买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：南京工业大学

摘要：一种融合TextCNN和GAN的网络入侵检测方法。首先，对网络流量分别进行数据转换和数据图像化。其次，对类不平衡的入侵检测数据集进行基于GAN的数据增广，生成所需的攻击流量，用以提高入侵检测模型对攻击流量特征的学习性能。最后，使用具有多尺度卷积核的TextCNN检测模型进行入侵检测，进一步提升网络入侵检测性能。在ADFA‑LD数据集上的实验结果表明，相比于没有进行数据增广的检测方式，补充攻击流量后的检测模型在MacroP、MacroR和MacroF1评价指标上都有提高。同时，在GAN增广数据的情况下，TextCNN检测的MacroP、MacroR和MacroF1都比CNN都有提高。

主权项：1.一种融合TextCNN和GAN的网络入侵检测方法，其特征是步骤包括：1对读取到的网络流数据进行转换和图像化；2采用基于生成对抗网络GAN的数据增广模块，生成增广的攻击流量；生成的攻击流量与原始流量共同用于步骤3的入侵检测模块的训练；3采用基于文本卷积神经网络TextCNN的入侵检测模块检测网络流，输出结果是正常流量或攻击流量；步骤1的流程包括：1.1数据转换规定网络流中每条流量的数据长度都相同；如果数据长度过长，则删除超长的部分，如果数据长度不足，则用0补足至规定长度；1.2数据图像化网络流数据集中每一条流量都是一串系统调用记录，流量特征个数有限，则在图像转换过程中不对原流量做编码；经步骤1.1数据转换后的网络流通过逐行方式转化为图像；步骤2的数据增广模块中，随机噪声z输入到生成器G，G将其映射至新的多维数据空间，生成攻击流量Gz，Gz形状与步骤1.2图像化处理后的真实攻击流量形状一致；判别器D通过与步骤1.2处理得到的真实的攻击流量对比，判断生成的攻击流量为真实的攻击流量的可能性；当D的判别准确率达到50％时，表示D已经无法确定生成的攻击流量是否为真实的攻击流量，此时认为G已经学习到了真实的攻击流量的数据分布；生成对抗网络被表述为生成器G和判别器D之间的极大极小博弈问题，建模为如下的对抗表达式 其中，Pdatax表示真实的攻击流量的数据分布，Pzz表示输入噪声的数据分布，Gz表示生成的攻击流量，Dx表示判别器所判断的样本x为真实的攻击流量的概率；x是真实的攻击流量样本，E表示期望值；式1是GAN的目标函数，式1表示对于真实的攻击流量x～Pdatax，希望判别器尽量将其识别为1；而对于生成的攻击流量z～Pzz，希望判别器尽量将其识别为0；GAN生成的攻击流量展开后用于入侵检测模块的训练；步骤3的基于TextCNN的入侵检测模块包含三层，分别为输入层、特征提取层和输出层；3.1输入层输入经过步骤1.1数据转换处理的流量；3.2特征提取层是由卷积层和最大池化层组成；3.2.1卷积层包括分别由大小3、4、5三种尺度的卷积核构成的三个通道，三种卷积核的宽度和输入的向量的宽度一致，通过在同一通道的高度方向上的移动来进行特征提取；三种卷积核都扫描输入的网络流特征，各自分别提取出对应的特征向量cici＝reluwi·M+b,i＝3,4,52其中，ci是大小为i的卷积核提取的特征向量，wi是大小为i的卷积核的权重矩阵，M为输入网络流向量，b为偏置参数，relu为卷积层激活函数；3.2.2池化层包括尺度分别为6、8、10的三种最大池化，它们分别对尺度为3、4、5三种卷积核提取的流量特征进行池化操作，保留流量特征的原始顺序并对其进行降维；对卷积核提取的流量特征的一个窗口进行最大池化操作，取出每个窗口对应的最大值，扫描整个流量特征，提取出对应的最大特征向量kiki＝maxci3其中，ki为经过最大池化操作处理后的卷积核i提取的特征向量；将经过最大池化层降维后的三种不同尺度卷积核提取的流量特征拼接在一起，作为输出层的输入向量cc＝[k3,k4,k5]43.3输出层由全连接层MLP组成，并使用Sigmoid激活函数对网络流的类别进行预测，以判别流量的类型，检测结果YY＝Maxsigmoidwc+b5其中，Y为模型检测结果，w为输出层权重，b为偏置参数。

全文数据：

权利要求：

百度查询： 南京工业大学 融合TextCNN和GAN的网络入侵检测方法