基于类不平衡处理的网络入侵检测模型sgm-cnn |
CN115086029A (zh) * | 2022-06-15 | 2022-09-20 | 河海大学 | 一种基于双通道时空特征融合的网络入侵检测方法 |
CN116248392A (zh) * | 2023-03-07 | 2023-06-09 | 广西民族大学 | 一种基于多头注意力机制的网络恶意流量检测系统及方法 |
CN116596109A (zh) * | 2023-04-04 | 2023-08-15 | 康明 | 一种基于门控时间卷积网络的交通流预测模型 |
CN116543554A (zh) * | 2023-05-01 | 2023-08-04 | 兰州理工大学 | 基于动态相关性的时空Transformer交通流预测方法 |
CN116596151A (zh) * | 2023-05-25 | 2023-08-15 | 湖北工业大学 | 基于时空图注意力的交通流量预测方法及计算设备 |
CN116781346A (zh) * | 2023-06-20 | 2023-09-19 | 广东工业大学 | 基于数据增强的卷积双向长短期记忆网络入侵检测方法 |
CN116760742A (zh) * | 2023-06-21 | 2023-09-15 | 南京南瑞信息通信科技有限公司 | 基于多阶段混合时空融合的网络流量异常检测方法及系统 |
CN116827666A (zh) * | 2023-07-31 | 2023-09-29 | 江苏大学 | 一种基于图注意力网络的恶意网络流量检测方法 |
Non-Patent Citations (1)
Title |
---|
深度学习在僵尸云检测中的应用研究;寇广;汤光明;王硕;宋海涛;边媛;;通信学报;20161125(11);116-117 * |
Also Published As
Publication number | Publication date |
---|---|
CN117579324A (zh) | 2024-02-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Pu et al. | A hybrid unsupervised clustering-based anomaly detection method | |
Zhong et al. | Applying big data based deep learning system to intrusion detection | |
Xin et al. | Machine learning and deep learning methods for cybersecurity | |
Wu et al. | Twitter spam detection: Survey of new approaches and comparative study | |
Wang et al. | HAST-IDS: Learning hierarchical spatial-temporal features using deep neural networks to improve intrusion detection | |
Xiao et al. | Phishing websites detection via CNN and multi-head self-attention on imbalanced datasets | |
CN101582813B (zh) | 基于分布式迁移网络学习的入侵检测系统及其方法 | |
Kim et al. | Fusions of GA and SVM for anomaly detection in intrusion detection system | |
WO2019175880A1 (en) | Method and system for classifying data objects based on their network footprint | |
Alanazi et al. | Anomaly Detection for Internet of Things Cyberattacks. | |
Liao et al. | A Survey of Deep Learning Technologies for Intrusion Detection in Internet of Things | |
Li et al. | Feature selection‐based android malware adversarial sample generation and detection method | |
Hammood et al. | Ensemble machine learning approach for IoT intrusion detection systems | |
Malik et al. | Performance evaluation of classification algorithms for intrusion detection on nsl-kdd using rapid miner | |
Widiyasono et al. | Detection of Mirai malware attacks in IoT environments using random forest algorithms | |
CN117579324B (zh) | 基于门控时间卷积网络与图的入侵检测方法 | |
Saurabh et al. | Negative selection in anomaly detection—A survey | |
Soliman et al. | A network intrusions detection system based on a quantum bio inspired algorithm | |
Bahjat et al. | Anomaly Based Intrusion Detection System Using Hierarchical Classification and Clustering Techniques | |
Yang et al. | Black-Box Graph Backdoor Defense | |
Abhale et al. | Deep Learning Algorithmic Approach for Operational Anomaly Based Intrusion Detection System in Wireless Sensor Networks | |
Tarun et al. | Exploration of CNN with Node Centred Intrusion Detection Structure Plan for Green Cloud | |
Liao et al. | GE-IDS: an intrusion detection system based on grayscale and entropy | |
Lin et al. | Behaviour classification of cyber attacks using convolutional neural networks | |
Miathali | Efficient Machine Learning Classifier for Fault Detection in Wireless Sensor Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |