一种基于门控循环单元的高效检测少数攻击方法

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于门控循环单元的高效检测少数攻击方法。

背景技术

随着网络环境的日益复杂，复杂的攻击行为也相应增多。在当代，基于网络的入侵检测变得至关重要。由于网络流量中少数类样本的出现频率低、数量有限，如何准确检测这类样本中的攻击是我们的一个重要研究领域。

成熟的网络入侵检测系统不仅能准确检测出属于多数样本的攻击，还能检测出属于少数样本的攻击。然而，在实际错综复杂的网络环境中，不仅有大量的常规流量和来自多数样本的攻击，也有来自少数样本的攻击。由于来自少数群体的攻击流量有限，传统方法无法有效辨别此类攻击的显著特征。因此，这些方法的检测率很低，而且容易忽略少数群体样本攻击的实例，从而给计算机网络的安全带来巨大风险。

传统的机器学习方法普遍的被应用到识别各类攻击中，它可以帮助网络管理员对相关的攻击行为采取对应的措施，保护网络的安全。但是，传统的机器学习模型主要关注对特征的选择，它们不能有效的对现实网络环境中各种各样的攻击类型分类问题。由于数据集的大量增长，进行多类分类会导致准确性下降。因此，机器学习方法大多数的浅层学习不适合高维进行大量数据的预测问题。而事实上，模型越复杂，神经网络中隐藏层越多，模型参数越多，数据越多，达到的实验效果就越好。深度学习有很大的潜力能更好的从数据集提取更好的特征，用来创建更好的学习模型。伴随人工智能和网络安全相结合的热潮，越来越多的学者正在研究如何将深度学习的优势运用于流量分类任务以使其达到更好的分类效果。

本发明提出的策略是一种分阶段检测技术，可提高模型精确学习网络流量特征的能力，更成功地识别少数样本攻击。这种方法结合了深度学习和机器学习方法，从而提高了少数样本攻击检测的准确性。

发明内容

本发明所要解决的技术问题在于：针对少数类样本攻击检测率低的局限性，提供了一种基于门控循环单元的高效检测少数攻击方法，该方法通过多阶段、逐层方法检测网络流量中的入侵并对其进行分类。该方法的第一阶段采用多层感知器来区分正常流量和可疑流量。第二阶段使用LightGBM分类器将可疑流量分为正常流量和攻击流量。第三阶段使用门控递归单元将攻击流量分为多个类别。它可以提高模型精确学习网络流量特征的能力，更成功地识别少数样本攻击。这种方法结合了深度学习和机器学习方法，从而提高了少数样本攻击检测的检测率。

本发明是通过以下技术方案解决上述技术问题的，本发明包括以下步骤：

步骤1：数据预处理，读取到数据集中的数据后，对数据进行预处理；

步骤1.1：读取到数据后，首先删除冗余的数据；

步骤1.2：再将特征的非数值类型数值转为数值类型；

步骤1.3：转换过的数据再进行独热编码；

步骤1.4：最后经过归一化处理输入到模型进行训练；

当样本特征的尺度(取值范围)差异较大时，取值范围大的特征会起到主导作用，为了提高训练的性能，必须采用归一化处理。我们在实验中采用Min-Max归一化。其中，x

步骤1.5：处理过的数据随即划分为80％的训练集数据，20％的测试集数据；

步骤2：设计模型。设计基于门控循环单元的高效检测少数攻击的入侵检测模型；

步骤2.1：基于门控循环单元的高效检测少数攻击的入侵检测方法采用多阶段逐层检测结构，包括多层感知机、LightGBM、门控循环单元三个阶段，其整体结构如(图1)所示。

步骤2.2：第一阶段使用多层感知器(MLP)对输入数据进行二分类。第一阶段的结构如(图2)所示。MLP将数据样本分为正常类和可疑类。同时，在不考虑数据不平衡的情况下，MLP可以准确地将流量样本分为正常类和可疑类。通过输入样本得到的预测值和真实值，放入到交叉熵损失函数中计算损失值，同时使用adam优化器进行优化损失。其中，y

步骤2.3：第二阶段，使用LightGBM将可疑流量样本进一步分类为正常类和攻击类。第二阶段的结构如(图3)所示。LightGBM分类可过滤掉初始阶段错误分类的样本，并在第三阶段对攻击类样本进行多类分类。即使在处理数据不平衡的情况下，第二阶段的LightGBM二进制分类也很有效。这种方法提高了模型区分正常流量和攻击流量的准确性，并在检测网络入侵攻击方面实现了稳健的性能。通过第一阶段的可疑类流量输入到LightGBM中训练，得到的预测值和真实值输入到损失函数中计算其损失值。第二阶段的损失函数如下所示：

