(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN111556017A(43)申请公布日2020.08.18(21)申请号202010217977.4(22)申请日2020.03.25(71)申请人中国科学院信息工程研究所地址100093北京市海淀区闵庄路甲89号(72)发明人张小洋张棪于光喜杨慧然崔华俊(74)专利代理机构北京君尚知识产权代理有限公司11200代理人余长江(51)Int.Cl.H04L29/06(2006.01)H04L29/08(2006.01)权利要求书2页说明书6页附图3页(54)发明名称一种基于自编码机的网络入侵检测方法及电子装置(57)摘要本发明提供一种基于自编码机的网络入侵检测方法及电子装置，该方法包括：读取并驻留待检测流量矩阵的每条流量，并根据各流量的HTTP会话信息与信息排序分配至若干可存一设定流量数量区间的流袋中，得到若干流袋矩阵；提取每一所述流袋矩阵的缩放不变性特征和大小与序列不变性特征，得到各流袋的袋特征矩阵；将所述袋特征矩阵逐一输入预训练自编码机，计算各特征矩阵输入数据与输出数据的根方差，并根据一阈值判读各流袋中流量是否为正常流量。本发明不依赖于流量标签，也不需要采集足够的攻击流量用于模型训练，更适用于大数据下分布式计算场景，其检测时效率与准确率远高于现有技术。CN111556017ACN111556017A权利要求书1/2页1.一种基于自编码机的网络入侵检测方法，其步骤包括：1)读取并驻留待检测流量矩阵的每条流量，并根据各流量的HTTP会话信息与信息排序分配至若干可存一设定流量数量区间的流袋中，得到若干流袋矩阵；2)提取每一所述流袋矩阵的缩放不变性特征和大小与序列不变性特征，得到各流袋的袋特征矩阵；3)将所述袋特征矩阵逐一输入预训练自编码机，计算各特征矩阵输入数据与输出数据的根方差，并根据一阈值判读各流袋中流量是否为正常流量。2.如权利要求1所述的方法，其特征在于，所述HTTP会话信息根据用户名和访问域名划分。3.如权利要求1所述的方法，其特征在于，所述分配的步骤包括：1)根据每一所述HTTP会话信息的起止位置，将该HTTP会话信息依次放入可存一设定流量数量区间的流袋中；2)当一所述HTTP会话信息的流量条数小于所述设定流量数量区间的下限，则放弃该HTTP会话信息的流量条数；3)当一所述HTTP会话信息的流量条数位于小于所述设定流量数量区间中，则将该HTTP会话信息的流量放入一流袋中；4)当一所述HTTP会话信息的流量条数大于所述设定流量数量区间的上限，则将前设定流量数量区间上限数量的HTTP会话信息放入一流袋，其余HTTP会话信息的流量放入下一个流袋中。4.如权利要求1所述的方法，其特征在于，对所述流袋矩阵每一维数据进行归一化处理，得到所述缩放不变性特征。5.如权利要求4所述的方法，其特征在于，使用直方图法对所述缩放不变性特征表达，得到所述大小与序列不变性特征。6.如权利要求1所述的方法，其特征在于，所述预训练编码机的网络结构包括输入层、隐藏层和输出层；所述每一隐藏层节点的激活函数为sigmoid函数。7.如权利要求1所述的方法，其特征在于，训练所述预训练自编码机的步骤包括：1)读取并驻留样本正常流量矩阵的每条流量，并根据各流量的HTTP会话信息与信息排序分配至若干可存一设定流量数量区间的流袋中，得到若干样本流袋矩阵；2)提取每一所述样本流袋矩阵的缩放不变性特征与序列不变性特征，得到各流袋的得到样本特征矩阵；3)将若干所述样本特征矩阵逐批次迭代输入一初始化自编码机，得到所述预训练自编码机。8.如权利要求7所述的方法，其特征在于，所述阈值的获取步骤包括：1)将各所述样本特征矩阵分别输入所述预训练自编码机，计算样本特征矩阵输入数据与输出数据的均方根误差；2)将各所述均方根误差排序，并根据一设定阈值选取置信度，得到所述阈值。9.一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行权利要求1-8中任一所述方法。10.一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理2CN111556017A权利要求书2/2页器被设置为运行所述计算机程序以执行权利要求1-8中任一方法。3CN111556017A说明书1/6页一种基于自编码机的网络入侵检测方法及电子装置技术领域[0001]本发明涉及信息安全领域，尤其涉及一种基于自编码机的网络入侵检测方法及电子装置。背景技术[0002]网络入侵检测系统以旁路部署为主，位于网络关键位置，用于检测所有进出保护网络范围内的网络流量。网络入侵检测系统根据主要关注的流量不同而划分为三类：基于标志的(signature-based)入侵检测，主要关注攻击流量；基于异常的(abnormaly-