一种网络入侵检测方法、装置和设备

技术领域

本发明一般涉及网络安全的技术领域，并且更具体地，涉及一种网络入侵检测方法、装置和设备。

背景技术

随着互联网快速发展，网络数据和信息呈现爆炸式增长。信息的增多促进了用户画像、推荐系统等方向的快速发展，但也带来了巨大的风险。网络攻击层出不穷，且随着攻击手段的不断进步，防火墙已不能完全保证阻止有害和可疑流量流入系统，这严重威胁网络安全。入侵检测是一种网络安全监控方法，通过分析网络或系统中的流量信息，主动检测存在的可疑活动或非法入侵，是传统安全技术的有力补充。

在网络入侵检测中，网络数据除了具有较高的特征维度和极大的数据量，在正常数据和攻击数据之间还具有极大的不平衡性。传统的入侵检测方法往往需要进行复杂的数据处理和分析工作来减小这种不平衡性带来的影响，例如采用数据过采样和数据欠采样技术来平衡各类别数据量，这严重增大了入侵检测的工作量。现有的不平衡处理方法也多集中在二分类问题上，难以对存在多种攻击形式的入侵检测问题提供有效参考。此外，现有的入侵检测方法应用高维度的网络数据，存在识别速度慢、识别准确率低的问题，这降低了入侵检测系统的可靠性。

发明内容

根据本发明的实施例，提供了一种网络入侵检测方案。本方案能够在无需对数据进行复杂处理的情况下，使得模型自适应地保持对少数类数据的高度关注，从而提高模型对攻击数据的识别能力，解决了现有入侵数据不平衡问题。

在本发明的第一方面，提供了一种网络入侵检测方法。该方法包括：

获取目标数据，对所述目标数据进行预处理，得到训练数据集；

基于所述训练数据集构造CatBoost模型的基分类器以及高度自适应Focal loss函数；

构造结合所述高度自适应Focal loss函数的CatBoost模型的目标函数；

使用所述目标函数在CatBoost模型训练过程中优化目标，得到入侵检测模型；

利用所述训练数据集对所述入侵检测模型进行训练，得到训练后的入侵检测模型；

通过所述训练后的入侵检测模型对网络入侵数据进行入侵检测。

进一步地，所述获取目标数据，对所述目标数据进行预处理，得到训练数据集，包括：

获取目标数据，对所述目标数据进行数据分析，得到不平衡数据；所述不平衡数据包括存在缺失值的数据和离群数据；

对所述存在缺失值的数据进行缺失值填补；以及对所述离群数据进行剔除；

对处理后的目标数据进行归一化处理，得到训练数据集。

进一步地，所述构造CatBoost模型的基分类器，包括：

其中，

进一步地，所述高度自适应Focal loss函数为：

其中，

其中，

其中，

其中，

其中，

其中，

进一步地，所述构造结合所述高度自适应Focal loss函数的CatBoost模型的目标函数，包括：

其中，

进一步地，所述CatBoost模型中经过前

其中，

进一步地，所述CatBoost模型中经过前

其中，

其中，对角线元素的形式如下：

非对角线元素

进一步地，所述使用所述目标函数在CatBoost模型训练过程中优化目标，得到入侵检测模型，包括：

通过CatBoost的自定义损失函数接口，以所述训练数据集中样本的真实值和预测值作为输入，以损失函数的一阶导数和二阶导数作为输出，寻找到决策树叶子节点的模型最佳权重参数，得到入侵检测模型；所述模型最佳权重参数包括最佳分割点。

在本发明的第二方面，提供了一种网络入侵检测装置。该装置包括：

获取模块，用于获取目标数据，对所述目标数据进行预处理，得到训练数据集；

第一构造模块，用于基于所述训练数据集构造CatBoost模型的基分类器以及高度自适应Focal loss函数；

第二构造模块，用于构造结合所述高度自适应Focal loss函数的CatBoost模型的目标函数；

优化模块，用于使用所述目标函数在CatBoost模型训练过程中优化目标，得到入侵检测模型；

训练模块，用于利用所述训练数据集对所述入侵检测模型进行训练，得到训练后的入侵检测模型；

检测模块，用于通过所述训练后的入侵检测模型对网络入侵数据进行入侵检测。

在本发明的第三方面，提供了一种电子设备。该电子设备至少一个处理器；以及与所述至少一个处理器通信连接的存储器；所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明第一方面的方法。

