(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115987552A(43)申请公布日2023.04.18(21)申请号202211447062.8G06N3/045(2023.01)(22)申请日2022.11.18G06N3/0442(2023.01)G06F3/048(2013.01)(71)申请人八维通科技有限公司G06N3/08(2023.01)地址310000浙江省杭州市滨江区长河街G06F18/2431(2023.01)道江南大道618号东冠大厦20层2001室(72)发明人余华琼魏力伊尚丰杨为意(74)专利代理机构杭州新雏鹰知识产权代理有限公司33474专利代理师周月霞(51)Int.Cl.H04L9/40(2022.01)H04L41/14(2022.01)H04L41/142(2022.01)G06N3/0464(2023.01)权利要求书2页说明书9页附图1页(54)发明名称一种基于深度学习的网络入侵检测方法(57)摘要本发明提供一种基于深度学习的网络入侵检测方法，属于数据处理技术领域，具体包括：对网络流量数据进行获取，并基于网络流量数据进行训练样本的构建；对训练样本进行样本不平衡处理，得到处理完成后的平衡训练样本；基于特征提取算法对平衡训练样本进行特征提取得到数据特征，其中数据特征包括平衡训练样本的空间特征和时间特征，并基于数据特征，采用基于深度学习算法的网络入侵分类模型进行训练和建模，得到训练完成后的网络入侵分类模型，并基于网络入侵分类模型进行网络入侵的实时检测，从而进一步提升了网络入侵检测的细粒度学习以及效率的进一步提升。CN115987552ACN115987552A权利要求书1/2页1.一种基于深度学习的网络入侵检测方法，其特征在于，具体包括：S11对网络流量数据进行获取，并基于所述网络流量数据进行训练样本的构建；S12对所述训练样本进行样本不平衡处理，得到处理完成后的平衡训练样本；S13基于特征提取算法对所述平衡训练样本进行特征提取得到数据特征，其中所述数据特征包括所述平衡训练样本的空间特征和时间特征，并基于所述数据特征，采用基于深度学习算法的网络入侵分类模型进行训练和建模，得到训练完成后的网络入侵分类模型，并基于所述网络入侵分类模型进行网络入侵的实时检测。2.如权利要求1所述的网络入侵检测方法，其特征在于，所述网络流量数据至少包括产生所述网络流量数据的设备标识类型、数据包类型、设备操作类型，并按照所述网络流量数据的种类对其进行标注操作，得到所述训练样本。3.如权利要求1所述的网络入侵检测方法，其特征在于，对所述述训练样本进行样本不平衡处理的具体步骤为：S21计算所述训练样本的不平衡率，基于所述不平衡率计算合成的新样本总数；S22提取所述训练样本中的少数类样本，并采用欧氏距离计算得到少数类样本xi的K个近邻样本,并计算每一个少数类样本的比例r；S23对所述比例r进行归一化处理得到归一化后的数据，基于所述归一化的数据以所述及新样本总数得到所述每一个少数类样本合成的样本数量；S24基于每一个少数类样本以及每一个少数类样本的近邻样本，生成不平衡类别的新样本，直到达到所述每一个少数类样本合成的样本数量。4.如权利要求1所述的网络入侵检测方法，其特征在于，所述特征提取算法采用深度神经网络结构IDNet，通过堆叠CNN+RNN模块，采用细粒度学习的方式，对所述平衡训练样本的空间特征和时间特征进行提取。5.如权利要求4所述的网络入侵检测方法，其特征在于，所述堆叠CNN+RNN模块首先利用CNN模块从平衡训练样本中提取空间特征，CNN模块输出将保留时间特征并被RNN模块捕获，通过CNN模块的滤波器数量和RNN模块的递归单元数量的设置实现细粒度学习的方式。6.如权利要求1所述的网络入侵检测方法，其特征在于，所述网络入侵分类模型采用基于果蝇优化算法的深度森林算法构建，所述网络入侵分类模型构建的具体步骤为：S31基于果蝇优化算法对所述深度深林算法的森林树数量和叶节点数量进行寻优，并基于所述深林树数量以及叶节点数量构建寻优完成的深度森林算法；S32将所述数据特征拉伸成1维特征向量，并将所述1维特征向量输入到第一层森林中，所述第一层森林由2个随机森林和2个完全随机森林组成，得到类概率；S33基于所述类概率以及所述数据特征作为下一层森林的输入，直到最后一层森林；S34对最后一层所有的单个森林输出的类概率进行取平均，然后取最大值类概率所对应的类别作为深度森林的输出分类结果。7.如权利要求6所述的网络入侵检测方法，其特征在于，依据寻优步长的权重α来不断地更新所述果蝇优化算法中的果蝇个体的寻优路径，果蝇个体寻优路径更新的公式为：其中，RV为随机值；(Xaxis,Yaxis)为果蝇群体初始化坐标的X轴与Y轴的值；