其中，y

.步骤2.4：最后的阶段也是最重要的阶段，使用门控递归单元将第二阶段的攻击类别划分为多个类别。门控递归单元对攻击类别样本的分类进一步细化了分类。这种攻击类别样本的多类别分类提高了检测少数攻击类别的准确性。这种多阶段逐层检测的方法为准确检测和分类网络流量入侵提供了全面有效的解决方案。通过将第二阶段的攻击数据输入到门控循环单元中训练，得到的结果分别与其真实值输入到损失函数中计算损失，同时使用Adam优化器优化损失，使其最小化损失，并且达到收敛状态从而获得最优模型。第三阶段的损失函数如下所示：

其中，(y

σ为sigmoid激活函数，x

loss为各个阶段的损失之和，loss

如下所示：

loss＝loss

步骤3：模型训练。通过各个阶段的损失函数计算模型的损失，训练步骤2中设计的模型，获取最优的模型；

本发明包括多层感知机、LightGBM、门控循环单元三个阶段。

步骤3.1：多层感知机为第一阶段，第一阶段隐藏层采用80个隐藏节点，并且使用sigmoid激活函数设置隐藏层激活函数，输出层的激活函数设置为softmax，经过前向传播和反向传播算法计算出损失和梯度。采用Adam优化器进行优化损失。

步骤3.2：第二阶段采用LightGBM分类器将可疑类流量分为正常类和攻击类。在LightGBM中叶子节点数设为15，树深度设为4，学习率设为0.05，迭代次数设置为100，为避免过拟合的情况出现，将早期停止迭代次数设置为10。经过前向传播和反向传播计算出损失和梯度，经过随机梯度下降来最小化代价函数。

步骤3.3：在第三阶段隐藏层隐藏节点数设为80，学习周期设为20，隐藏层节激活函数设置为sigmoid，输出层激活函数设置为softmax，Dropout设置为0.2。同样经过前向传播和反向传播算法计算出损失和梯度。采用Adam优化器来优化损失。

步骤4：检测分类。测试数据输入到步骤3得到的最优模型中，得到最终检测结果。在得到最优模型后，通过使用经过预处理的测试集的数据对步骤三得到的最优模型进行测试。输出最终测试结果。

本发明所具有的优点和积极效果是：本发明相比现有技术具有以下优点：该一种基于门控循环单元的高效检测少数攻击方法，通过多阶段、逐层方法检测网络流量中的入侵并对其进行分类。该方法的第一阶段采用多层感知器来区分正常流量和可疑流量。第二阶段使用LightGBM分类器将可疑流量分为正常流量和攻击流量。第三阶段使用门控递归单元将攻击流量分为多个类别。它可以提高模型精确学习网络流量特征的能力，更成功地识别少数样本攻击。这种方法结合了深度学习和机器学习方法，我们的方法实现了更高的检测少数攻击的准确率。

附图说明

为了更清楚地说明本发明的技术方案，对本发明所需要使用的附图作简单的介绍。

图1为一种基于门控循环单元的高效检测少数攻击方法的整体结构示意图。

图2为一种基于门控循环单元的高效检测少数攻击方法的第一阶段结构示意图。

图3为一种基于门控循环单元的高效检测少数攻击方法的第二阶段结构示意图。

图4为一种基于门控循环单元的高效检测少数攻击方法的第三阶段结构示意图。

图5为一种基于门控循环单元的高效检测少数攻击方法的实施过程示意图。

图6为输出的精确度图。

图7为输出的召回率图。

图8为输出的F指标图。

具体实施方式

下面主要结合附图和具体实施对该发明作进一步的说明。

本实施例选取CICIDS2017数据集和UNSW-NB15数据集来进行分析，选取数据据集中数量最少的几种攻击类样本来说明本发明实施后的相应结果如(图6-8)所示，其实施过程如(图5)所示。具体实施步骤如下：

步骤1：数据预处理，读取到数据集中的数据后，对数据进行预处理；

步骤1.1：读取到数据后，首先删除冗余的数据；

步骤1.2：再将特征的非数值类型数值转为数值类型；

步骤1.3：转换过的数据再进行独热编码；

步骤1.4：最后经过归一化处理输入到模型进行训练；

.当样本特征的尺度(取值范围)差异较大时，取值范围大的特征会起到主导作用，为了提高训练的性能，必须采用归一化处理。我们在实验中采用Min-Max归一化。其中，x

步骤1.5：处理过的数据随即划分为80％的训练集数据，20％的测试集数据；

步骤2：设计模型。设计基于门控循环单元的高效检测少数攻击的入侵检测模型；

步骤2.1：一种基于门控循环单元的高效检测少数攻击方法采用多阶段逐层检测结构，包括多层感知机、LightGBM、门控循环单元三个阶段，其整体结构如(图1)所示。

步骤2.2：第一阶段使用多层感知器(MLP)对输入数据进行二分类。第一阶段的结构如(图2)所示。MLP将数据样本分为正常类和可疑类。同时，在不考虑数据不平衡的情况下，MLP可以准确地将流量样本分为正常类和可疑类。通过输入样本得到的预测值和真实值，放入到交叉熵损失函数中计算损失值，同时使用adam优化器进行优化损失。其中，y