应当理解，发明内容部分中所描述的内容并非旨在限定本发明的实施例的关键或重要特征，亦非用于限制本发明的范围。本发明的其它特征将通过以下的描述变得容易理解。

附图说明

结合附图并参考以下详细说明，本发明各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中，相同或相似的附图标记表示相同或相似的元素，其中：

图1示出了根据本发明的实施例的网络入侵检测方法的流程图；

图2示出了根据本发明的实施例的网络入侵检测装置的方框图；

图3示出了能够实施本发明的实施例的示例性电子设备的方框图；

其中，300为电子设备、301为计算单元、302为ROM、303为RAM、304为总线、305为I/O接口、306为输入单元、307为输出单元、308为存储单元、309为通信单元。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例，都属于本发明保护的范围。

另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

图1示出了本发明实施例的网络入侵检测方法的流程图。

该方法包括：

S101、获取目标数据，对所述目标数据进行预处理，得到训练数据集。

在本实施例中，所述获取目标数据，对所述目标数据进行预处理，得到训练数据集，包括：

首先，获取目标数据，对所述目标数据进行数据分析，得到不平衡数据；所述不平衡数据包括存在缺失值的数据和离群数据。

作为本发明的一种实施例，所述目标数据为存在不平衡性的数据，例如NSL-KDD数据集。NSL-KDD数据集每条记录包括41个特征，存在1种正常数据和4种不同类型的攻击：拒绝服务 (DoS)、探测、用户到根 (U2R) 和远程到本地 (R2L)。训练出的模型能够对经典的网络攻击行为进行识别。

对NSL-KDD数据集进行数据分析包括，分析数据集类别数目，即分析数据集的不平衡程度。NSL-KDD数据集包括5种类别数据，在训练集中的比例为：1295:883:224:1:19。其类别数据之间存在严重的不平衡性。常规的不平衡处理方法，例如过采样和欠采样，极易造成模型过拟合。因此使用本发明所提出的算法级不平衡处理方法是适用的。

其次，对所述存在缺失值的数据进行缺失值填补；以及对所述离群数据进行剔除。

在本实施例中，通过线性插值法对所述存在缺失值的数据进行缺失值填补，即针对每一维数据均采用线性插值的方法填补缺失值。所述线性插值法可调用Python第三方库Pandas提供的interpolate()接口实现。

在本实施例中，通过数据降噪方法对所述离群数据进行剔除。所述数据降噪方法采用基于Copula函数的离群值检测算法(Copula-Based Outlier Detection, COPOD)检测多维数据中的离群值，该方法通过经验累积分布计算经验Copula，并通过经验Copula估算所有维度上联合分布的尾端概率。通过该尾端概率可以估计数据中的离群值，并将其剔除以达到降噪的目的。

最后，对处理后的目标数据进行归一化处理，得到训练数据集。

在本实施例中，对处理后的目标数据进行归一化处理，即针对每一维数据，找出最小值和最大值，将其一个原始值映射成在区间[0,1]中。

最终生成训练数据集，表达形式为

本发明无需针对数据的不平衡性进行复杂数据处理和分析过程，例如数据过采样及数据欠采样等技术，仅需要进行常规的数据处理过程即可实现对不平衡数据的充分挖掘。

S102、基于所述训练数据集构造CatBoost模型的基分类器以及高度自适应Focalloss函数。

在本实施例中，所述构造CatBoost模型的基分类器，包括：

其中，

在本发明的一些实施例中，所有基于GBDT的提升学习方法，如LightGBM、XGBoost等，均可作为本发明所述方法的基分类器。

Focal Loss函数可以根据模型对不同样本的学习程度，合理调整对样本的关注，实现对不平衡数据的理解。在入侵检测模型训练的早期，Focal Loss尤其有效，不同入侵样本的训练程度会导致损失的巨大差异，使得模型能够明显注意到训练不佳的样本，例如数目较少的攻击类样本。但是，随着训练的进行，不同训练水平的样本之间的损失差异会逐渐减小。标准的Focal loss函数在训练后期已经不能对攻击类样本提供足够的训练关注。每个类别的Focal Loss参数都是固定的，这限制了Focal loss在训练后期对模型进行调整的能力。为此，本实施例中对标准的Focal loss函数进行了改进，形成了高度自适应Focalloss函数。

