(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111634727.1 (22)申请日 2021.12.2 9 (71)申请人 北京工业大 学 地址 100124 北京市朝阳区平乐园10 0号 (72)发明人 涂山山　尹明希　杨勇杰　 (74)专利代理 机构 北京思海天达知识产权代理 有限公司 1 1203 代理人 刘萍 (51)Int.Cl. H04L 9/40(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 基于伪孪生堆栈自编码器的网络入侵检测 方法 (57)摘要 基于伪孪生堆栈自编码器的网络入侵检测 方法属于网络安全领域。 对网络攻击的分析和检 测应该被重视。 基于传统深度学习方法的准确率 和检测率较低、 泛化能力较差和假阳率较高。 本 发明提出了一种提出了一种基于伪孪生SAE的网 络入侵检测方法。 首先分别使用正样本集和负样 本集无监督训练两个互为伪孪生结构的SAE， 有 效抽取流量的深层语义特征空间， 从而放大特征 重构后的正负样本之间的差异。 其次通过有 标签 的监督训练， 提高检测准确性， 并使用逻辑运算 结合两个伪孪生编码器使最终检测结果达到最 优。 在入侵检测数据集NSL ‑KDD的测试集KDDTest +和KDDTest ‑21上的实验表明， 本发明的入侵检 测准确性高于传统深度学习方法。 权利要求书2页 说明书4页 附图1页 CN 114338165 A 2022.04.12 CN 114338165 A 1.一种基于伪孪生 堆栈自编码器的网络入侵检测方法， 其特 征在于： (1)设计了一个 针对入侵检测数据集 NSL‑KDD的预处理步骤， 以提升检测的准确性； (2)设计了一个基于无监督逐层训练两个伪孪生结构的SAE， 利用正负样本对网络分别 训练， 以得到正常流 量和异常流 量的深层语义特 征； (3)对两个网络进行进一 步有标签的全数据集 监督训练， 以提高检测准确性； (4)构建一个用于整合两个伪孪生结构的SAE检测结果的逻辑运算策略， 以得到最终的 入侵检测结果。 2.根据权利要求1所述的方法， 其特征在于步骤(1)中， 将入侵检测数据 集NSL‑KDD中的 无意义特征即只有一个取值的特征进行删除， 为了使符号特征中每个取值之间的距离相 同， 将这三个符号特征转化为one ‑hot编码； 使用的是Z ‑score特征缩放方法， 将特征数值缩 放到0附近， 同时不改变数据分布以消除特 征之间量纲的影响； 特 征缩放算法如下 所示： 其中X为原 始特征， mean(x)为该类特 征均值， σ 为标准差 。 3.根据权利要求1所述的方法， 其特征在于步骤(2)中， 首先根据数据集网络攻击类别 标签将训练集划分为正常即无网络攻击数据集和异常即有网络攻击数据集； 使用6个AE构 建伪孪生SAE； 其中3个AE基于正常数据堆叠成SAE_N,另外3个AE基于异常数据堆叠成SAE_ A； 通过后向传播算法来最小化输出和输入之间的最小均方误差， 得到AE(i)的隐藏层H(i)； 对 于AE(i)_N， N表示该AE基于 正常数据集训练， i为AE_N的序号； H(i)作为AE(i+1)_N的输入层继续 重复SAE构建步骤， 直到AE(i＝3)_N训练完 成， 最后将3个AE的隐藏层组合成SAE_N； 构建3SAE_ N。 4.根据权利要求3所述的方法， 其特征在于步骤(3)中， 使用整个训练集对预训练构建 的SAE_A和SAE_N分别进行有监督的分类训练， 通过后向传播算法对网络超参数进 行微调来 最小化损失函数； 从而提高模型对正常记录和异常记录的区分度， 最大化正负样本之间的 差异； 微调具体实现为对网络迭代训练， 500轮训练后的网络超参数为最终网络的参数； 损 失函数如公式1所示， 其中yi表示样本真实标签， 表示模型预测该样本为阳性标签的概 率； 。 5.根据权利要求1所述的方法， 其特征在于步骤(4)中， 构建一个用于整合两个伪孪生 结构的SAE检测结果的逻辑运算策略， 以得到最终的入侵检测结果； 由于SAE_N与SAE_A是在 步骤(3)中分别基于正常数据集和异常数据集来预训练构建的， 导致SAE_N和SAE_A对正负 样本的敏感度不同； 为了防止模型向预训练数据集偏移， 同时结合两个伪孪生SAE的优势， 在本步骤中， 使用逻辑运算将SAE_A和SAE_N对同一记录的预测结果进行运算， 使得最终结 果达到最优； 规定a标签为阳性， n标签为阴性； 逻辑 运算的运算法则如下公式所示：权　利　要　求　书 1/2 页 2 CN 114338165 A 2设某一样本为S， pa表示SAE_A预测S为阳性的概率， pn表示SAE_N预测S为阳性的概率， p 为使用逻辑运算结合pa和pn后的概率； 当两个互为伪孪 生结构的S AE对S的标签预测相同时， 即pa和pn均大于等于0.5或者小于 等于0.5时， 认为 该预测值可信； 当两个孪生SAE对S的预测 相悖时， 考虑到网络的安全性， 认 为S更有可能为阳性， 但是考虑到模 型向数据集的偏移， 设 定pa的阈值为0.9， 当pa大于0.9且pn小于0.5时， p等于pn， 即S为阴性， 其 余情况为阳性。权　利　要　求　书 2/2 页 3 CN 114338165 A 3