本申請實施例公開了一種入侵檢測方法、系統、設備及可讀存儲介質，所述方法包括：對入侵檢測數據集進行預處理；基于預處理之后的數據的維度確定網絡模型的輸入輸出節點個數，根據隱含層和其他參數確定網絡結構和訓練參數，用訓練集對SDAE?ELM模型和/或DBN?Softmax模型進行訓練；將測試數據集輸入訓練好的SDAE?ELM模型和/或DBN?Softmax模型，得到每條數據集的入侵檢測分類結果。鑒于入侵數據源的不同，充分考慮SDAE和DBN模型的特點，分別使用SDAE和DBN對網絡數據流量進行特征學習，進一步將SDAE和DBN學習的特征送入各自的分類器完成入侵檢測。相比于其他經典的機器學習模型，具有更佳的入侵檢測效果。

技術領域

本申請實施例涉及人工智能技術領域，具體涉及一種入侵檢測方法、系統、設備及可讀存儲介質。

背景技術

國際標準化組織(ISO)將計算機網絡安全定義為“為數據處理系統建立和采取的技術與管理方面的安全保護，保護硬件、軟件數據不因偶然和惡意的原因遭到破壞、更改和泄露，系統連續可靠、正常運行，網絡服務不中斷”。

隨著全球信息化的快速發展，網絡連接變得越來越便利。人民能夠更好地享受網絡快速發展帶來的便利，但于此同時網絡安全也日益受到威脅。網絡攻擊行為日趨復雜，網絡攻擊頻繁出現，具有廣泛性、隱蔽性、持續性、趨利性的網絡攻擊與信息竊取已經從個人蔓延到金融、通信、能源、航空、交通等許多領域。因此，需要構建一種更加新穎、靈活和可靠的入侵檢測系統(intrusion detection system，IDS)。IDS能夠對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備，其作為一種積極主動的安全防護技術，已經發展成為保障網絡安全的關鍵技術。根據檢測方法的不同，可分為誤用檢測(misuse detection)和異常檢測(anomaly detection)。誤用檢測通過對已知的入侵行為和企圖進行特征提取并編寫進規則庫，將監測到的網絡行為與規則庫進行模式匹配，進而判斷入侵行為或者入侵企圖，該方法的優點是誤報率低，但其最主要的缺點是入侵信息的收集和更新較為困難以及特征庫的維護工作量較大；異常檢測則是從大量正常用戶行為中檢測出攻擊行為，可以對未知攻擊進行檢測是其顯著優點，但其在檢測過程中容易產生較高的假陽性。

發明內容

為此，本申請實施例提供一種入侵檢測方法、系統、設備及可讀存儲介質，深入研究堆疊降噪自編碼器(stacked denoising autoencoder，SDAE)和深度置信網絡(deepbelief networks，DBN)，以開發一種靈活有效的入侵檢測系統來對網絡攻擊進行實時檢測。鑒于入侵數據源的不同，充分考慮SDAE和DBN模型的特點，提出了基于SDAE-ELM以及DBN-Softmax的集成深度入侵檢測模型。首先，分別使用SDAE和DBN對網絡數據流量進行特征學習。然后，將SDAE 和DBN學習的特征送入各自的分類器完成入侵檢測。文中模型參數在KDDCup99數據集上通過神經網絡優化方法進行選擇，并使用小批量梯度下降法訓練SDAE-ELM和DBN-Softmax模型，最終將最優模型SDAE-ELM和 DBN-Softmax分別應用于基于網絡和基于主機的入侵檢測系統，通過嚴格的實驗，證明了SDAE-ELM和DBN-Softmax與其他經典的機器學習模型相比具有較優的入侵檢測效果。

為了實現上述目的，本申請實施例提供如下技術方案：

根據本申請實施例的第一方面，提供了一種入侵檢測方法，所述方法包括：

對入侵檢測數據集進行預處理，所述預處理方式為高維數據特征映射、基于詞袋模型對數據集進行處理和數據歸一化處理中的一種或多種；

基于預處理之后的數據的維度確定網絡模型的輸入輸出節點個數，根據隱含層和其他參數確定網絡結構和訓練參數，用訓練集對SDAE-ELM模型和/ 或DBN-Softmax模型進行訓練；

將測試數據集輸入訓練好的SDAE-ELM模型和/或DBN-Softmax模型，得到每條數據集的入侵檢測分類結果。