利索能及
我要发布
收藏
专利号: 202410949949X
申请人: 燕山大学
专利类型:发明专利
专利状态:已下证
更新日期:2026-07-01
缴费截止日期: 暂无
联系人

摘要:

权利要求书:

1.一种基于CDIVAE和双向时序模型的自适应入侵检测方法,其特征在于:包括基于GWR算法的过滤聚类算法、基于高斯混合条件域不变变分自编码器的域不变特征提取方法和基于双向保持网络与双向长短期记忆网络的融合神经网络模型,具体包括以下步骤:步骤S1、对数据进行最大最小归一化并通过欠采样技术对数据进行平衡化处理;

步骤S2、将处理后的数据通过GWR算法对源域数据进行过滤聚类,该算法基于欧几里得距离对源域数据集进行聚类,同时过滤掉其中大量的重复数据,提取出分布清晰且规模较小的源域数据子集;

步骤S3、通过高斯混合条件域不变变分自编码器减小目标域与源域的条件分布的差异,保证后验分布的对齐;

步骤S4、通过双向保持网络编码器和双向长短期记忆网络的融合神经网络对攻击流量进行检测,首先通过BRN对数据进行双向时序加权,通过双向的因果掩盖和指数衰减加权避免模型过拟合,同时通过串并混合的方式提高模型的计算效率,之后通过BiLSTM对时序加权之后的数据进行识别并分类,其通过记忆单元和门控单元能够有效的捕获数据的依赖关系;

步骤S5、通过消融实验和对比实验对算法的自适应能力进行验证,以F1值作为评价标准验证方法的有效性和优越性。

2.根据权利要求1所述的一种基于CDIVAE和双向时序模型的自适应入侵检测方法,其特征在于:步骤S2中通过GWR算法对源域数据进行过滤聚类,筛选出一个较小的数据子集,通过GM‑CDIVAE缩小源域和目标域之间的后验分布的差异并提取域不变特征;GWR算法主要步骤如下:S2.1、随机选取两个样本作为初始的节点组成集合A,其样本值作为其初始权重向量;

S2.2、初始化边集C为空集;

S2.3、随机选取一个样本ξ;

S2.4、对每个节点vi,计算其到输入样本的距离||ξ‑wi||;

S2.5、选取最佳匹配节点 和次最佳匹配节点

S2.6、如果边(vs,vt)不存在则创建它C=C∪{(vs,vt)},将边(vs,vt)的age设为0;

S2.7、计算样本ξ与最佳匹配节点的相似性a=exp(‑||ξ‑ws||);

S2.8、如果a小于相似性阈值aT,并且访问强度小于访问强度阈值fT,则在vs和vt之间添加一个新的节点vr,创建权向量:wr=0.5(ws+ξ),创建边(vr,vs)和(vr,vt)并删除旧边(vs,vt);

S2 .9、否则,不增加新的节点,调整最佳匹配节点及其邻居i的位置:

0<εn<εb<1;

S2.10、增加与s相连的所有边的权重:age(vs,vt)=age(vs,vt)+1;

S2.11、更新最佳匹配节点及其邻居i的访问强度:

S2.12、去除所有权重大于agemax的边,去除所有孤立点;

S2.13、若未到达要求迭代次数,返回第S2.3步,否则结束。

3.根据权利要求1所述的一种基于CDIVAE和双向时序模型的自适应入侵检测方法,其特征在于:步骤S3中高斯混合条件域不变变分自编码器实现源域和目标域的类条件分布P(X|Y)的对齐,具体步骤如下:步骤S3.1、通过EM算法对源域数据构建GMM;基于极大似然方法对参考域中每个类别下的数据对应的高斯分布进行参数估计,并将其估计值作为GMM的初始值,GMM的每个分量向着类条件概率密度的方向收敛,实现对类条件概率密度函数的拟合公式(11)和公式(12)为高斯分布参数的极大似然估计量,其中 为样本均值;

步骤S3.2、得到GMM之后,将GMM的每个分量作为源域的类条件分布,CDIVAE以GMM的分量作为先验匹配项的先验分布,CDIVAE将变分分布向源域的每个类条件分布进行匹配,实现目标域提取域不变特征之后的数据分布向源域的类条件分布对齐,CDIVAE的ELBO如公式(13)所示;

S S

上式中pGMM(x |y)表示类别标签为y的条件下源域数据X的概率密度函数,即源域的GMMT T中类别为y的分量;qφ(z|x ,y)表示在输入类别为y的目标域样本X时隐变量z的变分密度函T数,即域不变特征向量的概率密度函数;pθ(x|z,y)表示在输入类别为y的隐变量z的条件下x的概率密度函数;

步骤S3.3、d维高斯分布的KL散度的解析形式如公式(14)所示:取协方差矩阵的对角阵形式参与模型计算,同时对重构项进行采样估计,得到CDIVAE的ELBO的估计量:其中 和 为输入类别为k的目标域样本 由推断网络得到的第k类变分密度的期望和方差向量;

步骤S3.4、通过K个编码器‑解码器组合可以得到K个变分分布,K为类别个数,根据正态分布的可加性得到域不变特征映射g(x)的概率密度p(g(x))为:其中,x为输入的目标域样本;