在本实施例中，所述高度自适应Focal loss函数为：

其中，

其中，

其中，

其中，

其中，

其中，

其中，

本实施例通过高度自适应Focal loss损失函数能够使得模型从训练初期到末期始终对少数类数据保持高度的关注，从而对入侵数据具有较高的识别准确率，且无需提前对数据进行复杂的处理和分析过程。

S103、构造结合所述高度自适应Focal loss函数的CatBoost模型的目标函数。

在本实施例中，所述构造结合所述高度自适应Focal loss函数的CatBoost模型的目标函数，并进行泰勒展开，形式如下：

其中，

在本实施例中，所述CatBoost模型中经过前

其中，

在本实施例中，通过Focal loss二阶Hessian矩阵求导方法进行二阶求导。所述CatBoost模型中经过前

其中，

其中，对角线元素的形式如下：

以

非对角线元素

其中，

其中，

其中，

在本实施例中，Focal loss二阶Hessian矩阵求导方法，能够克服将Focal loss与CatBoost集合时，优化目标函数导致的二阶求导复杂问题，从而能够利用CatBoost先进的特征识别能力并克服数据不平衡造成的影响，能够实现对入侵数据的有效分类。

S104、使用所述目标函数在CatBoost模型训练过程中优化目标，得到入侵检测模型。

在本实施例中，所述使用所述目标函数在CatBoost模型训练过程中优化目标，得到入侵检测模型，包括：

通过CatBoost的自定义损失函数接口，以所述训练数据集中样本的真实值和预测值作为输入，以损失函数的一阶导数和二阶导数作为输出，寻找到决策树叶子节点的模型最佳权重参数，得到入侵检测模型。

在本实施例中，模型最佳权重参数包括最佳分割点以及其他用于模型拟合的参数，当模型损失收敛到一定程度即可认为模型训练完成，也可认为找到了当前训练模型的最优权重参数。最佳分割点是决策树类模型特有的概念。模型训练的过程其实是决策树模型寻找最优分割点的过程，当模型损失收敛到一定程度即可认为模型训练完成，也可认为找到了当前训练模型的最佳分割点。

S105、利用所述训练数据集对所述入侵检测模型进行训练，得到训练后的入侵检测模型。

作为本发明的一种实施例，使用JIT装饰器对所述损失函数进行优化，具体将自定义损失函数中的for循环结构及数组运算内容封装为函数结构，并使用Python的第三方Numba库，将其编译为机器代码，以加速程序运行，缩短入侵检测模型的训练时间。

作为本发明的一种实施例，使用AutoML（Auto Machine Learn自动化机器学习技术）进行损失函数的自动寻优，具体为，通过Python的第三方Hyperopt库调用贝叶斯优化算法，将模型对入侵检测数据集的识别准确率设为优化目标，寻找能使准确率达到最高的超参数

作为本发明的一种实施例，可以针对NSL-KDD数据集进行参数选择。由于网络入侵数据相对较多，为了防止模型对入侵数据的过度拟合，设置提前停止参数early_stopping=10，即当在模型在验证集上测试的损失连续十个迭代无法实现下降的时候，停止整个训练过程。

作为本发明的一种实施例，由于网络入侵数据多且杂乱无序，为了防止模型在训练过程中陷入局部最优，设置所述入侵检测模型的学习率为余弦退火学习率，如下：

其中

作为本发明的一种实施例，还包括：预设验证集，将训练好的入侵检测模型在验证集上进行评估，以验证入侵检测模型相对于其他模型的优越性。

通过验证可知，本实施例训练的入侵检测模型对NSL-KDD数据集中的少数类Probe、U2R、R2L的识别准确率得到了明显提升。这证明本发明所述方法能够有效解决入侵检测数据集中的类不平衡问题，能够实现对入侵数据的充分挖掘和高效识别。