步骤2.3：第二阶段，使用LightGBM将可疑流量样本进一步分类为正常类和攻击类。第二阶段的结构如(图3)所示。LightGBM分类可过滤掉初始阶段错误分类的样本，并在第三阶段对攻击类样本进行多类分类。即使在处理数据不平衡的情况下，第二阶段的LightGBM二进制分类也很有效。这种方法提高了模型区分正常流量和攻击流量的准确性，并在检测网络入侵攻击方面实现了稳健的性能。通过第一阶段的可疑类流量输入到LightGBM中训练，得到的预测值和真实值输入到损失函数中计算其损失值。第二阶段的损失函数如下所示：

其中，y

步骤2.4：最后的阶段也是最重要的阶段，使用门控递归单元将第二阶段的攻击类别划分为多个类别。门控递归单元对攻击类别样本的分类进一步细化了分类。这种攻击类别样本的多类别分类提高了检测少数攻击类别的准确性。这种多阶段逐层检测的方法为准确检测和分类网络流量入侵提供了全面有效的解决方案。通过将第二阶段的攻击数据输入到门控循环单元中训练，得到的结果分别与其真实值输入到损失函数中计算损失，同时使用Adam优化器优化损失，使其最小化损失，并且达到收敛状态从而获得最优模型。第三阶段的损失函数如下所示：

其中，(y

σ为sigmoid激活函数，x

loss为各个阶段的损失之和，loss

如下所示：

loss＝loss

步骤3：模型训练。通过各个阶段的损失函数计算模型的损失，训练步骤2中设计的模型，获取最优的模型；

本发明包括多层感知机、LightGBM、门控循环单元三个阶段。

步骤3.1：多层感知机为第一阶段，第一阶段隐藏层采用80个隐藏节点，并且使用sigmoid激活函数设置隐藏层激活函数，输出层的激活函数设置为softmax，经过前向传播和反向传播算法计算出损失和梯度。采用Adam优化器进行优化损失。

步骤3.2：第二阶段采用LightGBM分类器将可疑类流量分为正常类和攻击类。在LightGBM中叶子节点数设为15，树深度设为4，学习率设为0.05，迭代次数设置为100，为避免过拟合的情况出现，将早期停止迭代次数设置为10。经过前向传播和反向传播计算出损失和梯度，经过随机梯度下降来最小化代价函数。

步骤3.3：在第三阶段隐藏层隐藏节点数设为80，学习周期设为20，隐藏层节激活函数设置为sigmoid，输出层激活函数设置为softmax，Dropout设置为0.2。同样经过前向传播和反向传播算法计算出损失和梯度。采用Adam优化器来优化损失。

步骤4：检测分类。测试数据输入到步骤3得到的最优模型中，得到最终检测结果。在得到最优模型后，通过使用经过预处理的测试集的数据对步骤三得到的最优模型进行测试。输出最终测试结果。

实施上述步骤后，最终输出结果如(图6-8)所示，(图6-8)中的结果即最优模型的预测结果。

本发明所具有的优点和积极效果是：本发明相比现有技术具有以下优点：该一种基于门控循环单元的高效检测少数攻击方法，通过多阶段、逐层方法检测网络流量中的入侵并对其进行分类。该方法的第一阶段采用多层感知器来区分正常流量和可疑流量。第二阶段使用LightGBM分类器将可疑流量分为正常流量和攻击流量。第三阶段使用门控递归单元将攻击流量分为多个类别。它可以提高模型精确学习网络流量特征的能力，更成功地识别少数样本攻击。在UNSW-NB15和CICIDS2017数据集上评估了我们方法的有效性。我们的方法取得了令人瞩目的准确率，分别为99.11％和96.93％。这种方法结合了深度学习和机器学习方法，我们的方法实现了更高的检测少数攻击的准确率。

此外，以上实施方式仅用以说明本发明的具体实施方式而不是对其限制，本领域技术人员应当理解，本领域的普通技术人员在本发明的范围内可以对上述技术进行变化、修改、替换和变型。