步骤S3.5、通过重新参数化得到最终的域不变特征映射函数,

4.根据权利要求1所述的一种基于CDIVAE和双向时序模型的自适应入侵检测方法,其特征在于:步骤S4基于RetNet的双向保持网络BRN用于提取流量数据的全局时序特征,BRN采用多尺度保持机制通过串并混和的方式从前向后和后向提取长序列中的有效信息,同时通过引入指数衰减加权代替自注意力机制中的softmax,减小计算带来的开销。

5.根据权利要求4所述的一种基于CDIVAE和双向时序模型的自适应入侵检测方法,其特征在于:BRN由L个相同的块堆叠而成,每个块包含两个模块:多尺度双向保持MSBR模块和前馈网络FFN模块;

每个MSBR模块由双向保持BR机制组成,BR机制具有串行和并行的双重形式,可以在重复进行推理的同时以并行的方式训练模型;BR机制分为两层结构,假设第1层为时间序列正序,第2层为时间序列逆序,在时刻n时的正向状态定义为 逆向状态定义为 给定输入序列 其中,N是序列长度,dm是编码之后的隐藏维度,将每个分量映射成d维的Q,K,V矩阵;

其中正向结构和负向结构通过不同的参数矩阵进行映射得到不同的Q,K,V矩阵,最后将正向输出 和反向输出 拼接得到最终映射结果On,映射过程如公式(19)‑(21)所示;

其中A为权重矩阵;

串行计算形式下的BR机制通过权重矩阵A来传递位置信息,为了使其具有远程衰减性,将A设为模为γ并且维数为d/2的复对角矩阵:iθ

其中e 的实矩阵形式如下:

将公式(22)带入到公式(21)中得到正序输出的表达式:其中H表示共轭转置, 和 为旋转位置嵌入,γ为位置权重,从公式(24)中可以看出,与当前位置距离越远,其位置权重越小,所以位置权重γ的指数可以在记录位置信息的同时保证模型的远程衰减性,从公式(24)可以得到双向保持机制的正序的并行表示方法,简记为PR:inθ

其中Θn=e , 表示共轭,

同理,可得到双向保持机制的逆序表达式

从(27)可以得到逆序的并行表示方法NR:

正向和逆向的结果进行拼接得到最后的结果;

BR(X)=Concat(PR(X),NR(X)) (30)并行表示和串行表示的混合结构可以用于加速训练,提高模型计算效率,将输入序列分块,在每个块中用并行表示计算,块与块之间用串行表示计算,设B为每块的长度,其计算如下:BR(X[i])=Concat(PR(X[i]),NR(X[i])) (33)其中[i]表示第i个块,Q[i]=QBi:B(i+1),K[i]=KBi:B(i+1),V[i]=VBi:B(i+1)。

最终的MSBR是双向保持机制以多尺度形式组合而成,每个MSBR中使用h=dm/d个头,其中d是每个头中Q,K,V的维度,每个头使用不同的参数矩阵 双向保持机制为每个头分配不同的,添加一个摆动门来增加非保留层的非线性,公式如下:其中WG,WO都是可学习参数。

6.根据权利要求5的一种基于CDIVAE和双向时序模型的自适应入侵检测方法,其特征在于:双向长短期记忆网络BiLSTM整合两个方向相反的长短期记忆网络LSTM层,一个按时间正向处理序列,另一个按照相反的方向处理序列,以获取序列数据中更全面的上下文信息。

7.根据权利要求6述的一种基于CDIVAE和双向时序模型的自适应入侵检测方法,其特征在于:LSTM由三个门控单元和一个记忆单元组成,其中门控单元的计算公式如公式(43)‑公式(45)所示。

ft=σ(Wfxt+Ufht‑1+bf) (35)

it=σ(Wixt+Uiht‑1+bi) (36)

ot=σ(Woxt+Uoht‑1+bo) (37)

其中ft代表遗忘门,it代表输入门,ot代表输出门,xt代表输入数据,ht代表隐藏层,W、U和b代表权重和偏置,σ代表Sigmoid激活函数,记忆单元的当前状态ct由上一时刻的记忆单元状态和当前的候选状态的加权和得到,计算公式如公式(46)和公式(48)所示,最后,LSTM的隐藏层的输出如公式(30)所示。

ht=ot⊙tanh(ct) (40)。

8.根据权利要求6述的一种基于CDIVAE和双向时序模型的自适应入侵检测方法,其特征在于:流量之间的先后顺序包含时间特性,网络流量数据之间存在上下文的时序关联,通过BRN对流量数据进行特征加权挖掘出流量数据的全局时序特征,同时,BiLSTM从过去和未来两个方向对流量数据进行学习。

9.根据权利要求3述的一种基于CDIVAE和双向时序模型的自适应入侵检测方法,其特征在于:T

最大化公式 缩小qφ(z|x ,y)与

S

pGMM(x |y)KL散度,使得目标域数据提取域不变特征之后的分布向源域分布对齐,达到跨域的效果。

10.根据权利要求5所述的一种基于CDIVAE和双向时序模型的自适应入侵检测方法,其特征在于:并行表示法中的D为因果掩盖和指数衰减加权的结合,起到多头自注意力机制中+ ‑的MASK矩阵和Softmax函数的作用,避免模型的过拟合;D 和D从两个不同的方向对数据进行因果掩盖指数衰减加权,使模型在计算的过程中能够关注到上下文中的每一条数据。