S106、通过所述训练后的入侵检测模型对网络入侵数据进行入侵检测。

在本发明的实施例中，将高度自适应Focal loss与CatBoost结合，通过CatBoost所提供的自定义损失函数功能实现，高度自适应Focal loss通过Python语言编写，在模型的每次迭代过程中，以当前模型的预测值和数据集的真实值作为输入，以高度自适应Focalloss的一阶导数和二阶导数为输出。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本发明所必须的。

以上是关于方法实施例的介绍，以下通过装置实施例，对本发明所述方案进行进一步说明。

如图2所示，装置200包括：

获取模块210，用于获取目标数据，对所述目标数据进行预处理，得到训练数据集；

第一构造模块220，用于基于所述训练数据集构造CatBoost模型的基分类器以及高度自适应Focal loss函数；

第二构造模块230，用于构造结合所述高度自适应Focal loss函数的CatBoost模型的目标函数；

优化模块240，用于使用所述目标函数在CatBoost模型训练过程中优化目标，得到入侵检测模型；

训练模块250，用于利用所述训练数据集对所述入侵检测模型进行训练，得到训练后的入侵检测模型；

检测模块260，用于通过所述训练后的入侵检测模型对网络入侵数据进行入侵检测。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，所述描述的模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本发明的技术方案中，所涉及的用户个人信息的获取，存储和应用等，均符合相关法律法规的规定，且不违背公序良俗。

根据本发明的实施例，本发明还提供了一种电子设备。

图3示出了可以用来实施本发明的实施例的电子设备300的示意性框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本发明的实现。

设备300包括计算单元301，其可以根据存储在只读存储器（ROM）302中的计算机程序或者从存储单元308加载到随机访问存储器（RAM）303中的计算机程序，来执行各种适当的动作和处理。在RAM 303中，还可存储设备300操作所需的各种程序和数据。计算单元301、ROM 302以及RAM 303通过总线304彼此相连。输入/输出（I/O）接口305也连接至总线304。

设备300中的多个部件连接至I/O接口305，包括：输入单元306，例如键盘、鼠标等；输出单元307，例如各种类型的显示器、扬声器等；存储单元308，例如磁盘、光盘等；以及通信单元309，例如网卡、调制解调器、无线通信收发机等。通信单元309允许设备300通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

计算单元301可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元301的一些示例包括但不限于中央处理单元（CPU）、图形处理单元（GPU）、各种专用的人工智能（AI）计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器（DSP）、以及任何适当的处理器、控制器、微控制器等。计算单元301执行上文所描述的各个方法和处理，例如方法S101~S106。例如，在一些实施例中，方法S101~S106可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元308。在一些实施例中，计算机程序的部分或者全部可以经由ROM 302和/或通信单元309而被载入和/或安装到设备300上。当计算机程序加载到RAM 303并由计算单元301执行时，可以执行上文描述的方法S101~S106的一个或多个步骤。备选地，在其他实施例中，计算单元301可以通过其他任何适当的方式（例如，借助于固件）而被配置为执行方法S101~S106。

本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列（FPGA）、专用集成电路（ASIC）、专用标准产品（ASSP）、芯片上系统的系统（SOC）、负载可编程逻辑设备（CPLD）、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。

用于实施本发明的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本发明的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器（RAM）、只读存储器（ROM）、可擦除可编程只读存储器（EPROM或快闪存储器）、光纤、便捷式紧凑盘只读存储器（CD-ROM）、光学储存设备、磁储存设备、或上述内容的任何合适组合。

为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置（例如，CRT（阴极射线管）或者LCD（液晶显示器）监视器）；以及键盘和指向装置（例如，鼠标或者轨迹球），用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈（例如，视觉反馈、听觉反馈、或者触觉反馈）；并且可以用任何形式（包括声输入、语音输入或者、触觉输入）来接收来自用户的输入。

可以将此处描述的系统和技术实施在包括后台部件的计算系统（例如，作为数据服务器）、或者包括中间件部件的计算系统（例如，应用服务器）、或者包括前端部件的计算系统（例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互）、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信（例如，通信网络）来将系统的部件相互连接。通信网络的示例包括：局域网（LAN）、广域网（WAN）和互联网。

计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，也可以为分布式系统的服务器，或者是结合了区块链的服务器。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本发明的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。