买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：东北大学;国网辽宁省电力有限公司;国网辽宁省电力有限公司信息通信分公司

摘要：本发明属于网络安全技术领域，提出了一种未知攻击入侵检测方法、装置和计算机可读存储介质，该方法通过使用卷积神经网络和长短期记忆人工神经网络实现对基础分类器的搭建。同时，为了能够使模型更好的应用于未知攻击入侵检测领域，本发明在训练阶段提出了一种新的损失函数即距离度量函数，它能够使得相同类别的样本的空间向量分布更加紧凑，并使不同类别的样本更加稀疏，增强了基础分类器的分类能力。在检测阶段使用Openmax层替换常规的Softmax层，并与距离度量函数相互作用，以增大样本深层特征的类间间距和减少类内间距，实现对未知类别的有效检测。

主权项：1.一种未知攻击入侵检测方法，其特征在于，该未知攻击入侵检测方法包括以下步骤：步骤一：预处理网络攻击流量，获得模型输入数据；步骤二：模型输入数据，作为训练样本对混合神经网络分类器进行训练；混合神经网络结构包括多个不同卷积核的卷积神经网络和长短期记忆人工神经网络；模型输入数据经卷积神经网络提取得到多个空间局部特征；将多个空间局部特征进行拼接获得完整的样本特征图，经长短期记忆人工神经网络自动提取得到各空间局部特征的长期依赖关系；步骤三：基于各空间局部特征的长期依赖关系，训练混合神经网络分类器的损失函数，于原有Softmax损失函数基础上增设一距离度量函数，进行混合神经网络分类器的模型建立；使该损失函数最小化，完成对混合神经网络分类器的训练；步骤四：未知攻击检测，采用Openmax层代替步骤三获得的混合神经网络分类器的Softmax层，完成对未知类别的检测；所述距离度量函数计算公式如下： 其中，Ls为Softmax损失函数，LC为对同类样本之间距离的最小化；LG为不同类别样本距离最大化；λC和λG为权重系数，m为总类别数量，表示样本xi深层特征与该样本所在类别yi的深层特征中心之间的距离，表示样本xi深层特征与除该样本所在类别yi以外的深层特征中心之间的距离；所述步骤一的具体步骤如下：1设定网络攻击流量活跃时间阈值Tinterval，将网络攻击流量数据分割为多个数据流单元数据；每一数据流单元数据包括源地址、目的地址、源端口、目的端口和应用层协议；2提取数据流单元数据中的应用层协议数据；3计算所有样本中的最大字节长度Lmax，将其设置为模型的输入长度，不足该最大字节长度的样本后进行补0；4构造网络流字典，与16进制的数据流字节建立一个映射关系；所述步骤二的具体步骤如下：1利用不同卷积核的多个卷积神经网络在输入数据序列上滑动提取多个空间局部特征，计算公式如下：hkl＝fhk-1l⊙wkl+rkl其中，hkl为第l个卷积神经网络第k层的特征矩阵，wkl为卷积神经网络第k层的权重，rkl为第k层的偏置矩阵；2对所有空间局部特征进行拼接操作，得到样本特征图，计算公式如下：hk＝[hk1,hk2,…,hkl]3利用长短期记忆人工神经网络从样本特征图中提取各空间特征之间的长期依赖关系，计算公式如下：sz＝fUmz+sz-1W其中，sz为第z时刻隐藏层神经元的激活向量，状态U和W为长短期记忆人工神经网络的权值矩阵，mz为第z时刻长短期记忆人工神经网络隐藏层神经元的输入；其中，m1＝hk；所述步骤三的具体步骤如下：1对每一个样本xi计算反向传播误差，计算公式如下： 其中t为训练轮数；多项式LC和LG分别对xi求导结果如下式所示： 2在每一轮训练完成后，对每一类别j更新其类内和类外中心，计算公式如下： 其中，α和β为缩放系数，Δcj和为当前批次所有样本与目前类内和类外中心的距离，计算公式如下： 当condition为真值时，δcondition＝1，否则δcondition＝0；3更新模型权重矩阵参数，计算公式如下： 其中μt为学习率，初始权重矩阵θ为随机矩阵；4不断重复步骤1-步骤4直至模型达到最大训练轮数；所述步骤四具体步骤如下：1根据已知的流量样本数据得到预训练模型，提取出分类正确的样本的最后一层全连接层的激活向量vx＝[v1,…vj,...vN]，并计算每一类别的平均激活向量M＝[m1,...,mN]；2计算每一类别所有样本的激活向量vj＝[vj1,vj2,…,vjn]与该类别平均激活向量mj的距离，并选取其中距离最大的η个样本来拟合样本的威尔布分布pj，计算公式如下：pj＝τj,λj,κj＝FitHigh||vj-mj||,ηj其中τj代表位置参数，λj代表尺度参数，κj代表形状参数，威布尔分布用于估计输入样本相对于类j的离群值概率；3攻击检测阶段，对每一类样本的激活向量按照升序排序，计算其索引值，计算公式如下：sj＝argsortvx4每一类别中选取其中α个最大激活向量，计算其权重概率，计算公式如下： 5对激活向量进行重新调整校准，计算公式如下： 其中N为已知类别数量，为修正后的已知类激活向量，为未知类别的激活向量，未知类别被标记为N+1；6将softmax函数应用于重新校准的激活向量，得到包括已知与未知类在内的每个样本的输出概率，计算公式如下： 当一个样本被判别维未知类时，

全文数据：

权利要求：

百度查询： 东北大学 国网辽宁省电力有限公司 国网辽宁省电力有限公司信息通信分公司 一种未知攻击入侵检测方法、装置和计算机可读存储介质